Olika typer av personuppgifter kan kräva att organisationer överväger olika metoder och tekniker för att identifiera, definiera och dokumentera sin hantering av personuppgifter och dess flöden inom organisationen. Det regleras i EUs dataskyddsförordning artikel 30. Organisationen behöver inleda sitt arbete med att inventera sin egen behandling av personuppgifter. Det är en förutsättning och grund för att kunna införa skydd för personuppgifter och uppnå efterlevnad av dataskyddslagstiftningens krav. Organisationen rekommenderas att genomföra en förstudie med syfte att kartlägga sin behandling av personuppgifter.
Principskiss för ett inledande arbete

Bild 2. Principskiss inledande arbete
Steg 1
Beslut om förstudie
Steg 2
Införa kompetens och medvetandegöra organisationen.
Steg 3
Identifiera (inventera) vilka personuppgifter organisationen behandlar.
Steg 4
Identifiera (inventera) var och i vilka former eller gränssnitt personuppgifter behandlas.
Steg 5
Identifiera (inventera) och utred om organisationen behandlar personuppgifter som anses känsliga. Inventering av behandlingar bör ske i enlighet med vad som föreskrivs artikel 30 EUs dataskyddsförordning.
Steg 6
Genomför GAP-analys emot dataskyddslagstiftningens krav (nuläge i förhållande till krav).
Steg 7
Organisationen ska överväga eller avgöra om fortsatt arbete att åtgärda de resultat som genomförd GAP visar.
Dokument
GDPR - Nulägesanalys