Personvern

Personvernkonsekvensvurdering (DPIA, artikkel 35 GDPR): når og hvordan i 2026

Personvernkonsekvensvurdering (DPIA) etter artikkel 35 GDPR: når den er obligatorisk, Datatilsynets liste, de fire trinnene, forhåndsdrøfting og vanlige feil.

Also available in:English·Français·Deutsch·Español

En personvernkonsekvensvurdering (DPIA, Data Protection Impact Assessment) er en systematisk vurdering av hvordan en planlagt behandling påvirker de registrertes personvern, og den er lovpålagt etter artikkel 35 i personvernforordningen (GDPR) når behandlingen sannsynligvis vil medføre høy risiko for fysiske personers rettigheter og friheter. Vurderingen skal gjennomføres før behandlingen starter, tidlig i planleggingsfasen, slik at risikoreduserende tiltak kan bygges inn fra begynnelsen. En DPIA er dermed både et risikoverktøy og en dokumentasjon av at virksomheten har tatt personvern på alvor.

Denne artikkelen forklarer når en DPIA er obligatorisk, hvordan Datatilsynets liste over behandlinger med høy risiko fungerer, hvilke fire elementer vurderingen minst må inneholde, og når man må ta kontakt med Datatilsynet på forhånd. Personvernforordningen gjelder i Norge gjennom personopplysningsloven og EØS-avtalen.

Når er en personvernkonsekvensvurdering obligatorisk?

Artikkel 35 nr. 1 krever DPIA når en type behandling, særlig ved bruk av ny teknologi, sannsynligvis vil medføre høy risiko. Artikkel 35 nr. 3 gir tre eksempler der DPIA alltid kreves:

  1. Systematisk og omfattende vurdering av personlige forhold basert på automatisert behandling, herunder profilering, som får rettsvirkninger eller på tilsvarende måte i betydelig grad påvirker personen.
  2. Omfattende behandling av særlige kategorier opplysninger (helse, etnisitet, religion, biometriske data m.m.) eller opplysninger om straffedommer.
  3. Systematisk overvåking av et offentlig tilgjengelig område i stor skala, typisk kameraovervåking.

I tillegg har Datatilsynet, i tråd med artikkel 35 nr. 4, publisert en liste over behandlinger som alltid krever DPIA. Den omfatter blant annet behandling av biometri for entydig identifikasjon, innovativ bruk av ny teknologi, sammenstilling av personopplysninger fra flere kilder, og behandling som hindrer registrerte i å utøve en rettighet eller tjeneste.

Hva om man er i tvil?

Er man usikker, brukes de ni kriteriene fra det tidligere Artikkel 29-gruppens retningslinjer (nå videreført av Personvernrådet). Oppfyller behandlingen to eller flere av kriteriene – for eksempel profilering, sensitive opplysninger, stor skala, sårbare registrerte, ny teknologi – bør man gjennomføre DPIA. Ved tvil anbefaler Datatilsynet å gjennomføre vurderingen uansett, fordi selve vurderingen dokumenterer at risikoen er håndtert. Beslutningen om at DPIA ikke er nødvendig, bør uansett begrunnes skriftlig i behandlingsprotokollen.

Hva må en DPIA inneholde?

Artikkel 35 nr. 7 fastsetter fire minimumselementer:

  1. En systematisk beskrivelse av de planlagte behandlingene og formålene, herunder eventuell berettiget interesse.
  2. En vurdering av nødvendigheten og forholdsmessigheten av behandlingen sett opp mot formålet.
  3. En vurdering av risikoene for de registrertes rettigheter og friheter.
  4. De planlagte tiltakene for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å beskytte opplysningene og dokumentere etterlevelse.

Punkt to og fire er i praksis der DPIA-er svikter oftest. Nødvendighetsvurderingen krever at man tar stilling til om formålet kan nås med mindre inngripende midler, i tråd med prinsippet om innebygd personvern og dataminimering. Tiltakene skal være konkrete og etterprøvbare, ikke generelle intensjonserklæringer.

Hvem gjennomfører vurderingen?

Den behandlingsansvarlige har ansvaret, men skal etter artikkel 35 nr. 2 søke råd fra personvernombudet der et slikt finnes. I praksis gjennomføres DPIA av et tverrfaglig team – prosjekteier, IT-sikkerhet, jurist og ombud – fordi vurderingen krever både teknisk og juridisk forståelse. Der behandlingen utføres av en databehandler, plikter databehandleren å bistå med nødvendig informasjon etter artikkel 28 nr. 3.

Forhåndsdrøfting med Datatilsynet

Viser DPIA-en at behandlingen ville medføre høy risiko til tross for de planlagte tiltakene, skal den behandlingsansvarlige rådføre seg med Datatilsynet før behandlingen starter (artikkel 36). Datatilsynet kan da gi skriftlige råd innen åtte uker, med mulig forlengelse, og i ytterste konsekvens forby behandlingen. Forhåndsdrøfting er ikke et vanlig utfall – de fleste risikoer lar seg redusere til et akseptabelt nivå gjennom tiltak – men muligheten viser hvor tett DPIA henger sammen med avvikshåndtering og øvrig risikostyring.

