Välkommen till Intric Supportcenter
Säkerhet & Compliance
DPIA
Steg-för-steg Guide

Steg-för-steg Guide

Denna interaktiva guide är utformad för att göra DPIA-processen så enkel och tydlig som möjligt. Processen genomförs vanligtvis utspritt över projektets inledande faser och inkluderar även tid för ert dataskyddsombuds slutgranskning. Processen är uppdelad i 6 tydliga steg. I varje steg går vi igenom vad ni behöver göra och vilket material ni får från oss på Intric för att komma vidare.

Till guiden finns Intrics “DPIA-assistent” som hjälper er med stödfrågor, diskussionsunderlag och exempeltexter för respektive steg. Assistenten finns tillgänglig att hämta i Arena-biblioteket.

Klicka på steget för att läsa mer.

Syfte

För att DPIA-arbetet ska bli effektivt är det viktigt att rätt kompetenser involveras från start. Dataskyddsombudet måste enligt lag vara med i processen. Både IMY och EDPB betonar att ett tidigt deltagande är att föredra.

I detta steg ska ni:

  • Förstå vilken mall och struktur som gäller för er organisation
  • Sätta tydliga ramar för vad som ska bedömas
  • Inventera befintlig dokumentation
  • Involvera rätt kompetenser från start

Vad ni behöver göra

Boka in uppstartsmöte
Boka in ett uppstartsmöte med ert Dataskyddsombud (DPO) och övriga representanter som är relevanta från er organisation utifrån befintliga processer. Detta kan till exempel vara informationssäkerhetsansvariga, IT och representanter för verksamheten.

Läs igenom interna dokument/rutiner
Undersök om ni har en egen DPIA-mall, eller utgår ifrån IMY’s eller SKR’s mall. I detta skede är det även lämpligt att titta på informationssäkerhetspolicys, dokumenthanteringsplaner och eventuella AI-policies.

Definiera ert syfte
Gör ett utkast över vilka avdelningar som ska använda Intric, hur många användare det rör sig om och vilket eller vilka övergripande användningsområden ni har och vilka problem ni vill lösa.

Genomför steg 1 i Intrics “DPIA-assistent”
Vår interaktiva assistent guidar er genom de förberedande stegen och hjälper er att strukturera arbetet.

Vad Intric bistår med

För att ni ska kunna starta ger vi er tillgång till vårt grundläggande avtalspaket och säkerhetsunderlag:

  • DPIA-assistent som stöd för det förberedande arbetet
  • Exempel på syftesbeskrivningar från olika verksamhetsområden
  • Underlag till bilaga 1 och 2 för ert PUB-avtal (Personuppgiftsbiträdesavtal)

Syfte

I detta steg mappar ni ut hela datans livscykel. Här är det viktigt att skilja på systemets tekniska funktioner och ert specifika innehåll.

Vad ni behöver göra

Ett bra sätt att ta sig an denna del är genom en konkret tre-stegsövning:

1. Beskriv ändamålet
Varför ska systemet användas och vad ska åstadkommas?

2. Beskriv processer och innehåll
Hur ska processen gå till i Intric? Vad ska AI-assistenterna göra, och vilka specifika dokument eller informationstyper ska laddas upp för att uppnå syftet?

3. Identifiera personuppgifterna
Utifrån informationen i steg 2 kan ni enkelt extrahera och dokumentera:

  • a) Vilka personers uppgifter behandlas? (Är det enbart medarbetare, eller även kunder/medborgare som nämns i era dokument?)
  • b) Vilka typer av personuppgifter rör det sig om? (Finns det t.ex. namn, e-post, eller rentav känsliga uppgifter som hälsodata eller facktillhörighet?)

