Publisert: 28. juni 2026 · Roy Morken, Datafolka
DPIA og personvernkonsekvensvurdering: praktisk guide for norske SMB
En DPIA er en vurdering dere gjør før dere starter en behandling som kan utgjøre høy risiko for personene opplysningene gjelder. På norsk heter den personvernkonsekvensvurdering, og kravet står i personvernforordningen artikkel 35. Den er ikke en formalitet dere fyller ut i ettertid. Poenget er å finne risikoene mens dere fortsatt kan endre planen.
Et typisk tilfelle: En bedrift med rundt 20 ansatte vil sette opp kameraovervåking på lageret, og samtidig logge når ansatte logger seg av og på maskinene. Det ser ut som et rent IT-tiltak. Men begge deler står på Datatilsynets liste over behandlinger som alltid krever en DPIA. Uten vurderingen starter bedriften en meldepliktig behandling uten å vite det. En DPIA på et slikt oppsett ender ofte med konkrete justeringer: kortere lagringstid på opptakene, og at av- og pålogging ikke kobles til navn. Da går risikoen for de ansatte ned, og kameraene kan likevel settes opp.
Denne guiden går gjennom hva en DPIA er, når dere er pålagt å gjennomføre en, hva den må inneholde etter artikkel 35(7), og en praktisk fremgangsmåte i seks steg. Alt bygger på personvernforordningen artikkel 35 og 36, Datatilsynets veiledning, og Artikkel 29-gruppens retningslinjer (WP248). Eksempelet over er et illustrativt typetilfelle, ikke en konkret kundesak. Resten er lovtekst og offentlig veiledning oversatt til praktisk språk for norske SMB.
Hva en DPIA er (og hva den ikke er)
En personvernkonsekvensvurdering er en strukturert analyse av hvordan en planlagt behandling av personopplysninger påvirker personvernet til de registrerte. Den skal gjøres før behandlingen starter. Formålet er å identifisere risiko og redusere den med konkrete tiltak, ikke å beskrive en feil etter at den har skjedd.
En DPIA er ikke det samme som en sikkerhetsvurdering etter artikkel 32. Sikkerhetsvurderingen handler om å beskytte systemene. En DPIA er bredere. Den vurderer også om selve behandlingen er nødvendig og forholdsmessig, og den ser på konsekvensene for personene, ikke bare for bedriften. En DPIA inneholder en sikkerhetsvurdering, men går utover den.
En DPIA er heller ikke en personvernerklæring. Personvernerklæringen retter seg mot de registrerte og forteller dem hva dere gjør. DPIA-en er deres egen interne vurdering av om dere bør gjøre det i det hele tatt, og hvordan dere gjør det forsvarlig.
Når er dere pålagt å gjennomføre en DPIA
Hovedregelen står i artikkel 35(1): dere skal gjennomføre en DPIA når en behandling sannsynligvis vil medføre høy risiko for de registrertes rettigheter og friheter. For å gjøre den vurderingen konkret finnes det tre kilder dere sjekker mot.
1. De tre tilfellene i artikkel 35(3)
Forordningen peker ut tre behandlinger som alltid utløser kravet:
- Profilering med rettsvirkning. En systematisk og omfattende vurdering av personlige aspekter, basert på automatisert behandling, herunder profilering, som danner grunnlag for avgjørelser med rettsvirkning eller tilsvarende betydelig virkning.
- Sensitive data i stor skala. Behandling i stor skala av særlige kategorier av personopplysninger etter artikkel 9, eller personopplysninger om straffedommer og lovovertredelser etter artikkel 10.
- Overvåking av offentlig område. Systematisk overvåking i stor skala av et offentlig tilgjengelig område, typisk kameraovervåking.
2. Datatilsynets nasjonale liste
Artikkel 35(4) gir tilsynsmyndigheten anledning til å fastsette en liste over behandlinger som alltid krever DPIA. Datatilsynet har gjort det. Listen treffer mange helt vanlige SMB-situasjoner. Et utvalg av det som står der:
- Systematisk overvåking av ansatte, for eksempel logging av aktivitet eller tilstedeværelse.
- Behandling av biometriske data for å identifisere personer.
- Behandling av genetiske opplysninger.
