Risiko og risikovurdering

I dette og neste kapittel finner dere utdypninger av hva som ligger i risiko og risikovurderinger.

Den behandlingsansvarlige sin plikt til å utføre en vurdering av personvernkonsekvenser i gitte tilfeller, skal forstås med bakgrunn i deres generelle forpliktelse til å sikre en hensiktsmessig håndtering av de risikoer som oppstår ved behandling av personopplysninger.

Om risiko, rettigheter og personvern

En «risiko» er et scenario som beskriver en hendelse og dens estimerte konsekvenser basert på alvorlighet og sannsynlighet. Risikohåndtering kan defineres som samordnede aktiviteter for å styre og kontrollere en virksomhet basert på risiko.

  • Direktoratet for forvaltning og IKT (Difi) definerer risiko slik: «Risiko handler om potensielle avvik fra det forventede eller potensielle avvik fra våre mål. Med det referansepunktet defineres risiko formelt som en kombinasjon av mulige konsekvenser (utfall eller resultat) og tilhørende usikkerhet.»
    Difi sier videre at «usikkerhet kvantifiseres ved hjelp av sannsynligheter. Vi benytter derfor ofte en variant av definisjonene og sier at risiko er kombinasjonen av (mulige) konsekvenser og (tilhørende) sannsynligheter, eller bare at risiko er kombinasjonen av konsekvens og sannsynlighet.».
  • Artikkel 35 viser til sannsynlighet for høy risiko «for fysiske personers rettigheter og friheter». Med ivaretagelse av «rettigheter og friheter» menes det at de registrertes rettigheter i henhold til forordningens artikler 12-22 og andre grunnleggende friheter (privatliv, kommunikasjonsvern, personvern, ytringsfrihet, religionsfrihet, retten til å organisere seg, retten til ikke å bli diskriminert osv.) som følger av blant annet den europeiske menneskerettighetskonvensjon (EMK), FNs konvensjoner om henholdsvis sivile og politiske rettigheter (SP), og økonomiske, sosiale og kulturelle rettigheter (ØSK) skal overholdes.
  • I tillegg til dette bør prinsippene for behandling av personopplysninger i artikkel 5 være oppfylt. For det første er pliktene knyttet til de registrertes rettigheter i artiklene 12-22 bygget på prinsippene i artikkel 5. For det andre har retten til privatliv i EMK et videre nedslagsfelt enn personvernforordningen (et personopplysningsvern er en mer korrekt beskrivelse). Retten til privatliv i EMK kan omfatter derfor de grunnleggende prinsippene for behandling av personopplysninger.
  • I følge Artikkel 29-gruppen omfatter de registrertes «rettigheter og friheter» først og fremst personopplysningsvern og personvern. Det kan også omfatte andre grunnleggende rettigheter som ytringsfrihet, tankefrihet, bevegelsesfrihet, forbud mot diskriminering, retten til frihet, samvittighets- og religionsfrihet.

I neste kapittel vil vi utdype begrepet «høy risiko» nærmere.

Vurdering av sikkerhetsrisiko versus vurdering av personvernkonsekvenser

I artikkel 24, 25, 32 og 35 i forordningen stilles det krav til at behandlingsansvarlige og databehandlere skal gjøre risikovurderinger. Kravene til risikovurderinger gjelder risiko for de registrertes rettigheter og friheter. Vurderingen av risiko relateres blant annet til behandlingens art, omfang, formål og sammenhengen den utføres i. Felles for risikovurderingene er at det skal gjøres en verdivurdering og en trusselvurdering relatert til personopplysningene og til de registrertes rettigheter og friheter.

I artikkel 32 relateres risikovurderingen til personopplysningssikkerhet for behandlingen. Denne risikovurderingen skal alltid gjennomføres før alle behandlinger og oppdateres regelmessig og ved endringer. Risikovurderingen skal identifisere områder som kan medføre utilsiktet eller uautorisert (ulovlig) tilgang, endring, sletting, tap eller utlevering av personopplysninger. Målet med vurderingen er å få kunnskap om hvilke risiko som eksisterer. Dette er nødvendig for å kunne iverksette tilstrekkelig risikoreduserende tiltak så man kan oppnå et akseptabelt sikkerhetsnivå ved behandlingen.

I artikkel 35 relateres risikovurderingen til personvernkonsekvenser (DPIA). Den skal gjennomføres for behandlingsaktiviteter som sannsynligvis «vil medføre en høy risiko for fysiske personers rettigheter og friheter». Slik Datatilsynet forstår dette kravet, er hensikten å håndtere risiko i inngripende behandlinger som medfører økt fare for å krenke fysiske personers rettigheter og friheter. Sikkerhetstiltak vil ikke nødvendigvis redusere denne faren og en behandlingsansvarlig må i stedet finne risikoreduserende tiltak ved å endre på hvordan behandlingen skal utføres og hvordan rettighetene ivaretas. I denne vurderingen anbefaler vi at virksomheten tar den registrertes perspektiv ved gjennomføring av DPIA.

Den registrertes perspektiv

Modell av de registrertes perspektivVerdiene det er ønske om å beskytte i en vurdering av personvernkonsekvenser, er de registrertes rettigheter og friheter. Det vil både si de registrertes rettigheter etter personvernforordningen, og andre grunnleggende rettigheter som retten til privatliv, kommunikasjonsvern, ytringsfrihet, tankefrihet, bevegelsesfrihet, forbud mot diskriminering, retten til frihet og samvittighets- og religionsfrihet.

Illustrasjonen viser de viktigste målene for å sikre reell innfrielse av disse rettighetene og frihetene når konteksten er en behandling med høy risiko for å ikke innfri disse rettighetene: 

  1. Medbestemmelse. For å oppnå medbestemmelse kan det innføres tiltak som sikrer den registrerte reell innflytelse på hvordan hans eller hennes personopplysninger skal behandles.

    Eksempler på tiltak kan være særskilt spesifisering av samtykke, regelmessig fornying av samtykke, å innhente nytt samtykke fra barn når de når samtykkealder eller en særskilt tilrettelagt innsynsløsning med muligheter for redigering, sletting og tilbaketrekking av samtykke. Et annet eksempel er å gi reell mulighet til reservasjon når behandlingsgrunnlaget er interesseavveiingen i artikkel 6 bokstav f.
  2. Åpenhet. Dette kan oppnås ved at virksomheten innfører tiltak som sikrer reell åpenhet omkring alle sider av behandlingen av personopplysninger. Dette vil typisk være tiltak knyttet til informasjon og innsyn.

    Eksempler på dette er regelmessig informasjon om behandlingen, særskilt varsel før overføring av personopplysninger fra et register til et annet eller en særskilt tilrettelagt innsynsløsning med oversikt over hvor opplysninger blir utlevert, tegninger som illustrerer dataflyt, mulighet for dataportabilitet og lav terskel for å informere om sikkerhetsavvik. Åpenhet omfatter også informasjon om organisatoriske og tekniske tiltak som beskytter personopplysningene, og informasjon om programvare og algoritmer som benyttes og liknende.
  3. Forutsigbarhet. Virksomheten kan innføre tiltak for å gjøre en behandling av personopplysninger mindre kompleks og dermed lettere å forstå.

    Eksempler kan være spesifisering av formålene for behandlingene, å ha klare kriterier for hvorfor en person inkluderes i et utvalg for forskning, å innføre klare begrensninger for kobling mellom registre, å redusere antall variabler, og å redusere lagringstid for opplysningene.
  4. Tillit. Tillit kan skapes ved at virksomheten demonstrerer at medbestemmelse, åpenhet og forutsigbarhet er reelle mål. Dere kan også vise at dere tar personvern på alvor ved å bruke ressurser på prosesser og funksjonalitet som reelt sett styrker den registrertes posisjon til å ivareta sine rettigheter og friheter.

Risiko må vurderes kontinuerlig

I overensstemmelse med den risikobaserte metoden i forordningen er det ikke obligatorisk å utføre en vurdering av personvernkonsekvenser for hver behandling. Det er i stedet kun krav om å utføre en vurdering av personvernkonsekvenser dersom behandlingen sannsynligvis «vil medføre en høy risiko for fysiske personers rettigheter og friheter» (artikkel 35 nr. 1).

Selv om vilkårene som utløser plikten til å gjennomføre en vurdering av personvernkonsekvenser ikke er oppfylt, reduseres ikke den behandlingsansvarliges generelle plikter til å gjennomføre tilstrekkelige tiltak for håndtering av risiko relatert til de registrertes rettigheter og friheter. I praksis innebærer dette at behandlingsansvarlige kontinuerlig må vurdere risikoen som oppstår ved deres behandlingsaktiviteter for å identifisere når en type behandling sannsynligvis «vil medføre en høy risiko for fysiske personers rettigheter og friheter».

Følgende figur illustrerer trinnene i en prosess for vurdering av personvernkonsekvenser (DPIA):

Trinnene ved vurdering av personvernkonsekvenser

Hva skal vurderes?

For å bestemme risiko, må vi derfor si noe om konsekvensen av at de registrertes rettigheter og friheter ikke blir tilstrekkelig ivaretatt og sannsynligheten (kvantifisering av usikkerhet) for at dette vil skje.

Det som skal vurderes er konsekvensen av og sannsynligheten for at (ikke-uttømmende liste):

  • personopplysninger behandles uten rettslig grunnlag
  • personopplysninger behandles på en ikke rettferdig måte
  • det ikke er tilstrekkelig åpenhet rundt behandlingen av personopplysninger
  • det samles inn mer personopplysninger enn det som er nødvendig for formålet
  • personopplysningene som behandles ikke er korrekte
  • personopplysninger lagres lengre enn det som er nødvendig for formålet
  • den registrerte ikke får tilstrekkelig informasjon til å gjøre et informert valg
  • den registrerte ikke får innsyn i hvilke personopplysninger som er lagret
  • den registrerte ikke får korrigert eller slettet sine personopplysninger
  • det ikke er lagt til rette for dataportabilitet
  • de registrertes rettigheter ikke ivaretas ved profilering
  • behandlingen kan resultere i diskriminering
  • behandlingen begrenser ytringsfrihet og religionsfrihet

Konsekvensen av at rettighetene og frihetene ovenfor ikke blir innfridd kan være både fysisk, materiell og ikke-materiell skade. Noen eksempler på skade som er fremhevet i personvernforordningens fortale (punkt 75) er:

  • forskjellsbehandling
  • identitetstyveri eller -bedrageri
  • økonomisk tap
  • skade på omdømme
  • tap av fortrolighet for taushetsbelagte personopplysninger
  • uautorisert oppheving av pseudonymisering
  • andre økonomiske eller sosiale ulemper
19