Ansvarlighet, internkontroll og informasjonssikkerhet

Personvernforordningen stiller krav til den behandlingsansvarliges ansvar. Det innebærer å sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre og påvise at personopplysninger behandles i samsvar med regelverket.

Dersom det blir behov for det, skal de tiltakene man har valgt endres og oppdateres. Dette kan oppsummeres som rutiner for oppfyllelse av virksomhetens plikter og de registrertes rettigheter, og rutiner og tekniske tiltak for informasjonssikkerhet.

Hva er internkontroll?

En virksomhet må forholde seg til og etterleve flere ulike regelverk. Disse kan for eksempel omhandle helse, miljø, sikkerhet, regnskap eller avgifter. Tilsvarende finnes det regelverk for hvordan personopplysninger skal behandles. De som fastsetter regelverk, forventer at virksomhetene har en systematisk tilnærming i etterlevelsen.

Først og fremst må man sette seg inn i de ulike bestemmelsene for å avgjøre hvilke som er relevante i egen virksomhet. Noen bestemmelser har spesiell relevans for ledelsen i virksomhetene, mens andre er ment å påvirke hvordan de ansatte kan utføre sitt arbeid. Det kan også være bestemmelser som gir andre personer eller grupper rettigheter og som virksomheten har plikt til å oppfylle.

For å ivareta krav om en systematisk tilnærming oppretter virksomhetene en internkontroll. Denne består gjerne av tre hovedelementer:

  1. Styrende elementer, som i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer de legger for internkontroll.
  2. Gjennomførende elementer, som i hovedsak retter seg mot ansatte. Her finner man beskrivelse av rutiner som er tilpasset den enkeltes arbeidssituasjon.
  3. Kontrollerende elementer, som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger.

Internkontroll kalles i ulike sammenhenger et kvalitetssystem, styringssystem eller ledelsessystem for etterlevelse av regelverk.

Hva er internkontroll etter personvernregelverket

Virksomheten må sikre en forsvarlig behandling av personopplysninger ved at man ivaretar den registrertes rettigheter og friheter, samtidig som man ivaretar virksomhetens mål ved behandlingen. Etter personvernforordningen (artikkel 24) innebærer det en forholdsmessighet hvor man ser på behandlingens art, omfang, formål og sammenheng, samt risikoene for fysiske personers rettigheter og friheter, og ut fra det gjennomfører egnede tekniske og organisatoriske tiltak. Internkontroll skal være ledelsens verktøy for å ivareta sitt ansvar og demonstrere etterlevelse etter personvernregelverket, og de ansattes verktøy for å utføre oppgaver på en forsvarlig og sikker måte. Tiltakene skal dokumenteres og oppdateres ved behov. 

Det er ikke nødvendig eller hensiktsmessig å etablere en egen internkontroll for personvernregelverket dersom dere allerede har en internkontroll for andre regelverk eller for andre formål. Dere bør heller sørge for å utvide det eksisterende systemet med det som er påkrevd etter personvernregelverket.

Om informasjonssikkerhet

Personvernregelverket krever at personopplysninger skal beskyttes tilfredsstillende mot uberettiget innsyn og endringer. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene, når de har behov for dem.

Informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende.

Dersom risikovurderingen avdekker manglende tiltak må det vurderes om nye tiltak skal iverksettes for å oppnå tilfredsstillende sikkerhetsnivå for personopplysningene. Kontrollrutiner må utarbeides og jevnlig følges, for å kontrollere at tiltakene blir fulgt opp og virker etter hensikten.

En slik fremgangsmåte som skissert ovenfor vil sammen med tilhørende rutiner kunne utgjøre virksomhetens styringssystem for informasjonssikkerhet. Dette systemet for informasjonssikkerhet vil være en sentral del av virksomhetens internkontroll. Det er utviklet standarder som beskriver hvordan styringssystem for informasjonssikkerhet skal etableres.

21