Personvernkonsekvenser (PVK)

Prosessen for å dokumentere vurderinger knyttet til personvern i NAV har to steg:

  1. Personvernkravene i etterlevelsesløsningen
  2. Personvernkonsekvenser (PVK)

Etterlevelseskravene skal alltid gjennomføres. Dels for å dokumentere forhold som alltid skal dokumenteres (formål, behandlingsgrunnlag, ROS, Behandlingskatalogen, med videre), dels for å dokumentere vurdering av behovet for PVK.

Hva er en personvernkonsekvensvurdering?

En vurdering av personvernkonsekvenser (PVK, på engelsk: Data Protection Impact Assessment – DPIA) skal sikre at personvernet til de som NAV behandler og registrerer opplysninger om blir ivaretatt. Vurderingen av personvernkonsekvenser skal omfatte både «de registrerte» som ansatte eller som brukere av NAVs tjenester (og alle andre grupper av registrerte NAV måtte ha). Personopplysningsloven definerer når det er påkrevd å gjøre en PVK, hva den skal inneholde og hvem som skal gjennomføre den.

Datatilsynet definerer personvernkonsekvensvurdering på følgende måte:

Det er en systematisk prosess, som identifiserer og evaluerer potensielle personvern-konsekvenser fra alle interessenters synsvinkel i et prosjekt, initiativ, foreslått system eller prosess.

Når skal en personvernkonsekvensvurdering gjennomføres?

Hovedregelen er: Skal man gjennomføre en endring eller en utvikling som involverer personopplysninger, skal man alltid som et minimum vurdere hvorvidt man må gjennomføre en PVK, samt de punkter som følger av en slik vurdering. Det vil variere hvor detaljert og omfattende vurderingene må være.

Typiske tilfeller der det vil være behov for å vurdere personvernkonsekvenser:

Det skal utvikles et nytt system som skal inneholde personopplysninger, Vi skal levere en ny automatisert tjeneste til brukerne, Det skal gjøres endringer i et eksisterende system, eller Ved endring av eksisterende rutiner eller prosesser som involverer behandling av personopplysninger, eller En lovendring fører til at vi må endre arbeidsprosesser eller systemer innad i etaten.

Skal det gjennomføres en personvernkonsekvensvurdering for digital legeerklæring: pleiepenger sykt barn?

Med bakrunn i kriteriene beskrevet over, og endringen fra dagens løsning til midlertidige løsningen med generering av legeerklæring i en SMART on FHIR applikasjon utviklet av NAV er det sannsynlivis behov for en personvernkonsekvensvurdering. Den endelige beslutningen er til vurdering hos juridisk ansvarlig i produktområde Familie i NAV.