no

Reduksjon av personvernrisiko (3/3)

04.03.2017

Advokat Kristian Foss fra Bull & Co Advokatfirma AS

Dette er den tredje og siste artikkelen om personvern og datasikkerhet som følge av de nye EU-reglerene, her med særlig fokus på organisatoriske tiltak. I del 1 så vi på juridiske krav. I del 2 tok vi for oss mulige følger av brudd på kravene. Nå skal vi se på hva du kan gjøre for å redusere risikoen for din virksomhet.

Første bud for å redusere risikoen for brudd på personvernreglene, er å være aktiv. Vurdéer konsekvenser av ulike type brudd på datasikkerheten, og sannsynligheten for at konsekvensene inntrer. Se risikoen du da får, opp mot normene i GDPR og andre lover og forskrifter, som beskrevet i del 1.

For å forenkle gjennomføring av tiltakene, har vi delt dem inn i fem tiltaksområder. Disse er:

1. Daglig ledelse

Begynn på toppen. Styret bør ha eierskap til etterlevelse av personvernreglene, og naturligvis datasikkerhet generelt. Om styret gjør som forklart under, vil styremedlemmene i de aller fleste tilfeller ha oppfylt sin aktsomhetsplikt hva angår personvern:

  1. Styreinstruks. Sørg for at tekniske og organisatoriske krav til personvern tas inn i styreinstruksen på overordnet nivå. Styreinstruks er instruksen fra styret til daglig leder i virksomheten.

  2. Rapportering. Legg inn krav til rapportering om datasikkerhet og personvernetterlevelse i årshjulet for styret. Årshjulet er en årsplan for styrearbeid, som skal dekke alle styrets ansvarsområder.

  3. Ansvarliggjøring. Sørg for at ansvaret for personvern plasseres hos én person i virksomheten, og oppfølging av denne personen. Vedkommende må få opplæring i personvern. Som del av ansvarliggjøringen, vurdér om denne personen bør rapportere direkte til styret. For mange virksomheter vil det være krav til personvernombud (som er noen annen enn dagens personvernombud - se GDPR art. 37)


2. Ansatte

Daglig leder har ansvaret for å besørge tilfredsstillende informasjonssikkerhet og personvern i det daglige. I forhold til de ansatte må daglig leder:

  1. Besørge opplæring og bevisstgjøring hva angår datasikkerhet og personvern. Dette gjelder ikke bare personvernombudet, men også roller som utviklere (innebygget personvern), personalansvarlige (HR), driftspersonell og kundebehandlere. Målet er å bygge en sikkerhetskultur som gjør at kravene til personvern etterleves.

  2. Sikre at ansatte bare har tilgang til personopplysninger som er nødvendig for utførelsen av arbeidet. Snoking må unngås.

  3. Påse forsvarlig rettighetsstyring, særlig med tanke på systemadministratorer. Statoil-saken nevnt i del 1 er et godt eksempel. Der var kretsen av personer som styrte brannmurene på for eksempel boreriggene satt for vidt.

  4. Iverksette nødvendig overvåking, for å forsikre at tilgang og rettighetsstyring skjer som planlagt.

  5. Sikkerhetskrav til de ansatte bør også understrekes i arbeidsavtaler og -instrukser. Slik formell forpliktelse gjør det enklere å følge opp enkeltansatte som ikke fungerer.

3. Avtaler

De fleste virksomheter inngår et stort antall avtaler. Sikkerhets- og personvernkrav bør reflekteres i disse. Særlig gjelder dette underleverandøravtaler, hvor egne forpliktelser bør speiles ned til underleverandøren.

Tilsvarende må du som leverandør være forberedt på at kunder vil ønske sikkerhet ivaretatt i sine avtaler med din virksomhet. Inngår man en samarbeidsavtale, bør også sikkerhet og personvern være regulert.

4. Tegn forsikring

I henhold til det såkalte sveitserost-prinsippet består sikkerhet av mange lag. Teknisk og organisatorisk sikkerhet er fokus i GDPR. Men uansett hvor godt du sikrer deg praktisk, vil det være en rest-risiko. Denne kan forsikres. I dag er utvalget av passende forsikringer et helt annet enn for bare fem år siden. Utover de mer alminnelige forsikringene, bør følgende forsikringer vurderes:

  • Kriminalitetsforsikring

  • Cyberforsikring

  • Profesjonsansvarsforsikring

  • Bedrifts- og produktansvarsforsikring

  • Styreansvarsforsikring

Da disse forsikringene er kompliserte, bør du bruke en forsikringsmegler for å sikre riktige vilkår og pris.

5. Etterlev GDPR

Sist, men ikke minst, må styret og daglig leder påse at den nye EU-forordningen om personvern etterleves i sin helhet. Det innebærer at tilfredsstillende tekniske og organisatoriske tiltak for god datasikkerhet må gjennomføres, herunder:

  1. forsvarlige rutiner, planer og beredskap;

  2. sikkerhetskultur;

  3. innebygget personvern;

  4. revisjon, etterprøving og dokumentasjon av tiltak og resultater; og

  5. kulturbygging.

Mange av disse forholdene og andre forhold håndteres i et internkontrollsystem. Allerede etter dagens personopplysningslov er det en plikt å ha slikt system.

Veien videre 

Den nye GDPR vil bli utfordrende å etterleve. 99 ordrike artikler, nesten 200 sider tekst om fortalen tas med.

For å unngå motløshet og fordi implementasjonen av GDPR i stor grad er en logistikkutfordring, har vi utviklet en metode for implementasjon. Metoden består av fem steg, som dekker:

  • tekniske

  • metodiske

  • kulturelle

  • juridiske

forhold.

Se om metoden her (figur).

Metoden og fasenes ulike innhold er nærmere beskrevet på vår nettside om personvern personvernfabrikken.no. Fabrikken inneholder også:

  • blogg med nyheter

  • lenke til praktisk personvernverktøy

---

Artikkelen er den tredje i en kortserie på tre:

Artikkelserien er bygget på et foredrag som ble holdt 26. januar 2016 på Mesh Tordenskioldsgate 3 i Oslo, i samarbeid med Norsk sikkerhetsmyndighet, AIG Forsikring og Cltre AS. Se alle opptakene her.

For spørsmål til artikkelen eller personvern, ta gjerne kontakt med meg på kf@bull.no eller +47 97 06 26 55. Første samtale er kostnadsfri.

En tjeneste levert av Bull & Co advokatfirma AS