En rekke bedrifter og offentlige etater har den senere tid fått store bøter av Datatilsynet for dårlig datasikkerhet. Risikoen for slike sanksjoner kan i betydelig grad minskes ved å etablere gode interne rutiner.
Blant eksemplene på gebyrpraksis er overtredelsesgebyr som Datatilsynet nylig ga Trumf på fem millioner kroner fordi Trumf-medlemmer kunne registrere andres kontonummer på medlemsprofilen og dermed skaffe seg tilgang til andres handlehistorikk. NAV er også ilagt et overtredelsesgebyr på fem millioner kroner, for tilgjengeliggjøring av CV-er på tjenesten arbeidsplassen.no uten hjemmel i lov. Stortinget har mottatt varsel om et gebyr på to millioner kroner for manglende sikkerhetsnivå.
Personopplysninger skal beskyttes tilfredsstillende, og de ilagte gebyrene er gitt fordi Datatilsynet har funnet «feil og mangler». Den beste metoden for å unngå store gebyrer er å starte med etablering av gode regler for internkontroll. Gjennom internkontrollreglene skal bedriften etablere og vedlikeholde nødvendige tiltak for sikker behandling av persondata. Hvis Datatilsynet kommer på besøk, må bedriften kunne dokumentere og vise at man behandler persondata i tråd med personvernprinsippene – altså sørge for rutiner som gjør at behandlingen er lovlig, sikker og forsvarlig. Datatilsynet forventer at alle virksomheter har en systematisk tilnærming i forhold til etterlevelse av reglene for internkontroll av datasikkerhet.
Arbeidet med å lage regler for internkontroll starter med å vurdere hvilke regler som er relevante for egen virksomhet. Her må man ofte skille mellom regler som (1) har spesiell relevans for ledelsen, (2) regler som er ment å påvirke hvordan ansatte utfører sitt arbeid og (3) bestemmelser som gir personer utenfor virksomheten rettigheter som virksomheten har plikt til å oppfylle.
Internkontroll er i realiteten et kvalitets- og styringssystem og bør bestå av minst tre hovedelementer.
Styrende elementer: Regler som hovedsakelig retter seg mot ledelsen, og som inneholder beslutninger og regler for internkontrollen. Typisk må ledelsen etablere nødvendige rutiner basert på en risikovurdering som sikrer samsvar mellom egen systematikk og aktiviteter som utføres i virksomheten. Virksomhetens mål og retningslinjer for vern av personopplysninger er sentralt.
Gjennomførende elementer: Dette retter seg mot de ansatte og skal beskrive rutiner som er tilpasset den enkeltes arbeidssituasjon. Elementene bør beskrive organisatoriske og tekniske tiltak typisk regler for «innebygd» personvern og informasjonssikkerhet. Dokumentasjon bør inneholde rutiner og prosedyrer (f.eks. vedrørende retting, sletting og dataportabilitet) samt arbeidsinstrukser.
Kontrollerende elementer: Tiltak og rutiner som skal fange opp avvik fra systemet og sikre at det gjennomføres periodiske gjennomgåelser. Det bør utarbeides dokumentasjon som har til formål å verifisere at behandling av data har foregått slik de etablerte rutiner og instrukser forutsetter. Kontrollerende dokumentasjon består typisk av sjekklister, skjema for avviksrapportering, rapporter og logg.
Vi gir gjerne råd om hvordan din virksomhet kan innrette seg slik at for at internkontrollen kan bli best mulig.
Dag Thorstensen
dt@forsberglaw.no
