Virksomheten skal selv foreta en vurdering om det er nødvendig å gjennomføre en DPIA (personvernkonsekvensvurdering) når skytjenester skal tas i bruk ved behandling av helse- og personopplysninger. Hovedregelen er at det skal gjennomføres når risikoen er vurdert til høy.
Personvernkonsekvensvurderingen må gjennomføres før behandlingen av helse- og personopplysninger kan starte, og skal omhandle den spesifikke behandlingen som vurderes gjennomført. Det er med andre ord ikke til strekkelig å gjennomføre en generell vurdering av personvernkonsekvensener ved behandling av helse- og personopplysninger ved bruk av skytjenester.
Dersom det er mulig å identifisere risiko i forbindelse med anskaffelsen, kan virksomheten gjennomføre en DPIA før kontrakten signeres, slik at dette er gjennomført før skytjenesten tas i bruk etter signering.
Alternativt kan virksomheten få kontraktregulert at det skal gjennomføres en personvernkonsekvensvurdering før leverandøren/skytjenesteleverandøren kan gi tilgang til skytjenesten.
Dersom en eksisterende behandlingsaktivitet flyttes over til en skytjeneneste, må virksomheten vurdere om personvernkonsekvensvurderingen skal revideres.
I mange skytjenesters natur ligger det også at de stadig videreutvikles, det vil si det kommer ny funksjonalitet og konfigurasjonsmuligheter. Mange av disse vil ikke dataansvarlig ha kontroll over. Noen slike endringer kan utgjøre en så stor forskjell i behandlingen av helse- og personopplysninger eller sikkerhetstiltak at de alene kan utløse behov for å revidere personvernkonsekvensvurderingen.
Det er ikke tilstrekkelig å legge til grunn vurderinger som skyleverandøren har gjort av sine egne tjenester, virksomheten må alltid vurdere om personvernrisikoen er høy og om det er nødvendig å innføre risikoreduserende tiltak før behandlingen kan starte.
Helsedirektoratet har laget veiledning og Mal for personvernkonsekvensvurdering med tilhørende veileder for utfylling(helsedirektoratet.no)
Se også Datatilsynets veileder som underlag/sjekkliste i beslutningen om virksomheten må gjennomføre en DPIA. Datatilsynet har laget en liste over behandlingsaktiviteter som alltid krever at det gjennomføres en personvernkonsekvensvurdering (datatilsynet.no)
