Publisert: 28. juni 2026 · Roy Morken, Datafolka

DPIA og personvernkonsekvensvurdering: praktisk guide for norske SMB

En person med briller går gjennom et dokument ved et skrivebord på et kontor - illustrasjon for personvernkonsekvensvurdering (DPIA)
Foto: Vitaly Gariev / Unsplash

En DPIA er en vurdering dere gjør før dere starter en behandling som kan utgjøre høy risiko for personene opplysningene gjelder. På norsk heter den personvernkonsekvensvurdering, og kravet står i personvernforordningen artikkel 35. Den er ikke en formalitet dere fyller ut i ettertid. Poenget er å finne risikoene mens dere fortsatt kan endre planen.

Et typisk tilfelle: En bedrift med rundt 20 ansatte vil sette opp kameraovervåking på lageret, og samtidig logge når ansatte logger seg av og på maskinene. Det ser ut som et rent IT-tiltak. Men begge deler står på Datatilsynets liste over behandlinger som alltid krever en DPIA. Uten vurderingen starter bedriften en meldepliktig behandling uten å vite det. En DPIA på et slikt oppsett ender ofte med konkrete justeringer: kortere lagringstid på opptakene, og at av- og pålogging ikke kobles til navn. Da går risikoen for de ansatte ned, og kameraene kan likevel settes opp.

Denne guiden går gjennom hva en DPIA er, når dere er pålagt å gjennomføre en, hva den må inneholde etter artikkel 35(7), og en praktisk fremgangsmåte i seks steg. Alt bygger på personvernforordningen artikkel 35 og 36, Datatilsynets veiledning, og Artikkel 29-gruppens retningslinjer (WP248). Eksempelet over er et illustrativt typetilfelle, ikke en konkret kundesak. Resten er lovtekst og offentlig veiledning oversatt til praktisk språk for norske SMB.

Hva en DPIA er (og hva den ikke er)

En personvernkonsekvensvurdering er en strukturert analyse av hvordan en planlagt behandling av personopplysninger påvirker personvernet til de registrerte. Den skal gjøres før behandlingen starter. Formålet er å identifisere risiko og redusere den med konkrete tiltak, ikke å beskrive en feil etter at den har skjedd.

En DPIA er ikke det samme som en sikkerhetsvurdering etter artikkel 32. Sikkerhetsvurderingen handler om å beskytte systemene. En DPIA er bredere. Den vurderer også om selve behandlingen er nødvendig og forholdsmessig, og den ser på konsekvensene for personene, ikke bare for bedriften. En DPIA inneholder en sikkerhetsvurdering, men går utover den.

En DPIA er heller ikke en personvernerklæring. Personvernerklæringen retter seg mot de registrerte og forteller dem hva dere gjør. DPIA-en er deres egen interne vurdering av om dere bør gjøre det i det hele tatt, og hvordan dere gjør det forsvarlig.

Når er dere pålagt å gjennomføre en DPIA

Hovedregelen står i artikkel 35(1): dere skal gjennomføre en DPIA når en behandling sannsynligvis vil medføre høy risiko for de registrertes rettigheter og friheter. For å gjøre den vurderingen konkret finnes det tre kilder dere sjekker mot.

1. De tre tilfellene i artikkel 35(3)

Forordningen peker ut tre behandlinger som alltid utløser kravet:

2. Datatilsynets nasjonale liste

Artikkel 35(4) gir tilsynsmyndigheten anledning til å fastsette en liste over behandlinger som alltid krever DPIA. Datatilsynet har gjort det. Listen treffer mange helt vanlige SMB-situasjoner. Et utvalg av det som står der:

Står behandlingen deres på listen, er spørsmålet avgjort. Da skal dere gjøre en DPIA, uavhengig av hvor liten bedriften er. Den fullstendige listen ligger i Datatilsynets veiledning, lenket under Kilder.

3. Artikkel 29-gruppens ni kriterier

For alt som ikke er åpenbart, brukes ni kriterier fra Artikkel 29-gruppen (nå EDPB) i retningslinjene WP248. Treffer behandlingen to eller flere av dem, skal dere som hovedregel gjennomføre en DPIA:

Kriterium Eksempel for en SMB
Evaluering eller poengsetting Kreditt-scoring, profilering av kunder, automatisk rangering av søkere.
Automatiserte avgjørelser med betydelig virkning System som avslår eller godkjenner søknader uten menneske i loopen.
Systematisk overvåking Overvåking av ansatte eller besøkende over tid.
Sensitive eller svært personlige opplysninger Helsedata, fagforeningstilknytning, økonomi, kommunikasjonsinnhold.
Behandling i stor skala Mange registrerte, stort datavolum, eller bred geografisk dekning.
Sammenstilling av datasett Kobling av data fra ulike kilder utover det den registrerte forventer.
Sårbare registrerte Ansatte, barn, pasienter, der det er ubalanse i makt.
Innovativ bruk eller ny teknologi Ansiktsgjenkjenning, ny AI-funksjon, ukjent personvernrisiko.
Hindrer en rettighet eller tjeneste Behandling som avgjør om noen får tilgang til en tjeneste eller avtale.

Er dere i tvil om dere treffer to kriterier, anbefaler Datatilsynet å gjennomføre en DPIA likevel. Vurderingen er rimelig å gjøre, og den dokumenterer at dere har tenkt gjennom risikoen.

Trebokstaver som staver ordet DATA på et skrivebord - illustrasjon for behandling av personopplysninger
Foto: Markus Winkler / Unsplash

Hva en DPIA må inneholde

Artikkel 35(7) sier hva vurderingen som et minimum skal inneholde. Fire deler, og de henger sammen. Dette er kjernen i dokumentet, og det dere kontrollerer mot når dere vurderer om DPIA-en er fullstendig.

Del (art. 35(7)) Hva den skal svare på
a) Beskrivelse Systematisk beskrivelse av behandlingen, formålene, og eventuell berettiget interesse.
b) Nødvendighet Vurdering av om behandlingen er nødvendig og forholdsmessig sett opp mot formålet.
c) Risiko Vurdering av risikoene for de registrertes rettigheter og friheter.
d) Tiltak Planlagte tiltak for å håndtere risikoen, inkludert sikkerhetstiltak og garantier.

Den delen de fleste SMB hopper for lett over er bokstav b. Det er fristende å hoppe rett til sikkerhetstiltak. Men nødvendighetsvurderingen er ofte der den største gevinsten ligger. Hvis dere ikke trenger en opplysning for formålet, er det beste tiltaket å la være å samle den inn.

Slik gjennomfører dere en DPIA i seks steg

Seks-stegs-listen øverst i artikkelen følger artikkel 35(7) i praksis. Her er den i kortform, med det dere bør passe på i hvert steg. En typisk SMB bruker tre til fem arbeidsdager på en DPIA, mer hvis behandlingen er kompleks.

  1. Avklar om DPIA kreves. Sjekk mot artikkel 35(3), Datatilsynets liste og de ni kriteriene. Dokumenter konklusjonen, også hvis svaret er nei.
  2. Beskriv behandlingen. Hvilke personopplysninger, hvem de gjelder, formål, lagringstid, tilgang, systemer og leverandører.
  3. Vurder nødvendighet. Behandlingsgrunnlag etter artikkel 6, og artikkel 9 for sensitive personopplysninger. Kutt det dere ikke trenger.
  4. Kartlegg risiko. For de registrerte, ikke bare for bedriften. Sett sannsynlighet og alvorlighet.
  5. Bestem tiltak. Konkret per risiko. Beskriv restrisikoen som står igjen.
  6. Dokumenter og eskaler ved behov. Er restrisikoen fortsatt høy, krever artikkel 36 forutgående drøfting med Datatilsynet før dere starter.

Forutgående drøfting: når dere må snakke med Datatilsynet først

De fleste DPIA-er ender med tiltak som får restrisikoen ned til et akseptabelt nivå. Da trenger dere ikke involvere Datatilsynet. Dere dokumenterer vurderingen og setter behandlingen i gang.

Men hvis DPIA-en viser at behandlingen fortsatt vil medføre høy risiko selv etter tiltakene, gjelder artikkel 36. Da skal dere drøfte behandlingen med Datatilsynet før dere starter. Dette kalles forutgående drøfting, og er ikke det samme som å melde et avvik. Det er en avklaring på forhånd, ikke en rapport i etterkant. Dette er sjelden for en typisk SMB, men det er verdt å vite at terskelen finnes.

Vanlige feil vi ser hos SMB

Mal og verktøy

Dere trenger sjelden å skrive malen fra bunnen. Datatilsynet har en veiledning om vurdering av personvernkonsekvenser med en sjekkliste for fasene. Flere offentlige virksomheter har publisert egne DPIA-maler som er fritt tilgjengelige. For en typisk SMB holder det å bruke Datatilsynets sjekkliste som struktur og fylle inn de fire delene fra artikkel 35(7).

Datafolka hjelper gjerne med å gjennomføre en DPIA på en konkret behandling, eller å sette opp en mal og en rutine dere kan bruke selv. Det er typisk del av en IT-rådgivnings-gjennomgang der vi går gjennom behandlingen, kartlegger risikoen, og dokumenterer tiltakene sammen med dere.

Neste steg

Start med steg 1: gå gjennom de behandlingene dere allerede har, og avklar hvilke som krever en DPIA. De fleste SMB finner én til tre behandlinger som havner på listen, ofte rundt ansatte, kameraovervåking eller en ny AI-funksjon. Ta dem først.

Hvis dere vil ha en sparringspartner som kan lede en personvern-gjennomgang på én til to dager, kan vi hjelpe. Det er ofte en kombinasjon av IT-rådgivning og IT-sikkerhets-vurdering .

Send en e-post til Roy.Morken@Datafolka.no , så avtaler vi en samtale.

Beslektet lesing på datafolka.no: Databehandleravtale for norske SMB , Datatilsynet 2026 - hva små bedrifter må vite og GDPR-sjekkliste for små bedrifter .

Kilder

Roy Morken, medgrunnlegger i Datafolka. Artikkelen er bygget på personvernforordningen artikkel 35 og 36, Datatilsynets veiledning om vurdering av personvernkonsekvenser, og Artikkel 29-gruppens retningslinjer WP248. Eksempelet er et illustrativt typetilfelle, ikke en konkret kundesak. Sist oppdatert 28. juni 2026.

Claude AI hjalp meg med formuleringer og korrektur i denne artikkelen.