Ny veileder: Mal for personvernkonsekvensvurdering (DPIA) med veiledning til utfylling
Oppdatering: Høringen er avsluttet og den endelige versjonen av veiledningen og malen er publisert her.
Direktoratet for e-helse sender 19.10.2021 utkast til en ny veileder på høring: "Mal for personvernkonsekvensvurdering (DPIA) med veiledning til utfylling". Merk fristen: 30.11.2021
En vurdering av personvernkonsekvenser (Data Protection Impact Assessment, DPIA) skal sikre at personvernet til dem som er registrert i løsningen ivaretas. Dette er en plikt etter Personvernforordningen (GDPR) artikkel 35.
Den dataansvarlige skal gjøre en slik personvernkonsekvensvurdering hvis det er sannsynlig at en behandling medfører høy risiko for de registrerte.
Veilederen er en PDF der både mal og veileder er samlet (last ned høringsutkastet).
Selve malen vil i endelig versjon også bli publisert i en Word-versjon ved siden av. Veilederen vil få en egen side på ehelse.no der dokumentene og dokumentinformasjon er samlet.
Målgruppe for høringen
Målgruppen for høringen er virksomheter som skal vurdere om de skal gjennomføre, og gjennomføre en personvernkonsekvensvurdering. I tillegg inviterer vi også andre relevante aktører til å sende inn høringsuttalelse.
Videreutvikling av Mal for DPIA fra 2019
Veilderen er en videreutvikling av Direktoratet for e-helses Mal for DPIA som ble publisert i 2019.
Direktoratet for e-helse var tidlig ute med å utarbeide en mal for personvernkonsekvensvurdering, og mange har hatt nytte av den. Det har nå gått tre år siden malen ble utarbeidet, og mange dataansvarlige har gjort seg erfaringer om hvordan personvernkonsekvensvurdering kan gjennomføres og hva vurderingen bør inneholde.
I dialog med helse- og omsorgssektoren, har Direktoratet for e-helse fått flere tilbakemeldinger på den eksisterende malen. Disse svært nyttige innspillene har indikert behov for å oppdatere og forenkle både format og språk.
Kort om personvernkonsekvensvurdering
Dataansvarlige i helse- og omsorgssektoren behandler ofte et stort omfang av sensitive personopplysninger og personopplysninger om svært personlige forhold. Behandlingen av personopplysninger kan ofte påvirke den registrerte i stor grad, og ha betydning for pasientsikkerheten og hvilken oppfølging den registrerte får.
Dataansvarlige i helse- og omsorgssektoren er også ofte involvert i forskningsprosjekter som samler inn et stort omfang av personopplysninger. Forskningsprosjektene kan eksempelvis innebære forsøk på å identifisere eller forutse egenskaper hos de registrerte.
Dette tilsier at dataansvarlige i helse og omsorgssektoren ofte vil stå overfor behandling av personopplysninger som kan medføre høy risiko for de registrertes rettigheter og friheter, og en plikt til å utføre personvernkonsekvensvurdering. Direktoratet for e-helse har laget veilederen for å gi dataansvarlige i sektoren verktøy og støtte som underbygger denne prosessen.
Helse- og omsorgssektoren består av virksomheter av svært forskjellig størrelse og karakter. Dataansvarlige som er små virksomheter, kan ha begrenset tilgang til personell med fagkompetanse innen personvernregelverket.
Disse virksomhetene kan derfor ha et særskilt behov for detaljerte maler og utfyllende veiledning. Også hos større virksomheter med høy kompetanse innen personvern, kan det være usikkerhet rundt personvernkonsekvensvurderingers innhold og når de skal gjennomføres.
Om veilederen som er på høring
Følgende prinsipper er lagt til grunn for den nye veilederen:
- Veilederen skal fungere som:
- Grunnlag for dokumentasjon av gjennomført personvernkonsekvens-vurdering, eventuelt dokumentasjon på at det ikke har vært nødvendig.
- Veiledning gjennom prosessen som personvernkonsekvensvurderingen utgjør.
- Selve malen skal ikke inneholde veiledning til utfylling eller prosess, med mindre dette er nødvendig.
- Det skal komme tydelig frem når malen ber om fakta og når den ber om vurderinger.
- Veilederen og malen skal være anvendelig uavhengig av kompetansenivå innen personvern.
