Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Virksomhetens ansvar etter nytt regelverk

Det nye personvernregelverket legger vekt på ansvarlighet og internkontroll hos virksomheten fremfor forhåndskontroll fra Datatilsynet.

Kravene til avviksbehandling, varsling av berørte og kontinuerlig arbeid med informasjonssikkerheten skjerpes i det nye regelverket.

Veiledningen er basert på forordningens artikler 5, 24, 30 og 32-34, samt Artikkel 29-gruppens anbefalinger.

Skriv ut veileder
Virksomhetens ansvar etter nytt regelverk

Fra kontroll til ansvarlighet

Det nye personvernregelverket legger vekten på ansvarlighet fremfor forhåndskontroll fra Datatilsynet. Ansvaret for at personopplysninger behandles riktig ligger hos virksomheten.



Dagens krav til internkontroll og informasjonssikkerhet

Krav til internkontroll og informasjonssikkerhet i dagens personopplysningslov er konkrete og handler om at virksomheter skal utføre planlagte og systematiske tiltak. Dette er også regulert i personopplysningsforskriften.

Prinsippene om ansvar, integritet og konfidensialitet

Et av de viktige prinsippene for det nye personvernregelverket er at det er virksomheten som bruker personopplysningene som har ansvar for at personvernprinsippene overholdes. Dette innebærer at virksomheten skal kunne vise at de behandler personopplysninger i tråd med personvernprinsippene.

Behandlingsansvarlig skal blant annet å sørge for tilstrekkelig og forholdsmessig sikkerhet, at personopplysningene er sikret mot uautorisert eller ulovlig behandling eller utilsiktet tap, ødeleggelse eller skade.

Dette er nedfelt i artikkel 5 i det nye regelverket.

Forskjellen fra dagens regelverk er at det blir mindre forhåndskontroll ved at melde- og konsesjonspliktene forsvinner. Men det er også en viktig endring at ansvaret blir plassert hos virksomheten. Det kommer flere og til dels tydeligere rettigheter og plikter, og det blir krav om å iverksette risikobaserte tiltak. Mer etterkontroll kan medføre strengere sanksjoner om man ikke har «orden i eget hus».

Dette er regulert i artikkel 25 om innebygd personvern, artikkel 35 om vurdering av personvernkonsekvenser og artikkel 36 om forhåndsdrøftelse.

Internkontroll, rutiner og oversikt

Dagens krav om internkontroll blir erstattet av formuleringer om den behandlingsansvarliges ansvar. Virksomhetene skal sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre at personopplysninger behandles i samsvar med regelverket. Dersom det blir behov for det, skal de tiltakene man har valgt endres og oppdateres.

Disse kravene er regulert i artikkel 24.

Slik som i dag, så må man ha rutiner for å ivareta de registrertes rettigheter. Rettighetene til de registrerte finnes i hovedsak i artiklene 12-23.

Et krav som er nytt er kravet til å ha oversikt over behandlingsaktiviteter. Selv om denne plikten er ny, finnes en plikt til å ha oversikt over behandlinger også i dagens regelverk (personopplysningsforskriften § 2-4). Plikten gjelder både for den behandlingsansvarlige og for databehandler. En slik oversikt skal være skriftlig og elektronisk, og skal være tilgjengelig for Datatilsynet dersom vi krever det.

Pliktene knyttet til informasjonssikkerhet henger sammen med virksomhetens internkontroll. Man må kjenne sin virksomhet og sine verdier for å kunne vite hva man skal sikre og hvordan. Uten en internkontroll og en oversikt over personopplysninger, kan man ikke gjøre en reell vurdering avrisiko.

Virksomheten har også plikt til å føre en protokoll over alle behandlingsaktiviteter den foretar seg. Les mer om protokoll over behandlingsaktiviteter og hva den må inneholde her. 

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll

Hva blir nytt i 2018?

Vi har laget en veiledning for virksomheter om de nye personvernreglene som trer i kraft i mai 2018. Vi har også laget en liste med punkter som oppsummerer hva som blir nytt, samt hva virksomhetene bør gjøre nå.

Hva blir nytt i 2018?

Informasjonssikkerhet er en kontinuerlig prosess

Virksomheter plikter å kontinuerlig vurdere hvilken teknologi som er tilgjengelig for å sikre personopplysninger på en best mulig måte.



Personopplysninger kommer i mange former. De kan trykkes eller skri­ves på papir, lagres elektronisk, overføres via post eller elektroniske media, eller formidles muntlig. Uansett hvordan informasjonenformidles og lagres, skal den alltid beskyttes på en tilfredsstillende måte.

