GDPR- och konsekvensbedömning
Sammanfattning
Bedömningsresultat
- GDPR-risk: [Låg/Medel/Hög]
- Konsekvensbedömning krävs: [Ja/Nej]
- Compliance-status: [Uppfyller krav/Åtgärder krävs]
- Rekommendation: [Fortsätt/Åtgärda först/Stoppa]
Huvudrisker
- [Risk 1]
- [Risk 2]
- [Risk 3]
1. Projektöversikt ur GDPR-perspektiv
Behandlingens omfattning
- Personuppgiftsansvarig: [Organisation]
- Personuppgiftsbiträde: [Om tillämpligt]
- Behandlingens syfte: [Varför behandlas data]
- Behandlingens art: [Hur behandlas data]
- Kategorier av registrerade: [Vilka personer berörs]
AI-specifika överväganden
- Automatiserat beslutsfattande: [Ja/Nej]
- Profilering: [Ja/Nej]
- Machine Learning på persondata: [Ja/Nej]
- Förklarbarhet av AI-beslut: [Hur säkerställs]
2. Persondata som behandlas
Datakategorier
| Kategori |
Datatyper |
Känslighetsnivå |
Volym |
Lagringstid |
| Basuppgifter |
Namn, adress, email |
Normal |
[X personer] |
[Y år] |
| Identifikation |
Personnummer |
Förhöjd |
|
|
| Ekonomisk |
Inkomst, skulder |
Förhöjd |
|
|
| Känsliga uppgifter |
Hälsa, etnicitet |
Särskild kategori |
|
|
| Beteendedata |
Klickströmmar, preferenser |
Normal |
|
|
Datakällor
- Direkt från registrerad: [Vilken data]
- Från tredje part: [Vilken data och från vem]
- Genererad data: [AI-inferenser, profiler]
- Publik data: [Web scraping, öppna källor]
3. Rättslig grund
Grund för behandling
| Behandling |
Rättslig grund |
Dokumentation |
Giltighet |
| [Behandling 1] |
Samtycke (Art. 6.1.a) |
Samtyckesblankett |
Verifierad |
| [Behandling 2] |
Avtal (Art. 6.1.b) |
Kundavtal |
Verifierad |
| [Behandling 3] |
Rättslig förpliktelse (Art. 6.1.c) |
Lagkrav [X] |
Verifierad |
| [Behandling 4] |
Berättigat intresse (Art. 6.1.f) |
Intresseavvägning |
Se bilaga |
Särskilda kategorier (känsliga uppgifter)
- Behandlas känsliga uppgifter: [Ja/Nej]
- Om ja, rättslig grund: [Art. 9 grund]
- Särskilda skyddsåtgärder: [Vad görs extra]
4. De registrerades rättigheter
Implementerade rättigheter
| Rättighet |
Implementerad |
Process |
Tidsfrist |
Test |
| Rätt till information |
✅ Ja |
Integritetspolicy |
Omedelbart |
Godkänd |
| Rätt till tillgång |
✅ Ja |
Dataexport-funktion |
30 dagar |
Godkänd |
| Rätt till rättelse |
✅ Ja |
Användarprofil |
30 dagar |
Godkänd |
| Rätt till radering |
⚠️ Delvis |
Manuell process |
30 dagar |
Pågår |
| Rätt till dataportabilitet |
✅ Ja |
API/Export |
30 dagar |
Godkänd |
| Rätt att göra invändningar |
✅ Ja |
Opt-out |
Omedelbart |
Godkänd |
| Rätt till begränsning |
❌ Nej |
Saknas |
- |
- |
AI-specifika rättigheter
- Rätt till mänsklig granskning: [Hur implementerat]
- Rätt till förklaring: [Hur AI-beslut förklaras]
- Rätt att invända mot profilering: [Process]
5. Tekniska och organisatoriska åtgärder
Säkerhetsåtgärder
| Åtgärd |
Status |
Beskrivning |
Standard |
| Kryptering |
✅ Implementerad |
AES-256 at rest, TLS 1.3 in transit |
ISO 27001 |
| Åtkomstkontroll |
✅ Implementerad |
RBAC, MFA |
|
| Pseudonymisering |
⚠️ Delvis |
Hash av ID, tokenisering |
|
| Anonymisering |
⚠️ Planerad |
K-anonymity för analytics |
|
| Loggning |
✅ Implementerad |
Alla åtkomster loggas |
|
| Säkerhetskopiering |
✅ Implementerad |
Daglig, krypterad |
|
Organisatoriska åtgärder
- Utbildning: [Personal utbildad i GDPR]
- Policies: [Dokumenterade rutiner]
- Incidenthantering: [Process för dataincidenter]
- Leverantörskontroll: [Due diligence av biträden]
6. Dataöverföringar
Överföringar inom EU/EES
- Mottagare: [Lista organisationer]
- Syfte: [Varför överförs data]
- Skyddsåtgärder: [Avtal, säkerhet]
Tredjelandsöverföringar
