Risikovurdering behandling personopplysninger

Strukturert risikovurdering etter GDPR art. 24, art. 25, art. 32 og art. 35.

Dette verktøyet hjelper deg å gjennomføre en strukturert risikovurdering for behandling av personopplysninger.

Ingen data lagres på serveren — alt skjer lokalt i nettleseren din. Skjemaet lagrer automatisk underveis. Du kan også lagre og importere som fil.

Dette verktøyet krever en større skjerm og er kun tilgjengelig på PC eller nettbrett.

Du har en påbegynt risikovurdering lagret. Vil du fortsette?

Behandlingsbeskrivelse

Beskriv behandlingen som skal risikovurderes.

Behandling / kortnavn

Gi behandlingen et kort, beskrivende navn. Bruk gjerne samme navn som i behandlingsprotokollen (GDPR art. 30).

Beskrivelse

Ansvarlig virksomhet

Kontaktperson

Formål med behandlingen

Kategorier registrerte

Ansatte Jobbsøkere Kunder (privatpersoner) Kunder/leverandører (bedrift) Brukere Medlemmer Innbyggere/borgere Elever/studenter Pasienter Barn Pårørende Kontaktpersoner Besøkende

Kategorier personopplysninger

Kontaktopplysninger Identifikatorer Demografiske opplysninger Familieforhold Økonomiske opplysninger Arbeidsforhold Utdanning og kompetanse Helseopplysninger Kommunikasjonsdata Kundeforhold Lokaliseringsdata Bilder og video Digitale identifikatorer Bruk av løsning/logging Atferdsdata og profilering

Velg relevante kategorier over og/eller fyll inn fritt. Eksempler: kontaktinfo, identifikatorer, økonomi, helse, lokasjon, atferdsdata.

Skjerpet vurdering

Sensitive/særlige kategorier Opplysninger om lovovertredelse og straff Sårbare registrerte

For særlige kategorier (art. 9), opplysninger om lovovertredelse og straff (art. 10) og sårbare registrerte bør det gjøres en skjerpet vurdering av konsekvensene.

Omfang

Angi antatt antall registrerte (personer det behandles opplysninger om) og omtrentlig antall personopplysninger per registrert. Omfanget påvirker både konsekvens og sannsynlighetsvurderingen — større omfang gir normalt høyere risiko.

Hvordan behandles opplysningene?

Størrelse risikomatrise

4×4 5×5

Velg størrelse på risikomatrisen. 4×4 er standard og enklere. 5×5 gir mer granularitet. Valget påvirker skalaen for sannsynlighet og konsekvens i steg 3.

Inkluder vurderingssikkerhet

Nei Ja

Når denne er aktivert, kan du for hver sårbarhet angi hvor sikker du er på vurderingen av sannsynlighet og konsekvens. Velg mellom Sikker, Moderat eller Usikker. Dette gir bedre beslutningsgrunnlag — en høy risiko med usikker vurdering bør undersøkes nærmere før tiltak besluttes.

Velg sårbarheter

Velg hvilke sårbarheter som er relevante for denne behandlingen. Del 1 gjelder alle behandlinger. Del 2 er betinget.

Gå til del 2 ↓ 0 valgt

Del 1 — Gjelder alle behandlinger

▶ S1 Rettslig grunnlag og formål GDPR art. 5, 6, 9 0/2

S1.1 Manglende, udokumentert eller ugyldig behandlingsgrunnlag ▸ Vis beskrivelse Personopplysninger behandles uten at det foreligger et gyldig, dokumentert behandlingsgrunnlag etter personvernforordningen artikkel 6 (og eventuelt artikkel 9 for særlige kategorier personopplysninger). S1.2 Behandling til annet formål enn opprinnelig formål for innsamling av personopplysninger ▸ Vis beskrivelse Personopplysninger som er samlet inn for ett formål brukes til et nytt og uforenlig formål uten nytt grunnlag eller vurdering av forenelighet etter artikkel 6(4).