En manglende eller mangelfull DPIA er et selvstendig brudd. Selv om Datatilsynet så langt har lagt størst vekt på manglende rettslig grunnlag og informasjonssikkerhet i sine gebyrsaker, som mot Grindr og Østre Toten kommune, er DPIA-plikten en av de sentrale mekanismene for å unngå nettopp slike brudd før de oppstår. Et verktøy som Legiscope kan koble DPIA-er til de aktuelle behandlingene i protokollen, slik at vurderingen oppdateres når behandlingen endres.

Hvor lenge er en DPIA gyldig?

En DPIA er ikke et engangsdokument. Artikkel 35 nr. 11 krever at den behandlingsansvarlige ved behov kontrollerer at behandlingen fortsatt utføres i samsvar med vurderingen, særlig når risikoen endres. I praksis bør DPIA gjennomgås ved vesentlige endringer i formål, systemer, datamengde eller teknologi, og som en tommelfingerregel minst hvert tredje år.

Hva er forskjellen på DPIA og en vanlig risikovurdering?

En alminnelig risikovurdering i informasjonssikkerhet ser på trusler mot virksomhetens egne verdier – tap av data, driftsavbrudd, økonomisk skade. En personvernkonsekvensvurdering har et annet perspektiv: den vurderer risikoen for de registrerte, altså for enkeltpersonenes rettigheter og friheter. De to overlapper på sikkerhetstiltak, men DPIA går videre og vurderer også nødvendighet, forholdsmessighet og selve inngrepet i personvernet. En sikkerhetsvurdering som bare beskytter virksomhetens interesser, oppfyller derfor ikke kravene i artikkel 35. I praksis kan de to vurderingene gjennomføres samlet, men perspektivet på den registrerte må være uttrykkelig til stede – ellers har man en IT-risikoanalyse, ikke en DPIA.

En godt gjennomført DPIA har også en praktisk bieffekt: den blir dokumentasjonen som viser ansvarlighet etter artikkel 5 nr. 2 dersom noe senere går galt. Skulle en behandling utløse et avvik eller en klage, er en tidligere DPIA det tydeligste beviset på at virksomheten vurderte og håndterte risikoen på forhånd. Motsatt vil en manglende DPIA for en åpenbart høyrisikobehandling – for eksempel storskala kameraovervåking eller profilering av barn – i seg selv være et selvstendig brudd Datatilsynet kan reagere på, uavhengig av om behandlingen ellers er lovlig.

Vanlige feil

  • Å gjennomføre DPIA for sent. Vurderingen skal gjøres før behandlingen starter, ikke etterpå som en formalitet.
  • Å hoppe over nødvendighetsvurderingen. Uten en reell vurdering av om formålet kan nås med mindre inngripende midler, er DPIA-en ufullstendig.
  • Vage tiltak. «Vi vil sikre dataene forsvarlig» er ikke et tiltak. Beskriv konkret hva som gjøres, av hvem og når.
  • Å ikke involvere personvernombudet. Der ombud finnes, er rådføring et krav etter artikkel 35 nr. 2.
  • Å ikke oppdatere vurderingen når behandlingen endres vesentlig.

Ofte stilte spørsmål

Når må man gjennomføre en personvernkonsekvensvurdering?

Når behandlingen sannsynligvis vil medføre høy risiko for de registrerte, jf. artikkel 35 nr. 1. Det gjelder alltid ved omfattende profilering med rettsvirkning, omfattende behandling av sensitive opplysninger og systematisk overvåking av offentlige områder i stor skala, samt behandlingene på Datatilsynets liste.

Hvem har ansvaret for DPIA?

Den behandlingsansvarlige har ansvaret for å gjennomføre vurderingen, men skal søke råd hos personvernombudet der et slikt finnes. Databehandleren plikter å bistå med informasjon. Ansvaret kan ikke delegeres bort.

Hva skjer hvis DPIA viser høy restrisiko?

Da må virksomheten rådføre seg med Datatilsynet før behandlingen starter (forhåndsdrøfting etter artikkel 36). Datatilsynet kan gi råd, stille vilkår eller i ytterste konsekvens forby behandlingen dersom risikoen ikke kan reduseres tilstrekkelig.

Må DPIA-en deles med de registrerte eller offentliggjøres?

Nei, det er ingen plikt til å publisere selve vurderingen. Datatilsynet oppfordrer likevel til å offentliggjøre et sammendrag, særlig ved behandlinger som berører mange, fordi det styrker tilliten og åpenheten. Vurderingen skal uansett kunne fremlegges for Datatilsynet på forespørsel, og danner ofte grunnlaget for en eventuell forhåndsdrøfting etter artikkel 36.

Konklusjon

Personvernkonsekvensvurderingen er virksomhetens fremste verktøy for å oppdage og redusere risiko før en behandling settes i gang. Den er obligatorisk ved høy risiko, følger en fast struktur med fire minimumselementer, og skal gjennomføres tidlig – ikke som et etterpåklokt vedlegg. Bruk Datatilsynets liste og de ni kriteriene til å avgjøre om DPIA kreves, dokumenter beslutningen i behandlingsprotokollen, og involver personvernombudet. En god DPIA er både et vern for de registrerte og et bevis på ansvarlighet overfor Datatilsynet.

Denne artikkelen gir generell informasjon om artikkel 35 og utgjør ikke juridisk rådgivning.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →