Etablere internkontroll

Oppfølging og opplæring

Arbeidet med internkontroll er en kontinuerlig prosess. Virksomheten må sørge for å kunne håndtere avvik, kontrollere at rutiner og tiltak brukes og fungerer etter hensikten. Etter at internkontrollen er etablert og forankret, må man sørge for at den gjøres kjent og etterleves blant de ansatte i virksomheten.

Avvikshåndtering

Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller dokumentert brudd på informasjonssikkerheten, skal virksomheten iverksette avviksbehandling. Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normaltilstand og hindre gjentakelse. Dersom det ikke er samsvar mellom fastlagte rutiner og hvordan personopplysninger håndteres eller informasjonssystemet benyttes, skal resultatet fra avviksbehandlingen brukes som grunnlag ved gjennomgang og endring av aktuelle rutiner.

Avviksbehandling består av:

  • Å oppdage avviket.
  • Kartlegge årsaken til og omfanget av avviket så langt det er mulig.
  • Rapportering utføres normalt av den medarbeideren som oppdager avviket. Avviket rapporteres til virksomhetens sikkerhetsansvarlig eller etter annen intern organisering.
  • Iverksettelse av strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader.
  • Vurdere om det er et brudd på personopplysningssikkerheten og vurdere risikoen for de registrertes rettigheter og friheter.
  • Iverksettelse av korrigerende tiltak for permanent å gjenopprette normaltilstand.Vurdering av hvorvidt korrigerende tiltak fungerer etter sin hensikt.

Avviksbehandling skal dokumenteres i en rapport som inneholder opplysninger om selve avviket, gjennomførte strakstiltak, iverksatte korrigerende tiltak, resultater fra evaluering av det korrigerende tiltakets effekt over tid, samt opplysninger om hvilke medarbeidere som har vært involvert i behandling av avviket.

Dersom det har vært et brudd på personopplysningssikkerheten og det er en risiko for fysiske personers rettigheter og friheter, skal Datatilsynet varsles.

Dersom det har vært et brudd på personopplysningssikkerheten og det er en høy risiko for fysiske personers rettigheter og friheter, skal også de registrerte varsles.

Les mer om avvikshåndtering

Sikkerhetsrevisjon og egenkontroll

Virksomheten skal kontrollere at rutinene for håndtering av personopplysninger brukes og fungerer etter hensikten. Virksomheten må jevnlig teste, vurdere og evaluere hvor effektive sikkerhetstiltakene er. En sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak, og bruk av sikkerhetsparter og databehandlere.

Sikkerhetsrevisjon består vanligvis av egenkontroller, internrevisjon og revisjon av eksterne parter. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik. Resultatet fra sikkerhetsrevisjon skal dokumenteres og være en del av ledelsens gjennomgang.

Rutiner for rapportering og forslag til tiltak

Det er viktig å innføre faste rutiner for å forbedre internkontrollen. Det bør derfor innføres rutiner for å lære av uønskede hendelser, dokumentere erfaring og forbedre arbeidsprosessene slik at færrest mulig hendelser oppstår i fremtiden.

Virksomheten skal ha rutine for rapportering og mal for rapport til ledere og ansvarlige fra sikkerhetshendelser, avvikshåndtering og egenkontroll. Rapporten skal også omfatte erfaringer som er gjort og forslag til forbedringer, både tekniske tiltak og prosessforbedringer.

Opplæring

Målet med brukeropplæring er å sørge for at brukerne er oppmerksomme på trusler mot personvernet og informasjonssikkerheten generelt, og at de er gitt mulighet til å etterleve dette i sitt daglige arbeid. Opplæring bør være tilpasset ulike målgruppers behov for opplæring og fordeles over tid. Brukerne bør få opplæring i rutiner, sikkerhetsprosedyrer og riktig bruk av informasjonssystemer for å redusere potensielle risikoer.

Opplæring i internkontroll og informasjonssikkerhet

Før ansatte i organisasjonen og eventuelle tredjepartsbrukere får tilgang til informasjon eller tjenester, bør de få hensiktsmessig opplæring. Dette omfatter krav til internkontroll og informasjonssikkerhet, juridisk ansvar og interne sikringstiltak, så vel som opplæring i riktig bruk av informasjonssystemer. Dette inkluderer for eksempel innloggingsprosedyrer, bruk av programvare, sikkerhetsinstruks, og rapportering av avvik. I tillegg bør de får regelmessig oppdatering i organisasjonens policy og rutiner.

Taushetserklæring

Taushetserklæringer brukes for å gjøre oppmerksom på at det forekommer konfidensiell informasjon i virksomheten. De ansatte skal undertegne en slik erklæring samtidig med ansettelseskontrakten. Taushetserklæringen oppbevares i den ansattes personalmappe under hele ansettelsesforholdet.

Midlertidig ansatte og tredjepartsbrukere som ikke allerede er dekket av eksisterende kontrakt med taushetserklæring, bør undertegne en tilsvarende erklæring før de får tilgang til informasjonssystemer. Betingelsene og ansettelsesvilkårene bør opplyse om den ansattes ansvar for informasjonssikkerhet. Der det er relevant bør dette ansvaret også gjelde i en nærmere spesifisert periode etter at ansettelsesforholdet er avsluttet.

Taushetserklæringer bør gjennomgås på nytt når ansettelsesforholdet endres, særlig når ansatte skal forlate organisasjonen, eller kontrakter utløper.

Personvernombud

For virksomheten kan det være en stor fordel å ha en bestemt person å henvende seg til med spørsmål rundt behandling av personopplysninger knyttet til sin virksomhet. Personvernforordningen styrker ordningen med personvernombud. Regelverket lovfester hvilken rolle og hvilke oppgaver ombudet skal ha, og gjør ordningen obligatorisk for mange virksomheter.

Les mer om personvernombud