Vad innebär en GDPR-granskning i praktiken?

En oberoende genomgång av hur GDPR-kraven efterlevs i utvalda processer och system. Den omfattar dokumentstudier, intervjuer och stickprov med fokus på rättslig grund, principer, register, säkerhet och registrerades rättigheter.

Hur går ett stickprov av behandlingar till under granskningen?

Urvalet baseras på risk, volym och känslighet. Vanligt upplägg: identifiera populationen, välj prov utifrån kriterier, begär underlag (laglig grund, loggar, rutiner, kontroller) och analysera avvikelser med rekommendationer.

Varför kopplas GDPR-granskning till artikel 24 om ansvarsskyldighet?

Artikel 24 kräver att den personuppgiftsansvarige kan visa efterlevnad. Granskningen ger spårbar dokumentation av styrning, kontroller och åtgärder som underlättar uppföljning och rapportering.

Vilka dokument och bevis brukar ingå i en GDPR-granskning?

Vanliga källor är register över behandling (art. 30), DPIA och riskbeslut (art. 35), biträdesavtal och underbiträdeslistor (art. 28), säkerhetspolicys, loggar och testprotokoll (art. 32), incidentlogg (art. 33–34) samt bedömningar av överföringar (kap. V).

Vad är skillnaden mellan GDPR-granskning, DPIA och intern revision?

DPIA görs före en planerad behandling som riskanalys. GDPR-granskning görs löpande eller periodiskt för att kontrollera faktisk efterlevnad. Intern revision utvärderar styrning och intern kontroll på en övergripande nivå.

GDPR-granskning

Q: När bör ett företag planera nästa GDPR-granskning?

Årligen eller i samband med större förändringar som påverkar dataflöden, risknivåer, system eller underbiträden.

GDPR-granskning innebär en kontroll hur verksamheten följer dataskyddsförordningens krav i praktiken.

Ordlista
GDPR-granskning

Vi förklarar – vad är en GDPR-granskning?

En GDPR-granskning är en systematisk genomlysning av hur en organisation uppfyller kraven i EU:s dataskyddsförordning. Granskningen omfattar ofta styrning och ansvar enligt artikel 24, rättslig grund enligt artikel 6, principerna i artikel 5, inbyggt dataskydd enligt artikel 25 och säkerhet enligt artikel 32. Den kan även inkludera register över behandling enligt artikel 30, hantering av registrerades rättigheter enligt artiklarna 12 till 22, konsekvensbedömningar enligt artikel 35 och bedömning av internationella överföringar enligt kapitel V. Arbetet utförs ofta av intern kontroll, extern jurist eller en erfaren GDPR-rådgivare med metod för genomgång och dokumentation.

När blir frågan om GDPR-granskning aktuell?

Behovet uppstår inför produktlanseringar, större systemförändringar eller upphandlingar där personuppgifter behandlas på nytt sätt. Det är även relevant efter incidenter, vid återkommande uppföljning av leverantörer eller när ledningen behöver underlag inför tillsyn eller kundkrav. I verksamheter som använder molntjänster, AI eller omfattande analys av kunddata ger granskningen en samlad bild av risker, kontroller och förbättringsbehov över tid.

Närbild av händer i kostym som granskar en surfplatta med digitala dokument, markerade checkrutor och en säkerhetssymbol.

Att tänka på kring GDPR-granskning

Effekten blir störst när granskningen kopplas till tydliga mål, spårbara kontroller och en strukturerad åtgärdsplan. Nedan listas prioriteringar som brukar ge hög träffsäkerhet i både bedömning och uppföljning.

Definiera omfattning och urval: processer, system, behandlingar, risknivåer och berörda roller.
Validera laglig grund per ändamål enligt artikel 6 och dokumentera beslutsmotivering.
Pröva principerna i artikel 5 genom stickprov, ändamål och rutiner för gallring.
Kontrollera att registret enligt artikel 30 är aktuellt, komplett och kopplat till faktiska dataflöden.
Testa inbyggt dataskydd enligt artikel 25: standardinställningar och åtkomstbegränsning.
Bedöm säkerhetsåtgärder enligt artikel 32 genom evidens för åtkomstkontroller, loggning, test och återställning.
Verifiera hantering av registrerades rättigheter enligt artiklarna 12 till 22 med testärenden och mätbara ledtider.
Granska personuppgiftsbiträdesavtal enligt artikel 28 och uppföljning av underbiträden, inklusive planerade kontroller.
Utvärdera överföringar enligt kapitel V: överföringsmekanism, kompletterande skydd och dokumenterad beslutslogik.
Sammanställ åtgärdsplan med ansvariga, förfallodatum, prioritet och spårbar uppföljning till ledningen.

Denna arbetsform gör det enklare att visa ansvarsskyldighet enligt artikel 24 och att omsätta insikter till konkreta förbättringar med tydliga ägare.

GDPR-granskning

Varför är GDPR-granskning viktig?

