Säkerhet

Erfarenheter från GDPR och riskerna med en bristande konsekvensanalys

Den allmänna dataskyddsförordningen, också benämnd som GDPR, trädde i kraft den 25 maj 2018. Med syftet att skapa ett unisont regelverk för hela EU så finns det i och med förordningen nu ett antal regler som måste följas av alla företag inom EU eller EES. Förordningen påverkar även företag som behandlar personuppgifter tillhörande EU-medborgare och kan i och med detta även påverka behandlingen av personuppgifter internationellt.

Bakgrunden till GDPR

I och med GDPR ställs nu kravet i artikel 35 på företag att genomföra en så kallad konsekvensbedömning avseende dataskydd. Syftet med denna konsekvensbedömning är att säkerställa att personuppgifter behandlas i enlighet med alla de krav som fastställs i förordningen. Konsekvensbedömningen måste inte eliminera de risker som fastställs men det är av stor vikt att företag arbetar aktivt för att minimera dessa risker samt att man tar aktiva beslut om konsekvensen av risken är godtagbar för den verksamhet man bedriver.
Inga risker får lämnas utan en aktiv värdering av konsekvenserna för de personuppgifter som hanteras.

Att genomföra konsekvensbedömningen är en laglig skyldighet som även hjälper företag att fastställa den ansvarsskyldighet som föreligger för den specifika verksamheten. Det finns inga fastställda formkrav på hur en konsekvensbedömning ska genomföras, trots detta kan vi tydligt se att flertalet risker förekommer inom alla olika verksamheter och branscher.

Även om alla dessa risker inte är applicerbara överallt eller mitigeras på samma sätt inom alla verksamheter, så kan man se en tydlig tendens att vissa risker återkommer i konsekvensanalyser hos olika organisationer.

Utmaningarna med GDPR

Att fatta aktiva beslut är en av grundpelarna inom allt GDPR – arbete och det kräver en medvetenhet om riskerna och konsekvenserna av de beslut man fattar. Att avstå från att mitigera några av de risker som uppkommer vid en konsekvensbedömning behöver inte vara ett problem i sig, men måste grundas i ett aktivt beslut där konsekvensen för verksamheten har tagits i beaktande.
Utmaningen ligger i bedömningen av riskens påverkan på verksamheten samt förståelsen i hur aktiva beslut kan komma att mottas av tillsynsmyndigheten i det fall en revision av arbetet skulle inträffa.

Den stora svårigheten ligger i mångt och mycket i att inte bara genomföra de granskningar av verksamhetens personuppgiftsbehandling som krävs enligt lag utan också om att ha en medvetenhet om vad de risker man upptäcker kan leda till för konsekvenser.

Riskhantering kopplat till GDPR

Kontract har genomfört ett antal konsekvensanalyser riktade mot GDPR efterlevnad för både privata företag och myndigheter. Dessa riktas mot processer och mot de ingående verktyg och IT-system som används i utförandet. Genom att titta på resultatet från dessa har vi uppmärksammat ett antal risker som ständigt återkommer – och som kräver åtgärd för en god efterlevnad.

Riskhantering är en lärandeprocess där man ofta återkommer till tidigare aktiviteter och händelser. Viktiga nyckelord i vår förståelse av en god riskhantering är att det bör vara ett systematiskt arbete som synliggör risker och som innefattar en plan för hantering av riskerna.

Utan att göra någon rangordning återfinns nedan återkommande risker som höga eller mycket höga risker i flertalet av Kontract genomförda konsekvensanalyser.

Risker Beskrivning
Gallring Policys, regelverk och rutiner för regelbunden gallring av personuppgifter
Tekniska risker Behörighetshantering, backup av persondata, spårbarhet
Riktighet Processer och rutiner för att säkerställa att behandlade personuppgifter är riktiga
Överföring till tredje hand Personuppgifter behandlade utanför EU/EES
Behandling av känsliga personuppgifter I någon omfattning sker ofta behandling av en eller flera av de kategorier av personuppgifter som definieras som känsliga enligt dataskyddsförordningen, även om det inte är en del av den huvudsakliga verksamheten
Information till de registrerade Att information ges om att uppgifter samlas in, vilket ändamålet är, hur de används samt vilka rättigheter de registrerade har

 

När väl riskerna identifierats och bedömts utifrån påverkan på efterlevnad av GDPR är nästa steg som vid all riskhantering att klargöra alternativa åtgärder för att hantera dessa. Då riskerna sinsemellan skiljer sig mycket kommer detta reflekteras i framtagna åtgärder.
T.ex. kan en lösning vara en ny process eller en organisatorisk förändring likväl som teknisk.

Vanligtvis brukar man då lyfta fram fyra olika riskstrategier: Undvikande, Avhjälpande åtgärder, Överföring och Accepterande. För GDPR relaterade frågor är det svårt att överföra risken då man som personuppgiftsansvarig alltid är ansvarig för den behandling som görs på ens uppdrag. Man kan dock välja att undvika risken genom att sluta med en riskfylld behandling av personuppgifter. Det är också möjligt att reducera risken genom att införa åtgärder, eller välja att inte göra någonting alls och helt enkelt acceptera risken.

Ambitionen gällande hur mycket som ska göras skiftar väsentligt utifrån olika organisationers tolkningar av dataskyddsförordningen. Vanligtvis fokuserar man på ett antal kända högriskprocesser och IT-system. Ofta underskattar man dock nivån av personuppgiftsbehandling i verksamheten och väljer indirekt att acceptera risken att ha en mindre komplett registerförteckning över den behandling som faktiskt sker.

Genomförande av åtgärder

Den handlingsplan som blir resultatet av gjord riskbedömning, hanterades i samband med införandet av dataskyddsförordningen ofta i projektform. Detta medgav att samla den specialistkompetens som behövdes tillsammans med extra resurser i en organisationsöverskridande gruppering för genomförandet av handlingsplanen. Så långt är allt väl.
Efter att projektet var klart överlämnades i regel ett resultat till linjeorganisationen och därmed var, och i vissa fall fortfarande är, den allmänna uppfattningen att man nu uppfyller dataskyddsförordningen.  Detta är en missuppfattning.

I en verksamhetsanpassning till GDPR uppkommer alltid restpunkter som av olika anledningar inte hanteras.
Det kan t.ex. vara av resursbrist, brist på specialistkunskap eller att man som organisation inte är redo och saknar det stöd från ledningen som är nödvändigt för förändringar. Det sker också i det flesta organisationer en ständig förändring i verksamhetens behandling av personuppgifter, nya tjänster och system tillkommer och organisationen och uppdraget kan förändras både till art och geografi.

Tolkningen av dataskyddsförordningen förtydligas också allteftersom tiden går och en praxis uttolkas av tillsynsmyndigheter.
Därmed är det av största betydelse att den löpande verksamheten fortsätter att ha dataskyddsförordningen på agendan för att inte utsätta organisationen för risken att den bryter mot lagen och de konsekvenser det kan medföra. Med det sagt, genomförandet bör hålla sig på en nivå där man på ett trovärdigt sätt kan argumentera för varför man valt att göra på det ena eller andra sättet gällande identifierade risker.

Om inte aktiva beslut är förståeliga i verksamheten kommer de att bortses ifrån.

Rekommenderade steg vid genomförande av handlingsplan:

  • Utgå från rekommendationer från tillsynsmyndighet, branschorganisationer och gemensamma samarbetsorgan
  • Anpassning till GDPR kommer att leda till lägen där intressen ställs mot varandra (t.ex. Cloud Act).
  • Utgå från risken med behandlingen innan beslut tas. Av största vikt är att dokumentera varför man som organisation väljer att göra på ett visst sätt.
  • Konsekvensanalysarbetet är en iterativ process. Man behöver återkomma till detta regelbundet och göra tillägg, förändra, redovisa gällande nuläge och vilka aktiviteter som planeras.
  • Fortsätt medvetandegöra och utbilda medarbetarna i hur de förväntas agera i sin vardag.

Summering

Det är viktigt att inte se konsekvensanalys och riskhantering som en engångsaktivitet. Detta ställer krav på att det finns kompetens i dataskyddsförordningen hos linjeorganisationen. Dokumentation över tagna beslut är en nyckelfaktor för att kunna visa vilka åtgärder man vidtagit och på vilka grunder. För att hantera de risker som inledningsvis nämndes är vanligt återkommande, finns mycket att vinna på att samarbeta med andra. Riskerna är inte alltid enkla att hantera och genom att dra nytta av det utredningsarbete som andra lagt ner och likrikta hantering av gemensamma risker ökar sannolikheten att organisationen väljer en korrekt hantering.

Det finns också en sanitetsfaktor i att låta organisationen eller valda delar av den genomgå en opartisk bedömning (en s.k. GDPR revision). I denna lyfts både bra och dåliga sidor fram och man får en kvalitetssäkring på sitt anpassningsarbete till dataskyddsförordningen. Eventuella svagheter fungerar som input till riktade insatser så att organisationen når sitt mål även inom GDPR – området.

Ordlista GDPR:

Cloud act – Står för Clarifying Lawful Overseas Use of Data Act och är en amerikansk lag som trädde i kraft i mars år 2018. Lagen innebär att amerikanska myndigheter ska ges tillgång till data som lagras utomlands och därmed kan amerikanska leverantörer inte vägra att lämna ut sådan data.

Dataskyddsförordningen – Se beskrivning för GDPR.

ESS – Står för Europeiska Ekonomiska Samarbetsområdet och är ett samarbete mellan, å ena sidan, EU och dess medlemsstater och, å andra sidan, Island, Liechtenstein och Norge.

GDPR – Står för General Data Protection Regulation och heter på svenska Dataskyddsförordningen eller allmänna dataskyddsförordningen. GDPR är en europeisk förordning med syftet att skapa ett enhetligt och likvärdigt skydd av personuppgifter inom EU och ESS. Grundtanken är att säkerställa enskildas grundläggande rättigheter och friheter.

GDPR-revision – I GDPR är det fastställt att den som är ansvarig för personuppgiftsbehandlingen måste också kunna visa att och hur man följer bestämmelserna i dataskyddsförordningen. GDPR-Revision visar just detta.

Konsekvensanalys – Genom en konsekvensanalys identifieras skyddsbehovet för en viss informationsmängd.

Konsekvensbedömning – Lagstadgad skyldighet enligt GDPR. Syftet med en konsekvensbedömning är att förebygga risker innan de uppkommer.

Riskanalys – Syftet med en riskanalys är att identifiera och värdera risker, identifiera orsaker till dessa och ta fram åtgärder som eliminerar eller minskar riskerna, eller mildrar riskerna.

Riskbedömning – Man gör först en riskanalys för att sedan genom en riskbedömning utvärdera risken och ta beslut om behovet av riskreducering.

Läs vårt blogginlägg om hur RPA, AI och GDPR praktiskt fungerar ihop här!

Publicerat den 14 januari 2020
Får vi bjuda på en kaka? Denna webbplats använder cookies. Läs mer i vår cookiepolicy.