Hva er DPIA? Hvordan gjennomføre en personvernkonsekvensvurdering

Skal virksomheten behandle personopplysninger på nye måter – eller ta i bruk ny teknologi? 
Da kan det hende dere må gjennomføre en DPIA, også kalt en personvernkonsekvensvurdering.

I dette innlegget forklarer vi hva DPIA betyr, når det er påkrevd, og hvordan prosessen bør gjennomføres i praksis.

Hva er en DPIA (personvernkonsekvensvurdering)?

DPIA står for Data Protection Impact Assessment, eller personvernkonsekvensvurdering på norsk. Det er en strukturert vurdering som skal avdekke og redusere risiko for enkeltpersoners rettigheter og friheter før dere setter i gang en ny behandling av personopplysninger.

For virksomheter betyr dette at dere må ta et steg tilbake og vurdere konsekvensene før dere for eksempel ruller ut et nytt HR-system, bytter lønnssystem eller samler inn nye typer data om ansatte eller kunder.

Formålet er todelt:

• Å identifisere risikoer for de registrerte
• Å dokumentere hvordan virksomheten planlegger å håndtere og redusere disse risikoene

En DPIA er med andre ord både et risikostyringsverktøy og et bevis på at dere jobber systematisk med personvern.

Når er det krav om DPIA?

DPIA er et krav etter GDPR når behandlingen kan medføre høy risiko for de registrertes rettigheter og friheter. Det gjelder særlig ved:

1. Nye behandlinger eller bruk av personopplysninger for nye formål
2. Innføring av ny teknologi
3. Endringer i skala, formål eller varighet av en behandling

Hvis dere for eksempel vurderer å ta i bruk kameraovervåkning, AI-verktøy for rekruttering eller innhenting av helseopplysninger i stor skala, må dere trolig gjøre en DPIA.

Det europeiske datatilsynet (EDPB) har utarbeidet retningslinjer for å avgjøre når risikoen er høy. Hvis minst to av ni kriterier er oppfylt, bør virksomheten gjennomføre en DPIA. 

Kriterier for høy risiko: Dette må du se etter

Her er en kort oversikt over EDPBs ni risikokriterier:

1. Evaluering eller scoring av enkeltpersoner, f.eks. kredittvurdering eller genetiske tester
   
   
2. Automatisert beslutningstaking med juridiske eller vesentlige konsekvenser
   
   
3. Systematisk overvåkning av offentlig tilgjengelige områder
   
   
4. Behandling av sensitive opplysninger, f.eks. helsejournaler
   
   
5. Behandling i stor skala av data fra mange registrerte
   
   
6. Sammenstilling av data fra ulike kilder og formål
   
   
7. Behandling av opplysninger om sårbare registrerte, som barn
   
   
8. Innovativ teknologi, f.eks. ansiktsgjenkjenning eller biometri
   
   
9. Behandling som begrenser den registrertes rettigheter, f.eks. bruk av kredittsjekk for å nekte tilgang til en tjeneste
   
   

Hvis dere kjenner igjen ett eller flere av disse punktene, bør dere starte med en forhåndsvurdering – og trolig gjennomføre en full DPIA.

Hvordan gjennomfører man en DPIA?

En DPIA trenger ikke være komplisert, men den må være grundig. Det handler om å få oversikt over hva dere planlegger å gjøre, vurdere konsekvensene for de personene det gjelder – og dokumentere hvordan dere reduserer risiko.

En god DPIA-prosess består gjerne av følgende trinn:

1. Beskriv behandlingen: Hva skal gjøres, og hvorfor
   
   
2. Kartlegg formål og rettslig grunnlag
   
   
3. Vurder nødvendighet og forholdsmessighet
   
   
4. Identifiser og vurder risikoer for de registrertes rettigheter
   
   
5. Foreslå risikoreduserende tiltak
   
   
6. Dokumenter vurderingen og beslutninger
   
   
7. Involver personvernombudet i vurderingen

En konsekvensvurdering er langt enklere å gjennomføre når prosessen er strukturert og dokumentasjonen på plass. Med vårt verktøy for DPIA får dere en tydelig metode for å vurdere risiko, beskrive tiltak og sikre etterlevelse av GDPR artikkel 35.

Løsningen kan kombineres med behandlingsprotokollen, slik at dere får oversikt over behandlinger og vurderinger på ett sted. Det gjør det enklere å samarbeide på tvers og følge opp personvernarbeidet over tid.

Lær mer og se hvordan det fungerer i praksis. 

Hva skjer etter at DPIA-en er gjennomført?

Når DPIA-en er ferdig, er det viktig å følge opp resultatene i praksis. Hvis risikoen er redusert til et akseptabelt nivå, kan behandlingen igangsettes. Hvis ikke, må dere vurdere flere tiltak – eller i noen tilfeller la være å gjennomføre behandlingen.

DPIA-en fungerer også som dokumentasjon for tilsynsmyndigheter på at dere har gjort en forsvarlig vurdering.

Når må du involvere Datatilsynet?

Dersom DPIA-en viser at det fortsatt er høy risiko for personvernet – og dere ikke klarer å redusere risikoen med tiltak – må Datatilsynet kontaktes før behandlingen settes i gang.

Dette kalles forhåndsdrøfting, og er aktuelt i særskilte tilfeller der virksomheten står i fare for å bryte GDPR. Formålet er å få veiledning før risikoen realiseres.

Trenger du et eksempel eller en mal for DPIA?

DPIA kan virke teoretisk, men det finnes gode verktøy og maler for å komme i gang. En praktisk sjekkliste eller strukturert mal kan gjøre arbeidet langt enklere – spesielt for HR og ledelse som ikke jobber med dette daglig.

Last ned vår DPIA-sjekkliste.

Få hjelp til å gjennomføre en DPIA i dag

Mange virksomheter er usikre på når en DPIA er påkrevd og hvordan de bør gjennomføre den i praksis. Med Privacy as a Service får dere både metodikk, dokumentasjon og hjelp fra våre erfarne rådgivere.

Tjenesten er basert på vår metode Systematisk Personvernarbeid (SPA) og består av:

• Analyse av eksisterende behandlinger
  
  
• Identifisering av risikoområder
  
  
• Rådgivning og forslag til tiltak
  
  
• Kontinuerlig oppfølging
  
  

Book en demo av Privacy as a Service i dag.