| Land |
Mottagare |
Överföringsgrund |
Skyddsåtgärder |
| USA |
[Leverantör] |
SCC + tilläggsåtgärder |
Kryptering, åtkomstkontroll |
| UK |
[Partner] |
Adequacy decision |
Standard avtal |
7. Konsekvensbedömning (DPIA)
Behovsbedömning
| Kriterium |
Uppfyllt |
Kommentar |
| Systematisk övervakning |
[Ja/Nej] |
[Förklaring] |
| Känsliga uppgifter i stor skala |
[Ja/Nej] |
|
| Automatiserat beslutsfattande |
[Ja/Nej] |
|
| Innovativ teknik (AI/ML) |
[Ja/Nej] |
|
| Sårbara personer |
[Ja/Nej] |
|
| DPIA krävs: |
[Ja/Nej] |
|
Riskanalys (om DPIA krävs)
| Risk |
Sannolikhet |
Konsekvens |
Risknivå |
Åtgärd |
| Obehörig åtkomst |
Medel |
Hög |
Hög |
Kryptering, MFA |
| Dataintrång |
Låg |
Mycket hög |
Hög |
IDS, monitoring |
| Felaktig AI-inferens |
Medel |
Medel |
Medel |
Human-in-the-loop |
| Re-identifiering |
Låg |
Hög |
Medel |
Starkare anonymisering |
8. AI och automatiserat beslutsfattande
AI-behandlingar
| AI-komponent |
Input-data |
Output |
Påverkan |
Transparens |
| [Klassificerare] |
[Persondata] |
[Kategori] |
[Beslut] |
[Förklarbar/Black box] |
| [Prediktion] |
[Beteende] |
[Sannolikhet] |
[Rekommendation] |
[Tolkningsbar] |
Skyddsåtgärder för AI
- Bias-kontroll: [Hur kontrolleras]
- Fairness-mått: [Vilka mått används]
- Human oversight: [När och hur]
- Förklarbarhet: [XAI-metoder]
- Rätt att invända: [Process]
9. Personuppgiftsbiträden
Biträdesförteckning
| Biträde |
Tjänst |
Land |
Avtal |
Granskning |
| [Leverantör 1] |
Cloud hosting |
Sverige |
PUA signerat |
Årlig |
| [Leverantör 2] |
AI-plattform |
USA |
PUA + SCC |
Kvartalsvis |
Underbiträden
- Godkännande av underbiträden: [Process]
- Informationsplikt: [Hur informeras PUA]
10. Incidenthantering
Process för personuppgiftsincidenter
[Upptäckt] → [Bedömning] → [Dokumentation] →
[Anmälan IMY <72h] → [Information registrerade] → [Åtgärd]
Incidentteam
- Incidentansvarig: [Namn]
- DPO: [Namn/kontakt]
- IT-säkerhet: [Namn]
- Kommunikation: [Namn]
11. Compliance-övervakning
Granskningsplan
| Område |
Frekvens |
Metod |
Ansvarig |
Senaste |
| Samtycken |
Kvartalsvis |
Stickprov |
DPO |
[Datum] |
| Åtkomstloggar |
Månadsvis |
Automatisk |
Security |
[Datum] |
| Gallring |
Årlig |
Systemkontroll |
IT |
[Datum] |
| AI-fairness |
Kontinuerlig |
Monitoring |
ML-team |
Löpande |
KPI:er
| KPI |
Mål |
Nuvarande |
Trend |
| DSR-svarstid |
<20 dagar |
18 dagar |
↓ |
| Samtyckegrad |
>95% |
92% |
↑ |
| Incident-rapportering |
<72h |
48h |
→ |
12. Rekommendationer och åtgärdsplan
Prioriterade åtgärder
| Prio |
Åtgärd |
Deadline |
Ansvarig |
Status |
| 1 |
Implementera rätt till begränsning |
[Datum] |
[Namn] |
⏳ Pågår |
| 2 |
Förstärka anonymisering |
[Datum] |
[Namn] |
⏳ Planerad |
| 3 |
AI-förklarbarhet dokumentation |
[Datum] |
[Namn] |
⏳ Planerad |
Långsiktiga förbättringar
- [Förbättring 1]
- [Förbättring 2]
Godkännande
| Roll |
Namn |
Datum |
Signatur |
| Projektledare |
[Namn] |
[ÅÅÅÅ-MM-DD] |
_____________ |
| DPO |
[Namn] |
[ÅÅÅÅ-MM-DD] |
_____________ |
| Juridisk rådgivare |
[Namn] |
[ÅÅÅÅ-MM-DD] |
_____________ |
Bilagor
Bilaga A: Intresseavvägning
[För berättigat intresse]
Bilaga B: DPIA fullständig
[Om genomförd]
Bilaga C: Registerförteckning
[Art. 30 dokumentation]
Bilaga D: Informationstext
[Privacy notice]
Dokumentinformation
- Version: 1.0
- Författare: [Namn]
- DPO-granskning: [Namn, datum]
- Juridisk granskning: [Namn, datum]
- Nästa revision: [ÅÅÅÅ-MM-DD]
Denna GDPR-bedömning säkerställer att projektet uppfyller dataskyddskrav och identifierar nödvändiga skyddsåtgärder för personuppgiftsbehandling.