Fasilitering av Personverkonsekvensvurdering (DPIA) v. 2.0

Hensikt og omfang 

Denne prosedyren skal brukes når Hemit skal fasilitere en personvernkonsekvensvurdering (heretter kalt DPIA) på vegne av en eller flere virksomheter i Helse Midt-Norge. 

Det betyr at fasilitator ikke representerer dataansvarlig, men fasiliterer på vegne av en dataansvarlig. Det er derfor nødvendig med prosedyre og rutiner for å sikre saksbehandlingen, slik at beslutninger blir fattet på riktig nivå i riktig organisasjon.  

Denne prosedyren beskriver hvem som må involveres i gjennomføring av DPIA og i saksbehandlingen, hvilke roller, med definert ansvar. 

Den fastsetter også hvordan saksbehandlingen skal foregå. 

 

Ansvar 

  • Hemit
    • En fasilitator fra Hemit leder gjennomføringen.
    • Juridisk rådgiver i Hemit skal ved behov bistå og rådgi den i Hemit som leder gjennomføringen. 
    • Hvis fasilitering av DPIA er bestilt som oppdrag/del av oppdrag:  
    • Sørg for at kostnadssted/WBS for dekning av kostnader for Hemit-timer er på plass før arbeidet starter. 
    • Hvis DPIA gjelder flere dataansvarlige og kostnadssted/WBS mangler fra noen: Gjør kontaktpersonene hos alle dataansvarlige oppmerksom på at dette må være på plass før arbeidet kan startes.  
  • Bestiller
    • Den som bestiller DPIA må sørge for å finne en kontaktperson hos dataansvarlig som har ansvar for følgende: 
      • Avklare hvilke ressurser som skal delta i DPIA fra dataansvarlig. 
      • Avklare hvem som skal godkjenne DPIA i det enkelte HF.
      •  Informere i bestillingen om kostnadssted/WBS for dekning av kostnader for Hemit-timer. 
          
  •  Kontaktperson
    • Representerer dataansvarlig. Skal være den som tar nødvendige avklaringer ifm. DPIA-arbeidet internt i egen virksomhet, og utføre andre oppgaver tillagt kontaktperson beskrevet i denne prosedyren. 
    • Avklare kostnadssted i egen virksomhet hvis dette ikke er oppgitt av bestiller.   
       
  • Deltaker fra dataansvarlig
    •  Innhente informasjon som dataansvarlige har ansvar for (herunder behandlingens formål og behandlingsgrunnlag). 
    • Gi informasjon om hvordan databehandlingen foregår fra brukerperspektiv. 
    • Innhente dokumentasjon fra leverandør når dette er nødvendig, hvis dataansvarlig selv har inngått eller skal inngå avtale med leverandør. 
    • Gi råd om tiltak og utarbeide en handlingsplan basert på identifiserte tiltak. 
    • Innhente synspunkt fra de registrerte eller representanter for de registrerte dersom det er relevant. 
       
  •  Personvernombud hos dataansvarlig
    • Gi råd og vurdering til DPIA. 

 

  • Ledelse ved dataansvarlig (risikoeier) 
    • Skal beslutte om behandlingen av personopplysninger skal gjennomføres eller om den skal avbrytes/ ikke gjennomføres.  

 

Definisjoner 

Begrep 

Definisjon 

Data Protection Impact Assessment (DPIA) 

Dette er en vurdering av hvilke personvernkonsekvenser en behandling vil ha. 

Behandling 

Enhver operasjon eller rekke med operasjoner som gjøres med personopplysninger, f.eks. lagring, innsamling, anonymisering, overføring, formidling etc. 

Behandlingsansvarlig/dataansvarlig 

Den som bestemmer formålet med behandlingen av personopplysninger og virkemidlene som skal brukes. Hvert enkelt helseforetak er dataansvarlig. 

Dataansvarlig er ansvarlig for at DPIA blir gjennomført når det er nødvendig.  

Databehandler 

Den som behandler personopplysninger på vegne av dataansvarlige. I HMN er Hemit en av databehandlerne for HF, Hemit har igjen underdatabehandlere. 

Registrerte 

Den fysiske personen opplysningene gjelder. 

Personvernombud 

Person med uavhengig stilling som skal følge med om virksomheten etterlever forordningen, bistår med råd i personvernspørsmål og er kontaktperson for registrerte og Datatilsynet. 

Risikoeier/beslutningstaker 

 

Risikoeier/beslutningstaker er som oftest systemeier, ref. Dokument «Organisering av informasjonssikkerhets- og personvernarbeidet i Helse Midt-Norge», ID 892 - EQS (helse-midt.no), se kap. 5.2.4. 

