Personverndagen: Ingen tillit, ingen digitalisering

INNEBYGD: Alle må i større grad jobbe med å få implementert innebygd personvern i året som kommer, skriver artikkelforfatterne. (Foto: Istock)

Personverndagen: Ingen tillit, ingen digitalisering

KRONIKK: Tillit er en forutsetning for å realisere digitalisering. Uten et godt personvern er det vanskelig å oppnå denne tilliten, skriver Ragna Hanum og Caroline Ringstad Schultz i Sopra Steria.

Mandag 28. januar var den årlige personverndagen. I den forbindelse har vi reflektert litt over hvordan 2019 kan bli for personvernet, og hva vi burde tenke over i året som kommer. 

2019 blir det første året med GDPR

2018 går ned i historien som et merkeår for personvernet i EU og for oss i Norge. Nytt personvernregelverk, GDPR, trådte i kraft og de fleste virksomheter måtte innrette seg etter de nye regelverkskravene. På Datatilsynet og Teknologirådets årlige arrangement på personverndagen trakk Datatilsynet frem at de i 2018 fikk:

- Økt mengde innrapporterte avvik

- Økt antall henvendelser til veiledningstjenesten

- Flere forslag til bransjenormer som nå ligger hos tilsynet for godkjenning

Det kan i den forbindelse være verdt å tenke over at 2019 blir det første hele året med nytt regelverk. Personvernkompetansen har forhåpentligvis økt gjennom 2018 og vil fortsette å øke i alle virksomheter. 2019 vil forhåpentligvis være året hvor dere alle opplever færre avvik eller i det minste har fått innarbeidet tydelige varslingsrutiner til Datatilsynet.

Personvernombudet - en nøkkelrolle i 2019

Stadig flere virksomheter har utnevnt personvernombud, og ombudet vil få en nøkkelrolle fremover. Ombudet vil bli sentralt for å øke kompetansen internt, få satt agendaen ved å løfte frem viktige områder til ledelsen og være kontaktpunktet for både de registrerte og Datatilsynet. 2019 bør være året da virksomheter ser nytten av å ha denne rollen internt, og får hjelp av personvernombudet til å ivareta de registrertes personvern på en god måte fremover.  

Virksomhetens ledelse har ansvaret – også i 2019

Samtidig som personvernombud og andre personvernrådgivere får nøkkelroller, må det ikke være tvil om at ledelsen fortsatt har ansvaret for personvernet. En risiko ved å utnevne et personvernombud er at vedkommende ikke får nok ressurser, ikke involveres i de riktige prosessene eller forventes å «godkjenne» intern praksis.  Det er da viktig å huske på at det til syvende og sist er ledelsens ansvar å sørge for at personvernet til den enkelte ivaretas, og legge til rette for at personvernombudet har nok ressurser til å kunne bidra på en konstruktiv måte. I 2019 er det derfor viktig at personvernombud og personvernrådgivere blir hørt, samtidig som ledelsen er sitt ansvar bevisst og bidrar til å sette personvernet på agendaen på alle nivåer i virksomheten.

Debattene og avisoppslag det siste året om sikkerhetskrav og tjenesteutsetting i helsevesenet viser viktigheten av at ledelsen er klar over sitt ansvar, og bruker sikkerhetspersonell, personvernombud og rådgivere aktivt når de treffer viktige beslutninger som påvirker virksomhetens oppgaver og tjenester. Ikke minst å gjøre de gode vurderingene tidlig nok blir sentralt fremover.

Vurdering av personvernkonsekvenser – øve, øve, øve i 2019

Flere er i gang med å gjennomføre personvernkonsekvensvurderinger, også kjent som DPIA. Mange opplever dette som en krevende øvelse, og har brukt 2018 på å finne riktig metode for sin virksomhet og hvordan de kan sikre at DPIA gjennomføres tidlig nok. De vi ser lykkes med DPIA har integrert disse vurderingene i eksisterende prosesser i virksomheten og involverer representanter fra ulike fagområder. Dette har vi også sett med risikovurderingen innen informasjonssikkerhet.  For de av dere som ikke har kommet ordentlig i gang i 2018 oppfordrer vi til ikke å legge lista for høyt. Øvelse gjør mester, og få blir Mesternes Mester på ett år.

2019 – året da personvernet faktisk blir innebygd?

Samtidig som DPIA vil hjelpe dere å gjøre de gode vurderingene tidlig i prosesser, er det viktig å tenke personvern i hele livsløpet til en tjeneste. Innebygd personvern er da et sentralt prinsipp som hjelper deg å etterleve regelverket.

Vi mener alle i større grad burde jobbe med å få implementert innebygd personvern i året som kommer. Hvordan ivaretar du så dette i praksis? Bryt det ned til hvordan dere kan ivareta personvernhensyn på en god måte når dere bestiller, utvikler og drifter løsninger. Ta det inn i deres anskaffelsesrutiner, utviklingsmetodikk og driftsrutiner. Still krav til leverandører, men tenk også på hvordan du kan ivareta personvernet i dine interne rutiner. Da har du kommet godt i gang.

Med ønske om et godt personvernår i 2019,

Ragna Hanum og Caroline Ringstad Schultz, Sopra Steria

Debatt