- Behandling av lokasjonsdata som kan følge personer over tid.
- Kameraovervåking i stor skala av offentlig tilgjengelig område.
- Bruk av innovativ teknologi der personvernkonsekvensene ikke er godt kjent.
Står behandlingen deres på listen, er spørsmålet avgjort. Da skal dere gjøre en DPIA, uavhengig av hvor liten bedriften er. Den fullstendige listen ligger i Datatilsynets veiledning, lenket under Kilder.
3. Artikkel 29-gruppens ni kriterier
For alt som ikke er åpenbart, brukes ni kriterier fra Artikkel 29-gruppen (nå EDPB) i retningslinjene WP248. Treffer behandlingen to eller flere av dem, skal dere som hovedregel gjennomføre en DPIA:
| Kriterium | Eksempel for en SMB |
|---|---|
| Evaluering eller poengsetting | Kreditt-scoring, profilering av kunder, automatisk rangering av søkere. |
| Automatiserte avgjørelser med betydelig virkning | System som avslår eller godkjenner søknader uten menneske i loopen. |
| Systematisk overvåking | Overvåking av ansatte eller besøkende over tid. |
| Sensitive eller svært personlige opplysninger | Helsedata, fagforeningstilknytning, økonomi, kommunikasjonsinnhold. |
| Behandling i stor skala | Mange registrerte, stort datavolum, eller bred geografisk dekning. |
| Sammenstilling av datasett | Kobling av data fra ulike kilder utover det den registrerte forventer. |
| Sårbare registrerte | Ansatte, barn, pasienter, der det er ubalanse i makt. |
| Innovativ bruk eller ny teknologi | Ansiktsgjenkjenning, ny AI-funksjon, ukjent personvernrisiko. |
| Hindrer en rettighet eller tjeneste | Behandling som avgjør om noen får tilgang til en tjeneste eller avtale. |
Er dere i tvil om dere treffer to kriterier, anbefaler Datatilsynet å gjennomføre en DPIA likevel. Vurderingen er rimelig å gjøre, og den dokumenterer at dere har tenkt gjennom risikoen.
Hva en DPIA må inneholde
Artikkel 35(7) sier hva vurderingen som et minimum skal inneholde. Fire deler, og de henger sammen. Dette er kjernen i dokumentet, og det dere kontrollerer mot når dere vurderer om DPIA-en er fullstendig.
| Del (art. 35(7)) | Hva den skal svare på |
|---|---|
| a) Beskrivelse | Systematisk beskrivelse av behandlingen, formålene, og eventuell berettiget interesse. |
| b) Nødvendighet | Vurdering av om behandlingen er nødvendig og forholdsmessig sett opp mot formålet. |
| c) Risiko | Vurdering av risikoene for de registrertes rettigheter og friheter. |
| d) Tiltak | Planlagte tiltak for å håndtere risikoen, inkludert sikkerhetstiltak og garantier. |
Den delen de fleste SMB hopper for lett over er bokstav b. Det er fristende å hoppe rett til sikkerhetstiltak. Men nødvendighetsvurderingen er ofte der den største gevinsten ligger. Hvis dere ikke trenger en opplysning for formålet, er det beste tiltaket å la være å samle den inn.
Slik gjennomfører dere en DPIA i seks steg
Seks-stegs-listen øverst i artikkelen følger artikkel 35(7) i praksis. Her er den i kortform, med det dere bør passe på i hvert steg. En typisk SMB bruker tre til fem arbeidsdager på en DPIA, mer hvis behandlingen er kompleks.
- Avklar om DPIA kreves. Sjekk mot artikkel 35(3), Datatilsynets liste og de ni kriteriene. Dokumenter konklusjonen, også hvis svaret er nei.
- Beskriv behandlingen. Hvilke personopplysninger, hvem de gjelder, formål, lagringstid, tilgang, systemer og leverandører.
- Vurder nødvendighet. Behandlingsgrunnlag etter artikkel 6, og artikkel 9 for sensitive personopplysninger. Kutt det dere ikke trenger.
- Kartlegg risiko. For de registrerte, ikke bare for bedriften. Sett sannsynlighet og alvorlighet.
- Bestem tiltak. Konkret per risiko. Beskriv restrisikoen som står igjen.
