Hallstein Husand har inntrykk av at arbeidsmengden som kreves for å komme i havn, kan virke skremmende for mange. Det kan være manglende ressurser, kompetanse og kjennskap til regelverket som gjør at kommunen allerede henger etter. Derfor er han opptatt av å fjerne noe av mystikken rundt innføringen av EUs personvernforordning. – Ja, dette fører til merarbeid, men det er ikke uoverkommelig. Hvis man skaffer seg oversikt og gjør det i riktig rekkefølge, vil man lykkes. For de som følger dagens regelverk blir ikke overgangen veldig stor, sier han. Må ha oversikt Oversikt er et viktig nøkkelord i dette arbeidet. Ledelsen skal samle en fullstendig oversikt over hvilke personopplysninger kommunen har, og til hvilket formål. – Det er ofte slik at de ulike lederne i kommunen har oversikt over sin sektor, samtidig som kommunens ledelse og administrasjon mangler den totale oversikten. Å sette sammen alle de gode hodene og finne ut hvilke opplysninger man faktisk har er en stor og krevende oppgave det må settes av tid til, sier han. Ut fra denne informasjonen kan man gjennomføre risikovurderinger og sikre innbyggernes rettigheter. Viktige momenter er at man skal kunne styre tilgangen til personopplysningene og innarbeide rutiner for innsamling og lagring, og ved eventuelle sikkerhetsbrudd. Må melde om avvik oftere – Det er viktig å understreke at dette ikke er et IKTeller jussprosjekt. Begge deler er viktige verktøy, men først og fremst er dette er et organisatorisk prosjekt. Og det er den øverste ledelsen i kommunen med rådmannen i spissen som har ansvar for å få dette i havn, sier han. Ett av punktene som nå blir betydelig skjerpet inn, er avvikshåndtering. Man skal melde mye oftere fra om det er mistanke om at personopplysninger har kommet på avveie. Ifølge forordningen skal man melde fra til Datatilsynet innen 72 timer, samtidig som de berørte skal varsles på en tydelig og lett forståelig måte. – Vi vet at det er en voldsom underraportering på avvik fra kommunene. Det er viktig for oss og virksomheten å vite at man faktisk har avvik, for ethvert uoppdaget avvik er et tapt forbedringspotensiale, sier han. Datatilsynet er nå forberedt på å ta imot et stort antall avviksmeldinger fra landets mange kommuner, i tillegg til offentlige og private virksomheter. – Et klassisk eksempel på et avvik er at man på grunn av gjennomsiktighetsprinsippet gjør informasjon tilgjengelig på nett. Men så glipper det, og man legger ut mer enn man har lov til. Andre eksempler er at man sender informasjon til feil epostadresse. Dette skal meldes til oss, sier Husand. • Ha oversikt over hvilke personopplysninger dere behandler. Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Sørg for å ha en slik oversikt. Det er et krav som ogs gjelder etter dagens lov. • Sørg for å oppfylle dagens lovkrav. Overgangen til de nye reglene blir lettere om dere etterlever kravene i personopplysningsloven, som gjelder i Norge i dag. Har dere gode rutiner for internkontroll som fungerer etter hensikten og er kjent i organisasjonen, er det lettere å få oversikt over hva dere må endre. • Sett dere inn i det nye regelverket. Dere finner forordningsteksten og artikler om den på Datatilsynets nettsider. • Lag rutiner for å følge de nye reglene. Gå gjennom rutiner for behandling av personopplysninger og oppdater dem etter nytt regelverk. Dokumenter de nye rutinene, og legg en plan for nødvendige endringer. Er systemene laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Klarer dere å fange opp og besvare henvendelser fra borgerne innen én måned? Endringer i systemer og rutiner tar tid. Begynn allerede nå! (Hentet fra Datatilsynets brosjyre til virksomheter) Datatilsynets arbeidsliste 6 temahefte-48