▶ S2 Dataminimering og datakvalitet GDPR art. 5(1)(c)(d) 0/4

S2.1 Det samles inn flere opplysninger enn nødvendig for formålet ▸ Vis beskrivelse Det samles inn flere personopplysninger enn det som er nødvendig for det angitte formålet, i strid med formålsbegrensningen i artikkel 5(1)(a) og dataminimeringsprinsippet i artikkel 5(1)(c). S2.2 Opplysningene er ikke korrekte eller holdes ikke oppdaterte ▸ Vis beskrivelse Personopplysningene som behandles er ikke korrekte eller oppdaterte, i strid med riktighetsprinsippet i artikkel 5(1)(d). S2.3 Re-identifisering av pseudonymiserte eller anonymiserte opplysninger ▸ Vis beskrivelse Opplysninger som er pseudonymiserte eller anonymiserte kan kobles tilbake til enkeltpersoner gjennom kombinasjon med andre datakilder eller utilstrekkelig anonymiseringsmetode. S2.4 Brukere legger inn opplysninger systemet ikke er beregnet for ▸ Vis beskrivelse Brukere registrerer personopplysninger i fritekstfelt eller systemer som ikke er designet for å håndtere slike opplysninger, noe som fører til ukontrollert spredning.

▶ S3 Konfidensialitet – uautorisert tilgang og spredning GDPR art. 32 0/6

S3.1 Uautorisert ekstern tilgang til systemer eller opplysninger ▸ Vis beskrivelse Eksterne aktører får uautorisert tilgang til systemer som inneholder personopplysninger, gjennom hacking, utnyttelse av sårbarheter eller sosial manipulering. S3.2 Utilsiktet deling eller feilsending av opplysninger ▸ Vis beskrivelse Personopplysninger sendes til feil mottaker eller deles utilsiktet gjennom feilsending av e-post, feil vedlegg, eller deling via usikrede kanaler. S3.3 Tap eller tyveri av enhet med personopplysninger ▸ Vis beskrivelse Bærbare datamaskiner, mobiltelefoner, USB-enheter eller andre lagringsmedier med personopplysninger mistes eller stjeles. S3.4 Opplysninger legges inn i systemer med for bred tilgang ▸ Vis beskrivelse Personopplysninger registreres i systemer der flere enn nødvendig har tilgang, fordi systemet ikke støtter tilstrekkelig tilgangsstyring eller fordi tilgangen ikke er korrekt konfigurert. Opplysningene kan aksesseres eller endres av uautoriserte personer. S3.5 Manglende pseudonymisering eller anonymisering der dette kreves ▸ Vis beskrivelse Personopplysninger brukes i sammenhenger der det hadde vært mulig og påkrevd å bruke pseudonymiserte eller anonymiserte data, for eksempel i statistikk, forskning eller testing. S3.6 Manglende kryptering av personopplysninger ved lagring eller overføring ▸ Vis beskrivelse Personopplysninger lagres eller overføres uten tilstrekkelig kryptering, slik at opplysningene kan leses av uvedkommende ved sikkerhetsbrudd, avlytting eller tap av lagringsmedier.

▶ S4 Tilgangsstyring og autorisasjon GDPR art. 32 0/5

S4.1 Uautoriserte får tilgang til personopplysninger de ikke er autorisert for eller har behov for for sine oppgaver ▸ Vis beskrivelse Ansatte eller andre har tilgang til personopplysninger som de ikke trenger for å utføre sine oppgaver, i strid med prinsippet om minste privilegium/"need to know". S4.2 Tilganger fjernes ikke ved fratreden eller rolleendring ▸ Vis beskrivelse Tilgangsrettigheter blir ikke fjernet eller endret når ansatte slutter, bytter stilling eller endrer arbeidsoppgaver. S4.3 Ansatte bruker tilgang utover tjenestlig behov ▸ Vis beskrivelse Ansatte med legitim tilgang benytter denne til å slå opp eller hente ut personopplysninger uten at det er begrunnet i arbeidsoppgavene ("systemsurfing"). S4.4 Opplysninger fra behandlingen kopieres til uautoriserte systemer/behandlingssteder ▸ Vis beskrivelse Ansatte kopierer eller overfører personopplysninger fra behandlingen til systemer eller behandlingssteder som ikke er godkjent eller underlagt virksomhetens kontroll. S4.5 Utilstrekkelig logging av tilgang til personopplysninger ▸ Vis beskrivelse Virksomheten har ikke tilstrekkelig logging av hvem som har hatt tilgang til personopplysninger, når tilgangen skjedde og hva som ble gjort, slik at det ikke er mulig å dokumentere etterlevelse eller oppdage uautorisert bruk.