- Dokumenter og eskaler ved behov. Er restrisikoen fortsatt høy, krever artikkel 36 forutgående drøfting med Datatilsynet før dere starter.
Forutgående drøfting: når dere må snakke med Datatilsynet først
De fleste DPIA-er ender med tiltak som får restrisikoen ned til et akseptabelt nivå. Da trenger dere ikke involvere Datatilsynet. Dere dokumenterer vurderingen og setter behandlingen i gang.
Men hvis DPIA-en viser at behandlingen fortsatt vil medføre høy risiko selv etter tiltakene, gjelder artikkel 36. Da skal dere drøfte behandlingen med Datatilsynet før dere starter. Dette kalles forutgående drøfting, og er ikke det samme som å melde et avvik. Det er en avklaring på forhånd, ikke en rapport i etterkant. Dette er sjelden for en typisk SMB, men det er verdt å vite at terskelen finnes.
Vanlige feil vi ser hos SMB
- Gjør DPIA-en for sent. Den skal gjøres før behandlingen starter, ikke når et tilsyn banker på. En vurdering laget etterpå mister hele poenget.
- Behandler den som en sikkerhetssjekk. Sikkerhet er ett av fire krav. Nødvendighet og konsekvens for personene er like viktig.
- Glemmer ansattdata. Logging og overvåking av egne ansatte står på Datatilsynets liste, men oppleves ofte som intern drift uten personvernrelevans.
- Lar den støve ned. En DPIA skal oppdateres ved endringer. En vurdering fra 2022 for et system som har endret seg fem ganger, er ikke gyldig dokumentasjon.
Mal og verktøy
Dere trenger sjelden å skrive malen fra bunnen. Datatilsynet har en veiledning om vurdering av personvernkonsekvenser med en sjekkliste for fasene. Flere offentlige virksomheter har publisert egne DPIA-maler som er fritt tilgjengelige. For en typisk SMB holder det å bruke Datatilsynets sjekkliste som struktur og fylle inn de fire delene fra artikkel 35(7).
Datafolka hjelper gjerne med å gjennomføre en DPIA på en konkret behandling, eller å sette opp en mal og en rutine dere kan bruke selv. Det er typisk del av en IT-rådgivnings-gjennomgang der vi går gjennom behandlingen, kartlegger risikoen, og dokumenterer tiltakene sammen med dere.
Neste steg
Start med steg 1: gå gjennom de behandlingene dere allerede har, og avklar hvilke som krever en DPIA. De fleste SMB finner én til tre behandlinger som havner på listen, ofte rundt ansatte, kameraovervåking eller en ny AI-funksjon. Ta dem først.
Hvis dere vil ha en sparringspartner som kan lede en personvern-gjennomgang på én til to dager, kan vi hjelpe. Det er ofte en kombinasjon av IT-rådgivning og IT-sikkerhets-vurdering .
Send en e-post til Roy.Morken@Datafolka.no , så avtaler vi en samtale.
Beslektet lesing på datafolka.no: Databehandleravtale for norske SMB , Datatilsynet 2026 - hva små bedrifter må vite og GDPR-sjekkliste for små bedrifter .
Kilder
- Personvernforordningen (GDPR) artikkel 35 og 36, og personopplysningsloven: lovdata.no/personopplysningsloven
- Datatilsynet - Vurdering av personvernkonsekvenser (DPIA), veiledning og når kravet gjelder: datatilsynet.no/dpia
- Datatilsynet - Sjekkliste for DPIA-faser (PDF): datatilsynet.no/sjekkliste-dpia
- Artikkel 29-gruppen (EDPB) WP248 rev.01 - Guidelines on DPIA, de ni kriteriene: ec.europa.eu/wp248
Roy Morken, medgrunnlegger i Datafolka. Artikkelen er bygget på personvernforordningen artikkel 35 og 36, Datatilsynets veiledning om vurdering av personvernkonsekvenser, og Artikkel 29-gruppens retningslinjer WP248. Eksempelet er et illustrativt typetilfelle, ikke en konkret kundesak. Sist oppdatert 28. juni 2026.
Claude AI hjalp meg med formuleringer og korrektur i denne artikkelen.