Därför lyckas ni inte med era konsekvensbedömningar

Klart ni vill efterleva GDPR och säkerställa att ni behandlar individers personuppgifter på ett schysst sätt. Men att göra en konsekvensbedömning, att arbeta med riskåtgärderna och se till att allt detta faktiskt blir av mitt i virvelvinden av tighta deadlines och rutinuppgifter, ja det är inte helt enkelt.

Kanske har ni gjort några försök, börjat med det mest känsliga. Eller så är ni fortfarande i startgroparna och funderar på vart ni ska börja. När det känns som att det inte riktigt lirar så finns det ofta några anledningar till att det är så. Anledningar som du, om du blir medveten om dem, enkelt kan åtgärda.

I det här blogginlägget pratar vi om några möjliga anledningar till varför ni inte lyckas med era konsekvensbedömningar (trots att ni så gärna vill!).

 

Ni saknar metodstöd för konsekvensbedömning

När organisationer inte lyckas med konsekvensbedömningar är en vanlig anledning att det saknas ett metodstöd för konsekvensbedömning. Eller så finns det ett, men det är inte tillräckligt tydligt. Det leder till förvirrade workshops där ingen vet hur ni kommer vidare.

Vad menar vi med metodstöd då? Jo helt enkelt en beskrivning av hur och när ni ska genomföra konsekvensbedömningar. Metodstödet ska svara på frågor som:

  • Hur ska vi genomföra en konsekvensbedömning?
  • Vem ska vara med och genomföra bedömningen?
  • Vart ska vi spara materialet när vi är färdiga?
  • Vem agerar kontaktperson med Integritetsskyddsmyndigheten i de fall man ber om förhandsamråd?

Det underlättar dessutom om det finns en mall som ni kan arbeta efter. som innehåller förklarande texter för de begrepp ni använder er av, så att ni enkelt kan ta er igenom en konsekvensbedömning. På så sätt slipper ni fastna i långdragna diskussioner kring ”vad betyder egentligen utvärdering/profilering?”. Detta ökar era chanser att lyckas med konsekvensbedömningar avsevärt.

Det är svårt att veta vad som är good-enough

Om ert arbete med konsekvensbedömning skulle bli granskat, vad är egentligen good-enough? Den här frågan är det många som står handfallna inför. Anledningen är att det ännu inte kommit så många rättsfall eller prejudikat som tydliggör frågan på ett heltäckande vis. Man vet helt enkelt inte vad som är en godkänd nivå.

Det här kan skapa handlingsförlamning. Man vet inte vad som är tillräckligt så man gör ingenting. Det kan också leda till att man överarbetar och gör så omfattande konsekvensbedömningar att man helt enkelt inte hinner bedöma alla sina riskfyllda personuppgiftsbehandlingar. Inget av dessa alternativ är önskvärt såklart.

Hur löser vi problemet då? De få domar som har kommit i Europa har visat att det viktigaste är att ni påbörjat arbetet och gjort en bedömning. Att ni identifierat åtgärder och planerat för dem.

Gällande hur omfattande konsekvensbedömningen ska vara så har Artikel 29-gruppen har tagit fram riktlinjer kring vad en konsekvensbedömning ska innehålla. Dessutom kan det vara bra att fokusera på att dokumentera den information ni behöver för att kunna ta beslut om behandlingens risker. Det är ju faktiskt det som konsekvensbedömningen syftar till.

Ni saknar förståelse för konsekvensbedömning i organisationen

Stöter du ofta på frågor som ”Varför ska vi göra detta?”. Eller blir den inplanerade workshopen för konsekvensbedömning alltid framskjuten? Mest troligt så förstår inte verksamheten:

  • Att ni omfattas av lagkravet
  • Varför ni ska göra detta
  • Vilken nytta det ger er som organisation

Allt detta leder till att workshopen kommer fortsätta skjutas på framtiden, identifierade riskåtgärder blir aldrig åtgärdade och ni som organisation utsätter er och andra för en hög risk. Dessutom är det ganska omotiverande att känna att man aldrig kommer framåt i frågan.

För att lyckas handlar det såklart om att utbilda organisationen i frågan. Att det är ett lagkrav är ett av de tyngre argumenten eftersom viten och skadat varumärke är mindre trevligt. Men det finns även andra argument. Till exempel ur en etisk aspekt – för att skydda individers rättigheter.

För att organisationen ska förstå att ni omfattas av lagkravet och i vilken omfattning ni gör det behöver de förstå vad känsliga personuppgifter innebär och vad som anses vara en behandling med hög risk. Det ger er tydlighet i hur viktig den här frågan är för er. Har ni många av dessa behandlingar? Då borde frågan vara högprioriterad för er.

Dessutom handlar det om att utbilda organisationen i vad dessa behandlingar kan leda till för konsekvenser. De konsekvenser som är i fokus är de som individer vars uppgifter ni behandlar kan drabbas av. Det svarar på varför ni ska göra detta. Kroka gärna arm med informationssäkerhetsansvarig här! Den personen sitter förmodligen redan på en argumentsbank och presentationsmaterial kring just risker och konsekvenser.

Och slutligen då, vilken nytta ger det för er organisation? Jo ni säkerställer lagefterlevnad, underlättar vid en granskning, behandlar personuppgifter på ett schysst sätt och ökar förtroendet hos era intressenter. Dessutom får ni själva koll på era risker och arbetar proaktivt med att minimera dem innan ni drabbas av något tråkigt.

Fler tips på hur du får med dig organisationen hittar du här

Sammanfattning – varför ni inte lyckas med era konsekvensbedömningar

Så sammanfattningsvis – varför lyckas ni inte med konsekvensbedömning? Anledningarna kan vara många, men några av de vanligaste vi stöter på är att:

  • Man saknar metodstöd
  • Man vet inte vad som är good-enough
  • Förståelse saknas i organisationen

Som tur är går alla dessa tre att åtgärda. Lycka till!

Metodstöd och kostnadsfri mall för konsekvensbedömning (DPIA) 


Med en mall för konsekvensbedömningar underlättar ni genomförandet. Det ger er mycket bättre möjligheter att lyckas med era konsekvensbedömningar.

Ladda ner vår mall direkt och slipp lägga tid på att själv utforma en mall.

Relaterat innehåll:

Så ökar du verksamhetens engagemang för dataskydd

Tänk om du kunde bygga en dataskyddskultur. En organisation med högt engagemang och ansvarskänsla kopplat till dataskydd. Hur hade det sett ut? Och vad innebär en dataskyddskultur?   En dataskyddskultur Om vi målar upp en vision av en organisation med en stark dataskyddskultur, så kanske
Läs mer »

Så får du med dig verksamheten i dataskyddsarbetet

När dataskyddsförordningen kom förde den med sig nya arbetssätt, uppgifter och roller i organisationer landet runt. Nu när vi levt med förordningen i fyra år har arbetssätten hos många organisationer börjat mogna. Ofta har någon eller några anställda tilldelats rollen att koordinera och driva allt
Läs mer »