{"id":20802,"date":"2026-06-06T21:37:22","date_gmt":"2026-06-06T21:37:22","guid":{"rendered":"https:\/\/nordialaw.com\/?page_id=20802"},"modified":"2026-06-06T21:42:33","modified_gmt":"2026-06-06T21:42:33","slug":"vurdering-av-personvernkonsekvenser","status":"publish","type":"page","link":"https:\/\/nordialaw.com\/no\/personvern\/vurdering-av-personvernkonsekvenser\/","title":{"rendered":"Vurdering av personvernkonsekvenser (DPIA)"},"content":{"rendered":"<div class=\"title-excerpt\">\n\t        <h1 class=\"title-excerpt__title\">Vurdering av personvernkonsekvenser (DPIA)<\/h1>\n\t\n\t<\/div>\n\n<div class=\"grid-container small-block-spacing\" >\n    <div class=\"text-area-block grid-x grid-margin-x\">\n        <div class=\"cell large-12 medium-12\">\n\t\t\t\t\n            <p><em>Sist oppdatert 6. juni 2026<\/em><\/p>\n<table style=\"width: 100%;border-collapse: collapse;margin: 0 0 22px\" role=\"presentation\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<tbody>\n<tr>\n<td style=\"background-color: #edd3c7;padding: 18px 22px\" bgcolor=\"#EDD3C7\">\n<p style=\"font-family: Georgia,'Times New Roman',serif;color: #00224c;font-weight: bold;font-size: 17px;margin: 0 0 8px\">Kort fortalt<\/p>\n<ul>\n<li>En vurdering av personvernkonsekvenser (DPIA) er en strukturert vurdering av risikoen en behandling utgj\u00f8r for de registrertes rettigheter og friheter. Den er p\u00e5krevd etter GDPR artikkel 35 f\u00f8r behandling som \u00absannsynligvis vil medf\u00f8re h\u00f8y risiko\u00bb.<\/li>\n<li>Tre typetilfeller utl\u00f8ser alltid plikt (artikkel 35(3)): omfattende profilering med rettsvirkning, behandling i stor skala av s\u00e6rlige kategorier, og systematisk overv\u00e5king av et offentlig tilgjengelig sted. Datatilsynet har dessuten en egen liste, og WP248 gir ni kriterier \u2013 oppfylles to eller flere, kreves normalt DPIA.<\/li>\n<li>DPIA skal gjennomf\u00f8res f\u00f8r behandlingen starter, og er et levende dokument som revurderes n\u00e5r risikoen endres. Manglende DPIA der den er p\u00e5krevd kan sanksjoneres med b\u00f8ter p\u00e5 inntil 10 millioner euro eller 2 % av samlet global \u00e5rsomsetning.<\/li>\n<li>Viser vurderingen h\u00f8y restrisiko som ikke kan reduseres med tiltak, m\u00e5 behandlingen forh\u00e5ndsdr\u00f8ftes med Datatilsynet (artikkel 36). For h\u00f8yrisiko-AI kan en FRIA etter AI Act artikkel 27 komme i tillegg \u2013 og den kan bygge videre p\u00e5 DPIA-en.<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Hva er en vurdering av personvernkonsekvenser?<\/h2>\n<p>En vurdering av personvernkonsekvenser \u2013 p\u00e5 engelsk Data Protection Impact Assessment, forkortet DPIA \u2013 er en systematisk gjennomgang av hvilken risiko en planlagt behandling utgj\u00f8r for de registrertes rettigheter og friheter, og av hvilke tiltak som skal redusere risikoen. Plikten f\u00f8lger av personvernforordningen artikkel 35.<\/p>\n<p>DPIA-en er f\u00f8rst og fremst et ansvarlighetsverkt\u00f8y (jf. artikkel 24): den hjelper den behandlingsansvarlige med \u00e5 oppfylle regelverket, og med \u00e5 dokumentere at risikoen faktisk er vurdert. Vurderingen skal gjennomf\u00f8res f\u00f8r behandlingen settes i gang, og den er en kontinuerlig prosess \u2013 ikke en engangs\u00f8velse. Den behandlingsansvarlige har ansvaret, men skal innhente r\u00e5d fra personvernombudet der det er utpekt (artikkel 35(2)), og en databehandler skal bist\u00e5 med n\u00f8dvendig informasjon (artikkel 28(3)(f)).<\/p>\n<h2>N\u00e5r er en DPIA p\u00e5krevd?<\/h2>\n<p>Utgangspunktet er artikkel 35(1): DPIA kreves n\u00e5r en behandling \u00absannsynligvis vil medf\u00f8re h\u00f8y risiko\u00bb for de registrertes rettigheter og friheter, vurdert ut fra behandlingens art, omfang, form\u00e5l og sammenheng \u2013 s\u00e6rlig ved bruk av ny teknologi. Tre typetilfeller er uttrykkelig nevnt i artikkel 35(3) og utl\u00f8ser alltid plikt:<\/p>\n<ul>\n<li>Systematisk og omfattende vurdering av personlige forhold basert p\u00e5 automatisert behandling, inkludert profilering, som danner grunnlag for avgj\u00f8relser med rettsvirkning for den enkelte.<\/li>\n<li>Behandling i stor skala av s\u00e6rlige kategorier av opplysninger (artikkel 9) eller opplysninger om straffedommer og lovovertredelser (artikkel 10).<\/li>\n<li>Systematisk overv\u00e5king av et offentlig tilgjengelig omr\u00e5de i stor skala \u2013 det klassiske eksempelet er kameraoverv\u00e5king.<\/li>\n<\/ul>\n<p>Det siste tilfellet er praktisk sv\u00e6rt vanlig. Vi g\u00e5r grundig inn p\u00e5 nettopp dette i v\u00e5r artikkel om <a href=\"https:\/\/nordialaw.com\/no\/dpia-kameraovervaking\/\">DPIA og kameraoverv\u00e5king<\/a>. I tillegg har Datatilsynet, slik artikkel 35(4) krever, en egen liste over behandlinger som alltid utl\u00f8ser DPIA-plikt i Norge \u2013 blant annet biometrisk identifikasjon i stor skala og systematisk overv\u00e5king av ansatte eller elever. Listen oppdateres, og b\u00f8r derfor kontrolleres i <a href=\"https:\/\/www.datatilsynet.no\/rettigheter-og-plikter\/virksomhetenes-plikter\/vurdering-av-personvernkonsekvenser\/\">Datatilsynets gjeldende veileder<\/a>.<\/p>\n<p>Utover dette gir <a href=\"https:\/\/www.regjeringen.no\/contentassets\/1b6b0aebf624465f9704cadeaa320269\/veileder_vurdering_personvernkonsekvenser_norsk_versjon.pdf\">retningslinjene WP248 rev.01<\/a> ni kriterier som kjennetegner behandling med sannsynlig h\u00f8y risiko. Tommelfingerregelen er at dersom behandlingen oppfyller to eller flere av kriteriene, kreves normalt en DPIA:<\/p>\n<table style=\"width: 100%;border-collapse: collapse;margin: 0 0 16px;font-size: 14px\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<thead>\n<tr>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Kriterium (WP248)<\/th>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Typisk eksempel<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Evaluering eller scoring, inkludert profilering<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Kredittvurdering, atferdsprofilering, helseprediksjon<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Automatiserte avgj\u00f8relser med rettsvirkning eller tilsvarende<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Automatisk avslag p\u00e5 l\u00e5n eller s\u00f8knad<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Systematisk overv\u00e5king<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Kameraoverv\u00e5king, logging av ansattes aktivitet<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">S\u00e6rlige kategorier eller sv\u00e6rt personlige opplysninger<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Helse, biometri, etnisitet, lokasjon over tid<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Behandling i stor skala<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Mange registrerte, stort volum, lang varighet eller stort geografisk omfang<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Sammenstilling eller kombinasjon av datasett<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Kobling av opplysninger fra flere kilder eller form\u00e5l<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">S\u00e5rbare registrerte<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Barn, ansatte, pasienter, asyls\u00f8kere<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Innovativ bruk eller ny teknologi<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">AI, ansiktsgjenkjenning, tingenes internett (IoT)<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Behandling som hindrer rettigheter eller tilgang til en tjeneste<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Screening som avgj\u00f8r om noen f\u00e5r en kontrakt eller ytelse<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Selv om behandlingen trolig faller utenfor plikten, er det god praksis \u00e5 dokumentere en kort terskelvurdering \u2013 alts\u00e5 begrunnelsen for at DPIA ikke er n\u00f8dvendig. Da kan virksomheten vise at sp\u00f8rsm\u00e5let faktisk er vurdert.<\/p>\n<h2>Hva m\u00e5 en DPIA inneholde?