Konsekvensbedömning behöver inte vara komplicerat

Varje gång en personuppgift hanteras så kan det innebära vissa risker. Därför är det viktigt att ha rutiner på plats för riskanalys och dokumentation. Det kanske låter komplicerat, men om processen blir rätt från början kan en konsekvensbedömning vara rätt enkel!

Analysera risker med en konsekvensbedömning i linje med GDPR

Varje gång ni hanterar personuppgifter - manuellt eller i ett system - kan det medföra vissa risker. Därför är det smart att ha färdiga rutiner i linje med GDPR för kunna analysera alla aktiviteter som involverar personuppgifter. 

Det kanske låter komplicerat, men med en metod för arbetet och intern förankring längs vägen behöver det inte vara särskilt svårt.

Första steget är alltså en riskanalys:

  • Vad kan behandlingen innebära för risker för individen?
  • Är det någonting ni gör med personuppgifter som kan medföra en hög risk?

Om svaret är ja, måste ni enligt artikel 35 utföra en konsekvensbedömning avseende dataskydd. Lite slarvigt används ofta det engelska uttrycket DPIA som står för Data Protection Impact Assessment. Syftet med detta krav är att förebygga risker genom att analysera och dokumentera era behandlingar. 

När ska vi göra en konsekvensbedömning?

En konsekvensbedömning kan bli aktuell när din organisation utvecklar nya tjänster, planerar att behandla personuppgifter för nya ändamål eller börjar använda ny teknik. Samma sak gäller för pågående behandlingar; med jämna mellanrum behöver ni granska ert dataskydd för att bland annat bedöma aktuella risker. 

Till exempel är risken större om behandlingen:

  • innehåller känsliga personuppgifter, såsom uppgifter om hälsa, religion eller etnicitet
  • innebär upprepad och omfattande övervakning av allmän plats, till exempel utanför en butik eller ett företag
  • på något sätt behandlas automatiskt på ett sätt som kan få konsekvenser för den enskilda individen.

Känns det svårt att komma igång? Vi har tagit fram en kostnadsfri guide som beskriver artikel 35 i dataskyddsförordningen och som förklarar processen från riskanalys till avslutad dokumentation. Ladda ner ditt faktablad om DPIA.

 

personuppgiftsincidenter-shape_686x457.png

Att dokumentera en konsekvensbedömning

Integritetsskyddsmyndigheten (IMY) betonar att alla organisationer ska ha en process för att löpande göra konsekvensbedömningar. Det är ett återkommande arbete och om ni får in det som en rutin i ert systematiska dataskyddsarbete kommer ni på längre sikt spara både tid och pengar. 


Enligt 35.7 i GDPR ska en konsekvensbedömning åtminstone beskriva: 

  • hur personuppgifterna ska behandlas och varför
  • verksamhetens behov och varför de behoven anses rimliga
  • vilka risker som kan bli aktuella
  • en handlingsplan för hur eventuella risker ska hanteras.

Om ni någon gång skulle drabbas av en personuppgiftsincident eller bli föremål för en granskning från Integritetsskyddsmyndigheten är dokumentationen viktig och kan tillsammans med er registerförteckning visa på ert interna resonemang kring eventuella risker i samband med behandlingen. 

Smidig konsekvensbedömning med Privacy DPIA!

Privacy DPIA är utformat i nära samarbete med våra experter på dataskydd och integritetsfrågor. Verktyget hjälper dig att avgöra om er organisation behöver göra en konsekvensbedömning genom att en så kallad tröskelanalys, och att genomföra själva konsekvensbedömningen när den behövs. 

Verktyget hjälper er att hantera, delegera och registrera alla identifierade risker. Med en rapport som dokumenterar ert arbetet ökar ni insikterna om ert arbete och kan enkelt bevisa att ni lever upp till kraven i GDPR. 



Kontakta oss för ett rådgivande samtal

För att ta del av information och aktiviteter på Visma behöver vi ditt samtycke

Testa vår e-learning

Fördjupa er kunskap om riskanalys och konsekvensbedömning med Privacy E-learning. Kursen lär dig allt du behöver veta från analys och interna processer, till dokumentation av arbetet. Du får till exempel veta:

  • Vad innebär en riskanalys?
  • När krävs en konsekvensbedömning?
  • Hur dokumenterar vi arbetet på rätt sätt?  

Så fungerar Privacy E-learning