Säkerhet och dataskydd

DPIA och konsekvensbedömning

En DPIA är en konsekvensbedömning enligt GDPR som används när en planerad eller ändrad behandling sannolikt kan innebära hög risk för individers rättigheter och friheter.

När DPIA kan behövas

En DPIA bör övervägas när Molnkontoret används för känsliga personuppgifter, konfidentiella arbetsgivar-, vård-, skola- eller myndighetsflöden, större extern delning, central identitetshantering, omfattande loggning, AI, transkribering eller automatisk klassning.

Inte sen pappersövning

Konsekvensbedömningen bör göras som del av readiness assessment innan pilotstart när riskbilden kräver det. Den ska sedan uppdateras när ändamål, användare, integrationer, retention, supportmodell eller driftmodell förändras.

Minsta struktur

En praktisk DPIA beskriver ändamålet, vilka registrerade och personuppgifter som berörs, mottagare, system, appar, supportåtkomst och hosting. Den bedömer nödvändighet, proportionalitet, risker, skyddsåtgärder, kvarstående risk och vem som äger beslutet.

Vanliga risker

I Molnkontorets sammanhang handlar riskerna ofta om oavsiktlig publik delning, kvarvarande åtkomst efter projekt, externa konton, för lång retention i filer, loggar och backup, oklar supportåtkomst, mobila synkkopior samt tredjeparts- eller AI-flöden.

Vanliga skyddsåtgärder

Skydden kan vara SSO, MFA, gruppbaserade arbetsytor, begränsad extern delning, automatiska taggar, filåtkomstregler, retention, begränsad loggåtkomst, testad återställning, godkänd supportåtkomst och återkommande behörighetsgranskning.

När IMY kan behöva kontaktas

Om behandlingen fortfarande innebär hög risk efter planerade skyddsåtgärder kan kunden behöva samråda med tillsynsmyndigheten innan behandlingen startar. Molnkontoret kan ge underlag, men beslutet ligger hos kunden och dess dataskydds-/juridiska funktion.