meny

Så här gör man en konsekvensbedömning

Det är viktigt att påbörja konsekvensbedömningen så tidigt som möjligt och att införliva konsekvensbedömningen i arbetssättet. Ta ett helhetsgrepp om personuppgiftsbehandlingen utifrån de krav vi listar här.

Börja så tidigt som möjligt

Gör konsekvensbedömningen innan ni inleder personuppgiftsbehandlingen. Påbörja konsekvensbedömningen så tidigt som möjligt och låt den vara en del av utvecklingsprocessen.

Ibland krävs att ni gör en konsekvensbedömning även för befintliga behandlingar. Riskerna kanske har ökat, till exempel för att ni samlar in fler uppgifter än tidigare eller för att ni inför nya tekniska lösningar. Eller så har ni inte gjort någon konsekvensbedömning tidigare eftersom behandlingen påbörjades innan dataskyddsförordningen gällde.

Grundläggande krav på en konsekvensbedömning

För att kunna bedöma riskerna för enskildas friheter och rättigheter måste ni ta ett helhetsgrepp om situationen och titta på många olika faktorer i personuppgiftsbehandlingen.

Det finns fyra grundläggande krav på vad en konsekvensbedömning ska innehålla.

  • en systematisk beskrivning av den planerade behandlingen och behandlingens syfte
  • en bedömning av om behandlingen är nödvändig och proportionerlig i förhållande till syftet med den
  • en bedömning av riskerna för de registrerades rättigheter och friheter
  • de åtgärder som planeras för att hantera riskerna och för att visa att dataskyddsförordningen efterlevs.

Ni måste dessutom

  • rådgöra med dataskyddsombudet om ni har ett
  • inhämta synpunkter från de registrerade eller deras företrädare när det är lämpligt.

En konsekvensbedömning för flera behandlingar

En enda konsekvensbedömning kan användas för att bedöma flera behandlingar som liknar varandra vad gäller art, omfattning, innehåll, ändamål och risker.

Exempel:

  • En organisation vill införa en personuppgiftsbehandling som liknar en annan personuppgiftsbehandling där det redan finns en konsekvensbedömning. Då kan de använda den första bedömningen som referens i sin nya konsekvensbedömning.
  • Ett antal matvarubutiker ska var och en införa liknande övervakningssystem på likartade platser. De kan göra en enda konsekvensbedömning.

Obs! Den som gör en gemensam konsekvensbedömning för flera personuppgiftsbehandlingar ska motivera varför en enda konsekvensbedömning har utförts.

Att avhjälpa risker

Överväg i första hand om behandlingen är nödvändig och proportionerlig i förhållande till syftet. Kanske kan ni uppnå syftet med behandlingen på ett annat sätt så att riskerna inte uppstår.

Exempel på åtgärder som ni kan använda för att hantera risker är

  • autentisering
  • kryptering
  • rutiner och tydlig information om säkerhet till systemets användare
  • logg över vem som använder personuppgifter
  • stöd för säkerhetskopiering
  • pseudonymisering av personuppgifter
  • öppen redovisning av personuppgifternas syfte och behandling
  • möjlighet för den registrerade att övervaka uppgiftsbehandlingen.
  • minska antalet personer som har tillgång till uppgifterna
  • begränsa sökbegreppen så att det inte går att söka på känsliga personuppgifter
  • införa automatisk borttagning av personuppgifter som inte längre ska behandlas
  • utforma it-systemen så att inte fler personuppgifter än nödvändigt behandlas, det vill säga inbyggt dataskydd och dataskydd som standard.

Motivera och dokumentera

Motivera och dokumentera de val ni gör, till exempel om ni bedömer att det inte är lämpligt att inhämta eller följa synpunkter från de registrerade.

Införliva konsekvensbedömningar i ert arbetssätt

För att se till att ni redan från början tar hänsyn till skyddet för personuppgifter i era arbetsprocesser bör ni införliva konsekvensbedömningen i ert arbetssätt. Ni kan till exempel ha med konsekvensbedömningar i er arbetsordning eller i era projektplaner.

Publicera för öppenhet och ansvarsskyldighet

Även om det inte är ett krav bör ni överväga att publicera hela, eller åtminstone delar av, konsekvensbedömningen. En sådan publicering kan bland annat hjälpa er att uppfylla förordningens principer om öppenhet och ansvarsskyldighet.

Publicering kan vara särskilt bra när behandlingen rör allmänheten, till exempel vid övervakning på allmän plats. Publiceringen kan bestå av en sammanfattning av konsekvensbedömningens huvudsakliga innehåll. Ni behöver förstås inte röja affärshemligheter eller annan känslig information.

Ompröva riskbedömningen kontinuerligt

Ompröva bedömningen av riskerna flera gånger under utvecklingsprocessen, särskilt när behandlingen förändras på ett sätt som kan påverka risken, till exempel för att ni samlar in fler uppgifter än tidigare eller inför nya tekniska lösningar.

Även efter att en behandling har påbörjats kan ni behöva gå tillbaka till den ursprungliga konsekvensbedömningen och ompröva bedömningen av risken.

Förhandssamråd

Om ni inte kan begränsa risken med personuppgiftsbehandlingen, måste ni begära förhandssamråd hos Datainspektionen.

Läs mer om förhandssamråd