Personvern er et lederansvar – ikke et IT-ansvar

I mange virksomheter havner personvernarbeidet automatisk hos IT-avdelingen. Det er forståelig. IT kjenner systemene og forstår infrastrukturen, og håndterer teknologien som brukes til å lagre og behandle data.

Det juridiske ansvaret for hvordan personopplysninger behandles ligger imidlertid hos ledelsen.

Dette er et viktig skille som mange organisasjoner ikke alltid er bevisste på. IT kan bidra med tekniske løsninger og sikkerhetstiltak. Beslutningene om hvordan personopplysninger skal behandles, hvilke risikoer virksomheten aksepterer og hvordan regelverket skal etterleves, må tas på ledelsesnivå.

Samtidig er det lett at personvernspørsmål havner litt i bakgrunnen. Ikke fordi viljen mangler hos ledelsen, men fordi temaet ofte konkurrerer med mange andre oppgaver. Personvern oppleves sjelden som akutt, helt til det plutselig er det.

Virksomheter som lykkes godt med personvern kjennetegnes først og fremst av tydelig forankring i ledelsen. Noen må eie ansvaret, følge opp arbeidet og sørge for at tiltak faktisk blir gjennomført.

Personvernarbeid handler derfor i stor grad om prioriteringer, beslutninger og ansvar. For at arbeidet skal fungere i praksis må dette forankres i ledelsen.

Slik ser godt forankret personvernarbeid ut i praksis

At ledelsen eier personvernarbeidet betyr ikke at administrerende direktør eller styret må kunne hele GDPR utenat. Samtidig innebærer det mer enn å godkjenne en policy én gang i året.

God ledelsesforankring betyr at personvern er en del av virksomhetens styring og risikohåndtering, på linje med økonomi, sikkerhet og etterlevelse av andre regelverk.

I praksis innebærer det blant annet å:

1. Sette tydelige mål for hvordan virksomheten håndterer personopplysninger: Ledelsen må definere hvilke prinsipper og standarder virksomheten skal følge, og hvilke krav som gjelder for behandling av personopplysninger.
2. Sørge for tilstrekkelige ressurser: Personvernarbeid krever både kompetanse, tid og systemstøtte. Ledelsen må sørge for at arbeidet har de ressursene som trengs.
3. Følge opp at arbeidet gjennomføres i praksis: Rutiner og dokumenter må følges opp i praksis. Ledelsen må etterspørre status, følge opp tiltak og sikre at arbeidet faktisk gjennomføres.
4. Ta ansvar dersom noe går galt: Når personvernbrudd eller sikkerhetshendelser oppstår, må ledelsen ta eierskap til situasjonen og sørge for riktig håndtering.

Personvern etter GDPR: Ledelsen har det overordnede ansvaret

Ifølge GDPR er det den behandlingsansvarlige – altså virksomheten som juridisk enhet, representert ved ledelsen, som har det overordnede ansvaret for hvordan personopplysninger behandles.

IT-sjefen kan ikke ha dette ansvaret alene. Det samme gjelder personvernombudet.

Personvernombudet skal gi råd og bidra til etterlevelse av regelverket, men har ikke ansvar for beslutningene. IT-avdelingen kan sikre tekniske løsninger og informasjonssikkerhet, men bærer heller ikke det juridiske ansvaret.

Dette ansvaret ligger hos virksomheten, og dermed hos ledelsen.

Saker fra europeiske tilsynsmyndigheter viser gang på gang det samme mønsteret: personvernarbeidet har ikke vært godt nok forankret i ledelsen. Risikoer har blitt identifisert uten at nødvendige beslutninger er tatt, og rutiner har eksistert på papiret uten å bli fulgt opp i praksis.

Også i Norge mottar Datatilsynet hvert år et stort antall meldinger om personvernbrudd fra både offentlige og private virksomheter. Mange av hendelsene skyldes manglende rutiner, uklart ansvar eller utilstrekkelig oppfølging.

Et aktivt personvernombud, gode IT-rutiner og gjennomarbeidede retningslinjer er viktige elementer i arbeidet. Likevel krever godt personvernarbeid kontinuerlig involvering og oppfølging fra ledelsen.

Dette krever GDPR av virksomheter

GDPR stiller tydelige krav til at virksomheter arbeider systematisk og dokumentert med personvern. Etterlevelse handler om konkrete prosesser, tydelig ansvar og nødvendig dokumentasjon.

Blant annet innebærer det at virksomheten må:

1. Ha en oppdatert behandlingsprotokoll: Virksomheter må dokumentere hvilke personopplysninger som behandles, hvorfor de behandles, og hvilke systemer og leverandører som er involvert.
2. Gjennomføre konsekvensvurderinger (DPIA): Når behandling av personopplysninger kan innebære høy risiko for enkeltpersoners rettigheter og friheter, må virksomheten gjennomføre en personvernkonsekvensvurdering.
3. Ha rutiner for å håndtere personvernbrudd: Personvernbrudd må vurderes og eventuelt meldes til Datatilsynet innen 72 timer. Dette krever tydelige rutiner og klare ansvarsforhold.
4. Sørge for oppdaterte databehandleravtaler: Virksomheter må ha oversikt over leverandører som behandler personopplysninger på deres vegne, og sørge for at databehandleravtaler er på plass og oppdaterte.

Dette arbeidet krever struktur, oversikt og kontinuerlig oppfølging. Derfor må personvern være forankret i virksomhetens ledelse.

Tre spørsmål ledelsen bør stille om personvernarbeidet

Vil du få en rask indikasjon på hvor godt personvernarbeidet er forankret i ledelsen? Start med disse spørsmålene:

• Vet ledelsen hvilke personopplysninger virksomheten behandler – og hvorfor?

• Når fulgte dere sist opp at personvernrutinene faktisk etterleves i praksis?

• Har dere en plan for hva dere gjør dersom virksomheten rammes av et datainnbrudd eller et personvernbrudd?

Hvis dere kan svare konkret og trygt på alle tre spørsmålene, er dere på god vei.

Hvis ett av spørsmålene er vanskelig å besvare, kan det være et godt sted å starte arbeidet.

Hvordan komme i gang med strukturert personvernarbeid

Et godt første steg er å løfte personvern opp som et fast tema i ledergruppen. Gå gjennom spørsmålene ovenfor og vær ærlige om hvor godt arbeidet fungerer i dag.

Personvern er en grunnleggende del av hvordan virksomheter styres. God håndtering av personopplysninger bidrar også til tillit hos kunder, ansatte og samarbeidspartnere.

Virksomheter som har god kontroll på personvernarbeidet står bedre rustet når nye krav, tilsyn eller hendelser oppstår.

Mange virksomheter har allerede gjort mye av grunnarbeidet. Det som ofte mangler er struktur, systematikk og en tydelig oversikt over hva som faktisk kreves.

Hos Draftit hjelper vi ledere og virksomheter med å strukturere personvernarbeidet, forstå kravene i regelverket og etablere rutiner som fungerer i praksis.

Les mer om vår helhetlige løsning for personvern.