RiskNote
Ramverk

GDPR: riskanalys och DPIA

GDPR kräver riskbaserad säkerhet (Art. 32) och konsekvensbedömning (DPIA, Art. 35) för hög risk. Här förklarar vi när DPIA är obligatorisk, vad den ska innehålla, och hur RiskNote hjälper dig strukturera riskdelen.

Vad kräver GDPR i termer av riskhantering?

GDPR är genomgående riskbaserad. Personuppgiftsansvarig måste vidta tekniska och organisatoriska åtgärder som är ”lämpliga i förhållande till risken” (Art. 32). Det betyder att ni måste ha en riskbedömning, formell eller informell.

För särskilt riskfyllda behandlingar krävs DPIA (Data Protection Impact Assessment, Art. 35). Integritetsskyddsmyndigheten (IMY) har publicerat lista över när DPIA alltid krävs, och tröskelkriterier för andra fall.

Riskbedömning enligt GDPR är kompatibel med ISO 31000, samma identifiera → analysera → utvärdera → behandla → övervaka.

När krävs en DPIA?

  • Automatiserat beslutsfattande med rättsverkan

    T.ex. automatiserad kreditvärdering, AI-baserad beslutsfattning (GDPR Art. 22).

  • Storskalig systematisk övervakning

    Videoövervakning av allmänna platser, storskalig spårning av beteende.

  • Storskalig behandling av känsliga uppgifter

    Hälsa, etnicitet, religion, sexualitet, fackmedlemskap (Art. 9-data).

  • Matchning av dataset

    Kombinering eller jämförelse av dataset från olika källor.

  • Sårbara registrerade

    Anställda (i anställningskontexten), barn, patienter, kunder i beroendeställning.

  • Ny teknik

    AI-behandling, biometri, IoT-enheter, särskilt när tekniken är oprövad.

DPIA-checklista (Art. 35.7)

  • Systematisk beskrivning av behandling

    Syfte, omfattning, typer av uppgifter, kategorier av registrerade, mottagare, lagringstid.

  • Nödvändighet och proportionalitet

    Kan syftet uppnås med mindre integritetsintrång? Är behandlingen proportionell?

  • Riskbedömning

    Identifiera risker för de registrerades rättigheter och friheter. Bedöm sannolikhet och konsekvens. RiskNote-delen.

  • Åtgärder för att hantera risker

    Tekniska (kryptering, pseudonymisering) och organisatoriska (åtkomstkontroll, utbildning) åtgärder.

  • Samråd med DPO

    Om DPO finns, deras bedömning måste dokumenteras.

  • Samråd med registrerade eller representanter

    När det är lämpligt, t.ex. personalrepresentanter för personalbehandling.

  • Förhandssamråd med IMY

    Om riskerna inte kan reduceras till acceptabel nivå, samråd krävs innan behandlingen börjar.

Så stödjer RiskNote GDPR-riskbedömning

RiskNote är mycket väl lämpat för **riskbedömningsdelen** av en DPIA (Art. 35.7 punkt c). AI:n kan föreslå typiska risker för behandling av personuppgifter: obehörig åtkomst, spridning, ändamålsförskjutning, otillräcklig transparens, rätt att bli glömd.

RiskNote täcker inte den **fullständiga DPIA-processen** (beskrivning av behandlingen, proportionalitetsbedömning, DPO-samråd). En fullständig DPIA-mall planeras som gratisverktyg Q3 2026.

**EU AI Act**: om er behandling involverar AI, kräver EU AI Act (från 2026) ytterligare transparens. RiskNote är själv EU AI Act-kompatibel och märker all AI-output enligt Art. 50.

Vanliga frågor om GDPR-riskanalys

Krävs formell riskbedömning även utan DPIA?

GDPR Art. 32 kräver att säkerhetsåtgärder är ”lämpliga i förhållande till risken”. Det implicerar en riskbedömning även utan formell DPIA. De flesta organisationer bör ha en generell GDPR-riskregister för alla behandlingar, plus DPIA för högriskbehandlingar.

Kan vi göra DPIA helt i RiskNote?

Riskbedömningsdelen, ja, utmärkt. Den fullständiga DPIA-dokumentationen (beskrivning, proportionalitet, samråd) kräver en separat mall eller DPIA-verktyg. Vi planerar en gratis DPIA-mall Q3 2026 som kompletterar RiskNote-riskregistret.

Måste IMY godkänna vår DPIA?

Nej, DPIA är ert eget dokument. Förhandssamråd med IMY krävs bara om riskerna inte kan reduceras till acceptabel nivå (Art. 36).

Hur länge ska vi spara DPIA:er?

Så länge behandlingen pågår plus minst så länge preskriptionstid gäller (vanligen 5–10 år). Uppdatera DPIA vid större förändringar i behandlingen.

Kan en DPO ersätta behovet av DPIA?

Nej, DPO är ett organisatoriskt krav (Art. 37), DPIA är ett processkrav (Art. 35). Båda kan krävas samtidigt. DPO granskar DPIA-processen.

Strukturera er GDPR-riskhantering idag

Starta en gratis provperiod. Första GDPR-riskregistret klart på under en timme.