▶ S5 Integritet – endring og sletting GDPR art. 5(1)(d), 32 0/3

S5.1 Utilsiktet eller uautorisert endring eller sletting av personopplysninger ▸ Vis beskrivelse Personopplysninger endres eller slettes ved uhell eller av noen uten autorisasjon, slik at integriteten i dataene svekkes. S5.2 Manglende, ufullstendig eller ikke sikker sikkerhetskopiering ▸ Vis beskrivelse Virksomheten har ikke tilstrekkelige rutiner for sikkerhetskopiering, slik at personopplysninger kan gå tapt ved systemsvikt, angrep eller menneskelige feil. S5.3 Personopplysninger er ikke tilgjengelige når det er behov for dem ▸ Vis beskrivelse Systemer med personopplysninger er utilgjengelige når de trengs for å utføre behandlingen, oppfylle rettigheter eller levere tjenester.

▶ S6 Sletting og lagringstid GDPR art. 5(1)(e), 17 0/2

S6.1 Opplysninger beholdes lenger enn fastsatt lagringstid ▸ Vis beskrivelse Personopplysninger lagres lenger enn det som er nødvendig for formålet eller fastsatt i lagringstidsregler, i strid med lagringsbegrensningsprinsippet i artikkel 5(1)(e). S6.2 Tekniske begrensninger hindrer fullstendig sletting ▸ Vis beskrivelse Systemene støtter ikke fullstendig sletting av personopplysninger, slik at data blir værende i backuper, logger, arkiver eller andre deler av infrastrukturen.

▶ S7 Registrertes rettigheter GDPR art. 12–22 0/5

S7.1 Manglende eller utilstrekkelig informasjon til de registrerte ▸ Vis beskrivelse De registrerte får ikke tilstrekkelig informasjon om behandlingen av deres personopplysninger i strid med artikkel 13 og 14. S7.2 Innsyn gis ikke, er ikke fullstendig eller gis ikke innen fristen ▸ Vis beskrivelse Virksomheten besvarer ikke innsynsbegjæringer, eller besvarer dem for sent i forhold til fristen på én måned etter artikkel 15. Opplysningene som gis er ikke dekkende for de opplysninger som behandles. S7.3 Krav om retting etterkommes ikke ▸ Vis beskrivelse Virksomheten etterkommer ikke krav fra registrerte om retting av uriktige personopplysninger innen fristen etter artikkel 16. Retting foretas ikke på korrekt møte. Retting avvises på urettmessig grunnlag. S7.4 Krav om sletting etterkommes ikke ▸ Vis beskrivelse Det skjer ikke sletting av personopplysninger etter krav om sletting fra registrert etter artikkel 17, selv om vilkårene for sletting er oppfylt. S7.5 Andre registrertes rettigheter håndteres ikke ▸ Vis beskrivelse Registrertes rettigheter som begrensning av behandling, dataportabilitet, innsigelsesrett eller rett til ikke å bli underlagt automatiserte avgjørelser overholdes ikke.

