Hopp til hovedinnhold
Høring

Ny veileder: Mal for personvernkonsekvensvurdering (DPIA) med veiledning til utfylling

Oppdatering: Høringen er avsluttet og den endelige versjonen av veiledningen og malen er publisert her.

Direktoratet for e-helse sender 19.10.2021 utkast til en ny veileder på høring: "Mal for personvernkonsekvensvurdering (DPIA) med veiledning til utfylling". Merk fristen: 30.11.2021

En vurdering av personvernkonsekvenser (Data Protection Impact Assessment, DPIA) skal sikre at personvernet til dem som er registrert i løsningen ivaretas. Dette er en plikt etter Personvernforordningen (GDPR) artikkel 35.

Den dataansvarlige skal gjøre en slik personvernkonsekvensvurdering hvis det er sannsynlig at en behandling medfører høy risiko for de registrerte.

Veilederen er en PDF der både mal og veileder er samlet (last ned høringsutkastet).

Selve malen vil i endelig versjon også bli publisert i en Word-versjon ved siden av. Veilederen vil få en egen side på ehelse.no der dokumentene og dokumentinformasjon er samlet.

Målgruppe for høringen

Målgruppen for høringen er virksomheter som skal vurdere om de skal gjennomføre, og gjennomføre en personvernkonsekvensvurdering. I tillegg inviterer vi også andre relevante aktører til å sende inn høringsuttalelse.  

Videreutvikling av Mal for DPIA fra 2019

Veilderen er en videreutvikling av Direktoratet for e-helses Mal for DPIA som ble publisert i 2019.

Direktoratet for e-helse var tidlig ute med å utarbeide en mal for personvernkonsekvensvurdering, og mange har hatt nytte av den. Det har nå gått tre år siden malen ble utarbeidet, og mange dataansvarlige har gjort seg erfaringer om hvordan personvernkonsekvensvurdering kan gjennomføres og hva vurderingen bør inneholde. 

I dialog med helse- og omsorgssektoren, har Direktoratet for e-helse fått flere tilbakemeldinger på den eksisterende malen. Disse svært nyttige innspillene har indikert behov for å oppdatere og forenkle både format og språk.

Kort om personvernkonsekvensvurdering

Dataansvarlige i helse- og omsorgssektoren behandler ofte et stort omfang av sensitive personopplysninger og personopplysninger om svært personlige forhold. Behandlingen av personopplysninger kan ofte påvirke den registrerte i stor grad, og ha betydning for pasientsikkerheten og hvilken oppfølging den registrerte får.

Dataansvarlige i helse- og omsorgssektoren er også ofte involvert i forskningsprosjekter som samler inn et stort omfang av personopplysninger. Forskningsprosjektene kan eksempelvis innebære forsøk på å identifisere eller forutse egenskaper hos de registrerte.

Dette tilsier at dataansvarlige i helse og omsorgssektoren ofte vil stå overfor behandling av personopplysninger som kan medføre høy risiko for de registrertes rettigheter og friheter, og en plikt til å utføre personvernkonsekvensvurdering. Direktoratet for e-helse har laget veilederen for å gi dataansvarlige i sektoren verktøy og støtte som underbygger denne prosessen.

Helse- og omsorgssektoren består av virksomheter av svært forskjellig størrelse og karakter. Dataansvarlige som er små virksomheter, kan ha begrenset tilgang til personell med fagkompetanse innen personvernregelverket.

Disse virksomhetene kan derfor ha et særskilt behov for detaljerte maler og utfyllende veiledning. Også hos større virksomheter med høy kompetanse innen personvern, kan det være usikkerhet rundt personvernkonsekvensvurderingers innhold og når de skal gjennomføres.

Om veilederen som er på høring

Følgende prinsipper er lagt til grunn for den nye veilederen:

  • Veilederen skal fungere som:
    • Grunnlag for dokumentasjon av gjennomført personvernkonsekvens-vurdering, eventuelt dokumentasjon på at det ikke har vært nødvendig. 
    • Veiledning gjennom prosessen som personvernkonsekvensvurderingen utgjør.
  • Selve malen skal ikke inneholde veiledning til utfylling eller prosess, med mindre dette er nødvendig.
  • Det skal komme tydelig frem når malen ber om fakta og når den ber om vurderinger.
  • Veilederen og malen skal være anvendelig uavhengig av kompetansenivå innen personvern.
  • Tidligere utarbeidet dokumentasjon  skal kunne gjenbrukes i størst mulig grad.
  • Malen skal legge til rette for gjenbruk og deling av personvernkonsekvensvurdering internt og mellom virksomheter.
  • Bruk av malen skal gi tilstrekkelig grunnlag for dokumentasjon og beslutning, mens veilederen gir nødvendig veiledning i å gjennomføre en personvernkonsekvensvurdering ved å fylle ut malen.

Malen og veiledning til utfylling av malen er etter Direktoratet for e-helses forvaltningsmodell for normerende dokumenter, et produkt på normeringsnivå «Veileder». Veileder er det laveste normeringsnivået. Virksomheter i sektoren vil ikke bli pålagt å benytte denne mal for personvernkonsekvensvurdering (DPIA), men det anbefales. Bruk av samme mal kan legge til rette for mer deling av personvernkonsekvensvurderinger.

Dette ønsker Direktoratet for e-helse tilbakemeldinger på:

  • Er dette en hensiktsmessig utforming av en mal for personvernkonsekvensvurdering til bruk i helse- og omsorgssektoren?
  • Dekker veiledningen til utfylling det meste av det virksomheten bør være oppmerksom på når den gjør en personvernkonsekvensvurdering?
  • Er formatet på produktet hensiktsmessig? (PDF med både mal og veiledning til utfylling, samt mal i word-format)

Hvis svaret på et eller flere av spørsmålene er at veilederen ikke er god nok, vil Direktoratet for e-helse gjerne ha innspill på hvilke tilpasninger som vil bidra til å øke kvalitet og brukervennlighet på produktet.

Om høringsprosessen

Invitasjon til å gi høringssvar er sendt ut til en rekke virksomheter og organisasjoner (se liste under), men vi understreker at høringen er åpen for andre som ønsker å gi innspill.  

Informasjon om denne åpne høringen spres til relevante fora, som for eksempel personvernombudsfora, kommunale Digi-fora, Nasjonal velfredsteknologiprogram og Normens styringsgruppe.

Denne veilederen er ikke et tiltak som etter utredningsinstruksen må sendes på høring, men det gjøres for involvering og for å få gode innspill. Høringstid er derfor satt til 6 uker, med frist 30. november 2021.

Innspill merkes med sak 21/699 og sendes til [email protected]

Direktoratet for e-helse tar imot høringssvar fortløpende i høringsperioden. Alle høringssvar samt en oppsummering av hovedpunkter i svarene vil bli publisert på denne høringssiden.

Kontaktperson for høringen er Aasta Margrethe Hetland (trykk for e-post).

Høringsinstanser

(Merk som nevnt over at høringen er åpen og at andre relevante aktører enn de som står på listen også er velkomne til å sende inn høringssvar)

Helseforetak og regionale helseforetak

Helse Nord RHF 
Finnmarkssykehuset HF 
Helgelandssykehuset HF 
Nordlandssykehuset HF 
Universitetssykehuset Nord-Norge HF 
Helse Midt-Norge RHF 
Helse Møre og Romsdal HF 
Helse Nord-Trøndelag HF 
St. Olavs Hospital HF 
Helse Sør-Øst RHF 
Akershus universitetssykehus HF 
Oslo universitetssykehus HF 
Sunnaas sykehus HF 
Sykehuset i Vestfold HF 
Sykehuset Innlandet HF 
Sykehuset Telemark HF 
Sykehuset Østfold HF 
Sørlandet sykehus HF 
Vestre Viken HF 
Helse Vest RHF 
Helse Bergen HF 
Helse Fonna HF 
Helse Førde HF 
Helse Stavanger HF 
Helse Midt-Norge IT 
Helse Nord IKT 
Helse Vest IKT 
Sykehuspartner HF
Nasjonal IKT HF

Organisasjoner

Norsk sykepleierforbund, NSF
Den norske legeforening 
Norsk fysioterapeutforbund
Norsk psykologforening
Den norske tannlegeforening

Folkehelseinstituttet
Statens helsetilsyn
Norsk Helsenett SF
Helsedirektoratet
KS
Datatilsynet
Digitaliseringsdirektoratet
KINS – Foreningen kommunal informasjonssikkerhet

Høringsfrist
30. november 2021
Høringssvar

Merkes med sak 21/699 og sendes til [email protected]

Status
Ferdig behandlet
Tema
Personvern og informasjonssikkerhet
Last ned