En vurdering av personvernkonsekvenser, bedre kjent som DPIA (Data Protection Impact Assessment), er mer enn et formelt krav i personvernregelverket. Det er et kritisk verktøy for å sikre at behandlingen av personopplysninger skjer i samsvar med GDPR, og at risiko for enkeltpersoners rettigheter og friheter holdes på et minimum.
I denne artikkelen får du en tydelig gjennomgang av når du må gjennomføre en DPIA – og hvordan du går frem for å gjøre det riktig og strukturert.
En DPIA (Data Protection Impact Assessment) er en vurdering av hvilke personvernkonsekvenser en behandling av personopplysninger kan ha – og hvordan dere kan redusere risikoen før noe går galt. Det er et konkret verktøy for å oppdage og håndtere trusler mot personvernet i forkant, særlig når behandlingen potensielt innebærer høy risiko for enkeltpersoner.
En DPIA handler ikke bare om å tilfredsstille et krav i GDPR – det handler om å vise at dere har kontroll, tar ansvar og jobber systematisk for å beskytte folks rettigheter. Det krever planlegging, struktur og tydelig dokumentasjon.
Personvern handler om tillit. En DPIA er en metodisk gjennomgang av hvordan personopplysninger behandles, og hvilke konsekvenser det kan ha for enkeltpersoner.
Den gir deg ikke bare innsikt i hvilke risikoer som må reduseres, men fungerer også som dokumentasjon på at virksomheten tar personvern på alvor.
Det er spesielt viktig når man benytter ny teknologi eller skal samle inn og analysere data i stort omfang.
Å utføre en DPIA korrekt handler om mer enn bare å fylle ut en sjekkliste. Det innebærer å:
Når denne strukturen er på plass, blir DPIA ikke bare et krav du oppfyller, men en integrert del av styringen av personvern.
Ifølge GDPR artikkel 35 må du gjennomføre en DPIA før behandlingen starter, hvis det er sannsynlig at den kan utgjøre en høy risiko for enkeltpersoners rettigheter.
Dette er særlig aktuelt hvis du tar i bruk ny teknologi på en måte som kan medføre høy risiko for personvernet.
Eksempler på behandlinger som vanligvis krever en DPIA:
Datatilsynet har publisert en oversikt over behandlingstyper som normalt vil kreve en DPIA, blant annet:
Er du i tvil om DPIA er nødvendig, anbefales det å gjennomføre en uansett. Det er bedre med en vurdering for mye enn en for lite.
Du trenger ikke alltid gjennomføre en DPIA. Det gjelder særlig i tilfeller der risikoen for personvernet er lav, eller der behandlingen ligner sterkt på en allerede vurdert prosess. Du må likevel alltid gjøre en innledende vurdering og dokumentere hvorfor en DPIA ikke er nødvendig – som en del av virksomhetens ansvar for etterlevelse (accountability).
Hvis behandlingen er tydelig regulert i lov eller forskrift, og vurderinger av personvernkonsekvenser allerede er gjort som en del av det rettslige grunnlaget, kan DPIA unnlates. Dette unntaket gjelder imidlertid kun i spesifikke tilfeller – og er sjelden aktuelt i praksis.
I noen tilfeller er det allerede bestemt i lov eller forskrift at personopplysninger kan behandles, og vurderingene rundt personvern er da gjort på forhånd. Men dette gjelder bare når loven beskriver behandlingen tydelig – og det er sjelden tilfellet i praksis.
Er du i tvil? Da er det tryggeste å gjennomføre en vurdering likevel.
La oss si at en kommune planlegger å innføre kameraovervåking i alle inngangspartier til kommunale bygg, inkludert rådhus, helsestasjoner og bibliotek. Kameraene skal være aktive hele døgnet og benyttes til både sikkerhet og analyse av besøksmønstre. I tillegg skal opptakene lagres i skyen og kobles med adgangssystemer.
Denne typen behandling faller inn under flere høyrisikokategorier:
I et slikt tilfelle er det ikke bare anbefalt, men lovpålagt å gjennomføre en DPIA før løsningen tas i bruk. Dette for å kartlegge personvernrisikoene, vurdere nødvendigheten og sikre at riktige tiltak er på plass før systemet aktiveres.
Den behandlingsansvarlige har det overordnede ansvaret for at DPIA blir gjennomført. Selve vurderingen kan delegeres til interne eller eksterne fagpersoner, men ansvaret kan ikke flyttes.
Flere bør involveres:
Her er det imidlertid ofte kunnskapshull hos systemeiere og interne nøkkelpersoner, da mange med ansvar for systemer og databehandling mangler nødvendig innsikt i GDPR-kravene. Dette gjør det krevende å dokumentere og vurdere behandlingene riktig i en DPIA.
En DPIA skal alltid gjøres før behandlingen settes i gang, og må oppdateres hvis det skjer endringer i risiko, teknologi eller formålet med behandlingen.
Du kan bruke én vurdering for flere lignende behandlinger, eller gjenbruke en tidligere vurdering – så lenge konteksten, risikoen og formålet med behandlingen fortsatt er identiske.
Å hoppe over DPIA, eller gjøre en mangelfull vurdering, kan få alvorlige konsekvenser. For det første kan virksomheten bryte GDPR og risikere sanksjoner fra Datatilsynet.
Men det stopper ikke der – en svak eller manglende vurdering kan føre til at personopplysninger behandles på en måte som skader tilliten til virksomheten. I verste fall overser man risikoer som kunne vært avdekket og håndtert tidlig.
Det kan føre til sikkerhetsbrudd, klager fra registrerte eller at prosjekter må stanses eller omarbeides i etterkant. En god DPIA handler derfor ikke bare om å “oppfylle et krav”, men om å beskytte både virksomheten og enkeltpersonene du behandler opplysninger om.
Selv om reglene for DPIA er tydelige, kan det være krevende å gjennomføre vurderingen i praksis.
Det er mange steg å holde styr på, vurderinger som må gjøres underveis, og flere personer som skal være involvert. Uten gode verktøy er det lett at vurderingen blir mangelfull, dokumentasjonen ufullstendig – eller at hele prosessen rett og slett ikke blir fulgt opp skikkelig.
Vår DPIA-løsning samler alt du trenger på ett sted:
Med en digital og strukturert tilnærming sikrer du at DPIA blir en effektiv del av virksomhetens etterlevelsesarbeid – ikke en tung og manuell byrde.