Ny mal som hjelper helse- og omsorgssektoren å vurdere personvernkonsekvenser (DPIA)
Etter å ha vært på høring er en ny mal med veiledning for personvernkonsekvensvurdering nå publisert. – Dette er relevant for alle virksomheter i helse- og omsorgssektorensom som behandler personopplysninger, sier Lucie Aunan, divisjonsdirektør samhandling i Direktoratet for e-helse.
Virksomheter i helse- og omsorgssektoren behandler ofte store mengder sensitive personopplysninger. Det betyr at de ofte vil stå overfor behandling av personopplysninger som kan medføre høy risiko for dem som er registrert i systemet eller løsningen. I slike tilfeller er det en plikt å gjennomføre en vurdering av personvernkonsekvenser.
– Malen sammenfatter beste praksis fra ulike maler for personvernkonsekvensvurdering og virksomheter i helse- og omsorgssektoren. Dette legger til rette for enda bedre vurderinger, sier Aunan.
– Målet med veilederen er å gi dataansvarlige i sektoren et verktøy og støtte i prosessen, sier hun.
Helse- og omsorgssektoren består av virksomheter av svært forskjellige størrelser og egenskaper. Dataansvarlige for små virksomheter kan ha begrenset tilgang til fagkompetanse innen personvern. Disse virksomhetene kan derfor ha et særskilt behov for detaljerte maler og utfyllende veiledning.
Men også hos større virksomheter med høy kompetanse innen personvern, kan det være usikkerhet om personvernkonsekvensvurderinger og når de skal gjennomføres.
Her finner du malen og veiledningen
Malen med veiledning til utfylling finner du på denne siden på ehelse.no.
Hva er en vurdering av personvernkonsekvenser (DPIA)?
En vurdering av personvernkonsekvenser (Data Protection Impact Assessment, DPIA) skal sikre personvernet til dem som er registrert i en løsning. Hvis det er sannsynlig at en behandling av personopplysninger medfører høy risiko for personen som er registrert, må virksomheten foreta en slik vurdering. Dette er en plikt etter EUs personvernforordning (GDPR), som også gjelder som lov i Norge.
Personvernkonsekvensvurdering er en prosess som skal beskrive behandlingen av personopplysninger, og vurdere om den er nødvendig og forholdsmessig. Den skal også bidra til å håndtere risiko knyttet til behandlingen og beslutte risikoreduserende tiltak. «Mal for personvernkonsekvensvurdering (DPIA) med veiledning til utfylling» består av to deler, selve malen og veileder til hvordan fylle den ut, og kan lastes ned her.
Ny versjon av mal fra 2019 etter mange gode innspill fra sektoren
Malen og veiledningen vi nå gir ut er en ny versjon av «Mal for DPIA» som Direktoratet for e-helse publiserte i 2019.
– Nå har det gått tre år, og mange dataansvarlige har gjort seg erfaringer om hvordan personvernkonsekvensvurdering kan gjennomføres og hva vurderingen bør inneholde.
Aunan understreker at den nye malen som nå foreligger er et resultat av nyttige bidrag fra databehandlere i sektoren og andre med erfaring og kunnskap på feltet.
– Før direktoratet startet arbeidet med å oppdatere malen hadde vi fått mange gode og konstruktive tilbakemeldinger fra aktørene der ute, som blant annet gikk på behov for å oppdatere format og språk. Nå har den nye malen vært på høring og vi har fått enda flere nyttige innspill.
– Innspillene fra sektoren er svært viktige bidrag til å sikre høy kvalitet på det endelige produktet. Når mange bidrar med erfaring og kunnskap, blir produktet bedre. Jeg vil derfor benytte anledningen til å takke alle som har bidratt, sier Lucie Aunan.
Malen for DPIA er utviklet på bakgrunn av kravene i GDPR, og bygger blant annet på Datatilsynets veileder i vurdering av personvernkonsekvenser. Malen inneholder blant annet spørsmål for vurdering av:
- Systematisk behandling av personopplysninger inkludert vurdering av innebygd personvern
- Formål med behandlingen
- Behandlingens lovlighet
- Nødvendighet og forholdsmessighet av behandlingen
- Risiko for de registrertes rettigheter og friheter
- Planlagte tiltak for å håndtere risikoene (garantier, sikkerhetstiltak og mekanismer