Beskriv era interna tekniska förutsättningar
Eftersom Intric står för den externa plattformen och infrastrukturen (servrar, AI-modeller etc.), behöver ni här i regel bara beskriva den teknik ni själva hanterar internt för att möjliggöra användningen. Omfattningen rör typiskt sett:

  • Identitet och inloggning: Er SSO-lösning (t.ex. Microsoft Entra ID eller Google Workspace) som integreras för att styra åtkomst och behörigheter
  • Klienter/Hårdvara: Exempelvis att systemet nås via organisationens managerade datorer eller mobiltelefoner
  • Nätverk: Exempelvis om det finns interna krav på att man måste befinna sig på organisationens nätverk eller VPN för att få logga in

Vad Intric bistår med

Vi fyller i de tekniska luckorna kring systemet och vår infrastruktur. Ni får färdiga texter från oss gällande:

  • Exempelformuleringar kring ändamål och syfte från tidigare DPIA’s
  • Systemöversikt & dataflöde: Färdiga beskrivningar och flödesscheman som visar exakt hur systemet hanterar användare, sökfrågor och dokument
  • Geografisk lagring: Vi specificerar exakt i vilket land och i vilka datacenter er data lagras
  • Länken till biträdeslista: En komplett lista över våra underleverantörer, var de finns, vilken data de hanterar och varför

Syfte

Detta steg handlar om att formellt säkerställa att ni har rätt att behandla uppgifterna och att de grundläggande dataskyddsprinciperna efterlevs:

  • Behandlingen är proportionerlig i relation till syftet
  • Uppgifterna endast används för det specifika ändamålet
  • Data minimeras och gallras korrekt
  • De registrerades rättigheter kan tillgodoses

Detta är ofta enklare än det låter – ni har med stor sannolikhet redan gjort liknande juridiska bedömningar och etablerat lagligt stöd för era andra IT-verktyg eller befintliga arbetsprocesser. Det handlar därför oftast bara om att ha en avstämning med ert dataskyddsombud för att kunna applicera och återanvända samma resonemang för er användning av Intric.

Vad ni behöver göra

Dokumentera rättslig grund
För varje typ av behandling (t.ex. inloggning respektive innehåll i dokument) måste ni ange en rättslig grund i GDPR (t.ex. Allmänt intresse eller Berättigat intresse).

Definiera gallringsregler (Lagringsminimering)
Ange hur länge uppgifterna ska sparas och vem som ansvarar för att rensa gamla dokument.

Skapa rutiner för rättigheter
Beskriv era interna processer för hur en användare begär ett registerutdrag, begär rättelse eller radering.

Vad Intric bistår med

Vi bevisar att plattformen tekniskt klarar av att leva upp till GDPR:s krav:

  • Tekniska åtgärder för minimering: Vi beskriver hur vår plattform stödjer rollbaserad åtkomstkontroll (RBAC), vilket säkerställer att folk bara ser data de har rätt till
  • Tekniskt stöd för rättigheter: Instruktioner för hur ni rent tekniskt exporterar användardata eller genomför en fullständig radering av en användares historik i plattformen
  • Tekniskt stöd för gallring: Instruktioner för hur ni konfigurerar plattformen för att rensa uppgifter i plattformen (som t.ex. historik i agenter) automatiskt utifrån en given tidsram
  • Information om tredjelandsöverföring: Vi klargör om data (ex. vid AI-bearbetning) lämnar EU/EES, till vilka länder, samt vilka legala överföringsmekanismer (t.ex. SCC) och säkerhetsåtgärder som skyddar datan

Syfte

GDPR kräver att man bedömer riskerna innan systemet tas i bruk. Det är viktigt att komma ihåg att riskerna är direkt kopplade till hur ni väljer att använda systemet och vilken typ av information ni behandlar.

När ni bedömer risker ska ni utgå från konsekvenserna för de registrerade individerna (inte verksamhetsrisker för er organisation). Riskerna brukar grovt kunna delas in i kategorier som påverkar individens rättigheter och datasäkerheten:

  • Obehörig åtkomst eller spridning (Konfidentialitet): Att fel person får tillgång till personuppgifterna, exempelvis på grund av felaktiga behörigheter eller dataintrång
  • Ändamålsglidning och felaktig användning: Att systemet eller uppgifterna används till något annat än det som var tänkt från början
  • Förlust eller manipulation av data (Riktighet & Tillgänglighet): Att uppgifter raderas av misstag, förloras, eller ändras så att de blir felaktiga
  • Leverantörsrelaterade risker: Risker kopplade till hur plattformen och dess underleverantörer hanterar datan

