Personvern

Personvernkonsekvensvurdering (DPIA)

En strukturert vurdering av personvernrisiko — påkrevd når behandlingen kan gi høy risiko for de registrerte.

Hvorfor det er viktig

DPIA er ikke et skjema for å bli ferdig, men verktøyet som avdekker at dere er i ferd med å bygge noe dere ikke burde. Den skal gjøres før utviklingen starter — etterpå er den bare dokumentasjon av valg som allerede er tatt.

Eksempel på kravformulering

Det skal gjennomføres personvernkonsekvensvurdering før utvikling starter der behandlingen kan medføre høy risiko for de registrertes rettigheter, herunder ved profilering, behandling av særlige kategorier personopplysninger, eller systematisk overvåking. Vurderingen skal dokumentere formål, rettslig grunnlag, risiko og tiltak, og oppdateres ved vesentlige endringer.

Tilpass tallene til deres virkelighet — et krav du ikke kan begrunne, er et krav du ikke bør stille.

Slik verifiserer du det

Se på tiltakene: er de konkrete og gjennomførte, eller er de ønsker? En DPIA som konkluderer med «risikoen er akseptabel» uten tiltak, er ikke en vurdering.

Fallgruver

Å gjøre DPIA-en til slutt, som en formalitet. Da har dere allerede bygget det, og konklusjonen blir deretter. Og å hoppe over den fordi «vi behandler jo bare navn og e-post» — omfanget og formålet avgjør, ikke magefølelsen.

AI-perspektiv

AI-funksjoner som profilerer eller påvirker enkeltpersoner utløser ofte både DPIA-plikt og krav i EUs AI-forordning. Vurder dem samlet, ikke hver for seg.

Slik skriver du en kravspesifikasjon som fungerer →

← Alle krav  ·  Til hovedguiden