<\/h2>\n<p>Minstekravene f\u00f8lger av artikkel 35(7). En forsvarlig DPIA bygges opp rundt fire elementer:<\/p>\n<table style=\"width: 100%;border-collapse: collapse;margin: 0 0 16px;font-size: 14px\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<thead>\n<tr>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Element<\/th>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Hjemmel<\/th>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Kort om<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Systematisk beskrivelse av behandlingen<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Art. 35(7)(a)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Form\u00e5l, kategorier registrerte og opplysninger, mottakere, lagringssted og -tid, databehandlere, eventuelle overf\u00f8ringer og systemene som brukes<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">N\u00f8dvendighet og proporsjonalitet<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Art. 35(7)(b)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Rettslig grunnlag, form\u00e5lsbegrensning, dataminimering, lagringsbegrensning og hvordan de registrertes rettigheter ivaretas<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Vurdering av risikoen for de registrerte<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Art. 35(7)(c)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">De konkrete personvernrisikoene, vurdert etter sannsynlighet og alvorlighet for den enkelte<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Tiltak for \u00e5 h\u00e5ndtere risikoen<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Art. 35(7)(d)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Tekniske, organisatoriske og kontraktuelle tiltak \u2013 og restrisikoen etter at tiltakene er iverksatt<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>I tillegg skal den behandlingsansvarlige der det er relevant innhente synspunkter fra de registrerte eller deres representanter (artikkel 35(9)), og revurdere DPIA-en n\u00e5r risikoen ved behandlingen endres (artikkel 35(11)). Krever behandlingen overf\u00f8ring av personopplysninger til tredjeland, m\u00e5 risikovurderingen suppleres med et gyldig overf\u00f8ringsgrunnlag og en <a href=\"https:\/\/nordialaw.com\/no\/overforing-til-tredjeland\/\">overf\u00f8ringsvurdering<\/a>. Tilsvarende inng\u00e5r vurderingen av <a href=\"https:\/\/nordialaw.com\/no\/personvern\/databehandleravtale-underleverandorer\/\">databehandlere og underleverand\u00f8rer<\/a> som en del av n\u00f8dvendighets- og risikovurderingen.<\/p>\n<h2>Slik vurderer vi risikoen<\/h2>\n<p>Kjernen i en DPIA er selve risikovurderingen. For hver identifiserte risiko vurderer vi to ting: hvor sannsynlig det er at risikoen materialiserer seg, og hvor alvorlig konsekvensen blir for den registrerte. Et viktig poeng er at alvorligheten m\u00e5les ut fra konsekvensen for den enkelte \u2013 for eksempel diskriminering, identitetstyveri, \u00f8konomisk tap eller tap av kontroll over egne opplysninger \u2013 ikke ut fra virksomhetens tap.<\/p>\n<p>De to dimensjonene settes sammen i en matrise som gir et samlet risikoniv\u00e5:<\/p>\n<table style=\"width: 100%;border-collapse: collapse;margin: 0 0 16px;font-size: 14px\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<thead>\n<tr>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\"><\/th>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Lav alvorlighet<\/th>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Middels alvorlighet<\/th>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">H\u00f8y alvorlighet<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">H\u00f8y sannsynlighet<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Middels<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">H\u00f8y<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Sv\u00e6rt h\u00f8y<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Middels sannsynlighet<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Lav<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Middels<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">H\u00f8y<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Lav sannsynlighet<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Lav<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Lav<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Middels<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>For hver risiko beskriver vi deretter eksisterende og planlagte tiltak, og hva restrisikoen blir etter at tiltakene er p\u00e5 plass. Her er det viktig \u00e5 v\u00e6re konkret: \u00abkryptering\u00bb er ikke et tiltak i seg selv \u2013 det avgj\u00f8rende er hva som krypteres, og hvordan n\u00f8klene h\u00e5ndteres.