Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

3.5. Vurdering av personvernkonsekvenser

Virksomheter skal alltid vurdere hvilke konsekvenser behandling av helse- og personopplysninger medfører for den registrerte. Virksomheten skal dokumentere lovligheten av behandlingen, formålet, hvordan personvernet til den registrerte er ivaretatt, og at det er gjort tilstrekkelige tiltak for å håndtere risikoen. Hvis det er sannsynlig at en behandling medfører høy risiko for de registrerte, skal virksomheten gjennomføre en mer grundig personvernkonsekvensvurdering, også kalt Data Protection Impact Assessment (DPIA).

3.5.1 Personvernkonsekvensvurdering

Personvernkonsekvensvurderingen skal gjøres før behandlingen av personopplysninger starter. For mer informasjon og veiledning om når man må gjennomføre en vurdering av personvernkonsenser, se Datatilsynets nettsider (datatilsynet.no).

Høy risiko for personvernet kan oppstå

  • når helseopplysninger behandles i stor skala
  • ved bruk av ny teknologi
  • når personopplysninger behandles på en automatisert, systematisk og omfattende måte, og dette danner grunnlag for avgjørelser som har rettsvirkning eller påvirker den registrerte i betydelig grad
  • dersom behandlingens art, omfang, formål og sammenhengen den utføres i, tilsier det

Datatilsynet har laget en liste over behandlingsaktiviteter som alltid krever at det gjennomføres en personvernkonsekvensvurdering.

Personvernkonsekvensvurdering skal minst inneholde

  • en systematisk beskrivelse av behandlingsaktivitetene av helse- og personopplysninger
  • beskrivelse av formålet med behandlingen av personopplysninger
  • en vurdering av om behandlingene av helse- og personopplysninger er nødvendige og står i rimelig forhold til formålet
  • en vurdering av risikoen for personvernet til den registrerte
  • planlagte risikoreduserende tiltak for ivaretakelse av personvernet

Det skal planlegges tiltak som reduserer risikoen for personvernet. Dersom behandlingen av helse- og personopplysninger medfører en høy risiko som ikke kan reduseres ved hjelp av rimelige tiltak, skal den dataansvarlige be om forhåndsdrøftelse med Datatilsynet før behandlingen av opplysningene starter.

Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 22. november 2022