Internkontroll

En velfungerende internkontroll er avgjørende for å sikre forsvarlig behandling av personopplysninger.

Datatilsynet har en veileder om internkontroll og informasjonssikkerhet. Denne hjelper virksomheten gjennom prosessen med å innføre internkontroll og informasjonssikkerhet, og vi vil her kun nevne noen av rutinene som er viktig å gjennomføre før man tar i bruk skytjenester.

Kartlegg virksomhetens behandlinger

Virksomheten skal ha en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Den danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger.

Rutiner for internkontroll

Virksomheten skal ha rutiner for internkontroll, og noen av de mest relevante rutinene er for:

  1. innsyn
  2. retting og supplering
  3. sletting
  4. informasjon
  5. samtykke

Mer utfyllende informasjon om rutiner og hvordan man kan utarbeide rutinene, finnes i veilederen for internkontroll og informasjonssikkerhet.

Vi minner om at de samme pliktene gjelder for behandlingsansvarlig uansett om den bruker skytjenester eller ikke.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll