Velkommen til Intric Support Center
Sikkerhet og overholdelse
DPIA
Steg-for-steg-guide

Steg-for-steg-guide

Denne interaktive guiden er designet for å gjøre DPIA-prosessen så enkel og tydelig som mulig. Prosessen gjennomføres vanligvis i de innledende fasene av prosjektet og gir også rom for personvernombudets endelige gjennomgang. Prosessen er delt inn i 6 tydelige steg. I hvert steg dekker vi hva du må gjøre og hvilket materiale du får fra Intric for å gå videre.

Guiden støttes av Intrics DPIA-assistent, som hjelper deg med støttespørsmål, diskusjonsmateriale og eksempeltekst for hvert steg. Assistenten finnes i Arena-biblioteket.

Klikk på et steg for å lese mer.

Formål

For at DPIA-arbeidet skal være effektivt, må de rette personene være involvert fra starten. Personvernombudet må etter loven være del av prosessen. Både det svenske personvernemyndigheten (IMY) og EDPB understreker at tidlig involvering er å foretrekke.

I dette steget vil du:

  • Forstå hvilken mal og struktur som gjelder for organisasjonen din
  • Sette tydelige grenser for hva som skal vurderes
  • Kartlegge eksisterende dokumentasjon
  • Involvere de rette personene fra starten

Det du må gjøre

Planlegg et oppstartsmøte
Planlegg et oppstartsmøte med personvernombudet (PVO) og andre relevante representanter fra organisasjonen din, i tråd med dine eksisterende prosesser. Det kan inkludere ansvarlige for informasjonssikkerhet, IT og virksomhetsrepresentanter.

Gå gjennom interne dokumenter og prosedyrer
Sjekk om dere har egen DPIA-mal eller bruker IMYs eller SKRs mal. På dette stadiet er det også nyttig å se på retningslinjer for informasjonssikkerhet, planer for dokumenthåndtering og eventuelle AI-retningslinjer.

Definer formålet
Skissér hvilke avdelinger som skal bruke Intric, hvor mange brukere som er involvert, og hva hovedbruksområdene deres er og hvilke problemer dere vil løse.

Fullfør steg 1 i Intrics DPIA-assistent
Vår interaktive assistent guider deg gjennom forberedelsesstedene og hjelper deg med å strukturere arbeidet.

Det Intric tilbyr

For å hjelpe deg i gang gir vi deg tilgang til vårt grunnleggende avtaleopplegg og sikkerhetsmateriale:

  • DPIA-assistent for å støtte forberedelsesarbeidet
  • Eksempel på formålbeskrivelser fra ulike virksomsområder
  • 🔍 Bilag 1 og 2 – støttemateriale for Databehandleravtalen (DBA): DPA-mal

Formål

I dette steget kartlegger du hele datalivssyklusen. Det er viktig å skille mellom systemets tekniske funksjoner og det konkrete innholdet deres.

Det du må gjøre

En praktisk tilnærming er en enkel øvelse i tre deler:

1. Beskriv formålet
Hvorfor skal systemet brukes og hva skal det oppnå?

2. Beskriv prosesser og innhold
Hvordan vil prosessen fungere i Intric? Hva vil AI-assistentene gjøre, og hvilke konkrete dokumenter eller typer informasjon lastes opp for å oppnå formålet?

3. Identifiser personopplysninger
Ut fra informasjonen i steg 2 kan du hente ut og dokumentere:

  • a) Hvem sine data behandles? (Kun ansatte, eller også kunder eller personer som nevnes i dokumentene deres?)
  • b) Hvilke typer personopplysninger er involvert? (For eksempel navn, e-postadresser, eller til og med særlige kategorier som helsedata eller fagforeningsmedlemskap?)