▶ S8 Etterlevelse og internkontroll GDPR art. 5(2), 24, 30, 33–34 0/7

S8.1 Behandlingen er ikke registrert i behandlingsprotokollen ▸ Vis beskrivelse Behandlingsaktiviteter med personopplysninger er ikke registrert i virksomhetens behandlingsprotokoll etter artikkel 30. S8.2 Manglende eller utdatert risikovurdering ▸ Vis beskrivelse Det er ikke gjennomført risikovurdering for behandlingen, eller risikovurderingen er utdatert og gjenspeiler ikke nåværende risikobilde. S8.3 Personvernbrudd varsles ikke eller meldes ikke innen fristene ▸ Vis beskrivelse Virksomheten varsler ikke Datatilsynet om brudd på personopplysningssikkerheten innen 72 timer, eller varsler ikke berørte registrerte ved høy risiko, etter artikkel 33 og 34. S8.4 Manglende kontroll for å avdekke avvik ▸ Vis beskrivelse Virksomheten har ikke tilstrekkelige rutiner eller systemer for å oppdage brudd på personvernet eller avvik fra egne rutiner og regelverk. S8.5 Mangelfulle rutiner, opplæring eller etterlevelse ▸ Vis beskrivelse Virksomheten har ikke tilstrekkelige rutiner for personvern, opplæringen er mangelfull, eller eksisterende rutiner følges ikke i praksis. S8.6 Manglende dokumentasjon for å påvise etterlevelse ▸ Vis beskrivelse Virksomheten kan ikke dokumentere at personvernregelverket etterleves. Beslutninger, vurderinger og tiltak er ikke nedtegnet. Samtykke kan ikke påvises, interesseavveiinger er ikke dokumentert, og håndtering av rettighetshenvendelser er ikke loggført. S8.7 Nye systemer og prosesser utvikles uten innebygd personvern ▸ Vis beskrivelse Nye systemer, applikasjoner eller prosesser som behandler personopplysninger utvikles eller anskaffes uten at personvern bygges inn fra starten, i strid med kravet om innebygd personvern og personvern som standardinnstilling etter artikkel 25.

Del 2 — Betingede grupper

▶ S9 Databehandler benyttes GDPR art. 28 0/4

Personopplysninger behandles av ekstern virksomhet på vegne av behandlingsansvarlig

S9.1 Manglende eller ikke dekkende databehandleravtale ▸ Vis beskrivelse Det foreligger ikke en gyldig databehandleravtale med tredjeparter som behandler personopplysninger på vegne av virksomheten, eller avtalen dekker ikke behandlingen som faktisk utføres, i strid med artikkel 28. S9.2 Databehandler behandler opplysninger til egne formål ▸ Vis beskrivelse Databehandleren bruker personopplysninger virksomheten har overlatt til behandling for egne formål utover det som er avtalt og instruert. S9.3 Underdatabehandlere benyttes uten godkjenning ▸ Vis beskrivelse Databehandleren benytter underleverandører (underdatabehandlere) til å behandle personopplysninger uten at virksomheten er informert eller har godkjent dette, i strid med artikkel 28(2). S9.4 Utilstrekkelig sikkerhetsnivå hos databehandler ▸ Vis beskrivelse Databehandleren har ikke implementert tilstrekkelige tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysningene, i strid med kravene i artikkel 28 og 32.

▶ S10 Overføring til tredjeland GDPR kap. V 0/3

Personopplysninger overføres til land utenfor EU/EØS, eller databehandler/underdatabehandler befinner seg i et slikt land

S10.1 Manglende eller ugyldig grunnlag for overføring av personopplysninger til tredjeland ▸ Vis beskrivelse Personopplysninger overføres til land utenfor EØS uten gyldig overføringsgrunnlag etter kapittel V i personvernforordningen. S10.2 Utilstrekkelige sikkerhetstiltak der SCC er overføringsgrunnlaget ▸ Vis beskrivelse Der standardpersonvernbestemmelser (SCC) brukes som overføringsgrunnlag, er det ikke gjennomført tilstrekkelig vurdering av beskyttelsesnivået i mottakerlandet eller implementert nødvendige supplerende tiltak. S10.3 Myndigheters tilgang til opplysninger i tredjeland ▸ Vis beskrivelse Myndigheter i mottakerlandet har vidtgående tilgang til personopplysninger som er overført, uten at dette er tilstrekkelig vurdert eller kompensert for.

