Under hösten 2023 utfärdade IMY en sanktionsavgift på 300 000 kronor mot barn- och utbildningsnämnden i Östersunds kommun. Anledningen till sanktionen var att nämnden inte hade gjort en konsekvensbedömning innan den digitala skolplattformen Google Workspace infördes på 24 av kommunens skolor.
Det kan många gånger vara svårt att avgöra om en konsekvensbedömning måste genomföras. Kortfattat är man skyldig att göra en konsekvensbedömning när en behandling sannolikt leder till en hög risk för personers rättigheter och friheter. Vad är då en hög risk? För att avgöra om behandlingen leder till en hög risk behöver man bland annat ta hänsyn till användningen av ny teknik, behandlingens art, omfattning, sammanhang och ändamål.
Vi rekommenderar att alla verksamhetsutövare går igenom samtliga processer som behandlar personuppgifter och dokumenterar om behandlingarna innebär en hög risk för registrerade eller inte. En sådan bedömning ska såklart fastställas av den som är högst ansvarig för verksamheten.
I fallet med Östersund rörde det sig om en högriskbehandling dels eftersom det var en omfattande mängd personuppgifter som skulle behandlas, dels eftersom barns personuppgifter är extra skyddsvärda.
Passivitet kan bli dyrt. Vi på Certezza kan hjälpa er att ta ställning till om det finns ett lagkrav på att ni ska göra en konsekvensbedömning. Om det skulle krävas kan vi också hjälpa till med att etablera, dokumentera och upprätta beslutsunderlag för konsekvensbedömningen. Vi tillämpar etablerade och erkända metoder för detta.
För mer information kontakta sales@certezza.net.
