Hva skal en DPIA inneholde etter GDPR artikkel 35 nr. 7?

Etter personvernforordningen (GDPR) artikkel 35 nr. 7 skal en DPIA minst inneholde: (a) En systematisk beskrivelse av behandlingen og formålene, herunder behandlingsansvarliges berettigede interesse der dette er behandlingsgrunnlaget; (b) En vurdering av nødvendigheten og forholdsmessigheten av behandlingen i forhold til formålene; (c) En vurdering av de risikoene som behandlingen innebærer for de registrertes rettigheter og friheter; og (d) De tiltakene som er planlagt for å håndtere risikoene, inkludert garantier, sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger. EDPB-retningslinjer WP248 rev. 01 anbefaler i tillegg å inkludere identifisering av interessenter, beskrivelse av datasett og systemer, privacy by design-tiltak, og en revisjonsplan.

Hva er forhåndskonsultasjon og når er det nødvendig?

Forhåndskonsultasjon etter personvernforordningen (GDPR) artikkel 36 er en prosess der behandlingsansvarlig er forpliktet til å konsultere Datatilsynet på forhånd dersom DPIA-en viser at behandlingen etter iverksetting av risikoreduserende tiltak fortsatt vil innebære en høy risiko for de registrertes rettigheter og friheter. Forhåndskonsultasjonen skal gjennomføres ved at behandlingsansvarlig sender DPIA-dokumentasjonen (inkludert behandlingsbeskrivelse, DPIA-rapport og informasjon om tiltakene) til Datatilsynet. Datatilsynet har 8 uker til å gi skriftlig råd, med mulighet for forlengelse med 6 uker. Datatilsynet kan gi anbefalinger, bruke sin korrektive myndighet (inkludert å forby behandlingen), eller konstatere at det ikke er grunn til å reagere. Å starte en behandling med høy restrisiko uten forhåndskonsultasjon er et brudd på personvernforordningen (GDPR) artikkel 36.

Hva er personvernombudets rolle i en DPIA?

Personvernombudet har en sentral rådgivende rolle i DPIA-prosessen. Etter personvernforordningen (GDPR) artikkel 35 nr. 2 skal behandlingsansvarlig innhente råd fra personvernombudet der et slikt er utpekt etter artikkel 37. Ombudet bør involveres tidlig i prosessen, helst allerede i planleggingsfasen for det systemet eller den behandlingsaktiviteten som skal vurderes. Personvernombudets bidrag kan inkludere: råd om hvilke elementer som bør beskrives og analyseres; vurdering av om risikoidentifikasjonen er fullstendig; råd om egnede risikoreduserende tiltak; og vurdering av om konklusjonen om forhåndskonsultasjon er riktig. Ombudets råd og eventuelle uenigheter med behandlingsansvarliges konklusjon skal dokumenteres i DPIA-en. Personvernombudet er ikke ansvarlig for DPIA-ens konklusjon — det er behandlingsansvarlig.

Kan vi bruke en sjablong-DPIA for alle behandlinger?

En sjablong eller mal for DPIA er et nyttig startpunkt, men en DPIA skal gjenspeile de spesifikke risikoene ved den konkrete behandlingsaktiviteten. En generisk DPIA som ikke er tilpasset behandlingens art, omfang og de spesifikke risikoene, oppfyller ikke kravet i personvernforordningen (GDPR) artikkel 35. Datatilsynet vil ved tilsyn undersøke om DPIA-en faktisk reflekterer de relevante risikoene for den konkrete behandlingen. En mal er til størst nytte som en prosess-guide (hva som bør vurderes) og struktur (hvilke seksjoner som bør være med), men selve innholdet — risikoidentifisering, tiltaksbeskrivelse og konklusjon — må alltid tilpasses den spesifikke behandlingen. For virksomheter med mange liknende behandlingsaktiviteter kan det utvikles sektor- eller systemspesifikke maler, men disse må fremdeles fylles med konkret og relevant innhold.

Hva er privacy by design og hvorfor er det relevant for DPIA?

