Nå blir frivillig ordning pålagt ved lov
Fra mai 2018 må mange virksomheter ha etablert et personvernombud. Vi forteller deg hvordan du kommer i gang.
Den 25. mai 2018 får Norge en ny personopplysningslov. Det er en direkte følge av EUs personvernforordning [EU GDPR, se faktaboks] som ble vedtatt i april i fjor. Forordningen er mest kjent for de nye – og langt høyere – bøterammene for overtredelser enn før, men det er flere andre nyheter i den nye loven som kommer til å berøre mange virksomheter.
En av nyhetene er at mange virksomheter, særlig de aller fleste innen offentlig sektor, vil ha plikt til å etablere et personvernombud. Computerworld har sett litt nærmere på denne ordningen.
Sensitive persondata
I Haugesund finner vi Tone Vangdal, som er et relativt nybakt personvernombud i selskapet Upheads. Grunnen til at hun og arbeidsgiveren hennes har valgt å gå inn i denne ordningen akkurat nå, er den kommende personvernloven.
Hun kommer fra selskapet Adell Group, som i fjor høst slo seg sammen med Upheads. Begge selskapene har drevet innenfor it-tjenesteleveranser, med sky- og datasentertjenester, i tillegg til ASP og lokal drift. De håndterer sensitive persondata for sine kunder.
— I begge selskapenes historier har vi vært it-driftsansvarlig særlig mot bransjer med kjernevirksomhet som omhandler sensitive personopplysninger, som leger, private sykehus, tannleger, private barneverninstitusjoner, attføringsbransjen, og alle krever ekstra it-sikkerhet, forteller Vangdal.
Kastet seg i det
Siden Upheads håndterer både «vanlige» og sensitive persondata (se faktaboks) for sine kunder, mente de at det var like greit å bare sette i gang med å etablere et personvernombud det samme.
— I fjor sommer så jeg at det var vedtatt en forordning, og da jeg begynte å lese meg opp på den, så jeg at den var veldig omfattende. Så jeg forhørte meg med Datatilsynet, og da så vi behovet for å komme oss inn i ordningen med personvernombud. Den nye forordningen vil stille krav til våre kunder. Som databehandler for våre kunder, vil vi få samme krav til personvernombud som det våre kunder får, forteller Vangdal.
— Sånn er det bare, og da var det like godt å bare gå i gang med det. Det er jeg veldig godt fornøyd med. Dette er en unik mulighet til å få masse kompetanse, få et nettverk, og få informasjonen servert «ferdig tygd», legger Vangdal entusiastisk til.
Hva er et personvernombud?
Et personvernombud er en ressurs som skal ha bidra til at reglene for personvern etterleves av virksomheten. Personvernombudet skal altså være en rådgivende ressurs som skal involveres i all behandling av personopplysninger som virksomheten gjør.
Datatilsynet oppsummerer oppgavene til personvernombudet slik: informere og gi råd til virksomheten og de ansatte i saker som handler om personvern; bidra til etterlevelse av forordningen og virksomhetens personvernpolitikk; gi råd om og delta i vurderinger av personvernkonsekvenser; fungere som kontaktpunkt mellom Datatilsynet og virksomheten.
«Vaktbikkje»
Av dette følger at personvernombudet må involveres i alle saker som handler om behandling av personopplysninger i virksomheten. Datatilsynet understreker at ombudet må inkluderes godt nok og tidlig nok i prosessen til at oppgaven lar seg løse.
— Det mye som videreføres slik det praktiseres i Norge nå. Ombudet har en rådgivende funksjon, som en «personvernvaktbikkje» internt. Den nye loven krever at du skal være involvert i prosesser som kan berøre personvern, for eksempel hvis du oppretter et nytt it-system og skal gjøre en risikovurdering, så skal personvernombudet involveres, forklarer Kari Laumann, seniorrådgiver i Datatilsynet.
— Personvernombudet skal komme med råd og veiledning til de delene av organisasjonen som skal innføre slike systemer, og til ledelsen som skal ta avgjørelser om behandling av personopplysninger i virksomheten, legger hun til.
