Som en del av Datatilsynets strategi för ett mer data- och riskbaserat förhållningssätt till vägledning och kontroll genomförde myndigheten under 2021 ett antal enkätbaserade granskningar för att belysa den allmänna mognad av utvalda säkerhetsområden. För studien valde Datatilsynet ut personuppgiftsansvariga från tre olika branscher med förväntad varierande mognadsgrad inom dataskydd och informationssäkerhet.
Syftet med självutvärderingen var både att ge Datatilsynet ett öga för specifika ämnesområden i behov av ökad insats, men också att stödja ett mer förebyggande arbetssätt. Genom den personuppgiftsansvariges interna process att besvara de frågor som ställs kommer den personuppgiftsansvarige enligt Datatilsynet samtidigt att bli mer medveten om relevanta dataskyddsrättsliga överväganden och villkor. Den enkätbaserade granskningen omfattade 10 hotellbolag, 9 försäkringsbolag och 11 kommuner.
Utifrån de ifyllda frågeformulären kunde Datatilsynet bedöma de personuppgiftsansvarigas samlade hantering av säkerheten jämfört med karaktären på den behandling som de personuppgiftsansvariga hanterar. Det mer systematiska förhållningssättet till svaren gav också Datatilsynet möjlighet att bedöma de enskilda personuppgiftsansvariga i förhållande till varandra och över branschen.
Datatilsynets samlade bedömning är att det finns ett generellt fokus på arbetet med informationssäkerhet, inklusive dataskydd. Datatilsynet har dock noterat att de personuppgiftsansvariga i flera fall skulle kunna ha ett större fokus på att upprätta beredskaps- och beredskapsplaner för att hantera situationer där behandlingssäkerheten påverkas, precis som det är viktigt att genom sin säkerhetsorganisation säkerställa en effektiv chefsförankring.
Som en del av Datatilsynets återkoppling på de genomförda granskningarna fick varje personuppgiftsansvarig ett antal specifika rekommendationer för vilka områden den personuppgiftsansvarige skulle kunna fokusera på vidare, samt att få inblick i hur den egna utvärderingen var i förhållande till de andra personuppgiftsansvariga inom samma bransch.