Kort svar

DPIA bør brukes når risikoen for personer er høy, ikke som et papirarbeid i etterkant.

Start med å kontrollere om dagens praksis faktisk dekker om risikoen faktisk er høy, hva behandlingen gjør med de registrerte og hvilke tiltak som kan redusere risikoen.

Når dette ofte blir aktuelt

  • når virksomheten må avklare om risikoen faktisk er høy
  • når dere er usikre på om dagens praksis dekker hva behandlingen gjør med de registrerte
  • når ledelse eller styre trenger kontroll på hvilke tiltak som kan redusere risikoen

Det bedriften bør avklare først

SpørsmålHvorfor det betyr noe
Om risikoen faktisk er høyviser om plikt eller risiko faktisk er utløst
Hva behandlingen gjør med de registrertepeker på hvilke tiltak som haster mest
Hvilke tiltak som kan redusere risikoengjør det lettere å forklare og dokumentere vurderingen

Praktisk framgangsmåte

  1. Beskriv dagens praksis konkret før dere vurderer nye tiltak.
  2. Test om grunnlag, rutiner og dokumentasjon dekker om risikoen faktisk er høy.
  3. Lukk de største hullene først rundt hva behandlingen gjør med de registrerte.
  4. Sørg for løpende oppfølging og dokumentasjon av hvilke tiltak som kan redusere risikoen.

Dokumentasjon som ofte avgjør

Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:

  • kartlegging av hvilke personopplysninger virksomheten behandler
  • rutiner, policyer og avtaler som styrer behandlingen
  • risikovurderinger, protokoller og endringslogg
  • oversikt over systemer, leverandører og tilgangsnivåer

Vanlige feil

  • dagens praksis blir tatt for gitt uten at den testes mot faktiske krav og forhold
  • virksomheten beskriver et formål, men jobber i praksis på en annen måte
  • for mye data samles inn fordi ingen eier oppryddingen

Når bør dere hente konkret hjelp?

Når store datamengder, ansattdata, tredjelandsoverføring eller reell sikkerhetsrisiko er involvert, bør vurderingene forankres tydelig og sees samlet. Det gjelder særlig hvis dere kan bli møtt med tilsyn, krav om innsyn, økonomisk tap eller personlig ansvar.

Relaterte guider

Offentlige kilder og videre lesning