Organisasjoner og deres infor­masjonssystemer står overfor en stadig lengre rekke av sikkerhetstrusler, for eksempel datasvindel, spionasje, sabotasje og hærverk. Trusselaktører tar kontinuerlig i bruk nye verktøy og metoder som krever at alle virksomheter jevnlig holder seg oppdatert, kjenner til nye trusler og sårbarheter, og vurderer om man har etablert tilstrekkelig sikkerhet.

Oversikt over tilgjengelig teknologi

I det nye regelverket understrekes det at arbeidet med informasjonssikkerhet er en kontinuerlig prosess. Det stilles blant annet krav til å sikre vedvarende robusthet i tillegg til konfidensialitet, integritet og tilgjengelighet. Det betyr blant annet at virksomheten plikter å ta hensyn til hvilken teknologi som er tilgjengelig (i regelverkets engelskspråklige versjon kalles dette «state of the art»).. Dette betyr at den teknologien som var akseptabel for virksomheten i fjor, ikke nødvendigvis er akseptabel i år.

Vilkårene knyttet til informasjonssikkerhet som en kontinuerlig prosess beskrives i artikkel 32.

Bransjenormer drar i riktig retning

Risikovurderinger og etablering av tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå er grunnleggende krav til virksomhetens informasjonssikkerhet. Risikovurderingen må ta høyde for hvilke risikoer som er forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller uautorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

En viktig endring fra dagens regler er at det å overholde en godkjent bransje- eller atferdsnorm eller en godkjent sertifiseringsmekanisme, kan brukes for å dokumentere at man oppfyller kravene til informasjonssikkerhet.

Samtidig må virksomheten sørge for at de som behandler personopplysninger på vegne av behandlingsansvarlig eller databehandler, kun behandler personopplysninger på instruks fra den behandlingsansvarlige. Dette er for å sikre at den behandlingsansvarlige har kontroll over behandlingen og dermed kan forsikre seg om at virksomheten etterlever personopplysningsregelverket.

Mer konkret beskrivelse av tiltak

I det nye regelverket finner vi en mer utfyllende beskrivelse av tiltak og aktiviteter for å oppnå et tilfredsstillende sikkerhetsnivå enn i dagens regelverk. Dette er noen av tiltakene som er nærmere beskrevet:

  1. Pseudonymisering og kryptering av personopplysninger
  2. Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i systemer og tjenester som behandler personopplysninger
  3. Evne til å gjenopprette tilgjengelighet og tilgang til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse
  4. En prosess for regelmessig testing, vurdering og evaluering av hvor effektive de tekniske og organisatoriske sikkerhetstiltakene er

Artikkel 32 omhandler kravene til informasjonssikkerhet. Der finner dere igjen mange av momentene fra § 13 i personopplysningsloven og kapittel 2 i personopplysningsforskriften

Nye krav til avvikshåndtering og informasjon til de berørte

Med de nye reglene som trer i kraft i mai 2018 skal mange flere sikkerhetsbrudd eller hendelser rapporteres.



I dagens regelverk stilles det krav til at avvik eller sikkerhetsbrudd skal håndteres internt i virksomheten. Datatilsynet skal varsles dersom det har vært en «uautorisert utlevering av personopplysninger som krever konfidensialitet» (personopplysningsforskriften § 2-6). Per i dag er det stort sett saker der det har vært en utlevering av konfidensielle personopplysninger som rapporteres.

Et sikkerhetsbrudd defineres som et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Strengere krav til varsling

Fra 2018 blir det strengere krav til når avvik skal rapporteres til Datatilsynet. Den behandlingsansvarlige får frist på å melde fra om sikkerhetsbrudd innen 72 timer etter at den har fått kjennskap til bruddet. Det er også et nytt krav at databehandlere umiddelbart skal varsle behandlingsansvarlige dersom de oppdager et avvik. Dersom virksomheten ikke har full oversikt over sikkerhetsbruddet, kan avviksmeldingen sendes inn trinnvis. Avvikshåndteringen skal dokumenteres også hos virksomheten.

Det stilles i tillegg krav til hva avviksmeldingen til Datatilsynet skal inneholde. Innlevering av avviksmeldinger gjøres digitalt eller per post. Vårt digitale skjemaet tar høyde for kravene til innhold som gjelder fra 2018.

Kravene knyttet til avvik finner du i artikkel 33, mens definisjonen på et sikkerhetsbrudd står i artikkel 4.

Varsling av de berørte

Forordningen gir regler for når de som er berørt av et sikkerhetsbrudd skal varsles og hva det skal inneholde. Varsling skal skje når det er sannsynlig at avviket vil medføre en høy risiko for personvernet til de som er berørt. Varsel skal gis så fort som mulig. Det skal ha et klart og forståelig språk tilpasset leserens nivå.

