Så undviker du risken att dela ut personuppgifter till fel person – GDPR, riskanalys och identifiering- del 1


När dataskyddsförordningen GDPR trädde i kraft uppstod det en viss förvirring kring rättigheter, skyldigheter och riskanalyser kopplat till personuppgifter. De som har sina personuppgifter lagrade har rätt att få ut dem. Samtidigt ställer dataskyddsförordningen höga säkerhetskrav på hur personuppgifterna skyddas. Vad händer om någon obehörig låtsas vara personen uppgifterna tillhör? Hur undviker du att lämna ut känslig information till fel person?

Så här gör du för att följa alla regler i GDPR samtidigt som du ger dina användare och besökare en god service. Det går att göra det på ett enkelt sätt.

 

Riskanalys och konsekvensbedömning i samband med GDPR

I samband med att GDPR började gälla 2018 blev det svettigt för många organisationer. Jämfört med andra tidigare förordningar innehåller den här många hårda krav på hur personuppgifter ska hanteras och skyddas.

Ett sådant krav är på en konsekvensbedömning. Syftet med en konsekvensbedömning är att förebygga risker innan de uppstår. Själva bedömningen är en process för att ta reda på vilka risker som finns med att samla in och behandla personuppgifter. Men även för att ta fram rutiner och åtgärder för att bemöta de här riskerna. Konsekvensbedömningen ska utgå från en riskanalys där ni undersöker vilka risker som kan uppstå vid er behandling av personuppgifter.

 

 

När behövs en konsekvensbedömning?

När ska då en riskanalys och konsekvensbedömning utföras? Enligt Datainspektionen ska ni ”alltid göra en konsekvensbedömning om er behandling av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter.” De säger också att ”i tveksamma fall bör ni alltid göra en konsekvensbedömning.” I korthet handlar det alltså om att ta det säkra före det osäkra. Personuppgifter i fel händer kan trots allt ställa till med stor skada. De kan användas till allt från skadlig ryktesspridning och oönskad marknadsföring till diskriminering och rena bedrägerier.

Vad händer då när skyddandet av personuppgifterna möter rätten att få tillgång till dem?

 

Hur ska dataskyddet och de registrerades rättigheter balanseras?

En annan viktig del av GDPR är de registrerades rättigheter. Den som har sina personuppgifter lagrade någonstans har enligt förordningen rätt att få information om hur deras personuppgifter behandlas samt ha kontroll över sina personliga uppgifter. Det innebär att varje person har rätt att få ut sina uppgifter samt att korrigera, radera, blockera eller flytta uppgifterna.

Här blir det krångligt. Samtidigt som dataskyddsförordningen ställer höga krav på att uppgifterna skyddas, ställer den lika höga krav på tillgång till dem. Hur skyddar du uppgifterna i det läget? Hur följer du GDPR utan att uppgifterna hamnar i fel händer?

Lösningen på det här dilemmat ska vi gå igenom i nästa inlägg. Det behöver faktiskt inte vara så krångligt.