Vurdering av personvernulempe og DPIA

All behandling av personopplysningar inneber ei viss ulempe for personvernet. Om ulempa for deltakarane i eit forskingsprosjekt er høg eller låg, påverkar vurderingstida og behovet for å fylle ut ein DPIA – ei personvernkonsekvensvurdering.

Kva er DPIA?

Forkortinga DPIA kjem frå engelsk - Data Protection Impact Assessment – som på norsk er oversatt til personvernkonsekvensvurdering.

Vurdere ulempa for personvernet

I vurdering av ulempa for personvernet er det ulike faktorar som speler inn, mellom anna: 

  • Kor mange opplysningar som blir registrerte: per person og totalt i prosjektet 
  • Kor sensitive opplysningane er 
  • Kor godt data blir sikra
  • Kor lenge dataa blir oppbevarte 
  • Kor mange som har tilgang 

Prosjekt med høg ulempe for personvernet må gjennomføre ei meir omfattande vurdering, ei såkalla personvernkonsekvensvurdering (DPIA).

Kva bør du tenkje gjennom?

Før du melder inn prosjektet, tenk gjennom kva for faktorar som bidreg til ulempe for personvernet, og om det er mogleg å redusere denne ulempa. Til dømes:

  • Er alle variablane nødvendige for å oppnå formålet?
  • Kan de unngå å registrere særlege kategoriar?
  • Kan det vere mogleg å anonymisere datamaterialet tidlegare?
  • Treng heile prosjektgruppa tilgang til alt materialet?
  • Kan det leggjast til ytterlegare sikringstiltak? 

Eit prosjekt med høgare personvernulempe krev generelt ei meir omfattande vurdering.

Auka personvernulempe medfører også høgare krav til prosjektet: At prosjektet er godt strukturert, at opplysningane blir lagra på ein sikker måte, osv. 

DPIA for prosjekter med høg personvernulempe 

I prosjekt der den planlagde behandlinga av personopplysningar inneber relativt høg risiko for rettane og fridomen til dei registrerte, må det gjennomførast ei personvernkonsekvensvurdering, jf. personvernforordninga art. 35. 

Ein DPIA (Data Protection Impact Assessment) er ei meir omfattande vurdering som inneheld:

  • ei systematisk beskriving av den planlagde behandlinga av personopplysningar 
  • vurdering av om behandlingsaktivitetane er nødvendige og står i rimeleg forhold til formålet 
  • analyse av risiko for dei registrertes rettar og fridommar 
  • planlagde tiltak for å handtere risikoane 

Målet med ein DPIA er å redusere personvernrisikoen i ei slik grad at behandlinga kan gjennomførast i samsvar med personvernforordninga, utan førehandsdrøfting med Datatilsynet.

Korleis går prosessen med DPIA føre seg?

Prosjektansvarleg, ein personvernrådgivar frå Sikt og eventuelt andre involverte fyller ut ein DPIA i felleskap.

Når vi har blitt einige om eit utkast, blir DPIA-en sendt til leiinga ved behandlingsansvarleg institusjon for godkjenning. 

Det er behandlingsansvarleg institusjon (ved leiinga) som avgjer om personvernkonsekvensvurderinga er tilfredsstillande utført.

Dei avgjer også om personvernrisikoen er redusert til eit akseptabelt nivå, slik at behandlinga kan gjennomførast, eller om det er nødvendig med førehandsdrøfting med Datatilsynet. 

Kontakt personverntenestene til Sikt

  • Melding: Logg inn på minforskning.sikt.no og kontakt rådgivar via melding.
  • Chat: Er open kvardagar kl. 12–14. Stengt onsdagar.
  • Telefon: +47 73 98 40 40 kvardagar kl. 10–12. Stengt onsdagar.

Relaterte sider om personvern i forsking