Klart ni vill efterleva GDPR och säkerställa att ni behandlar individers personuppgifter på ett schysst sätt. Men att göra en konsekvensbedömning, att arbeta med riskåtgärderna och se till att allt detta faktiskt blir av mitt i virvelvinden av tighta deadlines och rutinuppgifter, ja det är inte helt enkelt.
Kanske har ni gjort några försök, börjat med det mest känsliga. Eller så är ni fortfarande i startgroparna och funderar på vart ni ska börja. När det känns som att det inte riktigt lirar så finns det ofta några anledningar till att det är så. Anledningar som du, om du blir medveten om dem, enkelt kan åtgärda.
I det här blogginlägget pratar vi om några möjliga anledningar till varför ni inte lyckas med era konsekvensbedömningar (trots att ni så gärna vill!).
Ni saknar metodstöd för konsekvensbedömning
När organisationer inte lyckas med konsekvensbedömningar är en vanlig anledning att det saknas ett metodstöd för konsekvensbedömning. Eller så finns det ett, men det är inte tillräckligt tydligt. Det leder till förvirrade workshops där ingen vet hur ni kommer vidare.
Vad menar vi med metodstöd då? Jo helt enkelt en beskrivning av hur och när ni ska genomföra konsekvensbedömningar. Metodstödet ska svara på frågor som:
- Hur ska vi genomföra en konsekvensbedömning?
- Vem ska vara med och genomföra bedömningen?
- Vart ska vi spara materialet när vi är färdiga?
- Vem agerar kontaktperson med Integritetsskyddsmyndigheten i de fall man ber om förhandsamråd?
Det underlättar dessutom om det finns en mall som ni kan arbeta efter. som innehåller förklarande texter för de begrepp ni använder er av, så att ni enkelt kan ta er igenom en konsekvensbedömning. På så sätt slipper ni fastna i långdragna diskussioner kring ”vad betyder egentligen utvärdering/profilering?”. Detta ökar era chanser att lyckas med konsekvensbedömningar avsevärt.
Det är svårt att veta vad som är good-enough
Om ert arbete med konsekvensbedömning skulle bli granskat, vad är egentligen good-enough? Den här frågan är det många som står handfallna inför. Anledningen är att det ännu inte kommit så många rättsfall eller prejudikat som tydliggör frågan på ett heltäckande vis. Man vet helt enkelt inte vad som är en godkänd nivå.
Det här kan skapa handlingsförlamning. Man vet inte vad som är tillräckligt så man gör ingenting. Det kan också leda till att man överarbetar och gör så omfattande konsekvensbedömningar att man helt enkelt inte hinner bedöma alla sina riskfyllda personuppgiftsbehandlingar. Inget av dessa alternativ är önskvärt såklart.
Hur löser vi problemet då? De få domar som har kommit i Europa har visat att det viktigaste är att ni påbörjat arbetet och gjort en bedömning. Att ni identifierat åtgärder och planerat för dem.
Gällande hur omfattande konsekvensbedömningen ska vara så har Artikel 29-gruppen har tagit fram riktlinjer kring vad en konsekvensbedömning ska innehålla. Dessutom kan det vara bra att fokusera på att dokumentera den information ni behöver för att kunna ta beslut om behandlingens risker. Det är ju faktiskt det som konsekvensbedömningen syftar till.
Ni saknar förståelse för konsekvensbedömning i organisationen
Stöter du ofta på frågor som ”Varför ska vi göra detta?”. Eller blir den inplanerade workshopen för konsekvensbedömning alltid framskjuten? Mest troligt så förstår inte verksamheten:
- Att ni omfattas av lagkravet
- Varför ni ska göra detta
- Vilken nytta det ger er som organisation
Allt detta leder till att workshopen kommer fortsätta skjutas på framtiden, identifierade riskåtgärder blir aldrig åtgärdade och ni som organisation utsätter er och andra för en hög risk. Dessutom är det ganska omotiverande att känna att man aldrig kommer framåt i frågan.
För att lyckas handlar det såklart om att utbilda organisationen i frågan. Att det är ett lagkrav är ett av de tyngre argumenten eftersom viten och skadat varumärke är mindre trevligt. Men det finns även andra argument. Till exempel ur en etisk aspekt – för att skydda individers rättigheter.
För att organisationen ska förstå att ni omfattas av lagkravet och i vilken omfattning ni gör det behöver de förstå vad känsliga personuppgifter innebär och vad som anses vara en behandling med hög risk. Det ger er tydlighet i hur viktig den här frågan är för er. Har ni många av dessa behandlingar? Då borde frågan vara högprioriterad för er.
Dessutom handlar det om att utbilda organisationen i vad dessa behandlingar kan leda till för konsekvenser. De konsekvenser som är i fokus är de som individer vars uppgifter ni behandlar kan drabbas av. Det svarar på varför ni ska göra detta. Kroka gärna arm med informationssäkerhetsansvarig här! Den personen sitter förmodligen redan på en argumentsbank och presentationsmaterial kring just risker och konsekvenser.
Och slutligen då, vilken nytta ger det för er organisation? Jo ni säkerställer lagefterlevnad, underlättar vid en granskning, behandlar personuppgifter på ett schysst sätt och ökar förtroendet hos era intressenter. Dessutom får ni själva koll på era risker och arbetar proaktivt med att minimera dem innan ni drabbas av något tråkigt.
Fler tips på hur du får med dig organisationen hittar du här
Sammanfattning – varför ni inte lyckas med era konsekvensbedömningar
Så sammanfattningsvis – varför lyckas ni inte med konsekvensbedömning? Anledningarna kan vara många, men några av de vanligaste vi stöter på är att:
- Man saknar metodstöd
- Man vet inte vad som är good-enough
- Förståelse saknas i organisationen
Som tur är går alla dessa tre att åtgärda. Lycka till!
Metodstöd och kostnadsfri mall för konsekvensbedömning (DPIA)
Med en mall för konsekvensbedömningar underlättar ni genomförandet. Det ger er mycket bättre möjligheter att lyckas med era konsekvensbedömningar.
Ladda ner vår mall direkt och slipp lägga tid på att själv utforma en mall.
