Konsekvensbedömning
När behövs en konsekvensbedömning?
Om en planerad behandling av personuppgifter sannolikt leder till hög risk för de registrerades fri- och rättigheter, måste vi göra en konsekvensbedömning. En lista över behandlingar som kräver en konsekvensbedömning finns på Integritetsskyddsmyndighetens (IMY) webbplats:
Lista över när en konsekvensbedömning ska göras
Listan är inte komplett. Om du är osäker på om en konsekvensbedömning behövs, kontakta dataskyddsombudet.
Syfte med konsekvensbedömning
En konsekvensbedömning säkerställer att vi följer dataskyddsförordningen och visar tillsynsmyndigheten att förordningen efterlevs.
Konsekvensbedömningen ger universitetet en förståelse för konsekvenserna och riskerna med personuppgiftsbehandling. Den hjälper också vid bedömningen av vilka säkerhetsåtgärder som behövs och vilka tekniska lösningar som bör väljas.
Att ta ställning till dessa frågor i ett tidigt skede minskar risken för att universitetet påbörjar en behandling som senare måste ändras för att uppfylla dataskyddsförordningens krav.
Genomförande av konsekvensbedömning
Arbetet med en konsekvensbedömning bör påbörjas så fort det är praktiskt möjligt och uppdateras i takt med att behandlingens olika delar fastställs. Genom att använda konsekvensbedömningen som ett verktyg i planeringen kan det också bli lättare att fatta rätt beslut i frågor som är viktiga ur ett integritetsperspektiv, till exempel
- hur många uppgifter som ska samlas in
- med vilken rättslig grund
- för vilka ändamål uppgifterna får behandlas
Dataskyddsombudet tillhandahåller en mall för att genomföra en konsekvensbedömning, lämnar råd under processens gång och övervakar genomförandet av konsekvensbedömningen.
Se inte konsekvensbedömningen som en engångsföreteelse, utan som en pågående process som behöver omprövas och uppdateras kontinuerligt. Då blir det enklare att uppmärksamma och införliva integritetsaspekten i personuppgiftsbehandlingens alla delar.
Mer information
Du kan läsa mer om konsekvensbedömning på Integritetsskyddsmyndighetens webbplats Konsekvensbedömningar och förhandssamråd - Integritetsskyddsmyndigheten (imy.se).
Kontakt
Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB. Kontaktperson är Sanja Hebib. Har du frågor om dataskydd - kontakta:
dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)