Hoppa till sidans innehåll

Vad är målet med en konsekvensbedömning?

Målet med en konsekvensbedömning avseende dataskydd är att minimera risker för den registrerades rättigheter och friheter (art. 35,7 c GDPR). För att möjliggöra detta ska en riskbedömning göras där man hanterar risker för kränkningar av den registrerades rättigheter och friheter i samband med konsekvensbedömningen, det vill säga risker som kan resultera i negativa konsekvenser för enskilda individer. Konsekvenserna kan vara av materiell, fysisk eller psykisk karaktär.

Endast risker för den registrerade ska vara i fokus under riskbedömningsdelen av konsekvensbedömningen. Det är alltså bara är den registrerades perspektiv som är av relevans i en konsekvensbedömning.

Risker ur ett bredare perspektiv, som risker för kommunen som organisation, hanteras i stället i en riskbedömning avseende informationssäkerhet. Mer information om riskbedömningar avseende informationssäkerhet finns i kommunens ledningssystem för informationssäkerhet – kontakta informationssäkerhetsansvarig eller motsvarande motsvarande.

Riskbedömningsdelen av en konsekvensbedömning

Riskbedömningsdelen av en konsekvensbedömning ska innehålla:

  • Riskens ursprung (orsak/sårbarhet) (skäl 90 GDPR).
  • Identifiering av hot som kan leda till obehörig åtkomst, oönskad ändring och förlust av personuppgifter (personuppgiftsincidenter).
  • Identifiering av möjliga konsekvenser för den registrerades rättigheter och friheter vid händelser, däribland obehörig åtkomst, oönskad ändring och förlust av uppgifter.
  • Uppskattning av sannolikhetsgrad och konsekvensgrad (värdering av risker) (skäl 90 GDPR).
  • Fastställande av planerade åtgärder för att minska eller eliminera dessa risker (artikel 35.7 d GDPR och skäl 90 GDPR)

Riskbedömningsdelen av en konsekvensbedömning kan av praktiska skäl genomföras samtidigt som en riskbedömning avseende informationssäkerhet görs. Dokumentationen görs i kommunens eget riskhanteringsverktyg. Det är dock viktigt att värdera och dokumentera de risker som tillhör konsekvensbedömningen separat. Detta för att konsekvensbedömningsriskerna endast ska bestå av risker för den registrerade och inte kommunen som organisation.

Komplett konsekvensbedömning

En komplett komplett konsekvensbedömning består av två delar: en fullständigt ifylld mall för konsekvensbedömning och tillhörande riskhanteringsdokument.

Franska dataskyddsmyndigheten CNIL:s vägledning för stöd i riskbedömningen (PDF) Länk till annan webbplats.

Publiceringsinformation