Personvern - et ledelsesansvar
Nye personvernregler innføres våren 2018. – Nye rutiner for behandling av personopplysninger er et lederansvar, understreket Datatilsynets fagdirektør Hallstein Husand på Spekters seminar om de nye reglene. Spekter orienterte spesielt om håndtering av HR-data, og Spekters medlemmer Ruter, Operaen og OUS fortalte om sine prosesser for å møte de nye kravene.
Bakgrunnen for seminaret er nye EU-regler for behandling av personopplysninger (GDPR) som innføres 25.mai 2018. Endringene innebærer blant annet at:
- Den registrertes rettigheter er styrket på flere punkter.
- Det innføres plikt til å ha personvernrådgiver for offentlige myndigheter og for visse private virksomheter.
- Dagens melde- og konsesjonsplikt bortfaller, men erstattes av en plikt til konsekvensutredning.
- Datatilsynet får mulighet til å ilegge vesentlig høyere overtredelsesgebyr.
- GDPR er ikke et IKT-prosjekt, men et organisatorisk prosjekt, sa fagdirektør Hallstein Husand fra Datatilsynet. Datatilsynet har blant annet forventninger til at virksomhetene har oversikt over hvilke opplysninger som er registrert, hvem som har tilgang, hvorfor de trenger disse opplysningene og hvilke rutiner gjelder for sletting og endringer. Dersom man følger dagens lov er veien til etterlevelse av de nye reglene kortere, men uansett «hvor man står, ikke bli stående», sa Husand. Han håpet at det er respekten for den enkeltes personvern som er driveren for arbeidet, ikke frykten for at Datatilsynet kan ilegge store gebyrer.
Nye behov og muligheter
Christian Fjær, ansvarlig for nye salgskanaler og betalingsløsninger i Ruter, fortalte om hvordan digitaliseringen skaper nye behov og muligheter for tilbudsutvikling. - Kundene etterspør persontilpassede løsninger, og dataene om når folk reiser eller planlegger å reise skal brukes til å gjøre kollektivtilbudet mer fleksibelt. I fremtiden vil datainnsamling være en del av kjernevirksomheten til selskapet, men innsamling av store mengder informasjon om de som reiser gir også utfordringer for personvernet, fortalte Kjær. Ruter har derfor tidlig tatt kontakt med Datatilsynet for å sikre at nye løsninger skal være i tråd med GDPR.
Den norske Opera & Balletts prosjekt for sørge for at virksomheten er i tråd med det kommende regelverket er er forankret på toppledernivå og i styret. Økonomidirektør Andreas Norvik oppfordret tilhørerne om å komme i gang med arbeidet, og å ha like stort fokus på rutiner og prosesser som på «det tekniske». Norvik orienterte om prosessen, og videre om de identifiserte gapene mellom GDPR og dagens situasjon og hvilke tiltak de planlegger å gjennomføre for å lukke gapene.
Heidi Thorstensen, personvernombud og informasjonssikkerhetsleder ved OUS, fortalte om personvern i helse, både pasientdata og personaldata. Dette er et tema som har vært på dagsorden innenfor helsesektoren i flere år. OUS begynte kartleggingsarbeidet for 2,5 år siden og har brukt linjen/klinikkene aktivt i arbeidet. Thorstensen tok utgangspunkt i hovedbudskapene fra Datatilsynets nettsider, dvs : ha oversikt over hvilke personvernopplysninger som behandles, oppfyll dagens lovkrav, sett deg inn i det nye regelverket og lag rutiner for å følge de nye reglene.
Thorstensen avsluttet med å beskrive sårbarheter og risikoområder generelt og innen kliniske systemer og forskning spesielt. - Utviklingen med spesialtilpasset diagnostisering er krevende ift å holde seg «compliant». Det kan ikke etableres nye løsninger uten involvering av avdelingene IKT og informasjonssikkerhet/personvern, sa Thorstensen.
Samme regler gjelder for HR-data
Spesialrådgiver og advokat Ane Wigers i Spekter poengterte at stort sett de samme reglene gjelder for HR-data som for andre personopplysninger. Arbeidsgiver er behandlingsansvarlig og arbeidstaker har rettigheter som en registrert. I tillegg er det noen særnorske regler som gjelder i arbeidsforhold, og mye av dagens regler videreføres.
Wigers orienterte også om rett til informasjon, hvor ansatte skal finne informasjonen, samt regler om innsyn, retting og sletting. Avslutningsvis pekte hun på de viktige tiltakene virksomhetene må se på frem mot våren 2018:
- Erkjenn at noe må gjøres
- Plasser ansvar- sett ned team
- Kartlegg bedriftens behandling av personopplysninger - Nødvendig? Sensitive? Lovlige?
- Kartlegg risiko, vurder sikkerhetstiltak, tilganger og sletterutiner
- Utarbeid nødvendig dokumentasjon
- Ha systemer for oppfølging
Last ned presentasjonene fra seminaret her: