Når EUs personvernforordning (GDPR) blir norsk lov i mai, blir det ikke lenger bare en anbefaling, men en plikt å vurdere konsekvenser ved behandling av personopplysninger. Vurderingen skal være en systematisk prosess med innføring av tiltak for å avverge trusler mot personvernet.
Vurdering av personvernkonsekvenser skal foretas for nye produkter, tjenester og systemer. Særlig er det aktuelt å gjøre en slik vurdering når det tas i bruk ny teknologi. Da skal potensielle konsekvenser fra alle interessenters synsvinkel bli identifisert og evaluert. Plikten til å gjøre dette ligger hos den behandlingsansvarlige og personvernombudet.
Konsekvensvurderingen skal blant annet inneholde beskrivelse av
Vurderes risikoen som høy, skal det foretas forhåndsdrøftelse med Datatilsynet.
Risikovurdering og vurdering av personvernkonsekvenser er ikke helt det samme. Sistnevnte er å se på hvordan man skal håndtere risiko for de registrertes rettigheter og friheter, mens en risikovurdering er å vurdere hvor sannsynlig det er at uønskede hendelser skal skje.
Disse vurderingene er en del av det omfattende arbeidet som må gjennomføres før mai neste år. For å komme i gang har vi laget en gratis huskeliste som du kan laste ned.