Blir obligatorisk
Under dagens lovverk er personvernombud en frivillig ordning. Når den nye personopplysningsloven trer i kraft, kommer det til å bli obligatorisk å ha personvernombud for mange virksomheter. Datatilsynets oversettelse av EU-teksten som definerer hvem som blir pliktig til å ha ombud, er slik:
- offentlige virksomheter (unntatt domstolene)
- virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang
- virksomheter som behandler sensitive personopplysninger i stort omfang.
— Størsteparten av ordningen slik den fungerer i Norge nå, vil bli videreført i det nye regelverket. Hovedendringen er at det vil bli obligatorisk for mange. Så er det mye av innholdet som videreføres slik det praktiseres i Norge. Det er fremdeles virksomheten som er behandlingsansvarlig, og derfor ligger altså ansvaret for at loven følges hos øverste ledelse, ikke hos personvernombudet, kommenterer Laumann.
Hvor stort er «stort»?
Det er flere av begrepene i definisjonen over som ikke er selvforklarende, selv om forordningen på mange områder er langt tydeligere enn tidligere lovtekster, særlig i EU, men også i Norge. Dermed må forordningen tolkes, og EU har publisert veiledningstekster i tillegg til selve forordningen, og de kan være god støtte for å forstå tekstene korrekt.
Disse tekstene, i tillegg til selve forordningen, er linket til på Datatilsynets nettsider.
Det er særlig formuleringene «stort omfang» og «kjerneaktivitet» som krever rom for tolkning.
— Vi har ikke tallfestet «stort omfang». Dette må vi tolke, og veilede som best vi kan ut til bedriftene. I veilederen kan vi lese at «det er ikke mulig å gi et spesifikt tall med tanke på mengden av data som behandles, eller antallet personer som er berørt, som vil være anvendbart i alle situasjoner»., sier Laumann.
— Man bør vurdere antallet personer som er registrert, volumet av data, og hvor mye forskjellige data som er registrert, legger hun til.
Kjerneaktivitet
Det er litt enklere å se hva som omfattes av «kjerneaktivitet». Det er også et spørsmål som mange har henvendt seg til Datatilsynet for å få forklart, forteller Laumann.
— Hva betyr det at behandling av personopplysninger er kjerneaktivitet? I veilederen finner vi flere konkrete eksempler på dette. Det er for eksempel ikke mulig å ha sykehusdrift uten pasientjournaler. Dermed blir databehandlingen kjerneaktivitet, og virksomheten er pliktig til å ha personvernombud. Et privat selskap som gjør overvåking på vegne av et shoppingsenter eller på annet offentlig sted, da er overvåkingen kjerneaktivitet, og ombud er påkrevd, forklarer hun.
— Hvis du er en bank, eller et forsikringsselskap eller et annet selskap som har et kunderegister for å kunne gjøre det du gjør, så er du også pålagt å ha et personvernombud, legger hun til.
Unntatt regelen
Det finnes også unntak fra regelen. Databehandlinger som alle gjør, eller som er en hjelpefunksjon for virksomhetens kjerneaktivitet, er unntatt kravet om personvernombud.
— Lønn, og det andre alle virksomheter må gjøre for å ha ansatte, i tillegg til grunnleggende it-verktøy som du bruker i virksomheten din, utløser ikke krav om personvernombud, klargjør Laumann.
Det er også unntak fra kravet om personvernombud dersom databehandlingen har et svært begrenset omfang.
— Hvis du for eksempel har et enkeltpersonforetak, som en enkeltstående fastlege eller en advokat, som har en veldig begrenset liste over personer du jobber med, så trenger du ikke et personvernombud. Men om du har en viss skala på det, som en nettbutikk med et større kunderegister, så er du innenfor regelverket og må ha ombud, forklarer Laumann.
Hvem skal være ombud?
Når man har identifisert at man etter all sannsynlighet vil falle inn under kravet om personvernombud, kommer neste spørsmål: Hvem i organisasjonen skal ta jobben? Det er også et spørsmål som mange stiller til Datatilsynet.
— I dag ser vi at det er ganske variert, med tanke på hvilken bakgrunn folk har. Det kan være jurister, it-personer, og det kan være folk fra personalavdeling eller administrasjonen. Når vi blir spurt om hvem som er den beste personen til å gjøre dette, så svarer vi at det kommer an på hva slags type virksomhet det er, og hvilke behov den har. Det er viktig at vedkommende kan tilegne seg kompetansen som trenges, for det er ingen som kan alt, sier Laumann.