Varselet skal som et minimum inneholde:

  1. en beskrivelse av avvikets natur
  2. kontaktinformasjon til personvernombudet eller annet kontaktpunkt i virksomheten
  3. en beskrivelse av mulige konsekvenser av avviket
  4. en beskrivelse av tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene

Virksomheten kan imidlertid la være å varsle de berørte under følgende vilkår:

  1. Dersom det er iverksatt beskyttelsestiltak for personopplysningene som er omfattet av sikkerhetsbruddet, særlig dersom tiltakene gjør opplysningene uleselige for uvedkommende, for eksempel ved kryptering.
  2. Dersom det er iverksatt etterfølgende tiltak som gjør at risikoen sannsynligvis ikke lenger er reell.
  3. Hvis det er uforholdsmessig vanskelig å varsle hver enkelt av de berørte. I slike tilfeller skal informasjonen i stedet offentliggjøres eller deles på annen måte, slik at de berørte likevel underrettes på en effektiv måte.

Regler for innhold i informasjon til de berørte er gitt i forordningens artikkel 34.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll

Hva blir nytt i 2018?

Vi har laget en veiledning for virksomheter om de nye personvernreglene som trer i kraft i mai 2018. Vi har også laget en liste med punkter som oppsummerer hva som blir nytt, samt hva virksomhetene bør gjøre nå.

Hva blir nytt i 2018?

Protokoll over behandlingsaktiviteter

Alle virksomheter som som behandler personopplysninger, skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar.



Tilsvarende skal også databehandlere føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av en behandlingsansvarlig.

Bestemmelsen er regulert i artikkel 30 i personvernforordningen.

Den behandlingsansvarliges protokoll skal inneholde følgende informasjon:

  1. Navnet på og kontaktopplysningene til den behandlingsansvarlige, og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet.
  2. Formålene med behandlingen.
  3. En beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger
  4. Kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner.
  5. Dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier.
  6. Dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger.
  7. Dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.

Databehandlerens protokoll skal inneholde følgende informasjon:

  1. Navnet på og kontaktopplysningene til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av, samt, dersom det er relevant, den behandlingsansvarliges eller databehandlerens representant og personvernombudet.
  2. Kategoriene av behandling utført på vegne av hver behandlingsansvarlig.
  3. Dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier.
  4. Dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.

Husk at behandlingsansvarlige må inngå databehandleravtale med hver databehandler.(ny versjon av databehandlerveielder blir klar om kort tid). Krav til innhold i en slik avtale er beskrevet i artikkel 28.

Unntak fra plikten til å føre protokoll?

Foretak og organisasjoner med færre enn 250 ansatte har unntak fra kravet om å føre protokoll for visse behandlingsaktiviteter. Unntaket er imidlertid snevert og det vil derfor svært sjeldent gjelde som et absolutt unntak fra hele bestemmelsen. Det vil i større grad fungere som et unntak fra en del av artikkel 30, for å lette protokollføringsbyrden til virksomheter med færre enn 250 ansatte.

I praksis og nesten uten unntak, skal derfor alle virksomheter føre protokoller over sine behandlingsaktiviteter.

Dessuten vil alle virksomheter i alle tilfeller ha nytte av å kartlegge sine behandlinger av personopplysninger, som del av sin internkontrollplikt og dokumentasjon av denne.

Hvordan utarbeide protokollen?

Det er ikke er noen formkrav til hvordan protokollen skal føres, eller hva slags verktøy som skal benyttes. Dere bestemmer med andre ord selv hvorvidt dere fører oversikten som et tekstbehandlingsdokument, på regneark, eller via andre verktøy. Pass imidlertid på at de kravene til innhold som er obligatoriske blir med i en samlet skriftlig og elektronisk tilgjengelig oversikt.

Datatilsynet har utarbeidet to enkle maler i excel, for henholdsvis behandlingsansvarlig og databehandler. Benytt gjerne disse til å skape den nødvendige oversikten.

I malen for behandlingsansvarlig har vi tatt med flere kolonner enn det som er obligatorisk. Dette har vi gjort fordi en mer utfyllende oversikt vil være et godt hjelpemiddel i arbeidet med å sikre etterlevelse av virksomhetens plikter og de registrertes rettigheter. Dere vil da lettere kunne besvare forespørsler fra enkeltpersoner som vil vite hva dere har registrert om dem, hvor dere har fått opplysningene fra, og med hvilket rettslig grunnlag dere behandler opplysningene. Oversikten er også nyttig når dere skal oppfylle den aktive informasjonsplikten, for eksempel ved utarbeidelse av en personvernerklæring.

Last ned

Se også veiledning og eksempler fra det danske datatilsynet og fra vår britiske søsterorganisasjon ICO om dokumentasjonsplikten og protokollen etter artikkel 30.