Konsekvensbedömningar och informationsklassning – likheter och skillnader
Hur vet man när man ska genomföra en konsekvensbedömning och när det är aktuellt att göra en informationsklassning? Det finns viktiga skillnader att hålla reda på mellan dataskydd och informationssäkerhet.
En konsekvensbedömning enligt dataskyddsförordningen är en process för att identifiera och minimera risker för de registrerade i samband med en personuppgiftsbehandling som innebär en hög risk. Ett syfte med konsekvensbedömningen är att förebygga risker redan innan dessa har uppkommit. Genom konsekvensbedömningen kartlägger man risker och tar fram åtgärder för att hantera riskerna, till exempel i form av rutiner eller tekniska säkerhetsåtgärder. Konsekvensbedömningen är också en möjlighet att visa regelefterlevnad. Att inte bara göra rätt, utan även kunna visa att man gör rätt, är innebörden av principen om ansvarsskyldighet – en av de i grundläggande principerna i artikel 5 GDPR. Om man försummar att genomföra en konsekvensbedömning när en sådan krävs, finns en risk för sanktionsavgifter.
Informationsklassning är en process för att värdera information hos en verksamhet, för att sedan kunna ta ställning till hur informationen ska skyddas. Informationsklassningen utgår från skydd för informationens konfidentialitet, riktighet och tillgänglighet. Informationsklassningen är en del av arbetet med informationssäkerhet.
Både konsekvensbedömningen och informationsklassningen kräver en riskanalys för att avgöra vilka åtgärder som ska vidtas för att skydda informationen som är föremål för bedömning. Av denna anledning är det fördelaktigt att genomföra processerna så tidigt som möjligt. I fråga om konsekvensbedömningar är det enligt artikel 35 GDPR en process som främst ska genomföras innan man påbörjar en ny personuppgiftsbehandling.
För att säkerställa att man gör konsekvensbedömning och informationsklassning när detta är nödvändigt är det viktigt att börja tidigt. Underlagen kan ge ledning i vad man ska kravställa vid en upphandling, eller hur man ska utforma ett personuppgiftsbiträdesavtal. Ibland har man inte alla fakta tidigt i processen, men det är inte en nackdel att påbörja arbetet. Konsekvensbedömningen är tänkt att vara ett levande dokument där man utvärderar och följer upp de risker man angett. Ytterligare risker kan tillkomma som rör personuppgiftsbehandlingen. En informationsklassning kan också förändras och behöver hållas uppdaterad, för att säkerställa att man vidtar rätt åtgärder för att skydda informationen.
Bedömningarna har många likheter, men tar sikte på olika områden. Det är lätt att tro att informationssäkerhet och dataskydd är samma sak. Det finns dock viktiga skillnader dem emellan. Informationssäkerhet tar sikte på säkerheten för information, oavsett vad informationen berör. Informationen behöver inte handla om personuppgifter. Dataskydd handlar däremot enbart om skyddet för personuppgifter, alltså enbart om en viss sorts information. Informationssäkerhet är därför en del av dataskydd, men kan handla om mer än enbart personuppgifter.
Sammanfattningsvis finns flera likheter mellan de båda bedömningarna, och det är fördelaktigt att försöka samordna arbetet med de olika processerna för att slippa dubbelarbete. Men en informationsklassning är oftast inte tillräcklig som konsekvensbedömning, och vice versa. En viktig del i arbetet med konsekvensbedömningar och informationsklassningar är därför att säkerställa att alla nödvändiga bedömningar görs.
Publicerad 14 nov 2023