Vurdering av personvernulempe og DPIA

All behandling av personopplysninger innebærer en viss ulempe for personvernet. Om ulempen for deltakerne i et forskningsprosjekt er høy eller lav, påvirker vurderingstiden og behovet for å fylle ut en DPIA – en personvernkonsekvensvurdering.

I vurdering av ulempen for personvernet er det ulike faktorer som spiller inn, blant annet: 

  • Hvor mange opplysninger som registreres: per person og totalt i prosjektet 
  • Hvor sensitive opplysningene er 
  • Hvor godt dataene sikres 
  • Hvor lenge dataene oppbevares 
  • Hvor mange som har tilgang 

Prosjekter med høy ulempe for personvernet må gjennomføre en mer omfattende vurdering, en såkalt personvernkonsekvensvurdering (DPIA).

Hva bør du tenke gjennom?

Før du melder inn prosjektet, tenk gjennom hvilke faktorer som bidrar til ulempe for personvernet, og om det er mulig å redusere denne ulempen. For eksempel:

  • Er alle variablene nødvendige for å oppnå formålet?
  • Kan dere unngå å registrere særlige kategorier?
  • Kan det være mulig å anonymisere datamaterialet tidligere?
  • Trenger hele prosjektgruppen tilgang til alt materialet?
  • Kan det legges til noen ytterligere sikringstiltak? 

Et prosjekt med høyere personvernulempe krever generelt en mer omfattende vurdering.

Økt personvernulempe medfører også høyere krav til prosjektet og avveiningen som gjøres: At prosjektet er godt strukturert, at opplysningene lagres på en sikker måte osv. 

DPIA for prosjekter med høy personvernulempe 

I prosjekter hvor den planlagte behandlingen av personopplysninger innebærer relativt høy risiko for de registrertes rettigheter og friheter, må det gjennomføres en personvernkonsekvensvurdering (DPIA) jf. personvernforordningen art. 35. 
 
En DPIA (Data Protection Impact Assessment) er en mer omfattende vurdering som inneholder: 

  • en systematisk beskrivelse av den planlagte behandlingen av personopplysninger 
  • vurdering av om behandlingsaktivitetene er nødvendige og står i rimelig forhold til formålet 
  • analyse av risiko for de registrertes rettigheter og friheter 
  • planlagte tiltak for å håndtere risikoene 

Målet med en DPIA er å redusere personvernrisikoen i en slik grad at behandlingen kan gjennomføres i samsvar med personvernforordningen, uten forhåndsdrøfting med Datatilsynet.

Hvordan foregår prosessen med DPIA?

Prosjektansvarlig, en personvernrådgiver fra Sikt og eventuelt andre involverte fyller ut en DPIA i felleskap.

Når vi er blitt enige om et utkast, oversendes DPIA-en til ledelsen ved behandlingsansvarlig institusjon for godkjenning. 
 
Det er behandlingsansvarlig institusjon (ved ledelsen) som bestemmer om personvernkonsekvensvurderingen er tilfredsstillende utført.

De avgjør også om personvernrisikoen er redusert til et akseptabelt nivå slik at behandlingen kan gjennomføres, eller at det er nødvendig med forhåndsdrøfting. 

Relaterte sider om personvern i forskning

Kontakt med personverntjenester

  • Meldingsdialog: Etter at du har sendt inn et meldeskjema, kan du bruke meldingsdialogen til spørsmål og avklaringer. Logg inn på Min side.
  • Chat: Du kan chatte med oss direkte på hverdager mellom 12–14.
  • Telefon: Du kan ringe oss på 73 98 40 40 hverdager mellom 8–15.30.