MER BEVISST: Etter to år med pandemi har vi nok kanskje fått et mer bevisst forhold til risiko. Det er for eksempel knyttet ulike tiltak til de forskjellige risikonivåene i skolen, som testing, hjemmeskole og karantene. (Foto: Istock)

Tre ønsker for 2022 fra en personvernekspert

KOMMENTAR: 28. januar er personverndagen. Hva bør den jevne medarbeider i Norge vite om personvern?

Ida Thorsrud personvernrådgiver i Sopra Steria
Publisert

Jo, nemlig at bortimot alt er personopplysninger, at alle personopplysninger eksisterer på et spektrum fra lav til høy beskyttelsesverdi og at personopplysninger skal beskyttes etter risiko. Håpet mitt er at disse tre utgangspunktene kan gjøre personvernfeltet mer håndgripelig. La meg utdype de tre punktene her:

1. Alt er personopplysninger

Terskelen for hva som er en personopplysning er så utrolig lav etter GDPR. Enhver opplysning som direkte eller indirekte kan knyttes til deg som person, vil være en personopplysning. På grunn av denne veldig vide definisjonen, vil det aller meste være personopplysninger. Dette gjelder for eksempel opplysninger som kan knyttes til deg via et ansattnummer, selv om koblingen mellom ditt ansattnummer og deg er vanskelig tilgjengelig for andre enn arbeidsgiveren din.

Når jeg blir leid inn som personvernekspert, møter jeg ofte firmaer som insisterer på at de ikke behandler personopplysninger, ikke engang om egne ansatte. Mitt håp er at vi kan bruke mer tid på hvilken konkret risiko som er knyttet til behandlingen av personopplysninger, og mindre tid på om noe er en personopplysning.

2. Alle personopplysninger eksisterer på et spektrum

Selv om alt er personopplysninger, er ikke alle personopplysninger like beskyttelsesverdige. Sagt på en annen måte: personopplysningens verdi avhenger av kontekst. Med dette mener jeg at alle personopplysninger – også sensitive personopplysninger eller særlige kategorier av personopplysninger – eksisterer på et spektrum fra lav til høy beskyttelsesverdi.

Ida Thorsrud, personvernrådgiver i Sopra Steria

Jeg ser at mange virksomheter lager behandlingsregler ut ifra om man har å gjøre med alminnelige personopplysninger eller særlige kategorier av personopplysninger. Dette kan være en fornuftig tilnærming, men det er også viktig å få med nyansene: Det finnes personopplysninger som for de aller fleste av oss, ikke er nødvendig å beskytte særskilt. Men for noen vil det få store konsekvenser om de samme opplysningene blir offentlig kjent. Et klassisk eksempel er adresseinformasjon.

For det store flertallet er adresseopplysninger offentlig tilgjengelig gjennom tjenester som nummeropplysningen. Men for de som lever på hemmelig adresse eller for de som har jobber i sektorer hvor det er viktig at hjemmeadressen deres ikke er offentlig kjent, er det knyttet langt større konsekvenser til behandling av en så alminnelig personopplysning som kontaktinformasjon. Jeg håper at en slik nyansert tilnærming vil gjøre det enklere for virksomheter å kartlegge tilfeller hvor personopplysninger må beskyttes særskilt.

3. Personopplysninger skal beskyttes etter risiko

Dette er kanskje det aller viktigste med fagfeltet personvern: at personopplysninger skal beskyttes etter risiko. Konkret betyr dette at man skal iverksette risikoreduserende tiltak ut ifra den risikoen det innebærer å behandle personopplysningene. En risikobasert tilnærming er noe man kjenner igjen fra andre fagfelt som informasjonssikkerhet og virksomhetsstyring. Etter to år med pandemi har vi nok kanskje fått et mer bevisst forhold til risiko. Det er for eksempel knyttet ulike tiltak til de forskjellige risikonivåene i skolen, som testing, hjemmeskole og karantene.

Alt avhenger av hvor beskyttelsesverdige personopplysningene er.

Disse tiltakene søker å redusere sannsynligheten for smitte, mens tiltaket frivillig vaksinering både søker å redusere sannsynligheten for smitte og konsekvensene ved faktisk smitte. Innen personvernområdet vil det ofte være snakk om tiltak som skal sikre personopplysningens konfidensialitet, integritet og tilgjengelighet, men det vil også være nødvendig å iverksette tiltak som styrker de rettigheter og plikter som GDPR legger opp til. Dette kan for eksempel være etablering av en selvbetjeningstjeneste for å oppfylle retten til innsyn, retting eller sletting, eller fjerning av fritekstfelt til fordel for en drop-down meny for å sikre dataminimering.

Jeg håper at virksomheter kan se at den viktigste forpliktelsen knyttet til personvern er en slik risikobasert tilnærming, og at det ligger stor frihet i dette, men også et stort ansvar.

For å oppsummere, den jevne medarbeider bør vite at selv om alt er personopplysninger, er det ikke sikkert at det skaper merarbeid. Alt avhenger av hvor beskyttelsesverdige personopplysningene er. Måten man finner ut av det, er ved å gjennomføre en risikovurdering. Da vil man komme frem til hva man faktisk må gjøre i praksis for å beskytte personopplysningene og ellers etterleve personvernregelverket.

Ida Thorsrud, personvernrådgiver i Sopra Steria

sikkerhet computerworld sopra steria debatt