Hallstein Husand har inntrykk av at arbeidsmengden
som kreves for å komme i havn, kan virke
skremmende for mange. Det kan være manglende
ressurser, kompetanse og kjennskap til regelverket
som gjør at kommunen allerede henger etter.
Derfor er han opptatt av å fjerne noe av mystikken
rundt innføringen av EUs personvernforordning.
– Ja, dette fører til merarbeid, men det er ikke
uoverkommelig. Hvis man skaffer seg oversikt og
gjør det i riktig rekkefølge, vil man lykkes. For de
som følger dagens regelverk blir ikke overgangen
veldig stor, sier han.
Må ha oversikt
Oversikt er et viktig nøkkelord i dette arbeidet.
Ledelsen skal samle en fullstendig oversikt over
hvilke personopplysninger kommunen har, og til
hvilket formål.
– Det er ofte slik at de ulike lederne i kommunen
har oversikt over sin sektor, samtidig som
kommunens ledelse og administrasjon mangler
den totale oversikten. Å sette sammen alle de
gode hodene og finne ut hvilke opplysninger
man faktisk har er en stor og krevende oppgave
det må settes av tid til, sier han.
Ut fra denne informasjonen kan man gjennomføre
risikovurderinger og sikre innbyggernes
rettigheter. Viktige momenter er at man skal
kunne styre tilgangen til personopplysningene
og innarbeide rutiner for innsamling og lagring,
og ved eventuelle sikkerhetsbrudd.
Må melde om avvik oftere
– Det er viktig å understreke at dette ikke er et
IKTeller
jussprosjekt. Begge deler er viktige
verktøy, men først og fremst er dette er et organisatorisk
prosjekt. Og det er den øverste ledelsen i
kommunen med rådmannen i spissen som har
ansvar for å få dette i havn, sier han.
Ett av punktene som nå blir betydelig skjerpet
inn, er avvikshåndtering. Man skal melde mye
oftere fra om det er mistanke om at personopplysninger
har kommet på avveie. Ifølge forordningen
skal man melde fra til Datatilsynet
innen 72 timer, samtidig som de berørte skal
varsles på en tydelig og lett forståelig måte.
– Vi vet at det er en voldsom underraportering
på avvik fra kommunene. Det er viktig for oss og
virksomheten å vite at man faktisk har avvik, for
ethvert uoppdaget avvik er et tapt forbedringspotensiale,
sier han.
Datatilsynet er nå forberedt på å ta imot et
stort antall avviksmeldinger fra landets mange
kommuner, i tillegg til offentlige og private
virksomheter.
– Et klassisk eksempel på et avvik er at man på
grunn av gjennomsiktighetsprinsippet gjør
informasjon tilgjengelig på nett. Men så glipper
det, og man legger ut mer enn man har lov til.
Andre eksempler er at man sender informasjon
til feil epostadresse. Dette skal meldes til oss, sier
Husand.
• Ha oversikt over hvilke personopplysninger
dere behandler. Alle virksomheter som samler
inn eller bruker personopplysninger skal ha
oversikt over hvilke personopplysninger det er
snakk om, hvor de kommer fra og hva som er
det rettslige grunnlaget for behandlingen. Sørg
for å ha en slik oversikt. Det er et krav som ogs
gjelder etter dagens lov.
• Sørg for å oppfylle dagens lovkrav. Overgangen
til de nye reglene blir lettere om dere etterlever
kravene i personopplysningsloven, som
gjelder i Norge i dag. Har dere gode rutiner for
internkontroll som fungerer etter hensikten og
er kjent i organisasjonen, er det lettere å få
oversikt over hva dere må endre.
• Sett dere inn i det nye regelverket. Dere finner
forordningsteksten og artikler om den på
Datatilsynets nettsider.
• Lag rutiner for å følge de nye reglene. Gå
gjennom rutiner for behandling av personopplysninger
og oppdater dem etter nytt
regelverk. Dokumenter de nye rutinene, og
legg en plan for nødvendige endringer. Er
systemene laget for å ivareta kravet til
innebygd personvern, dataportabilitet og
personvern som standardinnstilling? Klarer
dere å fange opp og besvare henvendelser fra
borgerne innen én måned? Endringer i
systemer og rutiner tar tid. Begynn allerede
nå!
(Hentet fra Datatilsynets brosjyre til virksomheter)
Datatilsynets arbeidsliste
6
temahefte-48