Internkontrollens struktur

Det er nyttig å etablere en struktur for internkontrollsystemet. Dette gjør det lettere for aktørene som skal bidra i prosessen til å forstå hvilken funksjon systemet skal ha. Dokumentasjon av internkontrollsystemet skal vise den reelle situasjonen i virksomheten. Berørte parter bør derfor delta i utformingen.

Noen ganger medfører innføring av nytt regelverk at rutiner og instrukser må endres. Det er viktig at dette faktisk skjer i virksomheten og ikke bare i systembeskrivelsen.

Styrende dokumentasjon

Styrende dokumentasjon gir en systembeskrivelse som inneholder policy og målsetning, identifiserte krav og plikter, intern organisering, ansvar og myndighet. Styrende dokumentasjon er overordnet i sin form og er spesielt ledelsesorientert.

Styrende dokumentasjon bør inneholde:

  1. virksomhetens mål og retningslinjer for vern av personopplysninger. Se spesielt personvernforordningen artikkel 1.
  2. identifisering av at tiltenkt lagring og behandling av personopplysninger samsvarer med lovens grunnkrav, se artikkel 5 og 6 i personvernforordningen. Det legges spesielt vekt på saklig behov og konkret definering av formål, herunder at opplysningene som lagres samsvarer med formålet.
  3. identifisering av hvilke generelle forpliktelser som er relevant for virksomheten, se artikkel 24-43 i personvernforordningen
  4. organisering av virksomheten der intern delegering av ansvar og myndighet skal være entydig definert, se spesielt artikkel 24, 26, 28, 32, 37-39.
  5. beskrivelse av hvordan virksomheten ivaretar informasjonssikkerheten. Se artikkel 32-34.
  6. beskrivelse av hvordan ledelsen vil sørge for at virksomhetens aktiviteter er i samsvar med kravene i regelverket. En slik beskrivelse vil normalt ende opp i behov for gjennomførende dokumentasjon og kontrollerende dokumentasjon.

Eksempler på dokumentasjon:

  • Styringsdokument internkontroll
  • Sikkerhetsmål og sikkerhetsstrategi
  • Rutine for ledelsens gjennomgang
  • Organisering

Gjennomførende dokumentasjon

Gjennomførende dokumentasjon beskriver de organisatoriske og tekniske tiltak som er foreslått som følge av at virksomheten har vurdert risiko for rettigheter og friheter, for eksempel tiltak for å ivareta ulike rettigheter for de registrerte, tiltak for innebygd personvern, og tiltak for å oppnå tilstrekkelig informasjonssikkerhet.

Det er spesielt viktig å entydig definere hvem som har ansvaret for hva. Gjennomførende dokumentasjon vil i volum ofte utgjøre den største delen av internkontrollsystemet.

Gjennomførende dokumentasjon bør inneholde:

  1. rutiner og prosedyrer
  2. arbeidsinstrukser

Gjennomførende dokumentasjon er et knippe av mekanismer som skal sikre at aktiviteten i virksomheten samsvarer med virksomhetens definerte mål og retningslinjer for personvern og reglene for øvrig. I forhold til ansatte i virksomheten kan gjennomførende dokumentasjon være et sett med interne kjøreregler som sikrer at virksomheten ikke begår lovbrudd med noen av sine aktiviteter.

Eksempler på dokumentasjon:

  • Rutiner for innhenting av samtykke, å gi informasjon og innsyn, å sørge for retting, sletting, begrenset behandling, gi adgang til å protestere, dataportabilitet, at automatiserte avgjørelser er lovlig og ivaretagelse av særskilte rettigheter for beskyttelse av barns personvern.
  • Risikovurdering
  • Beskrivelse av informasjonssystem
  • Sikkerhetstiltak, for eksempel tilgangskontroll, logging, informasjonshåndteringsrutine, sjekkliste for nyansatte, sjekkliste for ansatte som slutter, taushetserklæring
  • Fysisk sikring
  • Driftsrutiner
  • Beredskapsplan
  • Sikkerhetsinstrukser for brukere, ledere og sikkerhetsansvarlig

Kontrollerende dokumentasjon

Kontrollerende dokumentasjon er dokumenter som har til formål å verifisere at aktivitetene har foregått i samsvar med fastsatte rutiner og instrukser. Eksempler er rapporter, sjekklister og logg. Kontrollerende dokumentasjon kan betraktes som et «sikkerhetsnett» som bidrar til at styringsdokumentene følges og at eventuelle avvik lettere oppdages. Dokumentene skal ikke være statiske, men endre seg i tråd med virksomhetens utvikling og den rettslige utvikling.

Kontrollerende dokumentasjon bør inneholde:

  1. sjekklister
  2. skjema for avviksrapportering
  3. rapporter
  4. logg

Kontrollerende dokumentasjon består ofte av to deler: En del som brukes under interne revisjoner og en del som brukes i det daglige arbeidet. Skjema for avviksrapportering er for eksempel ment til bruk dersom det oppdages aktiviteter eller hendelser som ikke samsvarer med fastlagte rutiner og/eller instrukser, og brudd på personopplysningssikkerheten.

Det er et klart skille mellom gjennomførende og kontrollerende dokumentasjon. Det første skal sikre at aktivitetene er i samsvar med mål og retningslinjer. Det siste skal bidra til at avvik fra mål og retningslinjer oppdages og rettes.

Eksempler på dokumentasjon:

  • Ledelsens gjennomgang
  • Avvikshåndtering
  • Egenkontroll
  • Sikkerhetsrevisjon
  • Oppfølging av databehandlere, inkludert sikkerhetsrevisjon
21