Konsekvensbedömning avseende dataskydd (DPIA)

Planerar du att inleda en behandling av personuppgifter som kan leda till en hög risk för de registrerade? Då behöver du titta på de risker som är förknippade med behandlingen av personuppgifter innan behandlingen påbörjas. Detta görs genom en riskanalys, eller också kallad konsekvensbedömning avseende dataskydd. Målet med konsekvensbedömningen är att minimera riskerna vid sådana behandlingar av personuppgifter som innebär en hög risk.

Vi hjälper privata och offentliga aktörer att upprätta och granska konsekvensbedömningar avseende dataskydd som lever upp till lagens krav.

Vad är en konsekvensbedömning avseende dataskydd?

En konsekvensbedömning är en process som är avsedd att beskriva behandlingen, bedöma om den är nödvändig och proportionell, och som ska hjälpa till att hantera risker för fysiska personers rättigheter och friheter som uppkommer genom behandlingen av personuppgifter genom att bedöma riskerna och bestämma vilka åtgärder som ska vidtas.

Varför ska jag göra en konsekvensbedömning?

En konsekvensbedömning är viktiga verktyg för utkrävande av ansvar, eftersom de inte bara hjälper personuppgiftsansvariga att uppfylla kraven i förordningen, utan även visar att lämpliga åtgärder har vidtagits för att säkerställa efterlevnaden av förordningen. Den som bryter mot skyldigheten att göra sådana konsekvensbedömningar riskerar att drabbas av sanktionsavgifter. Med andra ord är konsekvensbedömningarna en process för att skapa och påvisa efterlevnad.

Vem måste göra en konsekvensbedömning?

Om behandlingen av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter ska du alltid göra en konsekvensbedömning. För att veta om ni måste göra en konsekvensbedömning måste du alltså först ta ställning till om din behandling kan innbära en risk för enskilda personers fri- och rättigheter.

Även om en konsekvensbedömning kan krävas under andra omständigheter ger dataskyddsförordningen några exempel på när en behandling sannolikt leder till en hög risk:

 • När du använder automatiskt beslutsfattande som grundar sig på en systematisk och omfattande bedömning av människors personliga aspekter, till exempel profilering.
 • När du behandlar uppgifter om lagöverträdelser eller känsliga personuppgifter, till exempel uppgifter om hälsa, religiös tro, politisk uppfattning eller etniskt ursprung, i stor omfattning.
 • När du systematiskt övervakar en allmän plats i stor omfattning, genom till exempel kameraövervakning.

Detta är inte avsett att vara en uttömmande förteckning. Det kan föreligga ”hög risk” vid behandlingar som inte omfattas av dessa exempel men som ändå medför liknande höga risker. För sådana behandlingar ska alltså en konsekvensbedömning också göras.

Hur gör jag en konsekvensbedömning?

Konsekvensbedömningen bör påbörjas så tidigt som det är praktiskt möjligt vid utformningen av behandlingen, även om vissa delar av behandlingen fortfarande är okända. Det kan även vara nödvändigt att upprepa enskilda steg av bedömningen allt eftersom utvecklingsprocessen framskrider, eftersom valet av vissa tekniska eller organisatoriska åtgärder kan påverka allvaret i eller sannolikheten för de risker som uppkommer genom behandlingen.

I dataskyddsförordningen finns ett antal minimikriterier för en konsekvensbedömning. De återkommande stegen som ska vidtas är:

 • Beskrivning av den planerade behandlingen och behandlingens syften
 • Bedömning av behovet av och proportionaliteten hos behandlingen
 • Planerade åtgärder för att visa regelefterlevnad
 • Bedömning av riskerna för de registrerades rättigheter och friheter
 • Åtgärder som planeras för att hantera riskerna
 • Dokumentation för att visa att reglerna efterlevs
 • Övervakning och översyn att reglerna efterlevs

Viktigt att komma ihåg är att utförandet av en konsekvensbedömning är en pågående process, inte ett förfarande som sker vid ett enda tillfälle.

Hur kan vi hjälpa dig?

Framgångsrika konsekvensbedömningar kännetecknas av en helhetssyn och en förankring av lösningar i verksamheten. Genom oss får ni kompetenta rådgivare som kopplar ihop personuppgiftsbehandlingen med berörda processer i verksamheten och som hittar lösningar som är praktisk genomförbara. Kvalitén på konsekvensbedömningarna som vi levererar säkerställs genom vår kompetens inom juridik, IT, informationssäkerhet och verksamhetsutveckling.

Vi hjälpar er med hela eller delar av arbetet med konsekvensbedömningen – från behovsanalys till uppföljning av implementerade åtgärder. Vi erbjuder också granskningar av redan genomförda konsekvensbedömningar, och bistår vid samråd med Integritetsskyddsmyndigheten eller andra behöriga tillsynsmyndigheter.

Nedan ser du några exempel på konsekvensbedömningar som vi genomfört för våra kunders räkning.

 • Molntjänster (t.ex. Office 365)
 • Dokument- och ärendehanteringssystem (t.ex. Platina)
 • Rekryteringsverktyg (t.ex. Visma Recruit)
 • Spårning av fordon via GPS
 • Uppkopplad medicinteknisk utrustning
 • Verktyg för internet of things (IoT)
 • Verktyg för artificiell intelligens (AI)
 • Verktyg för data prevention loss (DLP)

Du är välkommen att höra av dig till oss för tips och råd om vad du behöver göra för att säkerställa efterlevnaden av dataskyddsförordningen.

Vanliga frågor

Vi hjälper privata och offentliga aktörer att upprätta och granska konsekvensbedömningar avseende dataskydd som lever upp till kraven i dataskyddsförordningen. Vi bistår även vid samråd med Integritetsskyddsmyndigheten eller andra behöriga tillsynsmyndigheter.

Vi eftersträvar att alltid vara flexibla och lyhörda för dina önskemål. Vår rådgivning kan ske på plats hos dig via e-post, telefon eller videokonferens. Vi prioriterar tillgänglighet och ser till att eventuella frågor besvaras så fort som möjligt. Vi har en öppen dialog och uppföljning med dig rörande de kostnader som är förenade med uppdragets utförande och vi erbjuder ett stort engagemang genom att omsorgsfullt, noggrant och skyndsamt utföra varje uppdrag som vi har åtagit oss.

Vi strävar efter att tillhandahålla tjänster till attraktiva arvoden och vi är alltid villiga att diskutera dessa med dig. På begäran kommer vi att i början av ett uppdrag förse dig med en uppskattning av vårt arvode och, beroende på uppdragets natur, kan vi också avtala om en budget eller annat arvodesarrangemang. Om vi inte avtalar annat fastställs våra arvoden på basis av ett antal faktorer såsom nedlagd tid, den skicklighet och erfarenhet som uppdraget krävt, de värden som uppdraget rör, eventuella risker för oss, tidspress och uppnått resultat.

Våra kunder är verksamma inom alla typer av branscher och bland dessa återfinns svenska och internationella företag, kommuner och offentlig verksamhet, banker, försäkringsbolag, bostadsbolag, elbolag, operatörer och konsultbolag.

Vill du ha vårt nyhetsbrev?

Vi skickar regelbundet ut fullmatade nyhetsbrev med tips, erbjudanden och det senaste inom dataskydd och personlig integritet.