GDPR
Riskbedömning i enlighet med GDPR
Företag ska göra en riskbedömning i enlighet med GDPR innan de påbörjar en ny behandling av personuppgifter, inför nya IT-system eller planerar ny teknik som behandlar personuppgifter.
Riskbedömning: Utgå från de registrerades perspektiv
När företaget gör en riskbedömning, ska företaget utgå från risken med behandlingen för de registrerade, inte riskerna för företaget. Med andra ord, utgå från de registrerades perspektiv.
Till exempel att behandlingen av personuppgifterna kan leda till diskriminering för de registrerade eller ekonomisk förlust för de registrerade.
När behöver företag göra en riskbedömning i enlighet med GDPR?
En riskbedömning enligt GDPR ska genomföras innan företaget bland annat:
- Påbörjar nya behandlingar av personuppgifter.
- Inför nya IT-system.
- Planerar ny teknik.
Observera att företag också ska göra en riskbedömning när de uppmärksammar brister i sina skyddsåtgärder vid personuppgiftsincidenter eller andra avvikelser.
Steg i en riskbedömning i enlighet med GDPR
Typer av personuppgifter
En riskbedömning ska inkludera vilka typer och kategorier av personuppgifter som behandlingen avser. Till exempel om det är känsliga personuppgifter, eller andra integritetskänsliga personuppgifter, behandlingens omfattning, lagringsplats, lagringstid m.m.
Identifiera risker
Det andra steget handlar om att identifiera de möjliga riskerna med behandlingen. Till exempel vilka konsekvenser som kan uppstå för de registrerade om någon obehörig får åtkomst till personuppgifterna.
Sannolikhet
Företaget ska därefter analysera sannolikheten för att de identifierade riskerna inträffar. Ofta brukar detta ske genom en riskmatris, där företaget klassar riskerna som låga, medelstora eller höga
Skyddsåtgärder
För att minimera riskerna och konsekvenserna vid behandlingen av personuppgifterna, ska företaget vidta lämpliga skyddsåtgärder, både tekniska och organisatoriska. Till exempel kryptering av personuppgifter, tvåstegsautentisering, utbildning till medarbetarna m.m.
Dokumentera
Riskbedömningen bör vara skriftligen dokumenterad, så att företaget kan visa att det följer GDPR i praktiken, vilket är ett krav enligt principen om ansvarsskyldighet enligt artikel 5(2) i GDPR. Den dokumenterade riskbedömningen ska bland annat inkludera metoden som företaget har använt, vilka risker behandlingen innebär, om företaget har beslutat att genomföra en komplett konsekvensbedömning eller inte m.m.
Bra att se över riskbedömningarna regelbundet
Företaget bör införa ett system för att regelbundet se över de genomförda riskbedömningarna. Exempelvis genom att tilldela denna arbetsuppgift till en specifik medarbetare och att denne schemalägger arbetsuppgiften i sin kalender. Riskerna kan nämligen förändras över tid beroende på flera faktorer och därför är det bra att försäkra sig om att riskbedömningarna hålls aktuella över tid.
Mer info
Intresseavvägning
Företag behöver göra en intresseavvägning för att avgöra huruvida de har ett berättigat intresse till en viss behandling eller inte. Berättigat intresse utgör en av de sex (6) rättsliga grunderna i GDPR. De registrerade har rätt att invända mot behandlingen som sker med stöd i den rättsliga grunden berättigat intresse enligt artikel 6(1)(f) GDPR. Däremot innebär det inte per automatik att företaget måste upphöra med behandlingen. Företaget måste istället göra en ny bedömning efter att den registrerade har gjort en invändning, men företaget kan komma fram till att det föreligger ett berättigat intresse och därmed fortsätta behandlingen.