Datatilsynet har publicerat två mallar för konsekvensbedömningar avseende dataskydd som företag och myndigheter kan använda. Den ena mallen är av mer generisk karaktär och den andra mallen behandlar specifikt konsekvensbedömningar vid utveckling och drift av AI-lösningar. Mallarna ska bidra till att säkerställa att företag och myndigheter genomför tillräckliga konsekvensbedömningar på ett korrekt sätt och i tid.
Datatilsynet har i sitt tillsynsarbete konstaterat att företag och myndigheter i många fall står inför utmaningar när det gäller att genomföra konsekvensbedömningar. Konsekvensbedömningen är ett krav enligt dataskyddsförordningen (GDPR). Analysen är ett verktyg som gör det möjligt att på ett systematiskt sätt arbeta med de risker som en behandling kan medföra. Analysen ska genomföras om en behandling sannolikt kommer att medföra höga risker för de registrerade.
Till exempel visade Datatilsynets kartläggning av användningen av artificiell intelligens (AI) i den offentliga sektorn från oktober 2023 att myndigheter generellt står inför utmaningar med att genomföra konsekvensbedömningar, inklusive att genomföra dem i tid vid utveckling och användning av AI. Flera av tillsynsmyndighetens beslut rör också uteblivna eller otillräckliga konsekvensbedömningar.
Katalogen över risker och åtgärder i mallarna är dock inte uttömmande och den personuppgiftsansvarige måste bedöma om det kan finnas ytterligare risker som är relevanta. Det är i slutändan de personuppgiftsansvarigas ansvar att se till att de konsekvensbedömningar som görs är förenliga med dataskyddsbestämmelserna.