Må jeg gjennomføre risikovurdering eller personvernvurdering (DPIA)? Hva innebærer det?
En vurdering av personvernkonsekvenser kalles gjerne en DPIA (Data Protection Impact Assessment). Dersom det er sannsynlig at planlagt behandling av personopplysninger vil medføre høy risiko for personers personvern, må behandlingsansvarlig foreta en vurdering av konsekvensene av behandlingen. Datatilsynet har også utarbeidet en liste over behandlingstyper som alltid krever en vurdering (DPIA), som du finner du her.
En DPIA innebærer en systematisk beskrivelse av behandlingen (kartlegging), en vurdering av nødvendigheten, proporsjonaliteten og risikoen ved behandlingen. Planlagte tiltak for å håndtere risikoen skal så beskrives. Til slutt skal ledelsen hos behandlingsansvarlig godkjenne personvernkonsekvensvurderingen.
Ta kontakt med oss her dersom du trenger hjelp med å gjennomføre en DPIA.