DPIA
En DPIA (Data Protection Impact Assessment), på svenska även kallad konsekvensbedömning för dataskydd, är ett verktyg för att systematiskt identifiera och minimera dataskyddsrisker innan ett nytt system tas i bruk.
Enligt dataskyddsförordningen (GDPR, artikel 35) måste en DPIA genomföras när en ny typ av personuppgiftsbehandling – särskilt vid användning av ny teknik – sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.
Syftet är att proaktivt identifiera, utvärdera och minimera dessa risker innan systemet tas i bruk.
Vad måste en DPIA innehålla?
Oavsett vilken mall som används kräver GDPR att konsekvensbedömningen alltid innehåller minst fyra delar:
- En systematisk beskrivning av den planerade behandlingen och dess syften
- En bedömning av nödvändighet och proportionalitet – är behandlingen nödvändig och proportionerlig i förhållande till syftet?
- En bedömning av riskerna för de registrerades rättigheter och friheter
- Åtgärder för riskhantering – de åtgärder som planeras för att hantera riskerna (t.ex. säkerhetsåtgärder och rutiner)
Gemensam ansvarsfördelning
Arbetet bygger på en gemensam ansvarsfördelning där ni som organisation står för själva innehållet och ägarskapet av er DPIA, medan vi på Intric bidrar med det underlag, dokumentation och stöd (inklusive vår DPIA-assistent) som behövs för att ni enkelt ska kunna fylla i den.
- Ni vet på vilket sätt ni ska använda systemet, vilka dokument ni tänker ladda upp och vilka era interna rutiner är. Ni fyller i dessa delar utifrån er verksamhets kontext.
- Vi (Intric) vet exakt hur tekniken fungerar, var datan lagras och vilka säkerhetsåtgärder som skyddar den. Vi förser er med färdiga underlag, tekniska beskrivningar och en interaktiv assistent som guidar er genom processen.
Översikt av ansvarsfördelningen
| GDPR-krav | Vad organisationen dokumenterar själv | Vad Intric bistår med |
|---|---|---|
| 1. En systematisk beskrivning av den planerade behandlingen och dess syften | Syftet med användningen, vilka dokument/innehåll som ska laddas upp och vilka interna resurser som berörs | Teknisk systembeskrivning, dataflöden, geografisk lagring och komplett lista över underbiträden |
| 2. En bedömning av om behandlingen är nödvändig och proportionerlig i förhållande till syftet | Den rättsliga grunden för behandlingen, interna gallringsregler och rutiner för de registrerades rättigheter | Tekniskt stöd för lagringsminimering, automatisk gallring och funktioner för radering/export av data |
| 3. En bedömning av riskerna för de registrerades rättigheter och friheter | Identifiering av verksamhetsrisker (ex. felaktig intern användning) och bedömning av sannolikhet och allvarlighet | Förifyllda leverantörsrisker, certifieringar (ISO 27001, SOC 2) och incidenthistorik som underlag för er bedömning |
| 4. De åtgärder som planeras för att hantera riskerna | Interna tekniska och organisatoriska åtgärder (ex. riktlinjer, rutiner, utbildning) samt bedömning av kvarstående risk | Intrics inbyggda säkerhetsåtgärder (ex. behörighetsstyrning/RBAC, kryptering, backup), best practices för säker konfiguration och avtalsmässiga garantier (DPA) |
Kom igång med er DPIA
För att göra processen så enkel och tydlig som möjligt har vi utvecklat en steg-för-steg guide som bygger på metodik och underlag från organisationer som redan genomfört en DPIA för sin Intric-användning.
DPIA för AI är ingen särskild process
Det är viktigt att förstå att en DPIA för AI-verktyg som Intric inte skiljer sig fundamentalt från en DPIA för andra IT-system. Processen följer samma struktur och krav som vid implementering av vilket annat personuppgiftsbehandlande system som helst – vare sig det gäller ett HR-system, ett CRM-verktyg eller ett dokumenthanteringssystem.
Det som är unikt för er implementering är inte teknologin i sig, utan hur ni väljer att använda den, vilka uppgifter ni behandlar och vilka risker som uppstår i er specifika kontext.