Alle som behandler personopplysninger, skal vurdere konsekvenser av behandlingen for den registrerte. Virksomheten skal dokumentere lovligheten av behandlingen (behandlingsgrunnlag), formålet, hvordan personvernet til den registrerte er ivaretatt, og at det er gjort tilstrekkelige tiltak for å håndtere risikoen. Dette er krav som Personvernforordningen stiller for alle behandlinger av personopplysninger. Hvordan disse ivaretas bør være en sentral del av virksomhetens internkontroll.
Dataansvarlig skal alltid vurdere hvilken risiko en behandling av personopplysninger gir for de registrertes rettigheter og friheter.
Hvis det er sannsynlig at en behandling medfører høy risiko for de registrerte, så skal den gjøre en personvernkonsekvensvurdering. En personvernkonsekvensvurdering (Data Protection Impact Assessment eller DPIA) skal sikre at personvernet til dem som er registrert i løsningen ivaretas. Dette er en plikt etter personvernforordningen artikkel 35 vurdering av personvernkonsekvenser (lovdata.no)
Personvernkonsekvensvurdering er en prosess som skal beskrive behandlingen av personopplysninger, og vurdere om den er nødvendig og proporsjonal. Den skal også bidra til å håndtere de risikoene behandlingen medfører for enkeltpersoners rettigheter og friheter ved å vurdere dem og beslutte risikoreduserende tiltak.
Personvernkonsekvensvurderinger skal minst inneholde:
- en systematisk beskrivelse av behandlingsaktivitetene av helse- og personopplysninger beskrivelse av formålet med behandlingen
- en vurdering av om behandlingene av helse- og personopplysninger er nødvendige og står i rimelig forhold til formålet
- en vurdering av risikoen for personvernet til den registrerte
- planlagte risikoreduserende tiltak for ivaretakelse av personvernet
Det anbefales å starte arbeidet med å kartlegge sentrale personvernspørsmål og vurdere ivaretakelse av rettigheter og friheter så tidlig som mulig og allerede før det foreligger et løsningskonsept. En slik tidlig overordnet vurdering av personvernspørsmål vil kunne fungere som underlag for å gjennomføre en personvernkonsekvensvurdering etter personvernforordningen artikkel 35 Vurdering av personvernkonsekvenser (lovdata.no)
Det er ofte aktuelt å gjennomføre personvernkonsekvensvurderinger i forbindelse med anskaffelsesprosesser. Ved anskaffelser bør virksomheten starte med personvernkonsekvensvurderingen så tidlig som mulig, og gjerne sammen med at virksomhetens behov blir spesifisert. På denne måten kan prosessen med personvernkonsekvensvurderingen blant annet hjelpe virksomheten med å utforme krav i konkurransegrunnlaget. Det vil imidlertid være behov for å revidere personvernkonsekvensvurderingen underveis i den videre prosessen med anskaffelsen når virksomheten vet mer om hvordan den endelige løsningen vil se ut.
Leverandør som er databehandler skal bistå den behandlingsansvarlige i gjennomføringen av en DPIA og fremlegge all nødvendig informasjon,se personvernforordningen artikkel 28. Databehandler nr. 3 bokstav f (lovdata.no)
Dersom mulig kan leverandør bistå med relevant informasjon om behandling av personopplysninger i DPIA allerede i en anskaffelsesprosess. Dette kan gjøre arbeidet med gjennomføring av DPIA lettere. Begge parter har interesse av at dette gjøres enklest mulig.
Det er flere gode veiledningssider og maler for personvernkonsekvensvurderinger. Les mer på nettsidene til blant annet Helsedirektoratets mal og veiledning [LENKE] Datatilsynet (datatilsynet.no) eller KINS (kins.no).