<\/p>\n<h2>N\u00e5r m\u00e5 Datatilsynet forh\u00e5ndsdr\u00f8ftes?<\/h2>\n<p>Dersom DPIA-en viser at behandlingen vil medf\u00f8re h\u00f8y risiko som ikke kan reduseres tilstrekkelig med tiltak, skal den behandlingsansvarlige forh\u00e5ndsdr\u00f8fte behandlingen med Datatilsynet f\u00f8r den settes i gang (artikkel 36).<\/p>\n<p>Forh\u00e5ndsdr\u00f8ftingen utl\u00f8ses alts\u00e5 ikke av at risikoen er h\u00f8y i utgangspunktet, men av at restrisikoen forblir h\u00f8y til tross for tiltakene. Datatilsynet skal da f\u00e5 fremlagt DPIA-en og relevant informasjon om behandlingen, og kan gi skriftlige r\u00e5d eller bruke sine korreksjonsfullmakter. I praksis er en grundig DPIA derfor det beste virkemiddelet for \u00e5 unng\u00e5 at en behandling m\u00e5 stanses eller dr\u00f8ftes med tilsynet i ettertid.<\/p>\n<h2>DPIA og kunstig intelligens \u2013 forholdet til FRIA<\/h2>\n<p>Innf\u00f8ring av AI-systemer er et typisk tilfelle der DPIA b\u00e5de er p\u00e5krevd og god praksis: behandlingen er ofte innovativ, kan inneb\u00e6re profilering, og ber\u00f8rer gjerne s\u00e5rbare registrerte. Datatilsynet trekker selv frem DPIA og innebygd personvern som de to mest sentrale kravene for virksomheter som tar i bruk AI.<\/p>\n<p>Fra AI-regelverket kommer et beslektet, men bredere verkt\u00f8y: vurderingen av konsekvenser for grunnleggende rettigheter (FRIA) etter AI Act artikkel 27. Etter planen gjelder kravet fra 2. august 2026, og det retter seg mot visse virksomheter som tar i bruk h\u00f8yrisiko-AI \u2013 offentlige organer, private som leverer offentlige tjenester, og virksomheter som bruker enkelte AI-systemer for kredittvurdering eller risikoprising i livs- og helseforsikring. Mens en DPIA er rettet mot personvern, dekker en FRIA alle grunnleggende rettigheter, som ikke-diskriminering, menneskeverd og tilgang til domstol.<\/p>\n<p>De to vurderingene utelukker ikke hverandre. Artikkel 27(4) fastsetter at der kravene allerede er dekket gjennom en DPIA etter GDPR artikkel 35, skal FRIA-en utfylle DPIA-en. I praksis betyr det at en DPIA og en FRIA ofte gjennomf\u00f8res samtidig og kan settes sammen til ett integrert dokument. En godt strukturert DPIA legger dermed mye av grunnlaget for FRIA-en som flere virksomheter snart vil v\u00e6re forpliktet til.<\/p>\n<table style=\"width: 100%;border-collapse: collapse;margin: 26px 0 10px\" role=\"presentation\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<tbody>\n<tr>\n<td style=\"background-color: #f6f4f2;border-top: 3px solid #00224C;padding: 18px 22px\" bgcolor=\"#F6F4F2\">\n<p style=\"font-family: Georgia,'Times New Roman',serif;color: #00224c;font-weight: bold;font-size: 18px;margin: 0 0 8px\">Slik kan Nordia bist\u00e5<\/p>\n<p style=\"margin: 0 0 10px;font-size: 15px\">Nordia bist\u00e5r virksomheter i hele Norden gjennom hele DPIA-l\u00f8pet \u2013 fra en innledende terskelvurdering av om DPIA i det hele tatt er p\u00e5krevd, til en ferdig vurdering gjennomf\u00f8rt sammen med deg: beskrivelse av behandlingen, n\u00f8dvendighets- og proporsjonalitetsvurdering, risikomatrise med tiltak og restrisiko, og eventuell forh\u00e5ndsdr\u00f8fting med Datatilsynet. Vi h\u00e5ndterer ogs\u00e5 overf\u00f8ringsvurderinger etter Schrems II og kryssreferanse til FRIA der AI er involvert. DPIA inng\u00e5r som en kjernekomponent i v\u00e5rt strukturerte AI-klar-rammeverk.<\/p>\n<p style=\"margin: 0;font-size: 15px\"><a href=\"https:\/\/nordialaw.com\/no\/people\/kjell-steffner\/\">Ta kontakt med v\u00e5rt personvernteam<\/a> \u00a0\u00b7\u00a0 <a href=\"https:\/\/nordialaw.com\/no\/personvern\/\">Se hele personverntilbudet v\u00e5rt<\/a><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>Kilder:<\/strong> GDPR artikkel 35 og 36 samt artikkel 24, 28 og 9\u201310; <a href=\"https:\/\/www.datatilsynet.no\/rettigheter-og-plikter\/virksomhetenes-plikter\/vurdering-av-personvernkonsekvenser\/\">Datatilsynets veileder om vurdering av personvernkonsekvenser<\/a>; <a href=\"https:\/\/www.regjeringen.no\/contentassets\/1b6b0aebf624465f9704cadeaa320269\/veileder_vurdering_personvernkonsekvenser_norsk_versjon.pdf\">Artikkel 29-gruppen \/ EDPB WP248 rev.01<\/a>; personopplysningsloven; AI Act (forordning (EU) 2024\/1689) artikkel 26 og 27; <a href=\"https:\/\/nordialaw.com\/no\/dpia-kameraovervaking\/\">Nordia: DPIA og kameraoverv\u00e5king<\/a>.<\/p>\n\n        <\/div>\n    <\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"","protected":false},"author":12,"featured_media":0,"parent":20007,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"content-type":"","footnotes":""},"class_list":["post-20802","page","type-page","status-publish","hentry"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.9 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Vurdering av personvernkonsekvenser (DPIA): n\u00e5r og hvordan<\/title>\n<meta name=\"description\" content=\"En vurdering av personvernkonsekvenser (DPIA) er p\u00e5krevd etter GDPR artikkel 35 f\u00f8r behandling med h\u00f8y risiko. Slik vet du n\u00e5r DPIA kreves, og hva den m\u00e5 inneholde.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/nordialaw.com\/no\/personvern\/vurdering-av-personvernkonsekvenser\/\" \/>\n<meta property=\"og:locale\" content=\"nb_NO\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Vurdering av personvernkonsekvenser (DPIA): n\u00e5r og hvordan\" \/>\n<meta property=\"og:description\" content=\"En vurdering av personvernkonsekvenser (DPIA) er p\u00e5krevd etter GDPR artikkel 35 f\u00f8r behandling med h\u00f8y risiko. Slik vet du n\u00e5r DPIA kreves, og hva den m\u00e5 inneholde.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/nordialaw.com\/no\/personvern\/vurdering-av-personvernkonsekvenser\/\" \/>\n<meta property=\"og:site_name\" content=\"Nordia Law\" \/>\n<meta property=\"article:modified_time\" content=\"2026-06-06T21:42:33+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Ansl. lesetid\" \/>\n\t<meta name=\"twitter:data1\" content=\"6 minutter\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/vurdering-av-personvernkonsekvenser\\\/\",\"url\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/vurdering-av-personvernkonsekvenser\\\/\",\"name\":\"Vurdering av personvernkonsekvenser (DPIA): n\u00e5r og hvordan\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#website\"},\"datePublished\":\"2026-06-06T21:37:22+00:00\",\"dateModified\":\"2026-06-06T21:42:33+00:00\",\"description\":\"En vurdering av personvernkonsekvenser (DPIA) er p\u00e5krevd etter GDPR artikkel 35 f\u00f8r behandling med h\u00f8y risiko. Slik vet du n\u00e5r DPIA kreves, og hva den m\u00e5 inneholde.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/vurdering-av-personvernkonsekvenser\\\/#breadcrumb\"},\"inLanguage\":\"nb-NO\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/vurdering-av-personvernkonsekvenser\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/vurdering-av-personvernkonsekvenser\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Personvern\",\"item\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Vurdering av personvernkonsekvenser (DPIA)\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#website\",\"url\":\"https:\\\/\\\/nordialaw.com\\\/\",\"name\":\"Nordia Law\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/nordialaw.com\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"nb-NO\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#organization\",\"name\":\"Nordia