Privacy by design (innebygd personvern) er et prinsipp som stammer fra Ann Cavoukians arbeid fra 1990-tallet og er nå lovfestet i personvernforordningen (GDPR) artikkel 25. Det innebærer at personvernhensyn integreres i systemdesignet og utviklingsprosessen fra starten, ikke som et etterfølgende lag. Privacy by default betyr at de mest personvernvennlige innstillingene er standardvalg uten at brukeren trenger å aktivt velge dem. I en DPIA-kontekst er privacy by design relevant fordi DPIA-prosessen skal avdekke risikoer og bidra til at de håndteres gjennom systemdesign — dersom personvernhensyn er bygget inn fra starten, vil det typisk være færre risikoer å adressere. DPIA-en bør dokumentere hvilke privacy by design-tiltak som er implementert og planlagt. Artikkel 25 er rettslig forpliktende og kan sanksjoneres med overtredelsesgebyr etter personvernforordningen (GDPR) artikkel 83 nr. 4.

Hva er EDPB WP248 og hva sier den om DPIA?

EDPB WP248 rev. 01, opprinnelig vedtatt av Artikkel 29-gruppen i 2017 og revidert og bekreftet av EDPB (Den europeiske personvernkonferansen, Europas felles tilsynsorgan for GDPR), er de offisielle retningslinjene for personvernkonsekvensvurderinger (DPIA) etter personvernforordningen (GDPR) artikkel 35. Retningslinjene gir detaljert veiledning om: kriteriene for å avgjøre om DPIA er nødvendig; hva som er tilfredsstillende innhold i en DPIA; metodikk for risikovurdering; kriteriet om «høy risiko»; og forhåndskonsultasjonsprosedyren etter artikkel 36. Retningslinjene introduserer ni kriterier som, alene eller i kombinasjon, indikerer høy risiko og dermed DPIA-plikt: vurdering eller poenggivning, automatisert beslutning med rettsvirkning, systematisk overvåkning, sensitive data, storskalabehandling, koblade datasett, sårbare registrerte, innovativ teknologi, og behandling som hindrer utøvelse av rettigheter. Datatilsynet følger WP248 i sin nasjonale praksis.

DPIA personvernkonsekvensvurdering Norge

Q: Hva er en DPIA og når er den obligatorisk i Norge?

En DPIA (Data Protection Impact Assessment) eller personvernkonsekvensvurdering er en strukturert vurderingsprosess der behandlingsansvarlig analyserer risikoene for de registrertes rettigheter og friheter ved en planlagt behandlingsaktivitet. Etter personvernforordningen (GDPR) artikkel 35 er DPIA obligatorisk der behandlingen sannsynligvis vil innebære en høy risiko. Tre kategorier utløser alltid plikt: (1) profilering som er grunnlag for beslutninger med vesentlige rettsvirkninger; (2) storskala behandling av særlige kategorier (helseopplysninger, genetiske data o.l.); og (3) systematisk overvåkning av offentlig tilgjengelige områder i stor skala. Datatilsynet har i tillegg publisert en norsk DPIA-liste med andre behandlingstyper som krever DPIA, inkludert bruk av AI, maskinlæring og biometriske data. Manglende DPIA kan medføre overtredelsesgebyr på inntil 10 millioner euro.

DPIA personvernkonsekvensvurdering

Personvernforordningen (GDPR) art. 35; personopplysningsloven (2018)

PERSONVERNKONSEKVENSVURDERING (DPIA)

i medhold av personvernforordningen (GDPR) artikkel 35 og personopplysningsloven (2018)

[Virksomhet Navn]

Organisasjonsnummer: [Virksomhet Orgnr]

Dato: [Dpia Dato] | Ansvarlig: [Dpia Ansvarlig]

1. INNLEDNING OG RETTSLIG GRUNNLAG

Denne personvernkonsekvensvurderingen (DPIA) er gjennomført av [Virksomhet Navn], organisasjonsnummer [Virksomhet Orgnr], i medhold av personvernforordningen (GDPR) artikkel 35 og personopplysningsloven (2018). En DPIA er påkrevd der behandlingen sannsynligvis vil innebære en høy risiko for fysiske personers rettigheter og friheter, særlig ved bruk av ny teknologi, storskala behandling av særlige kategorier av personopplysninger, systematisk overvåkning i offentlig tilgjengelige områder, og profilering.

Datatilsynet har i medhold av personvernforordningen (GDPR) artikkel 35 nr. 4 publisert en liste over behandlingstyper som krever DPIA. Vurderingen er gjennomgått av: [Dpia Ansvarlig].

2. BESKRIVELSE AV BEHANDLINGEN OG FORMÅLENE

Behandlingsaktivitet: [Behandling Beskrivelse].

Formål og behandlingsgrunnlag: [Behandlings Formaal].

Kategorier av personopplysninger og registrerte: [Opplysningstyper].

3. NØDVENDIGHET OG FORHOLDSMESSIGHET

Vurdering av nødvendighet: [Nodvendighet Vurdering]. Behandlingen er vurdert mot prinsippet om dataminimering i personvernforordningen (GDPR) artikkel 5 nr. 1 bokstav c. Kun de personopplysningene som er nødvendige for å oppnå det angitte formålet, skal behandles.

Innebygd personvern (privacy by design/default) etter personvernforordningen (GDPR) artikkel 25: [Innebygget Personvern]. Privacy by design innebærer at personvernhensyn er bygget inn i systemdesignet fra starten, mens privacy by default innebærer at de mest personvernvennlige innstillingene er standardvalg.

4. VURDERING AV RISIKOER

Identifiserte risikoer for de registrertes rettigheter og friheter: [Identifiserte Risikoer].

Samlet risikonivå: [Risiko Nivaa]. Risikovurderingen tar hensyn til sannsynligheten for og alvorligheten av risikoene, i tråd med retningslinjene fra Det europeiske personvernkonferansen (EDPB) WP248 om DPIA.

5. RISIKOREDUSERENDE TILTAK OG RESTRISIKO

Planlagte eller iverksatte risikoreduserende tiltak: [Risiko Tiltak].

Restrisiko etter tiltak: [Restrisiko]. Dersom restrisisikoen fortsatt er høy etter at tiltakene er implementert, er behandlingsansvarlig forpliktet til å konsultere Datatilsynet på forhånd etter personvernforordningen (GDPR) artikkel 36 nr. 1. Datatilsynet har en frist på 8 uker (kan forlenges med 6 uker) til å gi skriftlig råd.

6. KONKLUSJON OG GODKJENNING

Basert på denne personvernkonsekvensvurderingen konkluderer [Virksomhet Navn] med at behandlingsaktiviteten kan gjennomføres / krever forhåndskonsultasjon med Datatilsynet etter personvernforordningen (GDPR) artikkel 36 (kryss av etter restrisiko-vurderingen ovenfor). DPIA-en er gjennomgått av behandlingsansvarligs personvernombud etter personvernforordningen (GDPR) artikkel 35 nr. 2.

DPIA-en skal gjennomgås og oppdateres ved vesentlige endringer i behandlingen, og minst hvert tredje år. Dokumentasjonen oppbevares i samsvar med ansvarlighetsprinsippet i personvernforordningen (GDPR) artikkel 5 nr. 2.

GODKJENNING

[Virksomhet Navn], organisasjonsnummer [Virksomhet Orgnr].

Ansvarlig: [Dpia Ansvarlig]

Underskrift: ___________________________ Dato: [Dpia Dato]

Behandlingsansvarlig

________________

Signature

Vedlikeholdt av Vladislav Sergienko, grunnlegger·Mal sist endret: 2026-06-23·Rapporter en feil

Hva er DPIA personvernkonsekvensvurdering Norge?

DPIA personvernkonsekvensvurdering i Norge er en strukturert risikovurderingsprosess som er obligatorisk etter personvernforordningen (GDPR) artikkel 35 der en type behandling sannsynligvis vil innebære en høy risiko for fysiske personers rettigheter og friheter. Personvernforordningen (GDPR) gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). DPIA-en skal gjennomføres forut for behandlingen og dokumentere risikovurderingen og de risikoreduserende tiltakene.

DPIA er en forkortelse for Data Protection Impact Assessment, som på norsk er oversatt til personvernkonsekvensvurdering. Prosessen er et sentralt verktøy for å implementere prinsippet om innebygd personvern (privacy by design) etter personvernforordningen (GDPR) artikkel 25, og er en av de viktigste mekanismene for å oppfylle ansvarlighetsprinsippet i artikkel 5 nr. 2. En DPIA er ikke bare et dokumentasjonsverktøy — den skal faktisk føre til at risikoene identifiseres og håndteres.

Tre kategorier av behandling utløser alltid plikt til DPIA etter personvernforordningen (GDPR) artikkel 35 nr. 3: (a) systematisk og omfattende vurdering av personlige aspekter ved fysiske personer, herunder profilering, som er grunnlag for beslutninger med rettsvirkninger; (b) storskala behandling av særlige kategorier etter artikkel 9 eller av personopplysninger om straffedommer og lovovertredelser etter artikkel 10; og (c) systematisk overvåkning i stor skala av offentlig tilgjengelige områder. I tillegg har Datatilsynet etter artikkel 35 nr. 4 publisert en liste over andre behandlingstyper som krever DPIA i Norge.

Datatilsynets liste (DPIA-listen) inkluderer blant annet: bruk av ny teknologi eller innovativ bruk av eksisterende teknologi; behandling av genetiske data; profilering av individer i stor skala; bruk av kunstig intelligens og maskinlæring på personopplysninger; behandling av biometriske data for identifikasjonsformål; og behandling som kombinerer data fra ulike kilder på en måte som overstiger de registrertes rimelige forventninger.

DPIA-prosessen skal etter personvernforordningen (GDPR) artikkel 35 nr. 7 inneholde: (a) en systematisk beskrivelse av behandlingen og formålene, herunder behandlingsansvarliges berettigede interesse der dette er det rettslige grunnlaget; (b) en vurdering av nødvendigheten og forholdsmessigheten av behandlingen i forhold til formålene; (c) en vurdering av risikoene for de registrertes rettigheter og friheter; og (d) de tiltakene som er planlagt for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger og å påvise overholdelse.

Dersom DPIA-en viser at behandlingen etter iverksetting av risikoreduserende tiltak fortsatt innebærer en høy risiko, er behandlingsansvarlig forpliktet til å konsultere Datatilsynet på forhånd etter personvernforordningen (GDPR) artikkel 36. Datatilsynet har da 8 uker (med mulighet for forlengelse med 6 uker) til å gi skriftlig rådgivning. Datatilsynet kan gi råd om hva behandlingsansvarlig bør gjøre, eventuelt utøve sin myndighet til å midlertidig eller permanent forby behandlingen.

EDPB (Den europeiske personvernkonferansen) har publisert retningslinjer om DPIA i dokumentet WP248 rev. 01. Disse retningslinjene er veiledende for tolkning av artikkel 35 og er en viktig referanse for norske virksomheter. forms-legal.com biblioteket tilbyr DPIA-malen som et praktisk verktøy for å gjennomføre og dokumentere personvernkonsekvensvurderingen.

Når trenger du DPIA personvernkonsekvensvurdering Norge?

DPIA personvernkonsekvensvurdering i Norge er obligatorisk i alle situasjoner der behandlingen sannsynligvis vil innebære en høy risiko for fysiske personers rettigheter og friheter.

Ny teknologi. Implementering av ny teknologi som kunstig intelligens (AI), maskinlæring, stordata-analyser (big data), ansiktsgjenkjenning, biometriske identifikasjonssystemer, og Internet of Things (IoT) er eksempler på behandlinger som utløser DPIA-plikt. Datatilsynet har understreket at bruken av ny teknologi alene kan være tilstrekkelig til å utløse plikten, særlig der teknologien behandler sensitive personopplysninger.

Storskala behandling av særlige kategorier. Behandling av helseopplysninger, genetiske data, biometriske data, politisk oppfatning, religiøs overbevisning, fagforeningsmedlemskap og seksuell orientering i stor skala utløser alltid DPIA etter personvernforordningen (GDPR) artikkel 35 nr. 3 bokstav b. «Stor skala» vurderes ut fra antall berørte personer, behandlingens geografiske utstrekning og varigheten. Sykehus, helseplattformer, biobanker og forsikringsselskaper er typiske virksomheter med slik behandling.

