Gå til hovedinnhold

Hvordan gjennomføre en DPIA i et utviklingsprosjekt?

Deloitte Advokatfirma

Digitalisering er i dag en forutsetning for både produktivitet og vekst, og er viktig for å gjøre vår alles hverdag enklere. Men hvordan sikrer vi at digitaliserte tjenester og digitaliserte produkter også blir bedre fra et personvernståsted?

Hva er en DPIA?


En personvernkonsekvensvurdering, også kalt Data Protection Impact Assessment (DPIA), er et nyttig verktøy for å ivareta personvern i IT-utvikling. Deloitte Advokatfirma mottar ofte henvendelser fra både offentlige og private virksomheter om bistand med gjennomføring av DPIA.

Formålet med en DPIA er å sikre at personvernet til de registrerte blir ivaretatt, og GDPR stiller i noen tilfeller krav om å gjennomføre en DPIA før behandlingen av personopplysninger starter. Det kan være utfordrende å vite når man skal gjennomføre en DPIA, hvordan den skal gjennomføres, og å finne risikoreduserende tiltak.

Hvordan kommer du i gang med DPIA i et utviklingsprosjekt?


1. Kartlegge dataflyt og personopplysninger


Aller først er det viktig at virksomheten kartlegger dataflyten og personopplysninger i løsningen som skal utvikles. Hvilke personopplysninger er nødvendig å behandle i løsningen? Hva slags personopplysninger er det snakk om? Typen og mengden personopplysninger vil påvirke risikoen for de registrertes rettigheter og friheter. Kartleggingen vil også gi en oversikt som er essensiell for å sikre at alle kravene i GDPR overholdes.

2. Pre-DPIA


For å fastslå om en DPIA må gjennomføres, må virksomheten gjennomføre en såkalt «pre-DPIA». Gjennom en pre-DPIA fastlegger man om behandlingen av personopplysninger medfører en «høy risiko» for fysiske personers rettigheter og friheter. Hvis svaret er ja, følger det av GDPR at en DPIA må gjennomføres. Datatilsynet skriver i sin veiledning at relevante momenter i en pre-DPIA er behandlingens art, omfang, formål og kontekst, og oppstiller også en lengre liste med eksempler på behandlinger som kan innebære «høy risiko».

Enhver behandling av personopplysninger medfører en viss risiko for de registrertes rettigheter og friheter, og det kan derfor være vanskelig å vurdere om behandlingen innebærer «høy risiko». Da er det nyttig å kjenne til eksemplene som følger av GDPR artikkel 35 (3) og Datatilsynets vedtatte oversikt over tilfeller hvor det alltid skal gjennomføres en DPIA.

GDPR artikkel 35 (3) sier at en DPIA særlig er nødvendig i følgende tilfeller:

a) en systematisk og omfattende vurdering av personlige aspekter ved fysiske personer som er basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning for den fysiske personen eller på lignende måte i betydelig grad påvirker den fysiske personen,


b) behandling i stor skala av særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1, eksempelvis opplysninger om helse eller fagforeningsmedlemskap, eller av personopplysninger om straffedommer og lovovertredelser som nevnt i artikkel 10, eller


c) en systematisk overvåking i stor skala av et offentlig tilgjengelig område.

Merk at disse eksemplene ikke er uttømmende, det vil også kunne finnes andre tilfeller hvor en DPIA må gjennomføres. Noen virksomheter har egne interne retningslinjer som beskriver i hvilke tilfeller det skal gjennomføres en DPIA. Dersom man er usikker på om den behandlingen man planlegger vil medføre høy risiko for personers rettigheter og friheter, så anbefaler vi at det gjennomføres en DPIA.

3. Gjennomføring av DPIA


Hva skal vurderes?


Vi anbefaler at det for gjennomføringen av DPIA nedsettes et team med ulike ressurser og ulik kompetanse, eksempelvis både utviklere og jurister. Med et tverrfaglig team er det som oftest enklere å identifisere relevant risiko, samt å finne konkrete risikoreduserende tiltak.

