En vurdering av personvernkonsekvenser (DPIA: Data Protection Impact Assessment) er et sentralt element i enhver organisasjon som opptrer som behandlingsansvarlig.
I denne artikkelen ser vi nærmere på DPIA og svarer på de vanligste spørsmålene om hva en DPIA egentlig er, når det er påkrevd og hvordan man gjennomfører en DPIA.
Hva er en DPIA?
DPIA er en prosess som hjelper organisasjoner med å identifisere og minimere personvernrisikoer. Det er en viktig del av kravene i personvernforordningen (GDPR), så det er ikke noe du som behandlingsansvarlig kan unngå.
Når du som organisasjon er ansvarlig for behandling av personopplysninger (f.eks. innsamling, registrering, utlevering eller sletting), er det viktig å være bevisst på om du beskytter opplysningene du er ansvarlig for, på en tilstrekkelig måte. Personvernforordningen sier at du må iverksette «egnede tekniske og organisatoriske tiltak» for å sikre at databehandlingen din er i samsvar med regelverket, det er her DPIA kommer inn i bildet.
Vurdering av personvernkonsekvenser er et verktøy som kan hjelpe deg med å identifisere og redusere eventuelle risikoer forbundet med en gitt behandling, og dokumentere tiltakene du iverksetter for å håndtere dem.
Når er det nødvendig å gjøre en vurdering av personvernkonsekvenser?
I henhold til personvernforordningen kreves det en vurdering av personvernkonsekvenser når databehandling «vil medføre høy risiko for fysiske personers rettigheter og friheter». Men hva betyr dette i praksis?
En vurdering av personvernkonsekvenser er vanligvis nødvendig hvis organisasjonen planlegger å innføre ny teknologi eller nye metoder for databehandling, eller når omfanget, arten eller formålet med databehandlingen endres vesentlig. Disse endringene kan føre til økt risiko for personene hvis opplysninger behandles.
Hvis du er usikker på om organisasjonen din trenger å gjennomføre en konsekvensanalyse eller ikke, kan du ta en titt her. Datatilsynet har utarbeidet en liste over hvilke typer behandlingsaktiviteter som er underlagt kravet om vurdering av personvernkonsekvenser.
Hvordan utarbeider du en DPIA?
Utarbeidelsen av en DPIA kan variere avhengig av den spesifikke situasjonen, men vanligvis vil du gå gjennom følgende trinn:
1) Beskrivelse
Start med en systematisk beskrivelse av de planlagte behandlingsoperasjonene og formålet med dem. Dette omfatter en klar definisjon av hvilke data som behandles, hvem som er involvert, hvor dataene kommer fra, og hvor og hvordan de skal lagres og brukes.
2) Nødvendighet og proposjonalitet
Deretter må du vurdere nødvendigheten og forholdsmessigheten av databehandlingen i forhold til formålet. Spør deg selv om det er mulig å oppnå det samme målet med mindre inngripende midler, og om omfanget av databehandlingen er passende i forhold til formålet.
3) Risikovurdering og -håndtering
Når de to første trinnene er på plass, kan du identifisere og vurdere risikoen forbundet med behandlingen for de personene hvis opplysninger behandles. Dette inkluderer både sannsynligheten for og alvorlighetsgraden av den potensielle skaden.
Deretter må du planlegge hvordan du skal håndtere de identifiserte risikoene. Dette kan omfatte beskyttelsestiltak som kryptering, anonymisering, forbedret tilgangskontroll eller lignende.
Gjør DPIA (og GDPR) til din fordel
Personvernforordningen, eller GDPR, ble sett på som et byråkratisk mareritt da den ble innført. Men hvis du tar på deg de riktige brillene, kan GDPR (og DPIA) forvandles til et konkurransefortrinn som gir deg et forsprang på konkurrentene.
Først og fremst hjelper GDPR organisasjonen din med å håndtere personopplysninger på en sikker og effektiv måte, men ved å håndtere sikkerheten viser du også omverdenen at du verdsetter digitalt ansvar. Dette styrker organisasjonens omdømme ved å bygge tillit hos partnere, leverandører og kunder.
LES OGSÅ: Utnytt den forretningsmessigeverdien i GDPR
