DEBATT – av Jaan Entson, verksjurist på Försäkringskassan, Ulrika Hedberg, verksjurist på Försäkringskassan och Martina Palmgren, verksjurist på Försäkringskassan
Enligt artikel 35.1 i EU:s dataskyddsförordning ska en konsekvensbedömning göras för sådana behandlingar som sannolikt leder till hög risk för fysiska personers rättigheter och friheter. Varken dataskyddsförordningen, Integritets-skyddsmyndigheten (IMY) eller praxis ger någon tydlig ledning i fråga om hur en personuppgiftsansvarig ska avgöra behovet av en sådan bedömning, vilket leder till svårigheter i tillämpningen.
Försäkringskassan har nyligen genom ett så kallat rättsligt ställningstagande (2021:10) tagit ställning till hur Försäkringskassan som personuppgiftsansvarig ska gå tillväga när denne ställs inför frågan om en konsekvensbedömning behöver göras. I ställningstagandet slår vi fast följande:
En konsekvensbedömning ska bara göras vid sannolikhet för hög risk
En konsekvensbedömning ska inte göras slentrianmässigt, utan bara när man bedömer att en behandling sannolikt leder till hög risk. Att regelmässigt göra konsekvensbedömningar kan inte vara den effekt lagstiftaren velat uppnå för att hantera och ha kontroll på risker när personuppgifter behandlas. En sådan ordning kräver också stora resurser.
Ett övervägande om konsekvensbedömning måste göras
Av ordalydelsen i artikel 35.1 och skäl 76 i dataskyddsförordningen följer att det krävs en riskbedömning för att avgöra frågan om en konsekvensbedömning behöver göras. Detta innebär att den personuppgiftsansvarige först måste bedöma vilka risker behandlingen innebär. Detta görs genom en dataskyddsrättslig riskanalys, ett övervägande om konsekvensbedömning.
Vi anser att man bör lägga stor vikt på denna analys. Dess syfte är att svara på om det sannolikt föreligger en hög risk för enskildas fri- och rättigheter och om en konsekvensbedömning därför behöver göras.
Det som skiljer övervägandet om konsekvensbedömning från en konsekvens-bedömning är att den senare är en pågående process som omfattar en redogörelse för, och bestämmande av, lämpliga åtgärder för att minimera risker. Jämfört med riskanalysen i övervägandet innebär konsekvensbedömningen en fördjupad riskbedömning, vars syfte är att på ett djupare plan bedöma om en hög risk verkligen föreligger för en viss behandling och hur risken i så fall ska hanteras.
I brist på vägledning ligger det nära till hands att låta riskanalysen i övervägandet grunda sig på vedertagna principer för riskhantering. Det handlar i ett första skede om att identifiera vilka risker som behandlingen kan medföra ur den registrerades perspektiv, och vilka skador dessa risker kan medföra. En god idé är att beskriva de identifierade riskerna och skadorna på ett sådant sätt att underlaget senare även kan läggas till grund för en eventuell konsekvensbedömning. När riskerna är identifierade handlar nästa steg om att bedöma om hög risk föreligger.
Hög risk – en sammanvägd bedömning
Man måste beakta både sannolikheten och allvarligheten för eventuella skador på individer. Risk innebär att det ska röra sig om mer än en avlägsen risk för skada. Hög risk innebär att risknivån ökar antingen eftersom skadan är mer trolig, eller för att den potentiella skadan är mer allvarlig – eller en kombination av de två. En sådan bedömning görs för varje risk som identifieras.
Försäkringskassans bedömning av risk utgår från en skala 1–4 för gradering av sannolikhet respektive konsekvens. Riskvärde är produkten av sannolikhetsgrad och konsekvens, för varje identifierad risk (exempelvis 2 x 2 = 4).
Hög risk är enligt Försäkringskassan en eller flera identifierade risker med värde 9 och högre. En enskild risk bland alla andra risker kan vara särskilt hög, exempelvis riskvärde 9, och därför bli utslagsgivande för om hög risk föreligger. Hänsyn måste dock tas till det totala antalet risker som finns med behandlingen. Flera mindre risker, dvs. med låga riskvärden, som i sig kanske inte är tillräckligt höga kan nämligen vid en sammantagen bedömning utgöra en hög risk.
Säkerhetsåtgärder ska beaktas vid bedömningen av sannolikhet (för hög risk)
Vi menar att begreppet ”sannolikt” i detta sammanhang ska tolkas som ”högst troligt”. Av detta följer att en behandling sannolikt leder till hög risk om det är högst troligt att behandlingen leder till höga risker.
Enligt IMY kan frånvaro av säkerhetsåtgärder innebära hög risk för enskildas fri- och rättigheter. Omvänt bör då gälla att säkerhetsåtgärder som redan finns på plats, eller som är direkt möjliga att införa, kan föra med sig att det inte längre är sannolikt att behandlingen leder till detta. Enligt Försäkringskassan faller då kravet på en konsekvensbedömning.
Om säkerhetsåtgärder vägs in redan i övervägandet kan det alltså få en avgörande betydelse för om en konsekvensbedömning ska göras eller inte. I övervägandet ska man därför ta hänsyn till och bedöma vilka säkerhetsåtgärder som kan tänkas begränsa riskerna.
Riskanalysen bör knyta an till och ingå i den ordinarie riskhanteringen
Riskanalysen som görs i övervägandet om konsekvensbedömning har en nära koppling till övrig riskhantering som normalt sker i samband med exempelvis ett utvecklingsarbete. Övervägandet och den eventuella konsekvensbedömningen bör därför knyta an till arbetet med informationssäkerhet och riskhantering i övrigt, för att på så sätt få ett helhetsgrepp om risker. Det ger förutsättningar för att all information behandlas korrekt och lagenligt.
Syftet med en konsekvensbedömning är att slå vakt om att de registrerades friheter och rättigheter inte riskeras genom en personuppgiftsbehandling. Vi menar att den tolkning som Försäkringskassan gör av hur artikel 35 i dataskyddsförordningen ska tillämpas säkerställer att behandlingar sker på ett rättssäkert sätt, samtidigt som inte fler konsekvensbedömningar görs än vad lagstiftaren avsett. På så sätt kan den personliga integriteten värnas utan att detta behöver inverka mer än nödvändigt på verksamhetens effektivitet och bedrivande.
