Konsekvensbedömning

Om ni planerar att påbörja en behandling av personuppgifter eller redan genomför en personuppgiftsbehandling som kan leda till hög risk för de registrerade måste en konsekvensbedömning göras avseende dataskydd (i enlighet med artikel 35 GDPR).

Vad som är en hög risk för individer kan skilja sig mycket åt. Det kan exempelvis vara att det finns risk för att obehöriga tar del av personuppgifterna som kan leda till diskriminering, identitetsstöld, bedrägeri, ekonomisk förlust eller skadat anseende.

Här finns en förteckning från Integritetsskyddsmyndigheten om vilka kriterier som utgör faktorer för att en behandling kan leda till hög risk. I vårt GDPR-verktyg finns en särskilt utvecklad modul som hjälper er att ta fram konsekvensbedömningar och hålla dem uppdaterade! Läs mer här.

Syftet med en konsekvensbedömning är att identifiera, minimera och förebygga risker. Målet med konsekvensbedömningen är skydda människors fri- och rättigheter och minimera riskerna vid sådana behandlingar av personuppgifter som innebär en hög risk.  

Det är flera delar som ska ingå i en godkänd konsekvensbedömning. Här finns en kort beskrivning med exempelfrågor på vad som ska ingå, från den brittiska dataskyddsmyndigheten ICO. I vårt GDPR-verktyg finns en särskild modul som hjälper er dokumentera konsekvensbedömningar utifrån gällande rekommendationer och riktlinjer. Läs mer här.

Ni måste kontinuerligt bedöma den risk som uppkommer vid era personuppgiftsbehandlingar, eftersom risker kan uppstå vid förändrade processer eller byte av system m.m.