Å følge GDPR handler ikke bare om å kjenne til reglene, men like mye om å kunne vise at man faktisk gjør det. Her blir prinsippet om ansvarlighet avgjørende.
Det er grunnlaget som holder hele regelverket sammen og krever både struktur og bevis. I dette innlegget forklarer vi hvorfor ansvarlighet er så viktig, hvordan det fungerer i praksis og hvilke dokumenter som best viser at du følger reglene.
I GDPR finnes det syv grunnprinsipper – men det mest sentrale og krevende er prinsippet om ansvarlighet. Det innebærer ikke bare at man skal følge reglene, men også kunne bevise det.
Det handler altså om mer enn etterlevelse på papiret. Den behandlingsansvarlige må aktivt vise hvordan reglene følges og hvilke tiltak som settes i verk. Gode intensjoner er ikke nok – organisasjonen må blant annet kunne bevise at både tekniske og organisatoriske sikkerhetstiltak er på plass.
Ansvarlighet betyr å gå fra ord til handling og skape en kultur der personvern blir en naturlig del av organisasjonens DNA.
Neste steg blir derfor å forstå hvordan prinsippet tar form i praksis – og det skjer først og fremst gjennom innebygd personvern og personvern som standard (Privacy by Design og Default).
Innebygd personvern og personvern som standard (Privacy by Design and by Default) er en konkret måte å oppfylle denne forpliktelsen på. Det er en metodikk som krever at personvern ikke er en ettertanke, men en integrert del av hvordan systemer, produkter og prosesser utvikles. Det er en proaktiv tilnærming og et løpende, gjentakende arbeid.
Koblingen mellom prinsippene ligger i at man ved å bruke personvern som standard viser at man handler ansvarlig. Personvernspørsmål håndteres ikke reaktivt når problemer oppstår, men organisasjonen bygger systematisk inn beskyttelsen fra starten og arbeider proaktivt for å forhindre at problemer oppstår.
Her er noen eksempler i praksis:
Men for at dette ikke bare skal bli fine ord kreves det noe mer, nemlig bevis. Det er her dokumentasjonen kommer inn i bildet.
Til syvende og sist handler prinsippet om ansvarlighet om å kunne vise at man har fulgt reglene, og det gjøres gjennom grundig dokumentasjon. Hvert steg som tas for å beskytte personopplysninger – fra å gjennomføre en konsekvensvurdering til å evaluere en ny leverandør – bør dokumenteres.
Det handler ikke om unødvendig papirarbeid, men om å skape en tydelig beviskjede. Ved en kontroll er dokumentasjon ofte det sterkeste forsvaret og viser at organisasjonen faktisk tar sitt ansvar. En oppdatert behandlingsprotokoll og dokumenterte rutiner for håndtering av hendelser er derfor mer enn hjelpemidler – de er konkrete bevis på etterlevelse.
Uten dokumentasjon kan en organisasjon ha gjort alt riktig, men likevel ikke kunne vise det. Og nettopp det strider mot kjernen i prinsippet om ansvarlighet.
Så, hvilke deler er aller viktigst å dokumentere? Svaret begynner med behandlingsprotokollen.
Det mest grunnleggende verktøyet for å vise ansvarlighet er behandlingsprotokollen. Den er et detaljert kart over all behandling av personopplysninger i organisasjonen og beskriver blant annet:
Å holde behandlingsprotokollen oppdatert er imidlertid lettere sagt enn gjort. Mange organisasjoner setter seg fast i egenbygde løsninger som raskt blir uoversiktlige. Med et digitalt system får du en tydelig struktur og bedre kontroll – noe som gjør det enklere å følge reglene og vise ansvar ved en kontroll.
En oppdatert behandlingsprotokoll viser at dere har kontroll på dataflytene og er grunnlaget for alt personvernarbeid – selve fundamentet for ansvarlighet. Ved tilsyn ber Datatilsynet ofte om å få se protokollen, som er deres fremste bevis på at og hvordan GDPR følges.
Men behandlingsprotokollen er bare begynnelsen. For å vise at man arbeider proaktivt kreves også konsekvensvurderinger.
For å vise at man handler proaktivt er konsekvensvurdering (DPIA) et avgjørende verktøy. Når en behandling sannsynligvis vil føre til høy risiko for individers rettigheter og friheter, krever GDPR at man gjennomfører en slik vurdering.
En konsekvensvurdering bygger på tre deler:
Ved å gjennomføre en konsekvensvurdering kan den behandlingsansvarlige organisasjonen vise at den ikke bare reagerer på problemer, men systematisk forebygger dem – en grunnstein i innebygd personvern og personvern som standard.
Ved tilsyn vil Datatilsynet nesten alltid se konsekvensvurderingen, knyttet til behandlingen i behandlingsprotokollen.
Problemet er at en DPIA raskt blir både tidkrevende og uoversiktlig uten riktig støtte – med et verktøy som veileder prosessen blir arbeidet betydelig enklere og mer pålitelig.
Ansvarligheten stopper ikke ved den egne organisasjonen. Bruker du eksterne tjenester eller leverandører for å behandle personopplysninger, er du fortsatt ansvarlig. Derfor er det viktig å evaluere leverandører grundig.
Ved å vurdere en leverandørs sikkerhetstiltak, sertifiseringer og rutiner sikrer du at det finnes riktige forutsetninger for å beskytte personopplysninger og håndtere dem på en forsvarlig måte. Dokumentasjonen fra denne evalueringen blir beviset på at du har tatt ansvar også når data håndteres av tredjeparter, særlig ved overføringer til tredjeland utenfor EU/EØS.
Men selv om leverandører granskes nøye, kan hendelser likevel inntreffe. Da blir neste spørsmål hvordan organisasjonen håndterer det uventede.
Til tross for alle forholdsregler kan en personopplysningshendelse oppstå. Hvordan den håndteres er avgjørende for å vise ansvarlighet. Med en tydelig plan for håndtering av hendelser, som gjør at man raskt kan oppdage, vurdere og rapportere hendelser, viser organisasjonen at den er forberedt.
Dokumentasjonen av hendelsesforløpet, vurderingen og tiltakene som settes i verk blir beviset på at man har handlet ansvarlig og i samsvar med GDPR.
Sammen utgjør disse delene en helhet – en kultur av ansvarlighet.
Oppsummert handler prinsippet om ansvarlighet om å skape et system der alle deler samvirker:
Ansvarlighet er til syvende og sist ikke bare en sjekkliste av tiltak, men et bevis på en bevisst og proaktiv tilnærming til personvern i hver del av virksomheten.
Vil du komme i gang med en behandlingsprotokoll som fungerer i praksis – og samtidig være sikker på at du gjør DPIA riktig fra start?
Da får du både struktur i personvernarbeidet, tydelig dokumentasjon for Datatilsynet og en trygghet i at dere oppfyller GDPR-kravene på ordentlig.
Book en demo allerede i dag og få støtte av eksperter, verktøy og metodikk som gjør GDPR-arbeidet trygt og sporbar.