I en serie med kronikker i tre deler vil advokat Kristian Foss fra Bull & Co Advokatfirma skrive om personvern og datasikkerhet som følge av de nye EU-reglene (GDPR).
Dette er den tredje og siste artikkelen om personvern og datasikkerhet som følge av de nye EU-reglerene, her med særlig fokus på organisatoriske tiltak. I del 1 så vi på juridiske krav. I del 2 tok vi for oss mulige følger av brudd på kravene. Nå skal vi se på hva du kan gjøre for å redusere risikoen for din virksomhet.
– Redaksjonen
Første bud for å redusere risikoen for brudd på personvernreglene, er å være aktiv. Vurdéer konsekvenser av ulike type brudd på datasikkerheten, og sannsynligheten for at konsekvensene inntrer. Se risikoen du da får, opp mot normene i GDPR og andre lover og forskrifter, som beskrevet i del 1.
For å forenkle gjennomføring av tiltakene, har vi delt dem inn i fem tiltaksområder. Disse er:
1. Daglig ledelse
Begynn på toppen. Styret bør ha eierskap til etterlevelse av personvernreglene, og naturligvis datasikkerhet generelt. Om styret gjør som forklart under, vil styremedlemmene i de aller fleste tilfeller ha oppfylt sin aktsomhetsplikt hva angår personvern:
-
Styreinstruks. Sørg for at tekniske og organisatoriske krav til personvern tas inn i styreinstruksen på overordnet nivå. Styreinstruks er instruksen fra styret til daglig leder i virksomheten.
-
Rapportering. Legg inn krav til rapportering om datasikkerhet og personvernetterlevelse i årshjulet for styret. Årshjulet er en årsplan for styrearbeid, som skal dekke alle styrets ansvarsområder.
-
Ansvarliggjøring. Sørg for at ansvaret for personvern plasseres hos én person i virksomheten, og oppfølging av denne personen. Vedkommende må få opplæring i personvern. Som del av ansvarliggjøringen, vurdér om denne personen bør rapportere direkte til styret. For mange virksomheter vil det være krav til personvernombud (som er noen annen enn dagens personvernombud - se GDPR art. 37)
2. Ansatte
Daglig leder har ansvaret for å besørge tilfredsstillende informasjonssikkerhet og personvern i det daglige. I forhold til de ansatte må daglig leder:
-
Besørge opplæring og bevisstgjøring hva angår datasikkerhet og personvern. Dette gjelder ikke bare personvernombudet, men også roller som utviklere (innebygget personvern), personalansvarlige (HR), driftspersonell og kundebehandlere. Målet er å bygge en sikkerhetskultur som gjør at kravene til personvern etterleves.
-
Sikre at ansatte bare har tilgang til personopplysninger som er nødvendig for utførelsen av arbeidet. Snoking må unngås.
-
Påse forsvarlig rettighetsstyring, særlig med tanke på systemadministratorer. Statoil-saken nevnt i del 1 er et godt eksempel. Der var kretsen av personer som styrte brannmurene på for eksempel boreriggene satt for vidt.
-
Iverksette nødvendig overvåking, for å forsikre at tilgang og rettighetsstyring skjer som planlagt.
-
Sikkerhetskrav til de ansatte bør også understrekes i arbeidsavtaler og -instrukser. Slik formell forpliktelse gjør det enklere å følge opp enkeltansatte som ikke fungerer.
3. Avtaler
De fleste virksomheter inngår et stort antall avtaler. Sikkerhets- og personvernkrav bør reflekteres i disse. Særlig gjelder dette underleverandøravtaler, hvor egne forpliktelser bør speiles ned til underleverandøren.
Tilsvarende må du som leverandør være forberedt på at kunder vil ønske sikkerhet ivaretatt i sine avtaler med din virksomhet. Inngår man en samarbeidsavtale, bør også sikkerhet og personvern være regulert.
4. Tegn forsikring
I henhold til det såkalte sveitserost-prinsippet består sikkerhet av mange lag. Teknisk og organisatorisk sikkerhet er fokus i GDPR. Men uansett hvor godt du sikrer deg praktisk, vil det være en rest-risiko. Denne kan forsikres. I dag er utvalget av passende forsikringer et helt annet enn for bare fem år siden. Utover de mer alminnelige forsikringene, bør følgende forsikringer vurderes:
-
Kriminalitetsforsikring
-
Cyberforsikring
-
Profesjonsansvarsforsikring
-
Bedrifts- og produktansvarsforsikring
-
Styreansvarsforsikring
Da disse forsikringene er kompliserte, bør du bruke en forsikringsmegler for å sikre riktige vilkår og pris.
5. Etterlev GDPR
Sist, men ikke minst, må styret og daglig leder påse at den nye EU-forordningen om personvern etterleves i sin helhet. Det innebærer at tilfredsstillende tekniske og organisatoriske tiltak for god datasikkerhet må gjennomføres, herunder:
-
forsvarlige rutiner, planer og beredskap;
-
sikkerhetskultur;
-
innebygget personvern;
-
revisjon, etterprøving og dokumentasjon av tiltak og resultater; og
-
kulturbygging.
Mange av disse forholdene og andre forhold håndteres i et internkontrollsystem. Allerede etter dagens personopplysningslov er det en plikt å ha slikt system.
Veien videre
Den nye GDPR vil bli utfordrende å etterleve. 99 ordrike artikler, nesten 200 sider tekst om fortalen tas med.
For å unngå motløshet og fordi implementasjonen av GDPR i stor grad er en logistikkutfordring, har vi utviklet en metode for implementasjon. Metoden består av fem steg, som dekker:
-
tekniske
-
metodiske
-
kulturelle
-
juridiske forhold.
Se om metoden her (figur).
Metoden og fasenes ulike innhold er nærmere beskrevet på vår nettside om personvern personvernfabrikken.no.
Artikkelen er den tredje i en kortserie på tre:
-
Del 1: Krav til sikkerhet og organisasjon i EUs nye personvernregler
-
Del 3: Reduksjon av personvernrisiko (denne artikkelen)
Artikkelserien er bygget på et foredrag som ble holdt 26. januar 2016 på Mesh Tordenskioldsgate 3 i Oslo, i samarbeid med Norsk sikkerhetsmyndighet, AIG Forsikring og Cltre AS. Se alle opptakene her.