Det kan være jurister, it-personer, og det kan være folk fra personal-avdeling eller administrasjonen.
— Noen har it-kompetanse, andre har kompetanse om hvordan organisasjonen fungerer, og andre har kanskje god oversikt over systemene i bruk. Det som er viktig er at du klarer å fange opp hvilke behandlinger som skjer, og om det er nye systemer som skal innføres, og at du har god kommunikasjon og forankring i ledelsen. Har du ikke god forankring i ledelsen, er det veldig vanskelig å få til bra personvern.
— Og så står det i lovteksten til den nye forordningen at personvernombudet skal være så uavhengig som mulig. Det kan ikke være behandlingsansvarlig eller øverste ledelse, og det er viktig å unngå interessekonflikter. Hvis du for eksempel er leder for it-seksjonen som har ansvar for innføring av nye systemer, så er det problematisk om du i tillegg skal ha en ombudsfunksjon som skal komme med innvendinger eller forslag til det nye systemet, legger hun til.
— Du må også være en person i systemet som tør å si fra, fordi en er jo både en intern veileder og en vaktbikkje, mener Vangdal i Upheads.
Enkelt å bli ombud
I dag er det som nevnt en frivillig ordning for å etablere et personvernombud. Prosessen er å fylle ut et enkelt søknadsskjema som finnes på nettsidene til Datatilsynet, så behandler de det, og bekrefter tilbake. Da er personvernombudet etablert.
Det neste trinnet er kursing. Akkurat nå er det kun Datatilsynet som tilbyr kursene som trenges, men Laumann forteller at de jobber med å få profesjonelle utdanningsinstitusjoner til å levere kursene.
— Grunnkurset til Datatilsynet, juridisk fordypning og de gruppearbeidene man gjennomfører da, er utviklende. Du får stille spørsmål og får klare svar, forteller Vangdal.
Det er ingen formelle krav til utdannelse.
Laumann forteller at Datatilsynet har forandret kursopplegget i år. De har fremdeles et grunnkurs for nye personverombud, og så kommet et nytt kurs som forbereder både nye og eksisterende ombud på det nye regelverket. Datatilsynet planlegger også en en fagdag til høsten.
— Å skaffe seg relevant kompetanse er helt sentralt for å kunne gjøre en god jobb som personvernombud, mener hun.
— Disse kursene er forbeholdt de som er personvernombud, så det nytter ikke å melde seg på før du er godkjent. Det å bli godkjent er forholdsvis enkelt i dag, for det er ingen formelle krav til utdannelse og slikt, forklarer Tone Vangdal.
— Det er veldig enkelt å komme seg inn i ordningen nå, og jeg tenker "hvorfor ikke bare gjøre det", slik at man kan bli godkjent etter neste lovkrav, legger hun til.
Skaff oversikt
Når personvernombudet er vel etablert, er det å skaffe oversikt over databehandling av persondata som er den første oppgaven til det nye ombudet.
— Vi har en del tips til nye ombud, der første prioritet å skaffe seg oversikt over hvilke behandlinger virksomheten din gjør. Om Datatilsynet kommer på tilsyn, så er det å ha en oversikt over hvilke opplysninger du behandler noe du må ha. Du skal jo også ha interkontroll og så videre. Med det nye regelverket skal du også ha gjort en risikovurdering av personvernkonsekvensene ved alle behandlingene dine, så da må du jo nødvendigvis ha en oversikt over alle behandlingene du gjør, forklarer Laumann i Datatilsynet.
De som ikke har dette på plass har en stor jobb foran seg.
— De virksomhetene som har et godt system i dag, som har internkontroll og god oversikt, og som gjør tingene etter boka i dag har en liten overgangsjobb å gjøre. De er veldig godt rustet til å møte den nye loven. De som ikke har dette på plass, de har en stor jobb foran seg. Det å lage oversikten, kartlegge hva vi gjør, og gjennomføre de risikovurderingene som trenges, det er en stor jobb, advarer hun videre.
