Enklere vurderinger av personvernkonsekvenser (DPIA)
Som enkeltpersoner forventer vi at biler testes før ny funksjonalitet blir sluppet, hvorfor skal vi da akseptere nye behandlinger av våre opplysninger før risikoen er ordentlig vurdert.
I behandling av personopplysninger er det et lovkrav å vurdere risikoene som behandlingen utgjør for de personene behandlingen omfatter før aktiviteten iverksettes. I realiteten er det mange som setter i gang nye aktiviteter uten å kunne vise til at risikovurderingene er gjort. Årsaken til dette er at mange finner det komplisert og vanskelig. Iconfirm har nylig lansert en modul som forenkler arbeidet betraktelig.
Hvorfor DPIA?
Iht GDPR skal det gjennomføres en personvernkonsekvensvurdering for alle behandlinger av personopplysninger som medfører høy risiko for de registrerte. Hvorfor er dette viktig? Jo, fordi konsekvensene ved feil bruk av personopplysninger kan få store varige konsekvenser. Tenk for eksempel på om en video av en fotballkamp for barn som legges ut på nett fanges opp av en voldelig forelder som ett av barna lever i skjul for.
Det som avgjør hvorvidt behandlingen innebærer en høy risiko kan for eksempel være;
- hva slags opplysninger som behandles ( helse, legning, religion, etnisitet),
- hvilken kategori av registrerte det er (barn, ansatte, psykisk syke, asylsøkere),
- omfang av behandlingen (mengde opplysninger om enkeltpersoner eller mange personer),
- bruk av teknologi (biometri, automatisert behandling, overvåkning) etc.
For å avdekke om det er høy risiko bør det gjennomføres en forhåndsvurdering hvor man svarer på en del relevante spørsmål og, med det, samtidig dokumentere at man har tatt stilling til hvilken risiko behandlingen medfører. Datatilsynet har publisert en oversikt over når man må gjennomføre en full DPIA.
Når DPIA må gjennomføres
Dersom risikoen er høy, er det nødvendig å gjennomføre en full personvernkonsekvensvurdering (DPIA). Målet er å systematisk gjennomgå behandlingen, vurdere behandlingen opp mot personvernprinsippene og rettighetene, identifisere risiko og definere tiltak som likevel gjør risikoen i behandlingen blir akseptabel. Om det ikke er mulig å redusere risikoen til et akseptabelt nivå, skal aktiviteten ikke iverksettes.
For de aller fleste av oss er gjennomføring av en DPIA komplisert og tidkrevende. Det er mye nytt å ta stilling til. Selv om Datatilsynet har god veiledning på sine nettsider, er det nødvendig å involvere noen med erfaring og kompetanse for å få hjelp til å gjøre alle vurderingene.
Det finnes mange gode maler, men disse er ofte separate dokumenter som ikke kobles direkte mot behandlingsprotokollen. Da kan det være vanskelig å ha en samlet oversikt, særlig for kommuner og andre virksomheter som har et bredt spekter av tjenester og mange aktiviteter. Da er det viktig å ha god styring som sikrer at både behandlingsprotokoll, databehandleravtaler, risikovurderinger og forhåndsvurdering/DPIA er konsistent og klar før aktiviteten iverksettes.
Riktig verktøy er mer enn halve jobben
Iconfirm har nylig utvidet sin risikomodul til også å inkludere DPIA hvor informasjon automatisk hentes fra hhv prosessoversikten og systemregisteret. Dette sikrer konsistens i dokumentasjonen. I tillegg er det mulig å hente informasjon fra tidligere utførte DPIAer hvor beskrivelsene av hvordan man ivaretar rettigheter etc kan gjenbrukes. Dette skaper effektivitet og forenkler arbeidet betydelig, både for den ansvarlige, personvernombudet/rådgiver og ledelsen.
«Ganske kult og meget tidsbesparende» -
Sondre Andersen, IT Sjef Sandefjord Kommune
Ved å samle informasjonen i Iconfirm får man en helhetlig tilnærming med strukturerte data som sikrer fornuftig gjenbruk og transparens. APIene gir også enkel mulighet for integrasjon inn i arbeidsprosessene samtidig som revisjonslogger dokumenterer etterlevelse. Om en aktivitet endrer seg kan det være nødvendig å revidere DPIAen. I Iconfirm er det en god løsning for versjonering som sikrer sporbarhet, oversikt og kontroll - over tid.
God styring er ledelsens ansvar
Ansvaret for at virksomheten kan påvise etterlevelse ligger hos toppledelsen og stadig flere saker viser dette. Før sommeren gikk blant annet Stortingsdirektøren etter bot fra Datatilsynet.
Vi har også skrevet om ledelsens ansvar i tidligere blogginnlegg
Ønsker du mer informasjon om hvordan din virksomhet kan sikre personvern og informasjonssikkerhet med Iconfirm programvare, eller høre mer om vårt tilbud til KiNS sine medlemmer?
Ta kontakt med Christian Butenschøn i Iconfirm.
Ønsker du komme raskt i gang book en demo i dag: