DPIA-mal for kunden

Hjelpe-mal kommuner og kommunale foretak kan bruke som utgangspunkt for sin egen DPIA (Data Protection Impact Assessment / vurdering av personvernkonsekvenser) ved innføring av DigiReq.

Status: Mal — ikke en ferdig DPIA. Som behandlingsansvarlig er det kunden selv som skal gjennomføre DPIA-en (GDPR art. 35). Denne malen sparer tid ved å samle fakta om DigiReq på ett sted.

Når DPIA er påkrevd: Datatilsynet krever DPIA ved systematisk og omfattende vurdering av personlige forhold, særlig sensitive data, eller systematisk overvåkning. Standard DigiReq-bruk faller normalt under DPIA-terskelen (ikke-sensitive rekvisisjons-metadata, ingen profilering, ingen automatisert beslutningstaking med rettsvirkninger), men noen organisasjoner ønsker likevel å gjennomføre lett DPIA som god praksis.

1. Beskrivelse av behandlingen

1.1 Hva

DigiReq er en mobil-app og web-tjeneste som erstatter papir-rekvisisjoner for kommunalt felt-arbeid. Ansatte oppretter rekvisisjoner i felt, ledere godkjenner med push-notifikasjon, butikker mottar rekvisisjonsnummer, og faktura matches automatisk mot rekvisisjonen via EHF/Peppol.

1.2 Formål med behandlingen

1.3 Rettslig grunnlag (GDPR art. 6)

2. Personopplysninger som behandles

KategoriEksemplerKildeRettslig grunnlag
IdentifikasjonNavn, telefonnummer, e-postadresseAdmin oppretter ved invitasjon; bruker bekrefterAvtale
Rolle og organisasjons-tilknytningRolle (ansatt/godkjenner/admin), avdelingAdmin tildelerAvtale
Aktivitets-dataRekvisisjoner opprettet, godkjent, avvist; tidsstemplerBrukerens egen handlingAvtale
Teknisk metadataIP-adresse, enhet-ID, app-versjon, login-tidspunktAutomatisk ved brukBerettiget interesse (sikkerhet)
Audit-dataHvem gjorde hva, når, fra hvorAutomatisk ved privilegerte handlingerBerettiget interesse (sikkerhet)
Microsoft Entra-data (hvis SSO)Entra oid, e-post, tenant-IDMicrosoft Entra ID via OIDCAvtale

2.1 Hva som IKKE behandles

3. Hvem behandles opplysningene for

4. Hvor lenge oppbevares opplysningene

5. Hvem har tilgang

5.1 Hos behandlingsansvarlig (kunden)

5.2 Hos databehandler (DigiReq/Påvakt AS)

5.3 Underleverandører

Se /underleverandorer for komplett liste. Kort:

Alle er i EU/EØS eller på lov-godkjent overføringsmekanisme.

6. Tekniske og organisatoriske tiltak

Detaljert i /sikkerhet. Sammendrag:

7. Risiko-vurdering

DigiReqs egen ROS-analyse identifiserer 16 trusler. Se /ros-analyse. Etter implementerte tiltak er alle på akseptabelt nivå for pilot- og tidlig-produksjonsfase.

For DPIA-en bør kunden gjøre sin egen vurdering av:

8. Rettigheter og prosedyrer for de registrerte

Brukerne har alle GDPR-rettigheter (innsyn, retting, sletting, dataportabilitet, innsigelse). Se /data-rettigheter for praktiske steg.

Som behandlingsansvarlig er kunden hoved-kontaktpunkt for de registrerte. DigiReq bistår innen 5 virkedager når kunden videresender en forespørsel.

9. Behov for forhåndskonsultasjon med Datatilsynet

GDPR art. 36 krever forhåndskonsultasjon med Datatilsynet hvis DPIA-en viser høy restrisiko. For standard DigiReq-bruk forventes ikke høy restrisiko dersom de tekniske og organisatoriske tiltakene i §6 følges.

10. Konklusjons-mal

Kunden kan bruke følgende konklusjon som utgangspunkt (tilpass til egen vurdering):

Bruken av DigiReq medfører behandling av personopplysninger om kommunens ansatte med formål rekvisisjons-håndtering og internkontroll. Behandlingen er begrenset til navn, kontakt-info, rolle og aktivitets-data. Tekniske og organisatoriske tiltak (Entra ID med MFA, audit-logg, tenant-isolasjon, kryptering) er vurdert som tilstrekkelige. Restrisiko er vurdert som lav. Forhåndskonsultasjon med Datatilsynet anses ikke nødvendig.

DPIA-en revideres ved vesentlige endringer i behandlingen eller minst hvert annet år.

11. Vedlegg som kan refereres

12. Hjelp og kontakt

Ved spørsmål til DigiReq som dukker opp under DPIA-arbeidet: personvern@digireq.no. Vi svarer innen 5 virkedager i pilot-fasen.

Dokument-versjon 1.0 · Sist oppdatert 29. mai 2026 · personvern@digireq.no