Vurdering av personvernkonsekvenser (DPIA)
Sist oppdatert 6. juni 2026
|
Kort fortalt
|
Hva er en vurdering av personvernkonsekvenser?
En vurdering av personvernkonsekvenser – på engelsk Data Protection Impact Assessment, forkortet DPIA – er en systematisk gjennomgang av hvilken risiko en planlagt behandling utgjør for de registrertes rettigheter og friheter, og av hvilke tiltak som skal redusere risikoen. Plikten følger av personvernforordningen artikkel 35.
DPIA-en er først og fremst et ansvarlighetsverktøy (jf. artikkel 24): den hjelper den behandlingsansvarlige med å oppfylle regelverket, og med å dokumentere at risikoen faktisk er vurdert. Vurderingen skal gjennomføres før behandlingen settes i gang, og den er en kontinuerlig prosess – ikke en engangsøvelse. Den behandlingsansvarlige har ansvaret, men skal innhente råd fra personvernombudet der det er utpekt (artikkel 35(2)), og en databehandler skal bistå med nødvendig informasjon (artikkel 28(3)(f)).
Når er en DPIA påkrevd?
Utgangspunktet er artikkel 35(1): DPIA kreves når en behandling «sannsynligvis vil medføre høy risiko» for de registrertes rettigheter og friheter, vurdert ut fra behandlingens art, omfang, formål og sammenheng – særlig ved bruk av ny teknologi. Tre typetilfeller er uttrykkelig nevnt i artikkel 35(3) og utløser alltid plikt:
- Systematisk og omfattende vurdering av personlige forhold basert på automatisert behandling, inkludert profilering, som danner grunnlag for avgjørelser med rettsvirkning for den enkelte.
- Behandling i stor skala av særlige kategorier av opplysninger (artikkel 9) eller opplysninger om straffedommer og lovovertredelser (artikkel 10).
- Systematisk overvåking av et offentlig tilgjengelig område i stor skala – det klassiske eksempelet er kameraovervåking.
Det siste tilfellet er praktisk svært vanlig. Vi går grundig inn på nettopp dette i vår artikkel om DPIA og kameraovervåking. I tillegg har Datatilsynet, slik artikkel 35(4) krever, en egen liste over behandlinger som alltid utløser DPIA-plikt i Norge – blant annet biometrisk identifikasjon i stor skala og systematisk overvåking av ansatte eller elever. Listen oppdateres, og bør derfor kontrolleres i Datatilsynets gjeldende veileder.
Utover dette gir retningslinjene WP248 rev.01 ni kriterier som kjennetegner behandling med sannsynlig høy risiko. Tommelfingerregelen er at dersom behandlingen oppfyller to eller flere av kriteriene, kreves normalt en DPIA:
| Kriterium (WP248) | Typisk eksempel |
|---|---|
| Evaluering eller scoring, inkludert profilering | Kredittvurdering, atferdsprofilering, helseprediksjon |
| Automatiserte avgjørelser med rettsvirkning eller tilsvarende | Automatisk avslag på lån eller søknad |
| Systematisk overvåking | Kameraovervåking, logging av ansattes aktivitet |
| Særlige kategorier eller svært personlige opplysninger | Helse, biometri, etnisitet, lokasjon over tid |
| Behandling i stor skala | Mange registrerte, stort volum, lang varighet eller stort geografisk omfang |
| Sammenstilling eller kombinasjon av datasett | Kobling av opplysninger fra flere kilder eller formål |
| Sårbare registrerte | Barn, ansatte, pasienter, asylsøkere |
| Innovativ bruk eller ny teknologi | AI, ansiktsgjenkjenning, tingenes internett (IoT) |
| Behandling som hindrer rettigheter eller tilgang til en tjeneste | Screening som avgjør om noen får en kontrakt eller ytelse |
Selv om behandlingen trolig faller utenfor plikten, er det god praksis å dokumentere en kort terskelvurdering – altså begrunnelsen for at DPIA ikke er nødvendig. Da kan virksomheten vise at spørsmålet faktisk er vurdert.
Hva må en DPIA inneholde?
Minstekravene følger av artikkel 35(7). En forsvarlig DPIA bygges opp rundt fire elementer:
| Element | Hjemmel | Kort om |
|---|---|---|
| Systematisk beskrivelse av behandlingen | Art. 35(7)(a) | Formål, kategorier registrerte og opplysninger, mottakere, lagringssted og -tid, databehandlere, eventuelle overføringer og systemene som brukes |
| Nødvendighet og proporsjonalitet | Art. 35(7)(b) | Rettslig grunnlag, formålsbegrensning, dataminimering, lagringsbegrensning og hvordan de registrertes rettigheter ivaretas |
| Vurdering av risikoen for de registrerte | Art. 35(7)(c) | De konkrete personvernrisikoene, vurdert etter sannsynlighet og alvorlighet for den enkelte |
| Tiltak for å håndtere risikoen | Art. 35(7)(d) | Tekniske, organisatoriske og kontraktuelle tiltak – og restrisikoen etter at tiltakene er iverksatt |
I tillegg skal den behandlingsansvarlige der det er relevant innhente synspunkter fra de registrerte eller deres representanter (artikkel 35(9)), og revurdere DPIA-en når risikoen ved behandlingen endres (artikkel 35(11)). Krever behandlingen overføring av personopplysninger til tredjeland, må risikovurderingen suppleres med et gyldig overføringsgrunnlag og en overføringsvurdering. Tilsvarende inngår vurderingen av databehandlere og underleverandører som en del av nødvendighets- og risikovurderingen.