Den hos dataansvarlig som har myndighet og plikt til å beslutte om DPIA skal gjennomføres eller ikke, og også til slutt godkjenne gjennomført DPIA og tiltak som eventuelt er beskrevet. 

Fasilitator 

Hemit-ansatt. Den som leder DPIA-prosessen. Har ansvar for å følge vedtatt metodikk for gjennomføring av DPIA. 

Bestiller 

Den som bestiller fasilitator fra Hemit. Bestiller kan være representant fra dataansvarlig, men det kan også være en Hemit-ansatt som bestiller på vegne av dataansvarlig. 

Kontaktperson 

Representerer dataansvarlig i DPIA-arbeidet, og er fasiltators faste kontaktpunkt hos dataansvarlig. 

 

  

Arbeidsbeskrivelse 

Vurdering av om det skal gjennomføres DPIA 

Det er ikke alle behandlinger det skal gjennomføres DPIA for. DPIA skal gjennomføres når det er sannsynlig at en behandling vil medføre en høy risiko for de registrertes rettigheter og friheter. 

Før man starter med en DPIA må man derfor vurdere om det er behov for en DPIA. Undersøk først om det tidligere er gjennomført DPIA for en lignende behandling og om den i så fal kan gjenbrukes. 

Bruk veilederen som følger malen for å fylle ut B1. Innhent råd fra personvernombud ved behov. Veilederen inneholder også informasjon om og lenker til andre veiledere, bl.a. veiledere fra Datatilsynet. 

 
Beslutning av om DPIA skal gjennomføres eller ikke: 

Ved ja: 
Hvis kap. B1 (Indikasjoner på at personvernkonsekvensvurdering må gjennomføres) klart tilsier at det er nødvendig å gjennomføre DPIA, trengs ikke noen videre saksbehandling med beslutning på dette.  
 

Ved tvil:  

Be om råd fra personvernombud, enten i Hemit eller hos dataansvarlig. 

Hvis det er flere dataansvarlige: Send saken til RIF for behandling. 

 

Ved nei: 

Hvis kap. B1 (Indikasjoner på at personvernkonsekvensvurdering må gjennomføres) tilsier at det ikke er nødvendig å gjennomføre DPIA: 

  • Skriv begrunnelse for dette i B5. 
  • Kontaktperson hos dataansvarlig sender rapporten til beslutningstaker for vurdering og beslutning. 
  • Beslutningstaker gis en tidsfrist på 2 uker. 
  • Kontaktperson formidler beslutningstakers uttalelse til fasilitator. 
  • Er ikke beslutning formidlet til fasilitator innen 3 uker, er det å betrakte som om at DPIA ikke skal gjennomføres. Hvis beslutning om at DPIA skal gjennomføres tas etter disse 3 ukene, må ny bestilling sendes til Hemit. 
  • Fasilitator oppdaterer kap. B5 med beslutningstakers uttalelse, ev. med at beslutning mangler. Legg inn informasjon om dato og hvem som har besluttet, der beslutning foreligger. 
  • Fasilitator sender ferdig dokument til kontaktperson for arkivering og videre oppfølging.  
  • Fasilitator arkiverer dokument i Hemits arkivsystem, som utgående dokument til dataansvarlig. 

 

RIF og videre behandling ved tvil om DPIA skal gjennomføres:  

  •  Fasilitator sender saken til vurdering i RIF.  Saksframlegg til RIF:  
    • DPIA-utkast med utfylt del B med eventuelle vedlegg skal sendes til RIF.  
    • Det skal tydelig komme fram i saksframlegget at det skal vurderes om DPIA skal gjennomføres eller ikke. Arbeidsgruppas anbefaling skal også være tydelig. 
    • Legg med forslag til uttalelse fra RIF i saksframlegget, f.eks. slik: «Forslag til vedtak i RIF: RIF støtter arbeidsgruppas anbefaling om at DPIA av xxxxxx ikke er nødvendig.». 
    • Be om at RIF beslutter om egen uttalelse skal gjelde som felles uttalelse fra alle personvernombudene. 
  •  Fasilitator presenterer saken i RIF-møtet. 
  • Det er mulig for RIF å gi et samlet råd som kan tas med videre i saksbehandlingen. 
  • Hvis ikke alle PVO-ene var til stede i RIF-møtet: Fasilitator sender rapport og den felles uttalelsen til de som ikke deltok for å få tilslutning til denne, men spør også om PVO heller vil gi egen uttalelse. 
  • Fasilitator legger inn alle personvernombudenes/RIFs uttalelse i rapportens kap. B3. Ved uttalelse fra RIF: Legg inn informasjon om møtedato sammen med uttalelsen. 
  • Kontaktperson hos hver dataansvarlig sender rapporten til beslutningstaker i egen virksomhet for vurdering og beslutning.  
  • Beslutningstaker gis en tidsfrist på 2 uker. 
  • Kontaktperson formidler beslutningstakers uttalelse til fasilitator. 
  • Er ikke beslutning formidlet til fasilitator innen 3 uker, er det å betrakte som om at DPIA ikke skal gjennomføres. Hvis beslutning om at DPIA skal gjennomføres tas etter disse 3 ukene, må ny bestilling sendes til Hemit.  
  • Fasilitator oppdaterer kap. B5 med alle beslutningstakeres uttalelse og navn på alle beslutningstakerne. Det blir da én felles rapport for alle dataansvarlige.  
  • Ref. til punktet over: Fasiltator kan lage én rapport for hver dataansvarlig hvis dette virker mest hensiktsmessig. Fasilitator oppdaterer kap. B5 med beslutningstakers uttalelse, ev. med at beslutning mangler. Legg inn informasjon om dato og hvem som har besluttet i de respektive rapportene, der beslutning foreligger. 
  • Fasilitator sender ferdig dokument til kontaktperson hos dataansvarlig for arkivering og videre oppfølging.  
  • Fasilitator arkiverer dokument i Hemits arkivsystem, som utgående dokument til hver dataansvarlig. 

 

Gjennomføring av DPIA 

Deltakere 

Antall deltakere i DPIA-gjennomføring bør begrenses til et minimum, men det må sikres at deltakerne dekker behovet for kompetanse. Kompetanse som bør være dekket på DPIA: 

  • Fasilitator fra Hemit 
  • Kunnskap om løsningen som skal vurderes 
  • Teknisk kompetanse om den løsningen som velges. 
  • Kompetanse fra fagområdet som berøres (eksempelvis helsefaglig kompetanse, økonomi, HR etc.). HF har ansvar for å finne kompetanse fra berørte fagområder som kan delta. 

Fasilitator kaller inn aktuelle deltakere til gjennomføring av DPIA. 

Fasilitator kan rådføre seg med eller kalle inn juridisk rådgiver i Hemit ved behov. 

 

Mal 

Når Hemit leder gjennomføring av DPIA skal Mal for personvernkonsekvensvurdering (DPIA) HMNbenyttes. 

 

Veileder 

Det følger med en veileder til malen. Denne inneholder veiledning om hva en personvernkonsekvensvurdering er, hvordan malen kan brukes, veiledning til hvert enkelt punkt og en oversikt over viktige begreper som brukes i malen. 
Veileder for utfylling av mal for personvernkonsekvensvurdering 

 

Planlagte risikoreduserende tiltak 

Identifiser og velg tiltak for å redusere risikoen for de registrertes rettigheter og friheter. Ut fra tiltakene må man vurdere om risikoen er håndtert og akseptabel. 

Det er nærliggende at Hemit har en fremtredende rolle i å komme opp med forslag til tekniske tiltak for å redusere risikoen. 

 

Uttalelse fra berørte interessenter 

I de tilfeller det skal innhentes uttalelse fra andre interessenter, f.eks. fra representanter for de registrerte, skal dette gjøres av deltakere fra dataansvarlig. Deltakeren tar med tilbakemelding tilbake til fasilitator for innarbeiding i rapporten, i kap. E2. 

 

Uttalelse fra personvernombud i HF 

Etter at DPIA er fylt ut, sender fasilitator rapporten over til personvernombud som kan gi sin vurdering og sine råd.  
PVO sin vurdering skal være rådgivende for dataansvarlig, og fasilitator skal legge uttalelsen inn i DPIA-en før den sendes til beslutningstaker.  
 

RIF:  

Dersom den aktuelle behandlingen er felles for flere foretak, skal DPIA også vurderes i RIF.  

