Logo for print

Malene er tilpasset Direktoratet for e-helses behandling av personopplysninger, men kan etter konkret tilpasning brukes i andre virksomheter. 

Følgende maler er utviklet:

Kartlegging og GAP-analyse

Mal for kartlegging av behandling av helse- og personopplysninger og rapportmal for kartlegging viste nåsituasjonen i direktoratet, og ble brukt som utgangspunkt for en GAP-analyse. En GAP-analyse går ut på å finne avstanden (GAP) mellom nåværende situasjon og ønsket situasjon.

Mal for GAP-analyse og rapportmal for GAP-analyse gav et samlet bilde av utfordringsområdene. Basert på dette ble det også utarbeidet en tiltaksliste med prioriteringer og tidsplan for hvordan utfordringene skal løses.

DPIA

GDPR stiller krav om at en Data Protection Impact Assessment (DPIA) eller personvernkonsekvensutredning skal gjennomføres dersom en behandling av personopplysninger vil medføre "høy risiko for fysiske personers rettigheter og frihet". Mal for DPIA er utviklet på bakgrunn av dette krav i GDPR. Det er tatt hensyn til Datatilsynets veiledning om DPIA. En del av teksten er hentet fra Datatilsynets sjekkliste for vurdering av personvernkonsekvenser. Malen inneholder blant annet spørsmål for vurdering av:

  • Systematisk behandling av personopplysninger inkludert vurdering av innebygd personvern
  • Formål med behandlingen
  • Behandlingens lovlighet
  • Nødvendighet og forholdsmessighet av behandlingen
  • Risiko for de registrertes rettigheter og friheter
  • Planlagte tiltak for å håndtere risikoene (garantier, sikkerhetstiltak og mekanismer)

Malen gir et bilde av momentene som bør vurderes i en DPIA. Den enkelte virksomhet som bruker malen må selv konkret vurdere innhold og omfang av egen DPIA. Tabellene i malen er ikke uttømmende og må tilpasses de enkelte behandlingene som omfattes av en DPIA.

Lenke til Datatilsynets veiledning om DPIA.

Lenke til Datatilsynets sjekkliste for vurdering av personvernkonsekvenser.

Tilpasning av malene

I utgangspunktet er malene utviklet spesielt for Direktoratet for e-helses GDPR-prosjekt. Det betyr at det kun er temaer og krav i GDPR som er relevante for direktoratet som er tatt med i malene.

Eventuelle nye krav i GDPR som uansett vil gi GAP i direktoratets behandling av personopplysninger, tas ikke med i GAP-analyse malen.

Dette gjelder særlig for krav som omhandler oversikt/protokoll over behandlinger (GDPR art. 30), avvikshåndtering (GDPR art. 33 og 34), DPIA (GDPR art. 35) og forhåndsdrøftinger (GDPR art. 36).

Mal for GAP-analyse er basert på den uoffisielle oversettelsen av GDPR som ble utgitt sammen med høringsnotat for ny personopplysningslov i juli 2017 (regjeringen.no).

Dette betyr at virksomheter som velger å bruke vår mal for GAP-analyse selv må oppdatere denne i henhold til eventuelle endringer når det foreligger en offisiell oversettelse av GDPR.

Sist oppdatert: 30. mai 2018

​Fant du det du lette etter?​