▶ S11 Kunstig intelligens og automatiserte avgjørelser GDPR art. 22, 35 0/11

Det benyttes KI-løsninger, maskinlæring eller automatisert beslutningstaking som behandler personopplysninger

S11.1 KI-modellen lærer på personopplysninger uten tilstrekkelig grunnlag ▸ Vis beskrivelse Personopplysninger brukes til trening eller finjustering av kunstig intelligens-modeller uten at det foreligger gyldig behandlingsgrunnlag, i strid med artikkel 6. S11.2 Personopplysninger i prompts er ikke tilstrekkelig sikret ▸ Vis beskrivelse Ansatte eller brukere legger inn personopplysninger i prompts til KI-tjenester uten at det er sikret at opplysningene er tilstrekkelig beskyttet. S11.3 Manglende segregering mellom brukere eller organisasjoner i KI-løsningen ▸ Vis beskrivelse KI-løsningen skiller ikke tilstrekkelig mellom ulike brukere eller organisasjoners data, slik at opplysninger kan lekke på tvers. S11.4 Automatiserte avgjørelser uten tilstrekkelig grunnlag eller garantier ▸ Vis beskrivelse Det treffes automatiserte avgjørelser basert på KI eller algoritmer som har rettslige eller tilsvarende vesentlige virkninger for enkeltpersoner, uten tilstrekkelige garantier etter artikkel 22. S11.5 Utilstrekkelig menneskelig kontroll av KI-anbefalinger ▸ Vis beskrivelse KI-anbefalinger benyttes uten reell menneskelig vurdering, slik at den menneskelige kontrollen blir en formalitet. S11.6 Manglende forklarbarhet av enkeltanbefalinger ▸ Vis beskrivelse Det kan ikke forklares hvorfor en konkret person er foreslått tildelt eller utelatt fra et utfall. S11.7 Skjevhet (bias) eller systematisk urettferdige utfall ▸ Vis beskrivelse KI-løsningen produserer systematisk skjeve eller urettferdige resultater for enkelte grupper eller personer. S11.8 Modelldrift og forringelse av anbefalingskvalitet over tid ▸ Vis beskrivelse Modellens treffsikkerhet svekkes over tid selv om inndata er oppdaterte (concept drift / data drift). S11.9 Funksjonsutvidelse mot personalvurdering eller HR-formål ▸ Vis beskrivelse Operasjonelle data fra KI-løsningen tas gradvis i bruk til vurdering av ansattes prestasjoner uten nytt grunnlag. S11.10 KI-behandlingen er ikke tilstrekkelig dokumentert eller risikovurdert ▸ Vis beskrivelse Det mangler dokumentasjon av modellen, og risikovurdering er ikke gjennomført eller oppdatert. S11.11 KI-modellen produserer uriktige personopplysninger (hallusinering) ▸ Vis beskrivelse Modellen kan produsere feilaktige påstander om identifiserbare personer.

▶ S12 Særlige kategorier personopplysninger GDPR art. 9, 10 0/3

Behandlingen omfatter helse, etnisitet, religion, politisk oppfatning, fagforeningsmedlemskap, genetiske/biometriske data, seksuelle forhold eller straffbare forhold

S12.1 Manglende tilleggsgrunnlag for behandling av særlige kategorier personopplysninger ▸ Vis beskrivelse Særlige kategorier av personopplysninger (helse, biometri, etnisitet, politisk oppfatning, religiøs overbevisning med mer) behandles uten at vilkårene i artikkel 9(2) er oppfylt. S12.2 Særlige kategorier personopplysninger er ikke tilstrekkelig sikret ut over ordinære krav ▸ Vis beskrivelse Særlige kategorier av personopplysninger behandles med samme sikkerhetsnivå som ordinære personopplysninger, uten forhøyede sikkerhetstiltak. S12.3 Behandling av særlige kategorier personopplysninger av personell uten tjenestlig behov ("need-to-know") ▸ Vis beskrivelse Ansatte som ikke har tjenstlig behov for det, har tilgang til eller behandler særlige kategorier av personopplysninger.

▶ S13 Høyrisiko-behandling som krever DPIA GDPR art. 35 0/2

Behandlingen kan medføre høy risiko, f.eks. ved systematisk overvåking, profilering i stor skala, ny teknologi eller behandling av særlige kategorier i stor skala

S13.1 DPIA er ikke gjennomført der det kreves ▸ Vis beskrivelse Virksomheten har ikke gjennomført personvernkonsekvensvurdering (DPIA) for behandlinger som sannsynligvis vil medføre høy risiko, i strid med artikkel 35. S13.2 Identifiserte risikoer i DPIA er ikke fulgt opp ▸ Vis beskrivelse DPIA er gjennomført men identifiserte risikoer og anbefalte tiltak er ikke implementert eller fulgt opp.

