DEBATT

Personvern må bygges riktig fra start

Virksomheter kan velge om implementering av personvern skal være kostnadseffektivt eller veldig dyrt.

Personvern krever tverrfaglig samarbeid og tidlig involvering av relevante fagpersoner som forstår hverandres oppgaver. Bildet er tatt i forbindelse en sikkerhetsløsning som  Pone Biometrics har utviklet.
Personvern krever tverrfaglig samarbeid og tidlig involvering av relevante fagpersoner som forstår hverandres oppgaver. Bildet er tatt i forbindelse en sikkerhetsløsning som Pone Biometrics har utviklet. Foto: Hans Haugstad
Kjersti Wilson (juridisk persovernrådgiver i Konsilito), Jørgen Taxt Walnum (funksjonell arkitekt i Konsilito) og Kariann Krohne (førsteamanuensis ved Institutt for folkehelsevitenskap på NMBU)
13. mars 2025 - 14:57

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Uten tilstrekkelig oppmerksomhet mot personvernets behov for tidlig og tverrfaglig involvering, kan virksomheten ende opp med å måtte gjøre kostbare endringer i etterkant av prosjektene eller i verste fall begå lovbrudd som medfører sanksjoner og tapt omdømme.

Personvernforordningen sier at virksomheter som behandler personopplysninger, må bruke passende tekniske og organisatoriske tiltak for å beskytte dem. Det å håndtere alle aspektene ved personvern er en omfattende jobb – og den kan sjelden håndteres av én enkelt person eller faggruppe alene.

Ulike krav til ressurser

Det å sikre et godt personvern krever at virksomheten investerer både tid og penger i et målrettet samarbeid mellom ulike fagressurser. Hva som vil være nødvendig av ressurser, varierer fra prosjekt til prosjekt, men en god personvernløsning vil ofte forutsette at følgende fagpersoner samarbeider:

  • Personvernrådgivere som identifiserer relevante personvernkrav og veileder prosjektmedarbeidere i hvordan disse skal etterleves. Om personvernrådgiveren ikke har juridisk kompetanse, må virksomheten sikre at juridiske vurderinger blir ivaretatt av jurist.
  • Informasjonssikkerhetsrådgivere som sørger for at kravene til sikkerhet blir ivaretatt, herunder at risikoen for sikkerhetsbrudd og at opplysninger kommer på avveie, reduseres.
  • Arkitekter og utviklere som implementerer nødvendige tiltak i systemer og prosesser, basert på kravene de får fra personvern- og informasjonssikkerhetsrådgiverne. Hvilke tiltak som må på plass, avhenger av det fagområdet man befinner seg innenfor. 

Det kan også være behov for andre fagressurser, som forretningsutviklere, domeneeksperter eller regulatoriske rådgivere.

Personvern er ikke bare en lovpålagt nødvendighet, men en strategisk investering, skriver Kjersti Wilson, Jørgen Taxt Walnum og Kariann Krohne. <i>Foto:  Privat</i>
Personvern er ikke bare en lovpålagt nødvendighet, men en strategisk investering, skriver Kjersti Wilson, Jørgen Taxt Walnum og Kariann Krohne. Foto:  Privat

Det er viktig at dette tverrfaglige samarbeidet er på plass allerede ved prosjektets oppstart. Tidlig involvering av relevante fagpersoner som forstår hverandres oppgaver, vil gi rom for god prosjektplanlegging og være avgjørende for å unngå senere ombygging av systemer. Uten en slik tilnærming risikerer virksomheten at personvernkrav blir misforstått, feiltolket eller ikke implementert i det hele tatt. Dette kan medføre både regelbrudd og behov for kostbare endringer i etterkant.

Tverrfaglig personvern i praksis

Tenk deg at en virksomhet skal utvikle en ny løsning for regnskapsføring.

En personvernrådgiver fastslår at løsningen må ivareta personvernprinsippet om lagringsbegrensning, slik at opplysningene ikke lagres lenger enn nødvendig. Det vil da være forskjell på hvor lenge man eller kan lagre personopplysningene.

For eksempel kan løsningen inneholde personopplysninger som regnskapsloven sier må lagres i fem år. Trenger virksomheten opplysningene ut over denne minimumsfristen, må de vurdere hvor lenge de kan lagre dem. Opplysningene må også sikres mot at uvedkommende får tilgang til dem.

Så hvordan ivaretas alt dette i praksis? Her vil først personvernrådgiver og juridisk rådgiver identifisere personvernrettslige og juridiske krav til lagringstid.

De vil vurdere hvilke typer opplysninger som skal lagres, og hvor lenge de må og kan lagres. Deretter vil de sammen med informasjonssikkerhetsrådgiveren vurdere risikoen ved at uvedkommende får tilgang til de ulike opplysningene.

Krever tett samarbeid 

Basert på risikovurderingen settes krav til hvordan opplysningene må sikres. Dette kan for eksempel være kryptering, tofaktorautentisering eller logging. Til slutt kan arkitekter og utviklere iverksette tiltak som oppfyller kravene til lagringstid og sikkerhet.

Dersom personvernrådgiveren kun formidler at «personopplysninger skal slettes når de ikke lenger er nødvendige», uten en konkret spesifikasjon, får ikke informasjonssikkerhetsrådgiveren nok informasjon til å vite hvilke sikringstiltak som er nødvendige. Samtidig kan utvikleren ikke bestemme slettetidspunkter i systemet uten juridisk og faglig vurdering. En lovlig og funksjonell løsning får vi først når flere faggrupper samarbeider.

Personvern er ikke bare en lovpålagt nødvendighet, men en strategisk investering.

Den beste og på sikt rimeligste løsningen er at virksomheten tidlig etablerer gode samarbeidsstrukturer mellom de som kjenner regelverket, de som ivaretar sikkerheten, og de som bygger løsningene. Når alle relevante faggrupper jobber sammen, blir personvern både bedre og rimeligere – og virksomheten får systemer som er robuste, sikre og i samsvar med lovverket.

Mats Thorvaldsen, daglig leder i Lindbak IT, skriver i innlegget at det er viktig å balansere behovet for åpenhet om økonomisk sterke aktører med sikkerhetsaspektene i dagens digitale virkelighet.
Les også

Kan medienes dekning av skattelistene gjøre virksomheter mer utsatt for IT-angrep?

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.