Velkommen til Intric Support Center
Sikkerhet og overholdelse
DPIA

DPIA

En DPIA (konsekvensvurdering for personvern) er et verktøy for systematisk å identifisere og minimere personvernrisiko før et nytt system tas i bruk.

I henhold til personvernforordningen (GDPR, artikkel 35) må en DPIA gjennomføres når en ny type behandling av personopplysninger – særlig ved bruk av ny teknologi – sannsynligvis vil medføre høy risiko for enkeltpersoners rettigheter og friheter.

Målet er å identifisere, vurdere og minimere disse risikoene før systemet tas i produksjon.

Hva må en DPIA inneholde?

Uansett hvilken mal du bruker, krever GDPR at konsekvensvurderingen inneholder minst fire elementer:

  1. En systematisk beskrivelse av den planlagte behandlingen og dens formål
  2. En vurdering av nødvendighet og forholdsmessighet – er behandlingen nødvendig og forholdsmessig i forhold til formålet?
  3. En vurdering av risikoene for de registrertes rettigheter og friheter
  4. Risikostyringstiltak – tiltakene som er planlagt for å adressere risikoene (f.eks. sikkerheitstiltak og prosedyrer)

Felles ansvarsfordeling

Arbeidet bygger på en felles ansvarsfordeling: organisasjonen din er ansvarlig for innhold og eierskap til DPIA-en din, mens Intric leverer støttemateriale, dokumentasjon og verktøy (inkludert vår DPIA-assistent) slik at du enkelt kan fullføre den.

  • Du vet hvordan dere skal bruke systemet, hvilke dokumenter dere planlegger å laste opp, og hva de interne prosedyrene deres er. Du fyller ut disse delene ut fra organisasjonens kontekst.
  • Vi (Intric) vet nøyaktig hvordan teknologien fungerer, hvor data lagres, og hvilke sikkerheitstiltak som beskytter dem. Vi gir deg ferdig materiale, tekniske beskrivelser og en interaktiv assistent som guider deg gjennom prosessen.

Oversikt over ansvarsfordelingen

GDPR-kravHva organisasjonen dokumentererHva Intric leverer
1. Systematisk beskrivelse av den planlagte behandlingen og dens formålBruksformål, hvilke dokumenter/innhold som lastes opp, og hvilke interne ressurser som er involvertTeknisk systembeskrivelse, dataflyt, geografisk lagring og fullstendig liste over underleverandører
2. Vurdering av om behandlingen er nødvendig og forholdsmessig i forhold til formåletRettslig grunnlag for behandling, interne oppbevaringsregler og prosedyrer for de registrertes rettigheterTeknisk støtte for lagringsminimering, automatisk sletting og sletting/eksport av data
3. Vurdering av risiko for de registrertes rettigheter og friheterIdentifikasjon av driftsrisiko (f.eks. feil intern bruk) og vurdering av sannsynlighet og alvorlighetsgradForhåndsutfylte databehandlerrisikoer, sertifiseringer (ISO 27001, SOC 2) og hendelseshistorikk som støtter vurderingen din
4. Tiltak planlagt for å adressere risikoeneInterne tekniske og organisatoriske tiltak (f.eks. retningslinjer, prosedyrer, opplæring) og vurdering av gjenværende risikoIntrics innebygde sikkerheitstiltak (f.eks. tilgangskontroll/RBAC, kryptering, sikkerhetskopi), beste praksis for sikker konfigurasjon og kontraktlige garantier (DBA)

Kom i gang med DPIA-en din

For å gjøre prosessen så enkel og tydelig som mulig, har vi utviklet en steg-for-steg-guide basert på metodikk og materiale fra organisasjoner som allerede har fullført en DPIA for bruken av Intric.

🔍 Gå til DPIA steg-for-steg-guiden: Steg-for-steg-guide

En DPIA for AI er ikke en annen prosess

Det er viktig å forstå at en DPIA for et AI-verktøy som Intric ikke skiller seg i substans fra en DPIA for andre IT-systemer. Prosessen følger samme struktur og krav som ved implementering av andre systemer som behandler personopplysninger – enten det er et HR-system, et CRM-verktøy eller et dokumentstyringssystem.

Det som er unikt for implementeringen deres, er ikke teknologien i seg selv, men hvordan dere velger å bruke den, hvilke data dere behandler, og hvilke risikoer som oppstår i deres konkrete kontekst.

💡 Want to read more?