Tillbaka till insikter
UTBILDNING

Compliancerapport vs. konsekvensbedömning vs. ledningssammanfattning: Vilken rapport behöver du?

Vakteye TeamMar 4, 20265 min läsning

Din DPO behöver tekniska detaljer. Din styrelse behöver en ensidig sammanfattning. Din tillsynsmyndighet behöver en konsekvensbedömning. Din årsrapport behöver trenddata. En enda GDPR-compliancerapport kan inte betjäna alla fyra målgrupper, och att försöka leder till dokument som inte tillfredsställer någon.

Vakteye genererar fyra rapporttyper, var och en byggd för en specifik målgrupp. Rätt val beror på vem som ska läsa den och varför.

Compliancerapporten: din tekniska revision

Compliancerapporten är den mest detaljerade produkten. Varje fynd från skanningen listas med sitt bevis, sin konfidensnivå, tillämpliga GDPR-artiklar och specifika åtgärdsrekommendationer. Juridiska kopplingar binder varje problem till relevant förordning, oavsett om det gäller ePrivacy artikel 5(3) för kakor, GDPR artikel 32 för säkerhetsåtgärder eller artikel 44 för tredjelandsöverföringar.

  • Målgrupp: Dataskyddsombud, juridisk avdelning, IT-säkerhet
  • Användningsområde: Intern revision, åtgärdsplanering, regulatoriskt bevis
  • Innehåll: Alla fynd med bevis, juridiska artikelkopplingar, åtgärdsrekommendationer, forensiska bevisreferenser
  • Typisk längd: 15–40 sidor beroende på antal fynd
  • Rättslig grund: GDPR artikel 24 (personuppgiftsansvarigs skyldighet att påvisa efterlevnad)

Det här är rapporten du ger till personen som ska åtgärda problemen. Den berättar exakt vad som är fel, varför det är juridiskt relevant och vad som bör göras. Varje fynd inkluderar en konfidensnivå (CERTAIN, FIRM, TENTATIVE eller UNVERIFIED) så att ditt team kan prioritera baserat på bevisstyrka.

Konsekvensbedömningen: när behandlingen innebär hög risk

En konsekvensbedömning avseende dataskydd (DPIA) är inte valfri när din behandling sannolikt leder till hög risk för enskilda. GDPR artikel 35 gör detta till ett rättsligt krav, inte en rekommendation.

Artikel 35(3) listar tre scenarier där en konsekvensbedömning alltid krävs: systematisk och omfattande profilering med betydande effekter, storskalig behandling av särskilda kategorier av personuppgifter och systematisk övervakning av allmänt tillgängliga platser. IMY publicerar även en egen obligatorisk DPIA-lista för Sverige.

Vakteyes konsekvensbedömning följer den struktur som krävs av artikel 35(7): en systematisk beskrivning av behandlingen, bedömning av nödvändighet och proportionalitet, bedömning av risker för registrerade samt åtgärder för att hantera dessa risker. Skanningsresultat matas direkt in i riskbedömningen. En kaka som kvarstår efter att samtycke avvisats är inte bara ett fynd; det är bevis på en specifik risk mot rätten att återkalla samtycke.

  • Målgrupp: Dataskyddsombud, lämnas till IMY om förhandssamråd krävs enligt artikel 36
  • Användningsområde: Nya behandlingsaktiviteter, väsentliga förändringar av befintlig behandling, högriskbehandling
  • Innehåll: Behandlingsbeskrivning, nödvändighetsbedömning, riskbedömning, riskreducerande åtgärder, kvarstående riskbedömning
  • Typisk längd: 20–35 sidor
  • Rättslig grund: GDPR artikel 35 (obligatorisk vid högriskbehandling)

Om du behandlar hälsodata, bedriver beteendebaserad reklam, genomför storskalig profilering eller använder systematisk övervakning, behöver du sannolikt en konsekvensbedömning. Om din skanning avslöjar insamling av särskilda kategorier av personuppgifter eller omfattande spårning flaggar Vakteye kravet automatiskt.

Ledningssammanfattningen: kommunikation på styrelsenivå

Styrelsemedlemmar och verksamhetsledning behöver inte veta att din Content-Security-Policy-header saknar ett frame-ancestors-direktiv. De behöver veta: Är vi compliant? Vad är vår risk? Vad kostar det att åtgärda?

Ledningssammanfattningen sammanfattar hela compliancerapporten i nyckeltal, riskkategorier och en compliancestatusbedömning. Ingen teknisk jargong. Inga individuella kaklistningar. Bara den information som behövs för att fatta resursbeslut.