Slik vurderer vi risikoen
Kjernen i en DPIA er selve risikovurderingen. For hver identifiserte risiko vurderer vi to ting: hvor sannsynlig det er at risikoen materialiserer seg, og hvor alvorlig konsekvensen blir for den registrerte. Et viktig poeng er at alvorligheten måles ut fra konsekvensen for den enkelte – for eksempel diskriminering, identitetstyveri, økonomisk tap eller tap av kontroll over egne opplysninger – ikke ut fra virksomhetens tap.
De to dimensjonene settes sammen i en matrise som gir et samlet risikonivå:
| Lav alvorlighet | Middels alvorlighet | Høy alvorlighet | |
|---|---|---|---|
| Høy sannsynlighet | Middels | Høy | Svært høy |
| Middels sannsynlighet | Lav | Middels | Høy |
| Lav sannsynlighet | Lav | Lav | Middels |
For hver risiko beskriver vi deretter eksisterende og planlagte tiltak, og hva restrisikoen blir etter at tiltakene er på plass. Her er det viktig å være konkret: «kryptering» er ikke et tiltak i seg selv – det avgjørende er hva som krypteres, og hvordan nøklene håndteres.
Når må Datatilsynet forhåndsdrøftes?
Dersom DPIA-en viser at behandlingen vil medføre høy risiko som ikke kan reduseres tilstrekkelig med tiltak, skal den behandlingsansvarlige forhåndsdrøfte behandlingen med Datatilsynet før den settes i gang (artikkel 36).
Forhåndsdrøftingen utløses altså ikke av at risikoen er høy i utgangspunktet, men av at restrisikoen forblir høy til tross for tiltakene. Datatilsynet skal da få fremlagt DPIA-en og relevant informasjon om behandlingen, og kan gi skriftlige råd eller bruke sine korreksjonsfullmakter. I praksis er en grundig DPIA derfor det beste virkemiddelet for å unngå at en behandling må stanses eller drøftes med tilsynet i ettertid.
DPIA og kunstig intelligens – forholdet til FRIA
Innføring av AI-systemer er et typisk tilfelle der DPIA både er påkrevd og god praksis: behandlingen er ofte innovativ, kan innebære profilering, og berører gjerne sårbare registrerte. Datatilsynet trekker selv frem DPIA og innebygd personvern som de to mest sentrale kravene for virksomheter som tar i bruk AI.
Fra AI-regelverket kommer et beslektet, men bredere verktøy: vurderingen av konsekvenser for grunnleggende rettigheter (FRIA) etter AI Act artikkel 27. Etter planen gjelder kravet fra 2. august 2026, og det retter seg mot visse virksomheter som tar i bruk høyrisiko-AI – offentlige organer, private som leverer offentlige tjenester, og virksomheter som bruker enkelte AI-systemer for kredittvurdering eller risikoprising i livs- og helseforsikring. Mens en DPIA er rettet mot personvern, dekker en FRIA alle grunnleggende rettigheter, som ikke-diskriminering, menneskeverd og tilgang til domstol.
De to vurderingene utelukker ikke hverandre. Artikkel 27(4) fastsetter at der kravene allerede er dekket gjennom en DPIA etter GDPR artikkel 35, skal FRIA-en utfylle DPIA-en. I praksis betyr det at en DPIA og en FRIA ofte gjennomføres samtidig og kan settes sammen til ett integrert dokument. En godt strukturert DPIA legger dermed mye av grunnlaget for FRIA-en som flere virksomheter snart vil være forpliktet til.
|
Slik kan Nordia bistå Nordia bistår virksomheter i hele Norden gjennom hele DPIA-løpet – fra en innledende terskelvurdering av om DPIA i det hele tatt er påkrevd, til en ferdig vurdering gjennomført sammen med deg: beskrivelse av behandlingen, nødvendighets- og proporsjonalitetsvurdering, risikomatrise med tiltak og restrisiko, og eventuell forhåndsdrøfting med Datatilsynet. Vi håndterer også overføringsvurderinger etter Schrems II og kryssreferanse til FRIA der AI er involvert. DPIA inngår som en kjernekomponent i vårt strukturerte AI-klar-rammeverk. Ta kontakt med vårt personvernteam · Se hele personverntilbudet vårt |
Kilder: GDPR artikkel 35 og 36 samt artikkel 24, 28 og 9–10; Datatilsynets veileder om vurdering av personvernkonsekvenser; Artikkel 29-gruppen / EDPB WP248 rev.01; personopplysningsloven; AI Act (forordning (EU) 2024/1689) artikkel 26 og 27; Nordia: DPIA og kameraovervåking.