GDPR-granskning ger ett dokumenterat underlag för beslut om resurser, riskreducering och prioritering. Genom att koppla observationer till exakta krav i förordningen blir slutsatserna tydliga och möjliga att följa upp. Resultatet hjälper verksamheten att undvika återkommande fel, tydliggöra roller och skapa förutsägbarhet i projekt som berör personuppgifter.

Granskningen skapar också ordning i dokumentation och processer. När register enligt artikel 30, DPIA enligt artikel 35 och säkerhetsåtgärder enligt artikel 32 kvalitetssäkras blir det lättare att visa hur kraven uppfylls vid dialog med motparter och myndigheter. Ett väl genomfört arbete ger handlingskraft vid förändringar och minskar omtag i utveckling och upphandling.

På sikt stärker ett strukturerat granskningsprogram relationerna till kunder, medarbetare och partners. Klara besked om ändamål, säkerhetsnivå och ansvar ger trygghet och gör det enklare att introducera nya lösningar utan onödiga stopp i beslutsprocessen.

En oberoende genomgång av hur kraven i GDPR efterlevs i utvalda processer och system. Arbetet kombinerar dokumentstudier, intervjuer, stickprov och genomgång av rättslig grund, principer, register, säkerhet och rättigheter.

Årligen eller vid större förändringar som påverkar dataflöden, risknivåer eller underbiträden.

Urvalet baseras på risk, volym och känslighet. Syftet är att få representativa underlag och upptäcka mönster som kräver åtgärder.

Identifiera population: samtliga behandlingar inom scope och deras systemstöd.
Välj prov enligt kriterier: risknivå, kategorier av uppgifter och mottagare.
Begär underlag: beslut om laglig grund, loggar, rutiner och utförda kontroller.
En GDPR-rådgivare identifierar avvikelser och ger en rekommendation.

Artikel 24 kräver att den personuppgiftsansvarige kan visa efterlevnad. En granskning producerar spårbar dokumentation och slutsatser som demonstrerar hur krav har omsatts i styrning, kontroller och åtgärder, vilket gör uppföljning och rapportering mer träffsäker.

Målet är att verifiera faktiska arbetssätt och kontroller. Vanliga källor är följande:

Register över behandling enligt artikel 30 och processbeskrivningar.
DPIA och relaterade riskbeslut enligt artikel 35.
Personuppgiftsbiträdesavtal enligt artikel 28 och underbiträdeslistor.
Säkerhetspolicys, loggar och testprotokoll enligt artikel 32.
Incidentlogg och bedömningar enligt artiklarna 33 och 34.
Bedömningar av överföringar enligt kapitel V.

De kompletterar varandra men har olika syften och timing. En DPIA enligt artikel 35 görs före en planerad behandling för att bedöma risker och åtgärder. En GDPR-granskning kan göras löpande eller periodiskt för att kontrollera hur kraven faktiskt efterlevs. Intern revision fokuserar på styrning och processer på en mer övergripande nivå. För att hålla isär begreppen kan följande indelning hjälpa:

GDPR-granskning: efterlevnadskontroll och evidens i utvalda behandlingar.
DPIA: framåtblickande riskanalys för planerad eller förändrad behandling.
Intern revision: oberoende granskning av styrning och intern kontroll.

En praktisk modell är att låta DPIA styra designbeslut, GDPR-granskning bekräfta att beslut fungerar i driften och intern revision utvärdera att styrningen är effektiv över tid.

Läs mer om våra tjänster

Rådgivning

Vi finns här för att ge dig juridisk rådgivning inom områden som avtalsrätt, personuppgiftsbehandling (GDPR) och regelefterlevnad. Det kan vara punktinsatser eller kontinuerligt stöd över tid. Med vår hjälp navigerar du det komplexa juridiska landskapet för att nå era mål.

Interim Jurist

Hyr en interim jurist när du behöver juridisk kompetens på ett flexibelt sätt. Våra jurister är tillgängliga för tillfälliga roller som bolagsjurist, penningtvättsansvarig och dataskyddsombud, vilket säkerställer kontinuitet i ditt juridiska team, även under föräldraledighet eller andra övergångar.

Utbildning

Vi tillhandahåller utbildningar inom personuppgiftsbehandling (GDPR), penningtvättsregelverket och marknadsföring av finansiella tjänster. Format och nivå anpassas efter behov, exempelvis föreläsning eller workshop. Utbildningarna möter de krav som ställs av tillsynsmyndighet.

Kontakt

Felix Morling

Kontakta oss

Om du föredrar telefon, välkommen att kontakta Felix Morling på +46 70 444 42 85

”*” anger obligatoriska fält

GDPR-granskning

Vi förklarar – vad är en GDPR-granskning?

När blir frågan om GDPR-granskning aktuell?

Att tänka på kring GDPR-granskning

Varför är GDPR-granskning viktig?

Vanliga frågor och svar om GDPR-granskning

Läs mer om våra tjänster

Rådgivning

Interim Jurist

Utbildning

Felix Morling

Kontakta oss