Mal og veiledning for utfylling av personvernkonsekvensvurdering (DPIA)
Dette er en mal og veiledning som skal hjelpe dataansvarlige i helse- og omsorgssektoren med å gjennomføre en vurdering av personvernkonsekvenser (DPIA).
Formål og målgrupper
Formålet med veilederen er å gi virksomheter i helse- og omsorgssektoren bistand til gjennomføring og dokumentering av personvernkonsekvensvurdering i henhold til kravene i personvernforordningen artikkel 35.
Veilederen skal bidra til å gjøre prosessen knyttet til personvernkonsekvensvurdering lettere for både erfarne og mindre erfarne dataansvarlige i helse- og omsorgssektoren. Dette skal igjen bidra til å opprettholde godt personvern i sektoren.
Denne veilederen er en videreutvikling av Direktoratet for e-helses «Mal for DPIA» som ble publisert i 2019.
Last ned mal og veiledning
Veilederen består av to deler som du kan laste ned:
Mal for personvernkonsekvensvurdering (Word)
Veiledning til utfylling av malen (PDF)
Malen for personvernkonsekvensvurdering kan brukes på flere måter og kan tilpasses virksomhetens behov. Veiledningen inneholder veiledning om hva en personvernkonsekvensvurdering er, hvordan malen kan brukes, veiledning til hvert enkelt punkt i malen og en oversikt over viktige begreper som brukes i malen.
Mer om bakgrunn og behov
Dataansvarlige i helse- og omsorgssektoren behandler et stort omfang av sensitive personopplysninger og personopplysninger om svært personlige forhold. Behandlingen av personopplysninger kan ofte påvirke den registrerte i stor grad, og ha betydning for pasientsikkerheten og hvilken oppfølging den registrerte får.
Det er også mange forskningsprosjekter i sektoren som samler inn et stort omfang av personopplysninger. Forskningsprosjektene kan eksempelvis innebære forsøk på å identifisere eller forutse egenskaper hos de registrerte. Dette tilsier at dataansvarlige i helse og omsorgssektoren ofte vil stå overfor behandling av personopplysninger som kan medføre høy risiko for de registrertes rettigheter og friheter og derved ha plikt til å utføre personvernkonsekvensvurdering.
Helse- og omsorgssektoren består av virksomheter av svært forskjellig størrelse og karakter. Dataansvarlige som er små virksomheter, kan ha begrenset tilgang til personell med fagkompetanse innen personvernregelverket. Disse virksomhetene kan derfor ha et særskilt behov for detaljerte maler og utfyllende veiledning. Også hos større virksomheter med høy kompetanse innen personvern, kan det være usikkerhet rundt personvernkonsekvensvurderingers innhold og når de skal gjennomføres.
Direktoratet for e-helse mener at dette både kan føre til for mange og omfattende personvernkonsekvensvurderinger, og for få og mangelfulle. Dette indikerer at dataansvarlige i sektoren har et særskilt behov for gode verktøy og støtte som underbygger denne prosessen.
Ved å utgi en mal ønsker Direktoratet for e-helse også å legge til rette for gjenbruk og deling av personvernkonsekvensvurderinger både internt i virksomheter og mellom virksomheter. Det vil være mulig å gjøre tilpasninger i malen, men det anbefales ikke å gjøre dette i større grad enn nødvendig. Det vil være enklere å gjenbruke og dele personvernkonsekvensvurderinger dersom sektoren bruker en lik standard mal.. Dersom virksomhetene velger å ikke benytte seg av noen felter kan disse stå åpne i stedet for å endre i malen.