For noen selskaper er utarbeidelsen av en DPIA høyt på listen over GDPR-oppgaver som må vurderes. Men for mange kan en DPIA godt vente – eller i det minste forenkles, så den ikke krever for mye ressurser. Vår CEO forteller når og hvordan det må gjøres en konsekvensanalyse av virksomhetens databehandlingsoppgaver.
GDPR fokuserer på å beskytte personvernet. Privatpersonen er i fokus, ikke de selskapene som samler, håndterer og lagrer personopplysninger. For å sikre at den enkeltes private opplysninger ikke behandles eller kun behandles i begrenset grad, stiller GDPR krav om at endel virksomheter må utarbeide en såkalt Data Protection Impact Assessment (DPIA), eller vurdering av personvernkonsekvenser på godt norsk.
Det skal være en analyse av hva de mulige konsekvenser for den registrerte er, ved håndteringen av personopplysninger i virksomhetens prosesser eller systemer. Hvilke konsekvenser kan det for eksempel ha for de registrerte at man setter opp videokameraer som overvåker et offentlig område? Er det en rimelig konsekvens i dette eller bør denne aktiviteten stoppes?
Konsekvens kan være mange ting
Jakob Holm Hansen er vår CEO. Han forklarer at det er viktig å forstå hva som i det hele tatt menes med ordet konsekvens, når man overfører begrepet til en virksomhets hverdag.
– Konsekvens betyr i GDPR-regi en rekke ulike ting, men fellesnevneren er de tilfeller der en virksomhets databehandling risikerer å hindre eller begrense muligheten til å utøve de grunnleggende rettighetene man har som menneske, sier han. Det kan eksempelvis være offentliggjøring av private opplysninger på nettet, brudd på menneskerettigheter, innføring av ny teknologi, som ansiktsgjenkjenning eller automatiserte beslutningsprosesser, for eksempel en systemstøttet kredittvurdering.
Vent med DPIA
Det er opp til den enkelte virksomhet å vurdere om innholdet i databehandlingen kan true privatlivet til den registrerte på noen måte. Hvis ikke, anbefaler Jakob Holm Hansen at du parkerer oppdraget.
– Virkeligheten er at det er noen få virksomheter som må utarbeide en DPIA. Hvis man ikke håndterer sensitiv informasjon som en del av kjernevirksomheten, anbefaler vi å ikke lage en DPIA. I hvert fall ikke i første omgang. For DPIA er primært tiltenkt virksomheter med databehandling i stort omfang og av en spesiell karakter, sier han.
Gjør det så enkelt som mulig
Hvis man skal utarbeide en DPIA, oppfordrer Jakob Holm Hansen å gjøre det enkelt. Det er ikke noe formkrav til en DPIA. Det finnes en grunnleggende sjekkliste i et arbeidsdokument fra EU som du kan se til. Men innenfor disse rammene er det stor frihet.
– For å begrense arbeidsbelastningen er det også mulig å dele konsekvensanalyser. Offentlige eller private virksomheter, som har samme databehandlinger, trenger ikke å lage individuelle DPIA'er, men kan gjenbruke den samme analysen på tvers av organisasjoner, sier Jakob Holm Hansen.
Bygg et balansert sikkerhetsnivå
GDPR og Datatilsynet, som skal håndheve lovgivningen, legger vekt på proporsjonalitet ved vurdering av en virksomhets innsats for å samsvare med GDPR. Dersom man generelt har et fornuftig compliance-program og har gjort rimelige sikkerhetstiltak i forhold til type og omfang av databehandlinger, er det ikke utførligheten av en DPIA som blir avgjørende ved en eventuell sikkerhetshendelse.
– Vårt generelle råd til de som skal lage en DPIA, er at de begynner med en begrenset versjon som oppfyller de grunnleggende kravene i EUs egen sjekkliste. Da kan man alltids utvide den senere, når man har kontroll på de andre og mer presserende GDPR-forberedelsene, avslutter han.
Fem råd til utarbeidelse av en DPIA
1. Finn ut om dere trenger å utarbeide en DPIA i det hele tatt. Mange selskaper gjør ikke det.
2. Hvis dere skal utarbeide en DPIA, start med en enkel versjon som oppfyller de grunnleggende kravene i EUs egen sjekkliste. Du kan alltids utvide den senere.
3. Når dere utarbeider en DPIA, få en oversikt over de registreringene du gjør som kan ha konsekvenser for de registrerte. Vurdér konsekvensen med tall på en objektiv skala fra 1-4, slik at dere kan sammenligne nivået fra år til år.
4. Ta stilling til om dere kan gjøre tiltak som begrenser risikoen for de registrerte – for eksempel bedre nettverkssikkerhet, harddiskkryptering, endring av sikkerhetspolicy, m.m.
5. Vurder løpende, og minst én gang i året, om deres sikkerhetsnivå er tilstrekkelig for konsekvensanalysen for de registrerte. Hvis dere har et personvernombud (DPO), skal vedkommende være innvolvert i denne vurderingen.
Prøv styringssystem for informasjonssikkerhet gratis i 30 dager!
Vår compliance verktøy gir systemstøtte til arbeidet med årshjul og den kontinuerlige overholdelsen av GDPR, sikkerhetsstandarder og selskapets egne retningslinjer.