Mitt beste DPIA-tips? Å spørre de registrerte om hva de mener, her er hvordan!
Photo by Towfiqu barbhuiya on Unsplash
Når du gjør en personvernkonsekvensvurderinger eller Data Protection Impact Assessment (DPIA), skal du spørre den registrerte eller en representant for den registrerte om deres mening om behandlingen. Og ja, dette er en forpliktelse som gjelder «dersom det er relevant». Dersom man vet hvem de registrerte er (og det vil man jo som regel gjøre), skal man spørre de registrerte om hva de mener når man gjør en DPIA.
Min erfaring er at mange hopper over denne delen av DPIAen. Jeg mistenker at det både er fordi dette vil være ekstra arbeid, og fordi det kanskje kan være litt skummelt å snakke med de registrerte. Jeg syntes i alle fall det. Men ikke nå lenger.
Nå foretrekker jeg å innhente den registrertes mening FØR jeg gjør DPIAen. Dette fordi de registrerte, er de som er aller nærmest til å gi deg viktig informasjon om hvilke personvernbekymringer de har. Og dette utrolig nyttig informasjon. Du får direkte informasjon rett fra de som kjenner hvor skoen trykker. Jeg finner alltid flere risikoscenarioer som jeg aldri hadde kommet på, om jeg ikke hadde spurt de registrerte.
Så hvordan kan du gå frem?
Jeg liker å gjøre dette så enkelt som mulig!
Personlig liker jeg å intervjue en gruppe av de registrerte, dette kan være en fagforening hvis de registrerte er ansatte, elevorganisasjonen hvis re registrerte er elever eller en interesse- eller pasientorganisasjon hvis de registrerte f.eks. er pasienter.
Før intervjuet sender jeg gruppen en skriftlig beskrivelse av hvilke personopplysninger som behandles om dem. Dette svarer i stor grad til den delen av DPIAen som beskriver behandlingsaktivitetene.
Under intervjuet presenterer jeg hvordan personopplysningene deres skal behandles muntlig, og så stiller jeg to spørsmål:
Hvilke personvernbekymringer har du på bakgrunn av det du vet om behandlingen av personopplysningene? (Her spør vi om personvernrisiko)
Hva ønsker du at vi skal gjøre med disse bekymringene? (Her spør vi om risikoreduserende tiltak)
Etter intervjuene utarbeider jeg en skriftlig oppsummering som blir sendt til gruppens medlemmer for innspill og rettelser. Oppsummeringen skal ikke inneholde personopplysninger. Det er en sammenstilling av personvernrisikoene som gruppen identifiserte, samt de tiltakene som ble nevnt.
Dette gir deg verdifulle innspill om personvernrisikoer som du kan bruke direkte i DPIAen. Det girt deg også forslag til risikoreduserende tiltak som de registrerte selv tror vil redusere risiko.
I tillegg til å bake inn innspillene i DPIAen, legger jeg ofte med oppsummeringen som et vedlegg til DPIAen. Dette for å synliggjøre hvordan de registrerte ble hørt.
Skal du gjøre en DPIA i nærmeste fremtid? Prøv å innhente den registrertes mening da vel! Det er verdt det 😉
Ps. Den første gangen jeg var på et kurs i hvordan gjøre en DPIA, ble vi bedt om å låse opp telefonen vår. Da vi hadde gjort det, ble vi bedt om å gi den til personen som satt ved sien av oss. Ulåst. Jeg har ikke mange ting på telefonen som ikke tåler dagens lys, men jeg fikk likevel en synkende følelse i magen. Det var ikke snakk om at jeg ville la en fremmed person få innsyn i telefonen min! «Den følelsen dere kjenner der, er den innstillingen dere skal ha når dere gjør en DPIA», sa foredragsholderen. «Dere er interessene til de registrerte som vurderes».
Denne bloggposten er basert på nyhetsbrevet mitt om personvern. Driver du med personvern og kunne tenke deg støtte i form av et ukentlig nyhetsbrev? Meld deg på her!