Hvordan vurdere konsekvensene for personvernet?

Datatilsynet anbefaler å:

  • Gjennomføre vurderingen av konsekvenser for personvernet så tidlig i utviklingen som mulig. Vurderingen bør foretas før et nytt informasjonssystem bestilles, og utføres i samarbeid med beslutningstakere.
  • Samle inn all relevant informasjon før vurderingen foretas, slik som kravspesifikasjon og designdokumenter.
  • Vurdere hvem i virksomheten som har kompetanse til å vurdere konsekvensene for personvernet.
  • Identifisere hvilke forhold som skal vurderes. Dette avhenger av hvilke tiltak man står overfor. Vurdering av konsekvenser for personvernet er i hovedsak relatert til virksomhetens innsamling, foredling, distribusjon og bruk av personopplysninger.
  • Legge en plan for hvordan vurderingen av konsekvenser for personvernet skal gjennomføres.  
  • Sikre at interessenter internt i virksomheten konsulteres. Dette er meget viktig for å sikre at vurderingen ikke fører til at det settes i gang tiltak som kompromitterer viktige mål i et utviklingsprosjekt.

Etter at forberedelsene er gjort, må det etableres en arena hvor forslag til tiltak kan drøftes og hvor det etter hvert kan fattes beslutninger.

Prosessen bør deles i to: 1) forhåndsvurdering og 2) vurdering av konsekvenser.

1. Forhåndsvurdering

En forhåndsvurdering tar stilling til i hvilken grad det nye tiltaket eller justeringen som er foreslått vil påvirke behandlingen av personopplysningene. Resultatet av denne evalueringen gjør det mulig å avgjøre om en det er nødvendig å vurdere konsekvensene for personvernet, og om det må gjennomføres en fullskalavurdering eller om det er tilstrekkelig med en avgrenset vurdering.

2. Vurdering av konsekvenser

Vurderingen av konsekvenser for personvernet er en risikovurderingsfase som deles i fire trinn:

Kartlegging av informasjonssystemet og hvilke personopplysninger som behandles i systemet

Kartleggingen skal gi et helhetlig og fullstendig bilde av informasjonssystemet, samt systemets driftsmiljø og ytre grenser. Informasjonssystemets tilstøtende grensesnitt med andre systemer, og hvordan personopplysninger flyter (overføres mellom ulike systemer), må beskrives. Dataflytdiagrammer kan med fordel brukes for å illustrere hvilke personopplysninger som behandles, hvordan disse opplysningene beveger seg i systemet og eventuelt utveksles med andre systemer. En liste over spørsmål som kan besvares i kartleggingsprosessen finner du på siden vurderingstema.

Identifisering av risiko

Basert på kartleggingen i første trinn må virksomheten identifisere risikoer. Målet med dette trinnet er å peke på forhold som kan true eller kompromittere personvernet til virksomhetens brukere.

En liste over risikofaktorer som potensielt kan skade personvernet finnes på slutten av hvert punkt i kapittel 6. Listen i kapittel 7 gir en oversikt over forhold som Datatilsynet vil kunne be om å evaluere ved en eventuell kontroll. Virksomheten bør derfor ha tenkt gjennom disse problemstillingene i utviklingsfasen. Listene er ikke uttømmende.

I tillegg til identifisering av risiko, krever en vurdering av konsekvenser for personvernet, at det foretas en kvantifisering av disse risikoene. En vurdering skal omfatte proporsjonalitet, under rimelige vilkår, samt sannsynligheten for at personverntrusler oppstår. Disse truslene kan skyldes både sannsynlig bruk og eventuell misbruk av informasjon i systemet.

Proporsjonalitetsprinsippet: All innsamling og videre behandling av personopplysninger må skje i overensstemmelse med lovverket, og på en måte som er rimelig i forhold til deg som er registrert. Dette betyr at behandlingen ikke må medføre urimelig belastning for din selvråderett eller integritet, at hensynene til de ulike involverte partene må være balansert, og at registreringen av opplysninger må være proporsjonal med formålet. Man skal alltid velge det alternativet som er minst personverninngripende når man har valget mellom to ulike måter å behandle personopplysninger på.

Risikovurderingen må gjøres fra et personvernperspektiv og skal omhandle

  1. hva en trussel vil bety, og sannsynligheten for at den inntreffer.
  2. hvor store konsekvensene av en uønsket hendelse ville vært

Risikonivået kan deretter bli klassifisert som lavt, middels eller høyt.

Identifisering og anbefaling av tiltak

Målet med dette trinnet er å foreslå tiltak som kan iverksettes eller planlegges før gjennomføring, for å minimere, redusere eller eliminere identifiserte personvernutfordringer.

Tiltak kan enten være av teknisk eller organisatorisk art. Tekniske tiltak blir gjerne innlemmet i systemet gjennom systemarkitektoniske valg. Tekniske tiltak kan også implementeres som for eksempel standardinnstillinger, autentiseringsmekanismer, og krypteringsmetoder. Organisatoriske tiltak kan for eksempel være at virksomheten begrenser tilgang til helseopplysninger til kun de som må ha det for å kunne utføre sitt arbeide. Andre organisatoriske tiltak er innføring av taushetserklæringer, og bevisstgjøring og holdningsskapende arbeid i en virksomhet.

De identifiserte risikoer og tilhørende risikonivå bør avgjøre hvilke tiltak som er best egnet, og som bør iverksettes. Denne dokumentasjonen skal forklare hvordan tiltakene er knyttet til bestemte risikoer, og gjøre rede for hvordan endringene vil resultere i et akseptabelt risikonivå.

Dokumentasjon

Når risikovurderingen er fullført, skal prosessen dokumenteres. Dette er viktig fordi:

  • Den dokumenterer overfor brukerne og relevante myndigheter at grundige vurderinger av konsekvenser for personvernet er gjennomført.
  • Virksomheten kan påvise at deres formål er legitimt, og at det er tatt nødvendig hensyn til personvernet.
  • Virksomheten viser at den er i forkant, og forebygger fremfor å reparere. Dette samsvarer med det første steget for å lage et system med innebygd personvern.