Konsekvensbedömning och GDPR: hitta riskerna innan behandlingen - så här gör du!

Oliver Zellweger 13 april, 2022

Introduktion

Konsekvensbedömning – inte lika svårt som det låter

Konsekvensbedömning avseende dataskydd är en jobbig mening. Vi pratar helst inte om det förrän vi måste. Många, i övrigt kloka och kompetenta människor, tycks ofta gå i baklås när man för konsekvensbedömning på tal. Det fåtal som jag möter som vet vad det innebär, arbetar själv med dataskyddsfrågor, liksom jag. Men ska man verkligen behöva vara ett dataskyddsproffs för att förstå vad en konsekvensbedömning går ut på? Det korta svaret är nej.

Konsekvensbedömning avseende dataskydd behöver inte vara komplicerat. I sin enkelhet är det en process för att identifiera integritetsrisker innan den planerade personuppgiftsbehandlingen. Det gör att du som organisation får större förståelse för personuppgiftsbehandlingens konsekvenser och risker samt hjälper er när ni ska avgöra vilka säkerhetsåtgärder ni ska vidta eller vilka tekniska lösningar som ni ska välja. Andra fördelar är att ni visar allmänheten att ni värnar om deras personuppgifter, efterlever kraven i GDPR och genom det minskar risken för att drabbas av administrativa sanktionsavgifter från Integritetsskyddsmyndigheten (IMY).

Tillspetsat kan man säga att en konsekvensbedömning är som en schweizisk armékniv som på ett magiskt sätt löser flera integritetsproblem.

Dels att ni som organisation både uppmärksammar och införlivar integritetsaspekten i personuppgiftsbehandlingens alla delar, vidtar förebyggande åtgärder i tid och sist men inte minst, undviker framtida personuppgiftsincidenter som kan bli väldigt kostsamma för organisationen.

Ordlista

Konsekvensbedömning
En process för att identifiera risker kopplat till personuppgifter

Integritetsrisk
Risken att en personuppgift på något sätt utsätts för en risk

Immateriella skador
Skador på person. Exempelvis sveda, värk, olägenhet eller lidande till följd av kränkningen av rättigheterna.

Pseudonymisering
Anonymisering av personlig information. Personens identitet ersätts av ett ID-nummer som sedan går att identifiera via en förteckning.

När behöver man då göra konsekvensbedömning?

Utgångspunkten är att en konsekvensbedömning behöver göras om behandlingen av personuppgifter kan leda till en hög integritetsrisk för de registrerade. Här är fyra exempel.

Inom arbetslivet

En arbetsgivare som systematiskt övervakar hur de anställda använder internet och e-post.
Verksamheter som utför bakgrundskontroller inför rekryteringar.

Inom hälso- och sjukvård

En vårdgivare som samlar in och lagrar känsliga personuppgifter som ska utgöra underlag för urval för framtida forskningsändamål.
En vårdgivare som inom ramen för ett utvecklingssamarbete, lämnar ut pseudonymiserade journaluppgifter till en annan vårdgivare med säte utanför EU/EES.

Inom kommunala sektorn

Ett kommunalt bostadsbolag som kameraövervakar trapphus, källarförråd och liknande för att förebygga, förhindra, upptäcka och utreda brott samt öka säkerheten och tryggheten på platsen.
En kommun som samlar in personuppgifter i samband med anställdas användning av kommunens tjänstebilar, innefattande bland annat lokaliseringsuppgifter och hastighet i syfte att utreda fortkörningar och felparkeringar i tjänsten.

Inom teknik

Ett företag som tillhandahåller internetuppkopplade produkter (IoT) för konsumenters bostäder (smarta hem-produkter), till exempel för att kunna fjärrstyra uppvärmning, belysning eller ljuduppspelning, samlar in detaljerade uppgifter om hur kunderna använder tjänsterna.
Verksamheter som gör stora ändringar i sin tekniska infrastruktur och som behandlar personuppgifter inom exempelvis hälso- och sjukvård eller social omsorg.

Det finns även situationer som inte kräver en konsekvensbedömning är. Det är till exempel:

om behandlingen av personuppgifter inte sannolikt leder till en hög risk för de registrerade.
om det tidigare gjorts en konsekvensbedömning för en liknande behandling av personuppgifter, eller kontrollerats av en tillsynsmyndighet eller dataskyddsombud och vars resultat inte har ändrats sedan föregående kontroll.

Men nu till den stora frågan, vad ska då en konsekvensbedömning innehålla?

Är det källhänvisning till GDPR, särskilda analytiska begrepp, vissa typer av perspektiv, en fingertoppkänsla för det juridiska landskapet inom dataskydd eller kanske en uppsättning av metodologiska dataskyddsverktyg? Eller är det bara ett nödvändigt ont i manchesterkavaj som ser bra ut när det är klart?

Här nedan följer sex steg för hur ni som organisation kommer igång med en konsekvensbedömning.

Steg 1.

En konsekvensbedömning ska genomföras innan den planerade personuppgiftsbehandlingen och fungera som ett underlag för att bedöma sannolikheter för integritetsrisker och dess konsekvenser. Med det som underlag kan ni som organisation fatta beslut och vidta åtgärder för att minimera dessa risker. Påbörja därför konsekvensbedömningen så tidigt som möjligt och låt den vara en del av utvecklingsprocessen.

Steg 2.

