I början av veckan deltog IT-Säkerhetsbolaget i Nordic Privacy Arena, där vi fick äran att för andra gången träffa någon som verkligen visat framfötterna på området konsekvensbedömningar – Sjoera Nas. På uppdrag av den holländska regeringen genomförde hon redan 2019 konsekvensbedömningar av Office 365 som resulterade i att Microsoft gick med på att anpassa sina villkor för holländarnas GDPR-efterlevnad.
Något vi märker i vår konsultverksamhet är att många svenska organisationer ännu inte kommit i gång med genomförandet av konsekvensbedömningar. Nu pratar jag inte konsekvensbedömningar i allmänhet, utan om konsekvensbedömningar avseende dataskydd (Data Protection Impact Assessment ”DPIA”).
DPIA regleras strikt i artikel 35 GDPR, där det framgår att konsekvensbedömningen (åtminstone) ska innehålla en systematisk beskrivning av den planerade behandlingen, dokumenterade intresseavvägningar (om tillämpligt), behovsanalys och proportionalitets-bedömning. Allt detta ska kopplas till behandlingens syften. Därtill behövs en riskanalys (i vilken en bedömning av risker för de registrerades rättigheter och friheter ska göras, alltså inte en sedvanlig riskanalys som kanske handlar om företagets risk för olyckor och ekonomisk påverkan) samt en förteckning av de åtgärder som planeras för att hantera riskerna.
Den som tidigare funderat kring begreppet ”behandling” har nog kommit fram till att det går att utföra hundratals behandlingar i ett och samma IT-system. Redan här kanske det utkristalliseras vilken omfattning vi har att röra oss med i en DPIA. Värt att tillägga är också att europeiska dataskyddsstyrelsen, EDPB, har riktlinjer för hur konsekvensbedömningar ska genomföras och att styrelsens riktlinjer även vägleder tillsynsmyndigheten och EU-domstolen.
Ett inhemskt exempel på hur viktigt det är att tillämpa EDPB:s riktlinjer fick vi i början av juni i det förhandssamråd som Stockholms stad begärt i samband med en konsekvensbedömning av Azure AD och Teams. Kommunen, som tidigare fått allvarlig kritik i tillsyn av Skolplatsen i slutet av 2020, fick bakläxa vid förhandssamrådet på grund av att den konsekvensbedömning kommunen gett in var bristfällig, främst för att den endast tog upp och beskrev en mycket begränsad del av behandlingen (DI 2021-1513).
Det här händer trots att det sedan länge finns en nästintill outsinlig guldgruva att dyka ner i för inspiration. Materialet ligger online på den holländska regeringens webbsida. Jag skickade det för egen räkning till en av mina uppdragsgivare, för att belysa att det verkligen går att beskriva och analysera så omfattande system, men även för att poängtera att det måste ges tid, resurser och kompetens för att lyckas.
I år berättade Sjoera om sitt senaste verk – en konsekvensbedömning av Google Workspace for Education. Ansatsen har resulterat i att Google nu vidtagit åtgärder för att hantera flera av de risker som identifierats för de holländska universitetens räkning.
Nu delar Google öppet med sig av lättillgängliga tips i sin Workspace data protection implementation guide. Frågan vi ställer oss är: HUR har hon lyckats med det här? Vi tror att svaret på det heter samarbete.
Valet att inte genomföra konsekvensbedömningar i nivå med Hollands handlar inte om legala förutsättningar (eller ”hinder”), trots att det kan kännas lite skönt att skylla på det, beaktat den tid och det engagemang som krävs för att komma i mål. Nej, det finurliga med DPIA är att den kan göras på uppdrag av flera organisationer samtidigt, på samma vis som det går att uppfylla lagen om offentlig upphandling genom nationella ramavtal.
Skatteverkets Daniel Melin, som också gästade Nordic Privacy Arena i år, är en av våra svenska ambassadörer för myndighetsgemensamt samarbete. Han berättade om den digitala samarbetsplattform för offentlig sektor som åtta statliga myndigheter tittar på för alternativ till Teams efter Schrems II-domen. Såna här samarbeten är inte så lätta att få till och vi är imponerade av dSam. Frågan är varför detta inte redan är gjort?
Vem eller vilka skulle kunna samarbeta i Sverige för att hjälpa (framför allt offentliga) organisationer med rättsliga krav och omfattande utredningsbehov för att efterleva GDPR och med det skydda våra personuppgifter? SKR tar tyvärr inte ställning utan uppmanar kommuner och regioner att göra sina egna bedömningar. Vi som vet att experter inom dataskydd saknas i många mindre organisationer, som inte alltid har egna jurister heller, inser snabbt hur effektivt det vore om vi i stället satte rätt kvinnor och män på rätt plats i nationell samverkan. Vi kan absolut lära oss mer av Holländarna här.
Sist men inte minst vill jag dela med mig av ett citat från Nordic Privacy Arena som vid sidan av Sjoera Nas och Daniel Melin inspirerade mig:
“IT-security is not about technology, it’s about change management” – David Jacoby
Liv Zettergren, jurist