Beskriv den interne tekniske oppsettet
Siden Intric leverer den eksterne plattformen og infrastrukturen (servere, AI-modeller osv.), trenger du vanligvis bare å beskrive den teknologien dere bruker internt for å muliggjøre bruk. Det dekker typisk:

  • Identitet og innlogging: Deres SSO-løsning (f.eks. Microsoft Entra ID eller Google Workspace) integrert for å kontrollere tilgang og tillatelser
  • Klienter og maskinvare: For eksempel at systemet aksesseres via organisasjonens administrerte datamaskiner eller mobile enheter
  • Nettverk: For eksempel eventuelle interne krav om å være på organisasjonens nettverk eller VPN for å logge inn

Det Intric tilbyr

Vi fyller inn de tekniske detaljene om systemet og vår infrastruktur. Du får ferdigskrevne tekster fra oss om:

  • Eksempel på formulering av formål og mål fra tidligere DPIAs
  • Systemoversikt og dataflyt: Ferdige beskrivelser og flytdiagrammer som viser hvordan systemet håndterer brukere, søkespørsmål og dokumenter
🔍 Systemarkitektur og teknisk oversikt: Systemarkitektur og teknisk oversikt
  • Geografisk lagring: Vi oppgir nøyaktig i hvilket land og i hvilke datasentre dataene deres lagres
  • Underleverandørliste: En fullstendig liste over våre underleverandører, hvor de finnes, hvilke data de behandler, og hvorfor
🔍 DBA og underleverandørliste: DPA-mal

Formål

Dette steget handler om å formelt sikre at dere har rettslig grunnlag for å behandle dataene og at de grunnleggende personvernprinsippene er oppfylt:

  • Behandlingen er forholdsmessig i forhold til formålet
  • Data brukes kun til det aktuelle formålet
  • Data minimeres og oppbevares i tråd med deres regler
  • De registrertes rettigheter kan oppfylles

Dette er ofte enklere enn det høres ut – dere har sannsynligvis allerede gjort lignende juridiske vurderinger og har rettslig grunnlag for andre IT-verktøy eller eksisterende arbeidsflyt. Det handler vanligvis om å alignere med personvernombudet slik at dere kan anvende samme resonnement på bruken av Intric.

Det du må gjøre

Dokumenter rettslig grunnlag
For hver type behandling (f.eks. innlogging vs. dokumentinnhold) må du oppgi rettslig grunnlag etter GDPR (f.eks. Offentlig interesse eller Berettiget interesse).

Definer oppbevarings- og slettingsregler (lagringsminimering)
Oppgi hvor lenge data oppbevares og hvem som er ansvarlig for å fjerne gamle dokumenter.

Definer prosedyrer for de registrertes rettigheter
Beskriv den interne prosessen for hvordan en bruker ber om en kopi av sine data, retting eller sletting.

Det Intric tilbyr

Vi viser at plattformen tekniske oppfyller GDPR-kravene:

  • Tekniske tiltak for minimering: Vi beskriver hvordan plattformen vår støtter rollebasert tilgangskontroll (RBAC), slik at brukere bare ser data de har krav på
🔍 RBAC og tilgangskontroll: Rollebasert tilgangskontroll (RBAC)
  • Teknisk støtte for de registrertes rettigheter: Instruksjoner for hvordan du eksporterer brukerdata eller utfører full sletting av en brukers historikk i plattformen
🔍 Datahåndtering: eksport, sletting og radering: Datahåndtering: Eksport, sletting og radering
  • Teknisk støtte for sletting: Instruksjoner for hvordan du konfigurerer plattformen for automatisk å fjerne data (f.eks. assistenthistorikk) i tråd med en gitt tidsramme
🔍 Konfigurer oppbevaring og sletting: Datahåndtering: Eksport, sletting og radering
  • Informasjon om internasjonale overføringer: Vi avklarer om data (f.eks. ved behandling av AI) forlater EU/EØS, til hvilke land, og hvilke juridiske overføringsmekanismer (f.eks. SCC) og sikkerhetstiltak som gjelder

Formål

GDPR krever at risiko vurderes før systemet tas i bruk. Det er viktig å huske at risiko er direkte knyttet til hvordan dere velger å bruke systemet og hvilken type informasjon dere behandler.

Når du vurderer risiko, fokuser på konsekvensene for de registrerte (ikke virksomhetsrisiko for organisasjonen). Risiko kan grovt grupperes etter hvordan de påvirker enkeltpersoners rettigheter og datasikkerhet:

  • Uautorisert tilgang eller avsløring (konfidensialitet): Feil person får tilgang til personopplysninger, for eksempel på grunn av feil tillatelser eller databrudd
  • Formålskryp og misbruk: Systemet eller dataene brukes til noe annet enn opprinnelig tiltenkt
  • Tap eller manipulasjon av data (integritet og tilgjengelighet): Data slettes ved feil, går tapt eller endres slik at de blir feil
  • Databehandlerrelaterte risiko: Risiko knyttet til hvordan plattformen og dens underleverandører håndterer data