För att bedöma riskerna för de registrerade behöver ni som organisation titta på flera faktorer i den planerade personuppgiftsbehandlingen (1-4):

ändamålet dvs syftet med den planerade personuppgiftsbehandlingen. Tänk även här på att beskriva om hela processen är en enda personuppgiftsbehandling eller om det finns flera personuppgiftsbehandlingar som har samband med varandra.
bedömning om behandlingen är nödvändig och proportionerlig i förhållande till syftena med den. Det innebär att ni som organisation ska göra en avvägning mellan; å ena sidan, intresset av den personliga integriteten och å andra sidan väga det mot behovet att behandla uppgifterna. För att det ska vara proportionerligt ska fördelarna med behandlingen överväga riskerna.
bedömning av riskerna för de registrerades fri och rättigheter. Det innebär att ni som organisation behöver koppla de integritetsrisker som har identifierats med hur det kan bli en skada för den enskilde utifrån immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt m.m.
de åtgärder som planeras för att hantera riskerna och för att visa att dataskyddsförordningen efterlevs. Det innebär att ni som organisation behöver beskriva vilka tekniska och administrativa skyddsåtgärder som vidtas och motivera dem på en övergripande nivå. Utifrån införda åtgärder behöver det göras en bedömning om det fortsatt föreligger en hög risk för de registrerade.

Steg 3.

Minimera integritetsriskerna genom att:

överväga om det är möjligt att uppnå ändamålet med personuppgiftsbehandlingen på ett annat sätt så att integritetsriskerna inte uppstår.
vidta åtgärder som minimerar integritetsriskerna såsom till exempel autentisering, kryptering, rutiner och tydlig information om säkerhet till systemets användare, loggning, stöd för säkerhetskopiering, pseudonymisering av personuppgifter, behörighetsstyrning, automatisk gallring av personuppgifter, utforma IT-systemet så att inte fler personuppgifter än nödvändigt behandlas (inbyggt dataskydd och dataskydd som standard).

Steg 4.

Motivera och dokumentera de val som görs, till exempel vidtagna åtgärder (eller beslut att inte vidta åtgärder) för att minimera integritetsriskerna.

Steg 5.

Överväg att publicera hela eller delar av genomförd konsekvensbedömning. En sådan publicering kan hjälpa er organisation att leva upp till dataskyddsförordningens principer om öppenhet och ansvarsskyldighet.

Steg 6.

Konsekvensbedömning är en pågående process som behöver ses över kontinuerligt och omvärderas regelbundet. Följ upp tidigare genomförda konsekvensbedömningar.

Vem gör vad?

Konsekvensbedömning är inte en engångsföreteelse som utförs av en enskild anställd. Det är en laginsats där olika kompetenser och funktioner kan behöva involveras. Vilka beror på organisationen och den interna arbetsfördelningen. Men vanligtvis är det till exempel IT-avdelning, jurister, externa experter inom juridik, säkerhet och teknik.

Vi hjälper er med konsekvensbedömningar

För hjälp med konsekvensbedömning finns det flera vägar att gå. Den Europeiska dataskyddsstyrelsen (EDPB) har publicerat riktlinjer angående konsekvensbedömningar. Dessutom tillhandahåller den brittiska tillsynsmyndigheten för dataskydd, Information Commissioner’s Office (ICO) en kostnadsfri mall på engelska för konsekvensbedömning.

Vi på Secify har ett utarbetat arbetssätt för att genomföra konsekvensbedömningar och analysera integritetsrisker avseende de personuppgifter som behandlas. Vi har ett fulltäckande team med jurister och rådgivare inom informationssäkerhet och dataskydd.

Kontakta oss för att få tillgång till mallar, förhandsbedömning, kompetenser, metoder och rådgivning för konsekvensbedömning.

Om
Senaste inläggen

Oliver Zellweger

Managementkonsult - Informationssäkerhet och privacy på Secify

Informationssäkerhet och dataskydd ska alltid utvecklas utifrån ett övergripande verksamhetsperspektiv. Effekten och nyttan av de nya arbetssätt som skapas som en följd av införande av ett ledningssystem för informationssäkerhet eller dataskydd, bestäms i slutändan hur väl det taktar med befintliga kompetenser, roller och verksamhetsprocesser. Jag är i grunden statsvetare med en pol. master i offentlig förvaltning med inriktning ledning och styrning.

Min spetskompetens ligger inom ledning, styrning och utveckling av dataskydd och informationssäkerhet inom offentlig sektor, där jag har arbetat med olika uppdrag innan jag klev in som senior rådgivare på Secify. Jag har exempelvis arbetat som dataskyddsombud och informationssäkerhetssamordnare för en småskalig kommun i Dalsland, dataskyddssamordnare på Region Halland och haft en rad olika specialistroller inom dataskydd och informationssäkerhet på Secify.

Min passion är att förstå det sammanhang där utveckling sker och finnas till för individen som ska använda de processer som tas fram. Det är när vi arbetar utifrån organisationens krav på säkerhet samtidigt som vi möter medarbetarnas behov av enkla och praktiska lösningar som vi uppnår förändring på riktigt.

Senaste inläggen av Oliver Zellweger

Hur man skapar en positiv säkerhetskultur i organisationen - 2 juli, 2023
Så här förbereder du dig inför AI-förordningen - 24 januari, 2023
Konsekvensbedömning och GDPR: hitta riskerna innan behandlingen – så här gör du! - 13 april, 2022

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.