Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Vurdering av personvernkonsekvenser etter nytt regelverk

Risikovurdering versus vurdering av personvernkonsekvenser

En risikovurdering er en vurdering av hvor sannsynlig det er at en uønsket hendelse skal skje.

Dette er et viktig element i virksomhetens plan for å ivareta informasjonssikkerheten. Det er derfor risikoen for en virksomhet og dens behandlinger som adresseres. Kort oppsummert gjøres det en vurdering av risiko ved brudd på sikring av konfidensialitet, integritet og tilgjengelighet.

En vurdering av personvernkonsekvenser etter forordningen dreier seg om å håndtere risiko for de registrertes rettigheter og friheter. I motsetning til risikovurderingen, ser den på konsekvensen for de registrerte. Artikkel 29-gruppen har tidligere kommet med en uttalelse om at referansen til de registrertes rettigheter og friheter primært omhandler retten til privatliv, men også omfatter andre fundamentale rettigheter slik som ytringsfrihet, tankefrihet, bevegelsesfrihet, likhet for loven, retten til frihet, samvittighet og religionsfrihet. Les hele Artikkel 29-gruppens uttalelse (engelsk, pdf)

 

Følgende modell kan brukes på å vurdere hva som ut i fra den registrertes perspektiv skal beskyttes. Den er hentet fra en artikkel om prosessen med å vurdere personvernkonsekvenser (pdf):

 

 

I modellen finner vi igjen perspektivene for informasjonssikkerhet: konfidensialitet, integritet og tilgjengelighet. I tillegg skal det tas hensyn til åpenhet (transparency), om det er muligheten til å gripe inn (intervenability), og at personopplysninger ikke kobles mellom ulike datasett (unlinkability).

Et eksempel på en problemstilling der denne modellen er nyttig å bruke er dersom man sikrer personopplysningene godt og ivaretar konfidensialitet, men ikke er åpen og gir informasjon om hvordan personopplysninger behandles (eller at de behandles). Da kan behandlingen være inngripende for den som er registrert. Det er fordi vi ikke vet hvilke personopplysninger som behandles, av hvem, om de deles videre med andre også videre. Dette kan igjen få konsekvenser for personvernet til de som eier opplysningene.