Law\",\"url\":\"https:\\\/\\\/nordialaw.com\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nb-NO\",\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/nordialaw.com\\\/wp-content\\\/uploads\\\/2021\\\/09\\\/Layer-1.svg\",\"contentUrl\":\"https:\\\/\\\/nordialaw.com\\\/wp-content\\\/uploads\\\/2021\\\/09\\\/Layer-1.svg\",\"width\":197,\"height\":45,\"caption\":\"Nordia Law\"},\"image\":{\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#\\\/schema\\\/logo\\\/image\\\/\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Vurdering av personvernkonsekvenser (DPIA): n\u00e5r og hvordan","description":"En vurdering av personvernkonsekvenser (DPIA) er p\u00e5krevd etter GDPR artikkel 35 f\u00f8r behandling med h\u00f8y risiko. Slik vet du n\u00e5r DPIA kreves, og hva den m\u00e5 inneholde.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/nordialaw.com\/no\/personvern\/vurdering-av-personvernkonsekvenser\/","og_locale":"nb_NO","og_type":"article","og_title":"Vurdering av personvernkonsekvenser (DPIA): n\u00e5r og hvordan","og_description":"En vurdering av personvernkonsekvenser (DPIA) er p\u00e5krevd etter GDPR artikkel 35 f\u00f8r behandling med h\u00f8y risiko. Slik vet du n\u00e5r DPIA kreves, og hva den m\u00e5 inneholde.","og_url":"https:\/\/nordialaw.com\/no\/personvern\/vurdering-av-personvernkonsekvenser\/","og_site_name":"Nordia Law","article_modified_time":"2026-06-06T21:42:33+00:00","twitter_card":"summary_large_image","twitter_misc":{"Ansl. lesetid":"6 minutter"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/nordialaw.com\/no\/personvern\/vurdering-av-personvernkonsekvenser\/","url":"https:\/\/nordialaw.com\/no\/personvern\/vurdering-av-personvernkonsekvenser\/","name":"Vurdering av personvernkonsekvenser (DPIA): n\u00e5r og hvordan","isPartOf":{"@id":"https:\/\/nordialaw.com\/#website"},"datePublished":"2026-06-06T21:37:22+00:00","dateModified":"2026-06-06T21:42:33+00:00","description":"En vurdering av personvernkonsekvenser (DPIA) er p\u00e5krevd etter GDPR artikkel 35 f\u00f8r behandling med h\u00f8y risiko. Slik vet du n\u00e5r DPIA kreves, og hva den m\u00e5 inneholde.","breadcrumb":{"@id":"https:\/\/nordialaw.com\/no\/personvern\/vurdering-av-personvernkonsekvenser\/#breadcrumb"},"inLanguage":"nb-NO","potentialAction":[{"@type":"ReadAction","target":["https:\/\/nordialaw.com\/no\/personvern\/vurdering-av-personvernkonsekvenser\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/nordialaw.com\/no\/personvern\/vurdering-av-personvernkonsekvenser\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/nordialaw.com\/no\/"},{"@type":"ListItem","position":2,"name":"Personvern","item":"https:\/\/nordialaw.com\/no\/personvern\/"},{"@type":"ListItem","position":3,"name":"Vurdering av personvernkonsekvenser (DPIA)"}]},{"@type":"WebSite","@id":"https:\/\/nordialaw.com\/#website","url":"https:\/\/nordialaw.com\/","name":"Nordia Law","description":"","publisher":{"@id":"https:\/\/nordialaw.com\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/nordialaw.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"nb-NO"},{"@type":"Organization","@id":"https:\/\/nordialaw.com\/#organization","name":"Nordia Law","url":"https:\/\/nordialaw.com\/","logo":{"@type":"ImageObject","inLanguage":"nb-NO","@id":"https:\/\/nordialaw.com\/#\/schema\/logo\/image\/","url":"https:\/\/nordialaw.com\/wp-content\/uploads\/2021\/09\/Layer-1.svg","contentUrl":"https:\/\/nordialaw.com\/wp-content\/uploads\/2021\/09\/Layer-1.svg","width":197,"height":45,"caption":"Nordia Law"},"image":{"@id":"https:\/\/nordialaw.com\/#\/schema\/logo\/image\/"}}]}},"_links":{"self":[{"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/pages\/20802","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/comments?post=20802"}],"version-history":[{"count":2,"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/pages\/20802\/revisions"}],"predecessor-version":[{"id":20805,"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/pages\/20802\/revisions\/20805"}],"up":[{"embeddable":true,"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/pages\/20007"}],"wp:attachment":[{"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/media?parent=20802"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}