kurs Fagakademiet allerede før jul. De som er i målgruppen, er først og fremst ansatte som har ansvar for personopplysninger i kommunene, og som har beslutningsmyndighet. – Det er viktig nå at ansvaret ikke pulveriseres, sier han. Kursene Bjørnnes skal holde, vil i hovedsak handle om hva det nye regelverket betyr for kommunene. En viktig nyvinning i loven er at alle virksomheter, også kommunene, må lage en konsekvensanalyse i forkant når de skal behandle sensitive personopplysninger. Det innebærer at de må greie ut hva slags skal dokumentere den tjenesten som gis. Når vi vet at alle har en rett til innsyn i forvaltningens dokumenter, kan det lett oppstå motsetninger mellom hensynet personvern og hensynet til åpenhet og gjennomsiktighet. Dette er utfordringer kursdeltagerne til Bjørnnes skal bli kjent med på kurset hans. Løpt løpsk de siste årene Første bud, ifølge Bjørnnes, er å bli tryggere på begrepsbruken: I loven har vi en gruppe som kalles de «registerte». Det er alle oss som på ulike måter registrerer oss; risiko virksomheten tar ved inn Det er enten vi bestiller flybilletter eller samlingen av slik informasjon, og er innom Nav og etterlater person viktig nå hva slags sårbarhet som ligger i opplysninger om oss selv. Så har at ansvaret ikke hvordan man håndterer, arkiverer vi «behandlingsansvarlig». Det er og oppbevarer den. Dette gjelder pulveriseres for eksempel kommunene eller også automatiserte tjenester, som ligger i servere. – Alle nye IKTtjenester som lages, må ta hensyn til prinsippet om innebygget personvern. Det er Datatilsynet som får jobben med å sjekke disse konsekvensanalysene, forteller Bjørnnes. Nye dilemmaer Målet med kurset hans er at alle som jobber på kommunalt nivå, skal ha de nye instruksene i loven i ryggmargen; de skal være seg sitt ansvar bevisst. For brukerne, eller de som i denne sammenheng kalles «registrerte», skal etter at loven trer i kraft kunne kontakte kommunen sin og spørre hvordan personvernopplysningene forvaltes. – For eksempel, hvis jeg gir opplysninger til skolen, skal jeg være trygg på at disse ikke gis videre til andre instanser. Man skal ikke bruke personopplysninger til andre ting enn det opprinnelige formålet. I så fall skal jeg samtykke til det. Men det offentlige møter noen dilemmaer som private ikke har, ifølge Bjørnnes. – Offentlig sektor har av og til plikt til å behandle opplysninger om folk, der man ikke opererer med samtykke, men med lov. Det er instanser her som har lettere inngang til personopplysninger enn privat sektor har. I tillegg er det en grunnregel i offentlig forvaltning at man flyselskapet, og dernest har vi «databehandlerne», som er dem som utfører arbeidet på vegne av «behandlingsansvarlig». Det nye i forordningen som inntrer neste år, er at de registrerte skal ha kortere og mer entydig informasjon om hvilke opplysninger som brukes av virksomheten der de har registret seg, og hva denne skal brukes til. – Deler av dette har de siste årene løpt løpsk. For eksempel, når du bestiller flybilletter i dag trykker man raskt på en knapp som aksepterer vilkårene, som du aldri tar deg tid til å lese. Du kan derfor ikke være helt sikker på hvor opplysningene ender. Det nye regelverket skal gjøre dette sikrere, sier Bjørnnes. Får betydning for skolene – Et annet nytt element er at informasjonen som gis, skal være tilpasset barn. Dette vil få betydning for skolene som har opplysninger om elevene sine. Disse må nå tydeligere kommunisere hvordan de ivaretar opplysningene og hva de brukes til. For at det nye i lovverket skal ivaretas, må alle private bedrifter med mer enn 250 ansatte, og alle kommuner, ha et personvernombud som skal være uavhengig. Ombudet kan enten være valgt blant de ansatte, eller en profesjonell aktør. Ombudet skal være informert i alt som omhandler personvernopplysninger. 24 nytt personvern  temahefte-48