- Tidligere utarbeidet dokumentasjon skal kunne gjenbrukes i størst mulig grad.
- Malen skal legge til rette for gjenbruk og deling av personvernkonsekvensvurdering internt og mellom virksomheter.
- Bruk av malen skal gi tilstrekkelig grunnlag for dokumentasjon og beslutning, mens veilederen gir nødvendig veiledning i å gjennomføre en personvernkonsekvensvurdering ved å fylle ut malen.
Malen og veiledning til utfylling av malen er etter Direktoratet for e-helses forvaltningsmodell for normerende dokumenter, et produkt på normeringsnivå «Veileder». Veileder er det laveste normeringsnivået. Virksomheter i sektoren vil ikke bli pålagt å benytte denne mal for personvernkonsekvensvurdering (DPIA), men det anbefales. Bruk av samme mal kan legge til rette for mer deling av personvernkonsekvensvurderinger.
Dette ønsker Direktoratet for e-helse tilbakemeldinger på:
- Er dette en hensiktsmessig utforming av en mal for personvernkonsekvensvurdering til bruk i helse- og omsorgssektoren?
- Dekker veiledningen til utfylling det meste av det virksomheten bør være oppmerksom på når den gjør en personvernkonsekvensvurdering?
- Er formatet på produktet hensiktsmessig? (PDF med både mal og veiledning til utfylling, samt mal i word-format)
Hvis svaret på et eller flere av spørsmålene er at veilederen ikke er god nok, vil Direktoratet for e-helse gjerne ha innspill på hvilke tilpasninger som vil bidra til å øke kvalitet og brukervennlighet på produktet.
Om høringsprosessen
Invitasjon til å gi høringssvar er sendt ut til en rekke virksomheter og organisasjoner (se liste under), men vi understreker at høringen er åpen for andre som ønsker å gi innspill.
Informasjon om denne åpne høringen spres til relevante fora, som for eksempel personvernombudsfora, kommunale Digi-fora, Nasjonal velfredsteknologiprogram og Normens styringsgruppe.
Denne veilederen er ikke et tiltak som etter utredningsinstruksen må sendes på høring, men det gjøres for involvering og for å få gode innspill. Høringstid er derfor satt til 6 uker, med frist 30. november 2021.
Innspill merkes med sak 21/699 og sendes til postmottak@ehelse.no
Direktoratet for e-helse tar imot høringssvar fortløpende i høringsperioden. Alle høringssvar samt en oppsummering av hovedpunkter i svarene vil bli publisert på denne høringssiden.
Kontaktperson for høringen er Aasta Margrethe Hetland (trykk for e-post).
Høringsinstanser
(Merk som nevnt over at høringen er åpen og at andre relevante aktører enn de som står på listen også er velkomne til å sende inn høringssvar)
Helseforetak og regionale helseforetak
Helse Nord RHF
Finnmarkssykehuset HF
Helgelandssykehuset HF
Nordlandssykehuset HF
Universitetssykehuset Nord-Norge HF
Helse Midt-Norge RHF
Helse Møre og Romsdal HF
Helse Nord-Trøndelag HF
St. Olavs Hospital HF
Helse Sør-Øst RHF
Akershus universitetssykehus HF
Oslo universitetssykehus HF
Sunnaas sykehus HF
Sykehuset i Vestfold HF
Sykehuset Innlandet HF
Sykehuset Telemark HF
Sykehuset Østfold HF
Sørlandet sykehus HF
Vestre Viken HF
Helse Vest RHF
Helse Bergen HF
Helse Fonna HF
Helse Førde HF
Helse Stavanger HF
Helse Midt-Norge IT
Helse Nord IKT
Helse Vest IKT
Sykehuspartner HF
Nasjonal IKT HF
Organisasjoner
Norsk sykepleierforbund, NSF
Den norske legeforening
Norsk fysioterapeutforbund
Norsk psykologforening
Den norske tannlegeforening
Folkehelseinstituttet
Statens helsetilsyn
Norsk Helsenett SF
Helsedirektoratet
KS
Datatilsynet
Digitaliseringsdirektoratet
KINS – Foreningen kommunal informasjonssikkerhet
Merkes med sak 21/699 og sendes til postmottak@ehelse.no
Høringsdokument (PDF)