Når EUs personvernforordning (GDPR) blir norsk lov i mai, blir det ikke lenger bare en anbefaling, men en plikt å vurdere konsekvenser ved behandling av personopplysninger. Vurderingen skal være en systematisk prosess med innføring av tiltak for å avverge trusler mot personvernet.
Vurdering av personvernkonsekvenser skal foretas for nye produkter, tjenester og systemer. Særlig er det aktuelt å gjøre en slik vurdering når det tas i bruk ny teknologi. Da skal potensielle konsekvenser fra alle interessenters synsvinkel bli identifisert og evaluert. Plikten til å gjøre dette ligger hos den behandlingsansvarlige og personvernombudet.
Konsekvensvurderingen skal blant annet inneholde beskrivelse av
- Behandlingsaktivitetene
- Formålet
- Nødvendigheten av aktivitetene
- Risikoen
- Planlagte tiltak
Vurderes risikoen som høy, skal det foretas forhåndsdrøftelse med Datatilsynet.
Risikovurdering og vurdering av personvernkonsekvenser er ikke helt det samme. Sistnevnte er å se på hvordan man skal håndtere risiko for de registrertes rettigheter og friheter, mens en risikovurdering er å vurdere hvor sannsynlig det er at uønskede hendelser skal skje.
Disse vurderingene er en del av det omfattende arbeidet som må gjennomføres før mai neste år. For å komme i gang har vi laget en gratis huskeliste som du kan laste ned.