GDPR artikkel 35 (7) oppstiller en liste over vurderingsmomenter som skal med i DPIA:

a) en systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen, herunder, dersom det er relevant, den berettigede interessen som forfølges av den behandlingsansvarlige,

Beskrivelsen må være konkret slik at det er mulig å identifisere personvernkonsekvensene for den registrerte. Formålene må være konkretisert slik at det er mulig å vurdere nødvendigheten, se punkt b). Ved endringer skal beskrivelsen oppdateres, slik at man løpende kan se om risikobildet endrer seg.

b) en vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene,

Personopplysninger skal kun behandles hvis dette er nødvendig for å oppnå formålet. Dermed er det viktig med kunnskap om hva som er formålet med behandlingen. Dersom man kan bruke mindre personverninngripende metoder, skal disse metodene benyttes. For eksempel: Er det mulig å korte ned på behandlingstiden? Eller er det mulig å pseudonymisere personopplysningene?

Det må også vurderes om den konkrete behandlingen er forholdsmessig (rimelig). Dette innebærer en vurdering av om fordelene for den behandlingsansvarlige eller samfunnet er større enn personvernulempene for den registrerte.

c) en vurdering av risikoene for de registrertes rettigheter og friheter som nevnt i nr. 1

Under dette punktet skal de konkrete risikoene vurderes. Det er viktig å huske på at det er de registrertes perspektiv som skal tas i betraktning, og ikke virksomhetens perspektiv. Som eksempler på risikoer kan nevnes risiko for at den registrerte ikke får innsyn i personopplysninger, ikke får tilstrekkelig informasjon om behandlingen, risiko for at personopplysningene ikke er riktige, risiko for at personopplysninger kommer på avveie, risiko for at personopplysninger lagres for lenge, etc.

d) de planlagte tiltakene for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger og for å påvise at denne forordning overholdes, idet det tas hensyn til de registrertes og andre berørte personers rettigheter og berettigede interesser.

Tiltakene som implementeres skal være egnet til å redusere risikoen som er identifisert. Eksempelvis; Dersom virksomheten identifiserer at det er risiko for at de registrerte ikke får tilstrekkelig informasjon om behandlingen, kan et tiltak være å oppdatere informasjon i personvernerklæring. I andre tilfeller må løsningen designes på en annen måte enn opprinnelig tenkt for å sikre at personopplysninger om rett person behandles i rett tilfelle og til rett tid. Dersom det ikke er mulig å redusere risikoen ved hjelp av tiltak, må dere be om en forhåndsdrøftelse med Datatilsynet før behandlingen starter. En slik forhåndsdrøftelse er en formalisert prosess hvor Datatilsynets foretar en vurdering av oversendt og nødvendig dokumentasjon, og deretter kommer med skriftlige råd eller pålegg.


Er det noen formkrav?


GDPR oppstiller ingen formkrav til DPIA. Dette betyr at en DPIA kan gjennomføres på mange måter, og virksomheten kan velge den metoden som oppleves som mest egnet, oversiktlig og ryddig. Enkelte virksomheter foretrekker å gjennomføre DPIA i Excel eller Word, mens andre virksomheter har utarbeidet, eller kjøpt tilgang til, digitale løsninger for gjennomføring av DPIA.

Uavhengig av hvilken metode som benyttes, anbefaler vi at det utarbeides maler eller predefinerte punkter/spørsmål som skal vurderes i hver enkelt DPIA og som er i tråd med GDPR. Gjennomføring av DPIA må dokumenteres, slik at virksomheten kan dokumentere etterlevelse av GDPR og oppfylle ansvarlighetsprinsippet.


Se DPIA i sammenheng med internkontroll


For å sikre at DPIA blir en integrert del av virksomheten, med den konsekvens at DPIA gjennomføres i de lovpålagte tilfellene, bør DPIA implementeres i virksomhetens internkontrollsystem. Dette betyr at rutiner for både pre-DPIA og DPIA bør utarbeides, i tillegg til at prosess for gjennomføring av DPIA bør inntas som en del av ledelsens gjennomgang. På denne måten kan virksomheten undersøke, og vurdere, om man gjennomfører DPIA i de lovpålagte tilfellene og om prosessen for gjennomføring fungerer godt eller om den bør endres.

Behov for bistand?


Deloitte Advokatfirma har utstrakt erfaring med å bistå både offentlige og private virksomheter med DPIA. Dersom du har spørsmål forståelsen av kravene til DPIA, om hvorvidt det er nødvendig å gjennomføre en DPIA eller om selve gjennomføringen av DPIA, er det bare å ta kontakt. Deloitte Advokatfirma bistår også med utformingen av maler og retningslinjer for gjennomføring av DPIA, samt med etablering av et internkontrollsystem.

Var dette nyttig?

Takk for din tilbakemelding