Uten tilstrekkelig oppmerksomhet mot personvernets behov for tidlig og tverrfaglig involvering, kan virksomheten ende opp med å måtte gjøre kostbare endringer i etterkant av prosjektene eller i verste fall begå lovbrudd som medfører sanksjoner og tapt omdømme.
Personvernforordningen sier at virksomheter som behandler personopplysninger, må bruke passende tekniske og organisatoriske tiltak for å beskytte dem. Det å håndtere alle aspektene ved personvern er en omfattende jobb – og den kan sjelden håndteres av én enkelt person eller faggruppe alene.
Ulike krav til ressurser
Det å sikre et godt personvern krever at virksomheten investerer både tid og penger i et målrettet samarbeid mellom ulike fagressurser. Hva som vil være nødvendig av ressurser, varierer fra prosjekt til prosjekt, men en god personvernløsning vil ofte forutsette at følgende fagpersoner samarbeider:


- Personvernrådgivere som identifiserer relevante personvernkrav og veileder prosjektmedarbeidere i hvordan disse skal etterleves. Om personvernrådgiveren ikke har juridisk kompetanse, må virksomheten sikre at juridiske vurderinger blir ivaretatt av jurist.
- Informasjonssikkerhetsrådgivere som sørger for at kravene til sikkerhet blir ivaretatt, herunder at risikoen for sikkerhetsbrudd og at opplysninger kommer på avveie, reduseres.
- Arkitekter og utviklere som implementerer nødvendige tiltak i systemer og prosesser, basert på kravene de får fra personvern- og informasjonssikkerhetsrådgiverne. Hvilke tiltak som må på plass, avhenger av det fagområdet man befinner seg innenfor.
Det kan også være behov for andre fagressurser, som forretningsutviklere, domeneeksperter eller regulatoriske rådgivere.

Det er viktig at dette tverrfaglige samarbeidet er på plass allerede ved prosjektets oppstart. Tidlig involvering av relevante fagpersoner som forstår hverandres oppgaver, vil gi rom for god prosjektplanlegging og være avgjørende for å unngå senere ombygging av systemer. Uten en slik tilnærming risikerer virksomheten at personvernkrav blir misforstått, feiltolket eller ikke implementert i det hele tatt. Dette kan medføre både regelbrudd og behov for kostbare endringer i etterkant.
Tverrfaglig personvern i praksis
Tenk deg at en virksomhet skal utvikle en ny løsning for regnskapsføring.
En personvernrådgiver fastslår at løsningen må ivareta personvernprinsippet om lagringsbegrensning, slik at opplysningene ikke lagres lenger enn nødvendig. Det vil da være forskjell på hvor lenge man må eller kan lagre personopplysningene.
For eksempel kan løsningen inneholde personopplysninger som regnskapsloven sier må lagres i fem år. Trenger virksomheten opplysningene ut over denne minimumsfristen, må de vurdere hvor lenge de kan lagre dem. Opplysningene må også sikres mot at uvedkommende får tilgang til dem.
Så hvordan ivaretas alt dette i praksis? Her vil først personvernrådgiver og juridisk rådgiver identifisere personvernrettslige og juridiske krav til lagringstid.
De vil vurdere hvilke typer opplysninger som skal lagres, og hvor lenge de må og kan lagres. Deretter vil de sammen med informasjonssikkerhetsrådgiveren vurdere risikoen ved at uvedkommende får tilgang til de ulike opplysningene.
Krever tett samarbeid
Basert på risikovurderingen settes krav til hvordan opplysningene må sikres. Dette kan for eksempel være kryptering, tofaktorautentisering eller logging. Til slutt kan arkitekter og utviklere iverksette tiltak som oppfyller kravene til lagringstid og sikkerhet.
Dersom personvernrådgiveren kun formidler at «personopplysninger skal slettes når de ikke lenger er nødvendige», uten en konkret spesifikasjon, får ikke informasjonssikkerhetsrådgiveren nok informasjon til å vite hvilke sikringstiltak som er nødvendige. Samtidig kan utvikleren ikke bestemme slettetidspunkter i systemet uten juridisk og faglig vurdering. En lovlig og funksjonell løsning får vi først når flere faggrupper samarbeider.
Personvern er ikke bare en lovpålagt nødvendighet, men en strategisk investering.
Den beste og på sikt rimeligste løsningen er at virksomheten tidlig etablerer gode samarbeidsstrukturer mellom de som kjenner regelverket, de som ivaretar sikkerheten, og de som bygger løsningene. Når alle relevante faggrupper jobber sammen, blir personvern både bedre og rimeligere – og virksomheten får systemer som er robuste, sikre og i samsvar med lovverket.

.jpg)

Kan medienes dekning av skattelistene gjøre virksomheter mer utsatt for IT-angrep?