Profilering med rettslige eller tilsvarende virkninger. Automatisert behandling inkludert profilering som er grunnlag for beslutninger med vesentlige rettsvirkninger eller tilsvarende virkninger for den registrerte — for eksempel kredittvurdering, jobbsøknad-screening, forsikringspremier basert på helsedata — utløser DPIA etter artikkel 35 nr. 3 bokstav a. Behandlingsansvarlig skal vurdere om behandlingens beslutningspåvirkning er vesentlig.

Kameraovervåkning av offentlig tilgjengelige områder. Systematisk overvåkning i stor skala av offentlig tilgjengelige områder, for eksempel kameraovervåkning av bykjerner, transportknutepunkter, kjøpesentre eller arbeidsplasser, utløser alltid DPIA etter artikkel 35 nr. 3 bokstav c. For kameraovervåkning på arbeidsplassen gjelder i tillegg de strenge vilkårene i arbeidsmiljøloven (2005) § 9-6.

Kobling av datasett fra ulike kilder. Behandling som kombinerer personopplysninger fra ulike kilder (for eksempel kombinering av kjøpshistorikk, sosiale medier-data og geografiske data) på en måte som overstiger de registrertes rimelige forventninger, kan utløse DPIA. Datatilsynet ser koblingen av datasett som en særlig risikofaktor i sin DPIA-liste.

Behandling av sårbare grupper. Behandling av personopplysninger om barn, psykisk syke, og andre sårbare grupper krever særlig oppmerksomhet og vil ofte utløse DPIA-plikt. For helseopplysninger om barn er DPIA vanligvis obligatorisk.

When in doubt — gjennomfør DPIA. Datatilsynet anbefaler i sin veiledning at behandlingsansvarlig gjennomfører en DPIA dersom det er tvil om den er nødvendig. En unødvendig DPIA er et lite problem; manglende DPIA der den er obligatorisk, er et brudd på personvernforordningen (GDPR) artikkel 35 som Datatilsynet kan reagere mot med overtredelsesgebyr.

Hva bør DPIA personvernkonsekvensvurdering Norge inneholde

En komplett DPIA personvernkonsekvensvurdering Norge inneholder følgende nøkkelelementer etter personvernforordningen (GDPR) artikkel 35 nr. 7 og EDPB retningslinjer WP248.

Beskrivelse av behandlingen og formålene. DPIA-en skal starte med en systematisk beskrivelse av behandlingsaktiviteten, herunder systemene som er involvert, teknikkene som brukes (AI, profilering, maskinlæring, kryptering), og formålene. En god beskrivelse gjør det mulig å identifisere risikoene og vurdere nødvendigheten av behandlingen.

Rettslig grunnlag og behandlingsgrunnlag. DPIA-en skal identifisere det rettslige grunnlaget for behandlingen etter personvernforordningen (GDPR) artikkel 6, og eventuelt artikkel 9 for særlige kategorier. Behandlingsgrunnlaget er avgjørende for vurderingen av nødvendighet og forholdsmessighet.

Nødvendighet og forholdsmessighet. Vurderingen av nødvendighet og forholdsmessighet (artikkel 35 nr. 7 bokstav b) innebærer at behandlingsansvarlig må begrunne at behandlingens omfang er forholdsmessig i forhold til formålene, og at det ikke finnes mindre inngripende alternativer. Dataminimeringsprinsippet i artikkel 5 nr. 1 bokstav c er sentralt her.

Innebygd personvern. DPIA-en skal dokumentere om og hvordan innebygd personvern (privacy by design og privacy by default) er implementert etter personvernforordningen (GDPR) artikkel 25. Privacy by design innebærer at personvernhensyn er integrert i systemdesignet; privacy by default innebærer at de mest personvernvennlige innstillingene er standardvalget.

Risikovurdering for de registrerte. Risikovurderingen (artikkel 35 nr. 7 bokstav c) skal identifisere de konkrete risikoene for de registrertes rettigheter og friheter: risiko for uautorisert tilgang, risiko for feilaktige automatiserte beslutninger, risiko for diskriminering, risiko for identitetstyveri og andre negative konsekvenser. Hver risiko skal vurderes med hensyn til sannsynlighet og alvorlighetsgrad.

Risikoreduserende tiltak. DPIA-en skal angi konkrete tekniske og organisatoriske tiltak som er planlagt eller iverksatt for å håndtere de identifiserte risikoene (artikkel 35 nr. 7 bokstav d). Tiltakene skal redusere risikoene til et akseptabelt nivå. forms-legal.com bibliotekets informasjonssikkerhetspolicy er et supplerende styringsverktøy.

Restrisiko og forhåndskonsultasjon. Dersom restrisisikoen etter tiltakene fortsatt er høy, skal behandlingsansvarlig konsultere Datatilsynet på forhånd etter personvernforordningen (GDPR) artikkel 36. DPIA-en skal dokumentere konklusjonen og begrunnelsen for om forhåndskonsultasjon er nødvendig.

Personvernombudets rolle. Behandlingsansvarlig skal etter personvernforordningen (GDPR) artikkel 35 nr. 2 innhente råd fra personvernombudet der et slikt er utpekt. Ombudets råd og eventuelle uenigheter skal dokumenteres i DPIA-en.

Slik fyller du ut DPIA personvernkonsekvensvurdering Norge

Å gjennomføre og fylle ut en DPIA personvernkonsekvensvurdering Norge krever en strukturert prosess i samsvar med personvernforordningen (GDPR) artikkel 35 og EDPB retningslinjer WP248.

Trinn 1 — Vurder om DPIA er obligatorisk. Kontroller om behandlingsaktiviteten faller inn under en av de tre kategoriene i personvernforordningen (GDPR) artikkel 35 nr. 3, eller på Datatilsynets norske DPIA-liste. Dersom det er tvil, anbefaler Datatilsynet å gjennomføre DPIA. Dokumenter vurderingen.

Trinn 2 — Beskriv behandlingsaktiviteten systematisk. Angi alle systemer og teknologier som er involvert, kategoriene av personopplysninger og de registrerte, og formålene med behandlingen. Jo mer detaljert beskrivelsen er, desto lettere er det å identifisere risikoene. Husk å angi om det benyttes kunstig intelligens, automatiserte beslutninger, profilering eller andre spesielle teknikker.

Trinn 3 — Vurder nødvendighet og forholdsmessighet. Vurder om behandlingens omfang er forholdsmessig i forhold til formålene. Stilles følgende spørsmål: kan formålet oppnås med færre opplysninger (dataminimering)? Er lagringstiden begrenset til det nødvendige (lagringsbegrensning)? Er tilgangen begrenset til de som trenger den (minste privilegium)? Er innebygd personvern implementert?

Trinn 4 — Identifiser risikoer. Identifiser de konkrete risikoene for de registrertes rettigheter og friheter. Bruk en risikomatrise med to dimensjoner: sannsynlighet (lav/middels/høy) og konsekvens (lav/middels/høy). Vurder risikoer som uautorisert tilgang, datalekkasjer, feilaktige automatiserte beslutninger, diskriminering, identitetstyveri og andre negative konsekvenser.

Trinn 5 — Planlegg risikoreduserende tiltak. Angi konkrete tekniske og organisatoriske tiltak for å håndtere de identifiserte risikoene. For høye risikoer bør tiltak som kryptering, tilgangskontroll, pseudonymisering, uavhengig sikkerhetstesting og periodisk evaluering vurderes. Tiltakene skal kobles til de spesifikke risikoene de adresserer.

Trinn 6 — Vurder restrisiko. Etter at tiltakene er angitt, vurder den gjenværende restrisiikoen. Dersom restrisisikoen fortsatt er høy, er forhåndskonsultasjon med Datatilsynet etter personvernforordningen (GDPR) artikkel 36 nødvendig. Send DPIA-dokumentasjonen til Datatilsynet og vent på tilbakemelding innen 8 uker.

Trinn 7 — Innhent personvernombudets råd. Dersom virksomheten har et personvernombud etter personvernforordningen (GDPR) artikkel 37, skal ombudet gi råd om DPIA-en etter artikkel 35 nr. 2. Ombudets råd og eventuelle uenigheter skal dokumenteres i DPIA-en.

Trinn 8 — Oppbevar DPIA-dokumentasjonen og revurder ved endringer. DPIA-en skal oppbevares som en del av virksomhetens etterlevelsesdokumentasjon og gjennomgås ved vesentlige endringer i behandlingsaktiviteten og minst hvert tredje år. Datatilsynet kan be om å se DPIA-dokumentasjonen ved tilsyn.

Juridiske krav til DPIA personvernkonsekvensvurdering Norge

DPIA personvernkonsekvensvurdering Norge er underlagt kravene i personvernforordningen (GDPR) artikkel 35 og 36, personopplysningsloven (2018) og EDPBs retningslinjer WP248.

Plikten til DPIA etter GDPR artikkel 35. Etter personvernforordningen (GDPR) artikkel 35 nr. 1 skal behandlingsansvarlig, der en type behandling — særlig ved bruk av ny teknologi og tatt i betraktning behandlingens art, omfang, sammenheng og formål — sannsynligvis vil innebære en høy risiko for fysiske personers rettigheter og friheter, foreta en vurdering av konsekvensene for personopplysningsvernet. DPIA-en skal gjennomføres forut for behandlingen. Tre behandlingstyper utløser alltid plikten etter artikkel 35 nr. 3 bokstavene a til c: profilering med rettsvirkninger, storskala behandling av særlige kategorier og systematisk overvåkning av offentlige områder.

Datatilsynets norske DPIA-liste. Datatilsynet har i medhold av personvernforordningen (GDPR) artikkel 35 nr. 4 publisert en norsk liste over behandlingstyper som krever DPIA. Listen inkluderer blant annet ny teknologi, genetiske data, profilering i stor skala, biometriske data, AI og maskinlæring. Behandlingsansvarlig skal kontrollere listen ved implementering av nye behandlingsaktiviteter.

DPIA-ens innhold etter GDPR artikkel 35 nr. 7. DPIA-en skal minst inneholde: (a) en systematisk beskrivelse av behandlingen og formålene; (b) en vurdering av nødvendigheten og forholdsmessigheten; (c) en vurdering av risikoene; og (d) de tiltakene som er planlagt. EDPB-retningslinjer WP248 rev. 01 anbefaler i tillegg å inkludere kontekstinformasjon, interessentinvolvering og revisjonsplan.

Personvernombudets rådgivende rolle etter GDPR artikkel 35 nr. 2. Der virksomheten har utpekt et personvernombud etter artikkel 37, skal behandlingsansvarlig innhente ombudets råd om DPIA-en. Ombudet fungerer som en uavhengig intern kontrollmekanisme. Ombudets råd og eventuelle uenigheter med behandlingsansvarligets konklusjon skal dokumenteres.

Forhåndskonsultasjon med Datatilsynet etter GDPR artikkel 36. Der DPIA-en viser at behandlingen etter iverksetting av risikoreduserende tiltak fortsatt vil innebære en høy risiko, skal behandlingsansvarlig konsultere Datatilsynet på forhånd. Datatilsynet har 8 uker til å gi skriftlig råd, med mulighet for 6 ukers forlengelse. Datatilsynet kan gi anbefalinger, bruke sin korrektive myndighet etter artikkel 58 nr. 2, eller ilegge overtredelsesgebyr.

Ansvar og sanksjoner etter GDPR artiklene 83–84. Manglende DPIA der det er obligatorisk, er et brudd på personvernforordningen (GDPR) artikkel 35 som Datatilsynet kan reagere mot med overtredelsesgebyr på inntil 10 millioner euro eller 2 prosent av global omsetning etter det høyeste beløpet, jf. artikkel 83 nr. 4. Datatilsynets vedtak kan påklages til Personvernnemnda.

Vanlige feil i DPIA personvernkonsekvensvurdering Norge

Vanlige feil ved gjennomføring av DPIA personvernkonsekvensvurdering i Norge kan medføre at vurderingen ikke oppfyller kravene i personvernforordningen (GDPR) artikkel 35 og at behandlingsansvarlig mangler nødvendig dokumentasjon.

Feil 1 — DPIA gjennomføres etter at behandlingen er startet. Den vanligste feilen er å gjennomføre DPIA etter at systemet allerede er implementert og tatt i bruk. Personvernforordningen (GDPR) artikkel 35 krever at DPIA gjennomføres forut for behandlingen. En retrospektiv DPIA kan dokumentere risikoene, men gir ikke den forebyggende effekten som er formålet med bestemmelsen. Løsning: integrer DPIA som en obligatorisk del av prosjektprosessen for alle nye systemer og behandlingsaktiviteter.

Feil 2 — DPIA er en skrivebordøvelse uten reell risikovurdering. En DPIA som kun lister opp risikoer uten å vurdere sannsynlighet og konsekvens, eller som angir tiltak uten å knytte dem til spesifikke risikoer, oppfyller ikke kravene i personvernforordningen (GDPR) artikkel 35 nr. 7. Løsning: bruk en strukturert risikometodikk (sannsynlighet × konsekvens), og knytt hvert tiltak til den risikoen det adresserer.

Feil 3 — Manglende involvering av personvernombudet. Å gjennomføre en DPIA uten å innhente personvernombudets råd der et slikt er utpekt, er et brudd på personvernforordningen (GDPR) artikkel 35 nr. 2. Løsning: inkluder personvernombudet i DPIA-prosessen fra starten, og dokumenter ombudets råd og eventuelle uenigheter.

Feil 4 — Ingen forhåndskonsultasjon der det er påkrevd. Å fortsette med behandlingen uten å konsultere Datatilsynet der DPIA-en viser en fortsatt høy restrisiko, er et brudd på personvernforordningen (GDPR) artikkel 36. Datatilsynet kan reagere med å forby behandlingen. Løsning: ta konklusjonen om forhåndskonsultasjon på alvor og kontakt Datatilsynet dersom restrisisikoen er høy.

Feil 5 — DPIA oppdateres ikke ved endringer. En DPIA som er gjennomført for et system og aldri oppdateres, selv om systemets funksjonalitet, databehandling eller sikkerhetsrisiko endrer seg vesentlig, mister sin relevans. Løsning: sett opp en rutine for å gjennomgå DPIA-en ved vesentlige endringer i behandlingsaktiviteten og minst hvert tredje år.

Feil 6 — For vage risikobeskrivelser. Risikobeskrivelser som «uautorisert tilgang kan skje» uten angivelse av sannsynlighet, berørte registrerte eller konkrete konsekvenser, gir et utilstrekkelig grunnlag for å vurdere om tiltakene er tilstrekkelige. Løsning: beskriv risikoene konkret og kvantifiser dem der mulig — hvem er berørt, hva er sannsynligheten for at risikoen realiseres, og hva er konsekvensene.

Feil 7 — DPIA gjennomføres uten å involvere relevante interessenter. En DPIA som gjennomføres isolert av juridisk avdeling, uten å involvere IT-avdeling, systemleverandøren og eventuelt et representativt utvalg av de registrerte, kan mangle viktig teknisk og praktisk kunnskap. EDPB-retningslinjer WP248 anbefaler at relevante interessenter involveres i DPIA-prosessen for å sikre at alle risikoer er identifisert.

Siter denne siden

Henvis til denne gratis malen i en artikkel, et pensum eller en forskningsnotat:

APA

Forms Legal. (2026). DPIA personvernkonsekvensvurdering Norge (Norge) [Legal document template]. Forms Legal. https://forms-legal.com/nb/norge/business/policies/dpia-personvernkonsekvensvurdering

MLA

"DPIA personvernkonsekvensvurdering Norge (Norge)." Forms Legal, 2026, https://forms-legal.com/nb/norge/business/policies/dpia-personvernkonsekvensvurdering.

BibTeX

@misc{formslegal-dpia-personvernkonsekvensvurdering,
  author       = {{Forms Legal}},
  title        = {DPIA personvernkonsekvensvurdering Norge (Norge)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/nb/norge/business/policies/dpia-personvernkonsekvensvurdering}},
  note         = {Free legal document template}
}

Også tilgjengelig for disse jurisdiksjonene:

Germany

Ofte stilte spørsmål

Mal med lovhenvisninger — Malen ble sist endret juni 2026

Denne malen leveres kun til informasjonsformål og utgjør ikke juridisk rådgivning. Lover varierer mellom jurisdiksjoner og endres over tid. Rådfør deg med en kvalifisert advokat for råd som er spesifikke for din situasjon.Fullstendig ansvarsfraskrivelse

Fant du en feil? Gi oss beskjed