Tidsbruk i praksis
Det er åpenbart at tidsbruken for å få et operativt personvernombud opp å kjøre avhenger helt av utgangspunktet. For Upheads sitt tilfelle var både databehandleravtaler og internkontroll på plass, så Tone Vangdal føler ikke at det har vært et uoverkommelig stort behov for tid.
— Jeg har vært på fire dagskurs i løpet av høsten, og så har jeg kanskje brukt en dag i tillegg i forbindelse med det for å forberede meg, og gjøre litt etterarbeid for å få det på plass. For vår del var det veldig bra, for vi hadde revisjon av internkontrollsystem samtidig, så da ble det slik at jeg samkjørte disse to tingene. Totalt gikk det med en del timer i høst, men det kan jeg egentlig tillegge revisjon av internkontrollsystemet, og strengt tatt ikke skylde dette på selve personvernombudsordningen, sier hun.
— Jeg tror at hvor tidkrevende jobben som personvernombud vil være, kommer an på hvilken type bransje en opererer i, og hvilken type bedrift man jobber i. Vi i Upheads har en it- og skydrift som vi håndterer på vegne av våre kunder, og den endrer seg ikke så ofte i karakter. Vår drift og våre systemer er etablerte og stabile, det er de samme typene oppgaver vi gjør og disse er risikovurderte og kvalitetssikret, så det er ikke så mye nytt som skal meldes inn til personvernombudet, sier hun.
Lovens bokstav
— Det nye regelverket strammer opp i mange ting, og gjør dem mer tydelige. Ansvaret blir ikke mindre, men rapporteringsplikten faller bort. Men jeg vil ikke si at ansvaret virksomheten har for å behandle personopplysninger på en forsvarlig måte blir noe mindre. Det blir skjerpet. Bøtene blir også større, så riset bak speilet blir mye større enn hva det har vært tidligere, minner Laumann om.
Når vi spør Tone Vangdal om verdien av å sette i gang med å etablere personvernombud, er hun helt klar på at hun bare har positive ting å si om det hun har erfart.
Ansvaret blir ikke mindre, men rapporteringsplikten faller bort.
— Jeg ville ikke ha nølt i det hele tatt. Så lenge man har sensitive personopplysninger i sin kjernevirksomhet, da kan man forvente at en er nødt til å ha dette i 2018, ville jeg bare kommet i gang nå. Få mest mulig informasjon underveis, og da er det bare å få fylt ut det skjemaet og komme seg på grunnkurs. Og ikke minst delta på disse kursene som går jevnlig, med nye fornorskninger og forklaringer av forordningen, slik at man får dette med seg hele veien. Du får veldig mye gratis, mener hun.
— Og så må en være klar over at selv om man ikke får krav om å ha et personvernombud på huset, så har en jo likevel krav om å følge lovverket. Det er så mye enklere når du får mulighet til å være med i en gruppe som blir orientert hele veien. Da har du en helt annen forutsetning til å møte disse kravene, formaner hun.
Verdifull kompetanse
Vangdal i Upheads mener også at kompetansen og kompetansenettverket man erverver seg gjennom å delta i personvernombudsordningen har en stor verdi i seg selv.
— Det viktigste for oss var å få tilgang til kompetanse, og heve vår egen kompetanse. I tillegg ville vi ha tilgang til nettverket som ordningen byr på, for å bli en god rådgiver både internt og eksternt, forteller hun.
Når vi spør om hun ser på kompetansenettverket som de periodiske fagdagene sammen med andre personvernombud fra andre bedrifter åpner for å bygge, er verdifull for henne, er hun også tydelig i sin sak.
— Ja, absolutt. Jeg har lært mye gjennom gruppearbeidene med andre ombud, fra andre bransjer, og få høre hvordan de har løst ulike utfordringer. Da har jeg fått konkrete tips som jeg har dratt nytte av i egen bedrift. Dette har vært veldig verdifullt, svarer hun.
— Det å være med i personvernombudsordningen er egentlig bare positivt. En får så mye igjen, i forhold til hva en ellers måtte brukt av tid for å sette seg inn i alt på egenhånd, avslutter Tone Vangdal, nybakt personvernombud hos Upheads i Haugesund.