  • Målgrupp: Verksamhetsledning, styrelsemedlemmar, ledningsgrupp
  • Användningsområde: Styrelserapportering, ledningsbriefing, intressentkommunikation
  • Innehåll: Compliancestatus, risksammanfattning per kategori, nyckeltal, trenddata om tillgängligt
  • Typisk längd: 3–5 sidor
  • Rättslig grund: GDPR artikel 5(2) (ansvarsskyldighet, att påvisa efterlevnad för styrande organ)

Om din organisation har en styrelserapporteringscykel passar ledningssammanfattningen in direkt. Den svarar på frågorna varje styrelse ställer: Var står vi? Vad kan gå fel? Vad bör vi budgetera för?

Årlig bedömning: ansvarsskyldighet över tid

GDPR artikel 5(2) kräver att personuppgiftsansvariga påvisar efterlevnad, inte bara uppnår den en gång. Den årliga bedömningen aggregerar data från alla skanningar som genomförts under året för att visa compliancetrender, åtgärdsframsteg och återkommande problem.

  • Målgrupp: Dataskyddsombud, regulatoriskt bevis, årlig styrelserapport
  • Användningsområde: GDPR artikel 5(2) ansvarsskyldighet, årlig compliancegranskning
  • Innehåll: Trenddata år över år, åtgärdsuppföljning, jämförelse skanning för skanning, identifiering av återkommande problem
  • Typisk längd: 10–20 sidor
  • Rättslig grund: GDPR artikel 5(2) (ansvarsskyldighet), artikel 24 (lämpliga åtgärder för att påvisa efterlevnad)

Det här är dokumentet du tar fram när en tillsynsmyndighet frågar: "Hur säkerställer ni löpande efterlevnad?" Det visar att ni skannar regelbundet, att ni agerar på fynd och att ert complianceläge förbättras över tid.

När behöver du vilken rapport?

Det beror på målgrupp och tidpunkt.

  1. Efter varje skanning: Generera en compliancerapport. Det är ditt grundläggande arbetsdokument.
  2. Innan ny behandling lanseras: Generera en konsekvensbedömning om behandlingen involverar profilering, särskilda kategorier av personuppgifter, övervakning eller andra högriskaktiviteter enligt artikel 35.
  3. Kvartalsvis eller inför styrelsemöten: Generera en ledningssammanfattning för verksamhetsrapportering.
  4. Årligen: Generera en årlig bedömning för ansvarsskyldighet och regulatorisk beredskap.
  5. Inför en regulatorisk inspektion: Ha alla fyra redo. Compliancerapporten visar nuläget, konsekvensbedömningen visar riskbedömningen, ledningssammanfattningen visar styrningens engagemang och den årliga bedömningen visar kontinuerlig förbättring.

Förhandssamråd: när en konsekvensbedömning inte räcker

Om din konsekvensbedömning visar att kvarstående risk förblir hög trots riskreducerande åtgärder kräver GDPR artikel 36 förhandssamråd med din tillsynsmyndighet (IMY i Sverige). Det innebär att du lämnar in din konsekvensbedömning till myndigheten innan behandlingen påbörjas.

Vakteyes konsekvensbedömning inkluderar en artikel 36-bedömning som utvärderar om förhandssamråd utlöses baserat på kvarstående risknivå efter att riskreducerande åtgärder tillämpats. Det ger ditt dataskyddsombud ett dokumenterat underlag för den bedömningen.

En konsekvensbedömning är inte ett engångsdokument. Artikel 35(11) kräver omprövning när behandlingens art, omfattning, sammanhang eller ändamål förändras. Om din webbplats lägger till nya spårare, nya datainsamlingsformulär eller nya tredjepartsintegrationer, behöver din konsekvensbedömning uppdateras.

Generera din första rapport

Kör en skanning och välj den rapporttyp som passar dina behov. Compliancerapport, konsekvensbedömning, ledningssammanfattning eller årlig bedömning, alla genererade från samma skanningsdata.

Gå till instrumentpanelen
Föregående

Vad händer under en Vakteye-skanning: En 90-sekunders genomgång

Nästa

Hur en Vakteye-skanning faktiskt fungerar

Relaterade artiklar

UTBILDNING7 min läsning

Mörka mönster i cookiesamtycke att undvika

Vanliga knep i samtyckesbanners som bryter mot GDPR:s krav.