Det du må gjøre

Identifiser driftsrisiko
Fokuser på risiko knyttet til hvordan dere bruker systemet. For eksempel:

  • (Kategori: Tap eller manipulasjon av data) Risikoen for at sensitive dokumenter lastes opp ved feil
  • (Kategori: Uautorisert tilgang eller avsløring) Risikoen for at brukere har for bred tilgang til dokumenter de ikke bør se
  • (Kategori: Formålskryp og misbruk) Risikoen for formålskryp (systemet begynner å brukes til feil formål)

Vurder sannsynlighet og alvorlighetsgrad
Ranger hver identifiserte risiko på en skala (ofte 1–5).

Det Intric tilbyr

Vi hjelper deg med de tekniske databehandlerrelaterte risikoene:

  • Eksempel på driftsrisiko fra tidligere DPIAs: Vi tilbyr ferdige risikobeskrivelser for scenarioer som kan gjelde organisasjonen din
  • Eksempel på databehandlerrisiko fra tidligere DPIAs: Vi tilbyr ferdige risikobeskrivelser for scenarioer som databrudd på vår side, eller risiko knyttet til internasjonale overføringer
  • Sertifiseringer og eksempel på prosedyrebeskrivelser: ISO 27001, leverandørkontrollprosess osv.
🔍 Sertifiseringer og tekniske og organisatoriske tiltak: Intrics TOM

Formål

I dette steget definerer du tiltak for å redusere risikoene identifisert i forrige steg til et akseptabelt nivå. Disse deles inn i tekniske, organisatoriske og kontraktlige sikkerhetstiltak (såkalte «TOM» – tekniske og organisatoriske tiltak), både internt i organisasjonen og eksternt med oss som databehandler.

En avgjørende del av dette arbeidet er å sikre at sluttbrukere får tilstrekkelig opplæring og informasjon, noe som er en forutsetning for at dere kan sikre intern overholdelse av prosedyrene deres.

Det du må gjøre

Definer de interne tiltakene
Beskriv hvordan dere vil adressere risikoene dere har identifisert. Det kan være tekniske (f.eks. «Vi aktiverer MFA») eller organisatoriske (f.eks. «Vi lager en tydelig retningslinje for hva som kan lastes opp»).

Tilordne ansvar og frister
For hvert tiltak må noen i organisasjonen være ansvarlig.

Vurder gjenværende risiko
Beregn risikonivået på nytt etter at tiltakene er på plass. Er risikoen fortsatt for høy?

Det Intric tilbyr

Vi tilbyr løsningene på de tekniske risikoene:

  • Eksempel på TOM for organisasjonen din basert på tidligere DPIAs
  • Opplæringsmateriale: Støttemateriale for administratorer og brukere slik at de kan bruke systemet sikkert fra dag én
  • Intrics tekniske og organisatoriske tiltak: En fullstendig teknisk liste over sikkerheitstiltakene vi anvender, både tekniske og organisatoriske
🔍 Intrics TOM: Tekniske og organisatoriske tiltak
  • Beste praksis og tekniske valg: Vi guider deg i hvordan du konfigurerer systemet (f.eks. hvordan du skiller Workspaces sikkert) for å adressere de identifiserte driftsrisikoene
  • Kontraktlige garantier: Krav og forpliktelser som juridisk binder oss i vår DBA og i DBA-ene vi har med underleverandørene våre

Formål

I det siste steget gjennomgås DPIA-en formelt, godkjennes og forankres i organisasjonen før systemet tas i produksjon.

Det du må gjøre

Gjennomgang av PVO
Personvernombudet må gjennomgå dokumentet, gi skriftlige anbefalinger og godkjenne vurderingen.

Formell beslutning
Prosjektleder eller virksomhetsansvarlig tar en formell beslutning (ja/nei) om systemet kan innføres ut fra risikoen.

Kommuniser til brukere
Informer brukere om DPIA-konklusjonene og prosedyrene de må følge.

Det Intric tilbyr

For å hjelpe deg til å føle deg trygg før lansering:

  • Gjennomgang av databehandlerfakta: Vi kan gjennomgå DPIA-utkastet deres for å verifisere at vår systemarkitektur eller tekniske begrensninger ikke er misforstått