▶ S14 Fysiske lokaler og fysisk sikkerhet GDPR art. 32 0/3

Personopplysninger behandles på papir, på skjermer i fellesområder, eller i lokaler med ekstern tilgang

S14.1 Uvedkommende kan se eller overhøre personopplysninger i lokaler ▸ Vis beskrivelse Personopplysninger er synlige eller hørbare for uvedkommende i virksomhetens fysiske lokaler. S14.2 Utilstrekkelig fysisk sikring av utstyr ▸ Vis beskrivelse Servere, nettverksutstyr, lagringsmedier med personopplysninger er ikke tilstrekkelig fysisk sikret mot uautorisert tilgang. S14.3 Papirdokumenter med personopplysninger er ikke tilstrekkelig sikret ▸ Vis beskrivelse Papirbaserte dokumenter som inneholder personopplysninger er ikke tilstrekkelig beskyttet mot uautorisert tilgang, tap eller Ødeleggelse.

▶ S15 Virksomheten er selv databehandler GDPR art. 28, 29, 32 0/4

Virksomheten behandler personopplysninger på vegne av en annen behandlingsansvarlig

S15.1 Databehandleravtalen eller instruksene følges ikke ▸ Vis beskrivelse Virksomheten opptrer som databehandler, men følger ikke den behandlingsansvarliges instrukser eller vilkårene i databehandleravtalen. S15.2 Underdatabehandlere benyttes uten godkjenning fra behandlingsansvarlig ▸ Vis beskrivelse Virksomheten som databehandler bruker underleverandører til å behandle personopplysninger uten at behandlingsansvarlig er informert eller har godkjent dette. S15.3 Sikkerhetsbrudd varsles ikke til behandlingsansvarlig ▸ Vis beskrivelse Virksomheten som databehandler varsler ikke den behandlingsansvarlige uten ugrunnet opphold når det oppdages brudd på personopplysningssikkerheten, i strid med artikkel 33(2). S15.4 Manglende bistand ved rettighetshenvendelser ▸ Vis beskrivelse Virksomheten som databehandler bistår ikke den behandlingsansvarlige med å oppfylle registrertes rettigheter som innsyn, retting, sletting og dataportabilitet.

▶ S16 Bruk av personopplysninger i test og utvikling GDPR art. 5, 25, 32 0/2

Virksomheten gjennomfører systemutvikling, testing, feilsøking eller opplæring der data fra produksjonsmiljø kan benyttes

S16.1 Reelle personopplysninger benyttes i test- eller utviklingsmiljø ▸ Vis beskrivelse Reelle personopplysninger fra produksjon brukes i test- og utviklingsmiljøer der sikkerhetsnivået typisk er lavere. S16.2 Test- og utviklingsmiljøer er ikke tilstrekkelig sikret ▸ Vis beskrivelse Test- og utviklingsmiljøer som inneholder personopplysninger har ikke tilstrekkelige sikkerhetstiltak sammenlignet med produksjonsmiljøet.

Egendefinerte sårbarheter

Vurdering

Vurder sannsynlighet og konsekvens for hver valgt sårbarhet, og beskriv tiltak.

Vurdert: 0 av 0

⚠ Skjerpet vurdering: Vurder om konsekvensene bør settes høyere.

Sammendrag

Oversikt over risikonivåene for behandlingen.

Samlet vurdering av risiko ved behandlingen

Forklaring sannsynlighet

Forklaring konsekvens

Forklaring risiko

Godkjenning og eksport

Godkjenn risikovurderingen og eksporter den som dokument.

Samlet vurdering av risiko

⚠️ Høy eller kritisk risiko registrert. Du bør begrunne aksept av risikoen og beskrive tiltaksplan.

Begrunnelse for aksept av risiko

Tiltaksplan

Godkjent av

Navn, tittel/rolle

Kommentarer til godkjenningen

Revurderingsintervall

6 måneder 1 år 2 år Annet

Dato

Neste revisjonsdato

Legg til forklaring til slutt