  •  Fasilitator sender saken til vurdering i RIF.  
  • DPIA-rapport med alle vedlegg skal sendes til RIF.  
  • Saksframlegg og presentasjon i RIF: 
    • Det skal tydelig komme fram i saksframlegget at det er gjennomført DPIA. 
    • Legg inn forslag til vedtak i RIF, f.eks.: «RIF tar saken til orientering.»  
    • Behandling i RIF er et tilbud om en felles presentasjon, og det vil være mulig for personvernombudene å gi en felles uttalelse basert på saksdokumentene og presentasjonen i RIF. Det skal ikke ligge noen føringer fra arbeidsgruppa til hvordan personvernombudenes uttalelse skal være. 
    • Arbeidsgruppas vurderinger og konklusjon ligger uansett i rapporten. Eventuelle risikoer inneholder også arbeidsgruppas vurderinger. 
    • Fasilitator presenterer DPIA-en i RIF-møtet. 
  • Etter behandling i RIF, skal hvert personvernombud gi sitt eget skriftlige råd til DPIA. Fasilitator sender umiddelbart etter RIF-møtet rapporten med vedlegg til alle personvernombud, i felles e-post. ELLER: Personvernombudene kan i RIF beslutte at de ønsker å komme med en felles uttalelse.  
    • PVO-ene kan velge å la uttalelse/råd ligge i ført referat fra RIF eller RIF kan be PVO-ene lage en felles formulering etter møtet.  
    • Hemits representant i RIF sørger for å formidle felles uttalelse til fasilitator, uavhengig av om denne blir gitt i RIF eller etter møtet. 
    • Det må da også klart komme fram at det ikke er nødvendig å innhente uttalelse fra hvert personvernombud. 
    • Informasjon om hvilke PVO-er som ikke deltok i RIF-møtet må også sendes til fasilitator.  
    • Tidsfrist: Senest 10 dager etter møtet i RIF. 
    • Hvis ikke alle PVO-ene var til stede i RIF-møtet: Fasilitator sender rapport og den felles uttalelsen til de som ikke deltok for å få tilslutning til denne, men spør også om PVO heller vil gi egen uttalelse. 

Rådet fra personvernombudet skal være med i beslutningsunderlaget som sendes til ledelsen hos dataansvarlig (risikoeier). 

Er det ikke kommet uttalelse fra personvernombud innen 10 dager, må DPIA sendes til beslutningstaker uten dette. Legg inn informasjon om at uttalelse fra personvernombud er forsøkt innhentet, men ikke mottatt, og at beslutningstaker selv bør rådføre seg med personvernombudet i egen virksomhet.  

 

Rapport fra DPIA 

Når det er innhentet uttalelser fra personvernombud og eventuelt også de berørte, må det innarbeides i rapporten:  

  • Fasilitator fra Hemit oppdaterer rapportenes kap. E3 med uttalelse fra alle personvernombudene, eller med opplysninger om at uttalelse fra personvernombud ikke er mottatt innen rimelig tid i, og at beslutningstaker bør innhente råd fra personvernombudet i egen virksomhet selv.  
  • Fasilitator sender rapport med eventuelle vedlegg til kontaktperson hos respektive dataansvarlig. Rapport med vedlegg skal sendes på e-post. 
  • Fasilitator arkiverer hver av disse e-postene i Elements, det skal opprettes én sak pr. dataansvarlig som gjennomfører DPIA. 
  • Kontaktperson hos dataansvarlig legger fram/sender rapport med vedlegg til beslutningstaker/risikoeier i egen virksomhet, og ber om at beslutning fattes.  
  • Kontaktperson ved dataansvarlig sender ledelsens beslutning til fasilitator fra Hemit. 
  • Fasilitator oppdaterer kap. E5 og E6 med alle mottatte uttalelser og navn på alle beslutningstakerne. Det blir da én felles rapport for alle dataansvarlige.  
  • Ref. til punktet over: Fasiltator kan lage én rapport for hver dataansvarlig hvis dette virker mest hensiktsmessig. Dette kan være nødvendig hvis risikoeiernes beslutning ikke er lik.  
  • Foreligger ikke beslutning fra ledelsen innen 4 uker fra DPIA-rapporten ble oversendt, avsluttes fasilitators oppdrag. Det er uansett dataansvarlig sin oppgave å fullføre denne delen av DPIA-en, inkludert å ta ansvar for at besluttede tiltak blir gjennomført.  

 

Arkivering 

Når beslutning fra ledelse er mottatt og lagt inn i rapporten: 

  • Fasilitator lager versjon 1.0 og sender denne som ferdig rapport til kontaktperson hos dataansvarlig for arkivering og videre oppfølging, på e-post. Versjon 1.0 skal kun sendes til de dataansvarlige der det er kommet uttalelse og beslutning fra risikoeier.  
  • Fasilitator arkiverer e-posten med rapport i Hemits arkivsystem, som utgående dokument til hver dataansvarlig. 

Arkivering og utsending av ferdige dokument er de siste oppgavene som fasilitator er forpliktet til å gjøre i DPIA-prosessen. 

 

Referanse 

        

         Lov om behandling av personopplysninger (personopplysningsloven) 

         Dokument «Krav og retningslinjer for klassifisering av informasjon i Helse Midt-Norge», ID 1116 - EQS (helse-midt.no)