Personvern bør inn i revisjonsplikten

Personvern bør inn i revisjonsplikten

LEDER: Virksomheter har begrensede kunnskaper om hva som er lovlig.

Datatilsynet varsler at de vil intensivere tilsynet med it-bransjen i Norge. Spesielt er det programvareutviklere og aktører som driver med sosiale medier som er i kikkerten.

Det er ikke uten grunn. Ulike tjenester og applikasjoner utviklet for internett har dramatisk økt antall aktører som må håndtere personopplysninger, være seg kontonummer, adresser, kredittopplysninger, telefonnummer, alder, kjønn, yrke, inntekt, kjøpshistorikk, navn og i noen tilfeller også personnummer.

Tilsynene som ble gjort i 2009 viser også et åpenbart behov for intensivert kontroll. Av de 169 virksomhetene som fikk besøk av Datatilsynet ble det funnet mangler hos 90 prosent.

Kunnskapsmangel

Dette kan raskt tolkes som om forretningsmoralen i Norge er lav på personvernområdet. Det tror vi imidlertid ikke. Derimot er det grunn til å tro at kunnskapen om hva som er, og ikke er, lov er begrenset. Overtramp skjer nok også med overlegg, men neppe hos aktører som har ambisjoner om drift over tid, som vi må anta er de fleste.

Norge har en streng personvernlovgivning, og det er ikke alltid åpenbart hvor grensene går. Og spesielt kan det være komplisert for oppstartsbedrifter å sette seg inn i regelverket. I et slik lys er det positivt at Datatilsynet øker hjemmebesøkene. Seriøse bedrifter bør være opptatte av kundenes personvern og se konstruktivt på at tilsynet påpeker feil, slik at de kan rettes.

Kommunikasjon

Men side om side med tilsyn bør Datatilsynet aktivt kommunisere hvilke retningslinjer som gjelder - og sørge for at dette er informasjon som når frem til offentlige og private virksomheter som lagrer persondata.

Kanskje bør det også inngå som en del av årsrapporteringen en erklæring om at personopplysninger lagres i henhold til norsk lovverk - og slik sett bli en del av revisjonsplikten.

Les om: