Felles innføring i DPIA-arbeid for kommunene (Aidn)

Den 10. juni ble det gjennomført en felles innføring i vurdering av personvernkonsekvenser (DPIA) for kommunene knyttet til Aidn. Samlingen besto av PwC og representanter fra Aidn, og la grunnlaget for videre arbeid frem mot planlagt workshop i september.

Flutie8211 Security 8631857

Hva er DPIA?

For å forstå betydningen av arbeidet, er det nyttig å se nærmere på hva en DPIA faktisk innebærer.

DPIA står for Data Protection Impact Assessment og er en vurdering av personvernkonsekvenser. Dette er et obligatorisk tiltak dersom behandlingen av personopplysninger sannsynligvis vil medføre høy risiko for fysiske personers rettigheter og friheter. I denne sammenhengen innebærer det en vurdering av hvilke konsekvenser det nye EPJ-systemet kan ha for personvernet til brukere og pasienter.

Formålet med en DPIA er å identifisere og redusere risiko knyttet til behandling av personopplysninger. En viktig del av prosessen er at personvernombudet skal involveres og gi råd i vurderingen.

Behov for felles tilnærming

De fleste kommunene har tidligere gjennomført en DPIA knyttet til sin nåværende elektroniske pasientjournal (EPJ). PwC fasiliterer derfor en felles DPIA-mal, slik at kommunene får en lik tilnærming og dokumentasjon. På denne måten legges det til rette for bedre samarbeid på tvers av kommunene, samtidig som kommunene unngår å utvikle alt fra bunnen av.

Målet med felles DPIA-mal er å redusere variasjon, sikre kvalitet og sammenlignbarhet i vurderingene. Samtidig understrekes det at arbeidet ikke kan gjennomføres på kort tid, men at det heller ikke vil være svært tidkrevende dersom kommunene jobber strukturert.

Tilgang til DPIA-mal

Alle kommunene har fått tilgang til Aidn sin eksisterende DPIA. Selv om det allerede er utarbeidet en DPIA for systemet, er det viktig at hver kommune gjennomfører egne vurderinger. PwC har derfor utviklet en felles mal som kommunene kan ta i bruk. Ved at kommunene gjennomgår prosessen med å utarbeide en DPIA, sikres både forståelse, eierskap og trygghet dersom det skulle oppstå utfordringer knyttet til behandling av personopplysninger. 

Malen omfatter blant annet følgende temaer: formål, behandlingsgrunnlag, representanter og interessenter, overvåkning, lagring og sletting av data, samt begrensninger. 

Veien videre

Første steg i DPIA-arbeidet er en initialvurdering. Denne vurderingen skal hver kommune arbeide med frem mot workshopen i september. Parallelt skal kommunene også gjennomføre ROS-analyser og identifisere relevante tiltak.

I tillegg har nivå 1 fått tilgang til Aidn sitt opplæringsverktøy. Her kan kommunene bli bedre kjent med systemet i praksis ved å teste ut funksjonalitet.

Det pågår også et felles arbeid knyttet til vurdering og tiltak innen flåtestyring. Resultatet fra dette arbeidet vil bli tilgjengelig internt etter 18. juni.