Vad ni behöver göra

Identifiera verksamhetsrisker
Fokusera på risker knutna till hur ni använder systemet. Till exempel:

  • (Kategori: Förlust eller manipulation av data) Risken att känsliga dokument laddas upp av misstag
  • (Kategori: Obehörig åtkomst eller spridning) Risken att användare får för bred behörighet till dokument de inte borde se
  • (Kategori: Ändamålsglidning och felaktig användning) Risken för ändamålsglidning (att systemet plötsligt börjar användas till fel saker)

Bedöm Sannolikhet och Allvarlighet
Värdera varje identifierad risk på en skala (ofta 1-5).

Vad Intric bistår med

Vi hjälper er med de tekniska leverantörsriskerna:

  • Exempel på verksamhetsrisker från tidigare DPIA’s: Vi tillhandahåller färdiga riskbeskrivningar för scenarion som kan ske hos er som organisation
  • Exempel på leverantörsrisker från tidigare DPIA’s: Vi tillhandahåller färdiga riskbeskrivningar för scenarion som dataintrång hos oss, eller risker vid eventuell tredjelandsöverföring
  • Certifieringar och exempel på rutinbeskrivningar: ISO27001, process för leverantörskontroll etc.

Syfte

I detta steg ska ni definiera åtgärder för att sänka de risker som identifierades i föregående steg till en acceptabel nivå. Dessa delas in i tekniska, organisatoriska och avtalsmässiga skyddsåtgärder (känt som förkortningen “TOM’s” från engelskan “Technical and organizational measures”), både internt hos er som organisation och externt hos oss som leverantör.

En mycket viktig aspekt i detta arbete är att säkerställa att slutanvändarna får adekvat utbildning och information, vilket är en förutsättning för att ni ska kunna garantera intern efterlevnad av era rutiner.

Vad ni behöver göra

Definiera era interna åtgärder
Beskriv hur ni ska hantera de risker ni identifierat. Det kan vara tekniskt (ex. “Vi aktiverar MFA”) eller organisatoriskt (ex. “Vi skapar en tydlig riktlinje för vad som får laddas upp”).

Besluta om ansvarig och deadline
För varje åtgärd måste någon i er organisation göras ansvarig.

Bedöm kvarstående risk
Räkna om riskvärdet efter att era åtgärder är på plats. Är risken fortfarande för hög?

Vad Intric bistår med

Vi tillhandahåller lösningarna på de tekniska riskerna:

  • Exempel på TOM’s för er som organisation baserat på tidigare DPIA’s
  • Utbildningsmaterial: Stödmaterial för era administratörer och användare för att de ska använda systemet säkert från dag ett
  • Intrics tekniska och organisatoriska skyddsåtgärder: En komplett teknisk lista på de skydd vi applicerar, både tekniska och organisatoriska
  • Best practices & tekniska möjligheter: Vi vägleder er i hur ni bäst konfigurerar systemet (t.ex. hur workspaces separeras säkert) för att stävja era identifierade verksamhetsrisker
  • Avtalsmässiga garantier: Krav och löften som binder oss legalt i både vårt DPA, samt de DPA:er vi tecknar med våra underbiträden

Syfte

I det avslutande steget ska DPIA:n formellt granskas, godkännas och förankras i organisationen innan systemet tas i drift.

Vad ni behöver göra

Granskning av DPO
Ert dataskyddsombud måste läsa igenom dokumentet, lämna skriftliga rekommendationer och godkänna bedömningen.

Formellt beslut
Projektledaren eller verksamhetschefen fattar ett formellt beslut (JA/NEJ) om systemet får införas baserat på riskerna.

Kommunikation till användare
Informera användarna om DPIA:ns slutsatser och de rutiner som ska följas.

Vad Intric bistår med

För att säkerställa att ni känner er trygga inför lanseringen:

  • Granskning av leverantörsfakta: Vi kan titta igenom DPIA-utkastet för att verifiera att vi inte blivit missförstådda gällande systemarkitektur eller tekniska begränsningar