Sikkert nok? Blogg om informasjonssikkerhet

Personvernombud - trenger vi dem?

[fa icon="calendar"] 13. mars 2017 / av Jakob Holm Hansen

Personvernombud. Dette er et tema som alle ser ut til å tenke på nå som vi aktivt begynner å forberede implementeringen av GDPR, men har vi egentlig bruk for dem?

Alle som jobber med forvaltning av informasjonssikkerhet er på dette stadiet godt kjent med EUs personvernforordning, som er på vei. Det er vel egentlig sannsynlig at selv de som ikke jobber med informasjonssikkerhet, også har hørt om den - når man ser den dekningen den har fått. Det er ikke så rart i grunnen, siden den nye forordningen kommer til  å bli den største personvernforordningen noensinne. Selv om den blir fastsatt av Den europeiske union, vil den ha konsekvenser for selskaper over hele verden. Grunnen til det er at de 28 medlemslandene i EU ikke bare representerer verdens største økonomi samlet, men er også handelspartner for 80 land. Det betyr faktisk at alle land som håndterer persondata fra borgere innen Den europeiske union må handle i samsvar med GDPR.

 

Last ned vår 7-trinns veiledning til implementering af Personvernforordningen

 

Like etter at nyheten om GDPR kom ut, begynte det å dukke opp en annen forkortelse overalt: DPO (Data Protection Officer). En personvernombudlig er selvfølgelig ikke en ny rolle som sådan, men med plutselig fokus på den juridiske siden av personvern, er det helt naturlig at vi begynner å fokusere mer på den personvernombuds rolle. Det første anslaget fra International Association of Privacy Professionals tilsa at den nye GDPR ville kreve 28 000 personvernombud i Europa og USA. De har nå økt antallet til 75 000 nye stillinger for personvernombud over hele verden. 75 000 er mange stillinger å besette, og dette reiser følgende spørsmål:Hvem kommer til å trenge en personvernansvarlig?

Den lille skriften

I motsetning til det du kanskje har hørt, vil ikke alle selskaper bli pålagt å ansette en personvernansvarlig. I henhold til Den europeiske unions retningslinjer om personvernombud

er det pålagt for visse kontroll- og databehandlingsenheter å utnevne en personvernansvarlig. Dette vil være tilfelle for alle offentlige myndigheter og organer (uavhengig av hva slags data de behandler), samt for visse organisasjoner som har til kjernevirksomhet å overvåke enkeltindivider systematisk og i stor skala, eller som behandler særskilte kategorier persondata i stor skala.

Kort sagt; alle selskaper som regnes som en offentlig myndighet, eller som har databehandling som kjernevirksomhet, eller uløselig knyttet til kjernevirksomheten, må utnevne en personvernansvarlig.

Det er imidlertid verdt å merke seg at forordningen ikke definerer hva som utgjør en offentlig myndighet eller et organ, siden lovgivningen er ulik fra land til land. Det er derfor opptil det aktuelle selskapet å vite om de går inn under ordningen. Dersom et selskap ikke umiddelbart faller under de reglene som pålegger dem å utnevne en DPO, må selskapets kontroll- og prosessansvarlige vurdere hvorvidt det er av betydning eller nytte for selskapet å ha en DPO.

 

Ta tak 

Hvis dere har besluttet å hente inn en personvernansvarlig, er neste skritt å bestemme i hvilken grad dere vil ansette en. Det mest åpenbare valget er faktisk å ansette en DPO. Ut i fra for eksempel størrelsen på bedriften, kan det likevel hende dere synes det er tilstrekkelig å ha en konsulent, eller eventuelt dele en DPO med et annet selskap. Det første alternativet er kanskje det mest ideelle, siden det betyr at vedkommende blir fullstendig involvert i det selskapet gjør og vil alltid være tilgjengelig. Samtidig er de to andre alternativene like gode i henhold til den nye forordningen, så lenge dere kan få tak i DPO når som helst.

Selv om selskapet ikke trenger å ansette en DPO, slipper dere ikke helt unna. Så lenge selskapet behandler data av noen som helst type, må dere kjenne til GDPR og hva den innebærer. Så hvordan kan dere sørge for samsvar med GDPR i det daglige dersom dere ikke trenger en DPO - uten at det blir et byråkratisk rot?

Vår erfaring tilsier at alle typer kontroll og samsvar oppnås best med bruk av et programvareverktøy, i stedet for å basere seg på manuelle prosedyrer, regneark og en enslig ansatt som tar jobben. Akkurat som vi gjorde i programpakken for vår verktøy, har vi laget et verktøy som gjør det enkelt å forstå GDPR og sørge for at den hele tiden overholdes. Et programvareverktøy har fordelen av å gi deg en klar oversikt over nøyaktig hva du må gjøre - og enda viktigere; gjør det enkelt å krysse av i de aktuelle rutene kontinuerlig. Det gjør det også enklere for en personvernansvarlig å utføre jobben, siden vedkommende får klar oversikt over oppgavene som skal utføres, samt verktøy for opplæring og involvering av andre ansatte  i prosessen. Hvis dere behandler persondata, vil selskapet nesten garantert ha nytte av en programvare som bidrar til å overholde GDPR - uansett som dere ansetter en DPO eller ikke. Til syvende og sist er det også viktig å huske at en DPO først og fremst er en kontrollør og rådgiver. Det er ikke DPO som skal implementere personvern hos dere. Selskapet vil fortsatt ha ansvaret for å utføre en rekke typer praksis for å overholde den nye forordningen.

 

Mer ressurser:

  • Vil du lære mer om GDPR og hva den har å si fra selskapet ditt? Last ned vår 7-trinns veiledning og kom i gang:
Last ned veiledningen 

Emner: eu gdpr, DPO, personvernforordningen

Sikkert nok?

NorthGRC blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg