Hold deg oppdatert med aktuelt fagstoff fra Sticos Meld deg på nyhetsbrev

Årlig gjennomgang av personvern

Årlig gjennomgang av personvern

Virksomheter som behandler personopplysninger, plikter å gjennomføre en internkontroll for å sikre at den etterlever kravene i personvernlovgivningen. Et av kravene til denne internkontrollen er at virksomheten skal gjøre en årlig gjennomgang av  personvernarbeidet. I denne artikkelen får du en oversikt over hva gjennomgangen bør bestå i.

Gry Anita Langsæther, rådgiver i Sticos

Krav til internkontroll

Virksomheter som behandler personopplysninger, (de behandlingsansvarlige), skal etablere en systematisk internkontroll for å sikre at virksomheten etterlever personvernregelverket. 

Viktige elementer i internkontrollkravet er at virksomheten må kartlegge og gjennomføre en risiko- og sårbarhetsanalyse (ROS-analyse). I ROS-analysen skal virksomheten vurdere sannsynligheten for at uønskede sikkerhetshendelser knyttet til personvern kan skje, og hva konsekvensene av slike uønskede hendelser kan være. Basert på ROS- analysen må virksomheten sette opp en handlingsplan med tiltak for å redusere eller eliminere de uønskede hendelsene, og de må utforme rutiner for behandling av personopplysninger. 

I tillegg plikter virksomhetene å ha et avvikssystem som sørger for at persovernavvik fanges opp, lukkes og som gir en mulighet for at virksomheten kan lærer av sine feil. Som ledd i dette arbeidet må virksomheten gjøre en årlig gjennomgang. 

Her vil vi gjennomgå hva en slik årlig gjennomgang bør bestå av. 

Dersom du har behov å fordype deg i ulike personverntemaer, har Sticos flere nettkurs. Se utvalget her: Sticos Nettkurs - personvern.  

Innholdet i den årlige gjennomgangen

Et naturlig utgangspunkt for den årlige gjennomgangen er at ledelsen går gjennom avvik. Det må undersøkes om avvikene er lukket. Dersom avvikene ikke er fulgt opp, må virksomheten sørge for at det blir gjort. Det er viktig at ledelsen retter søkelys på hva virksomheten kan lære av disse avvikene, og om det er behov for tiltak for å forhindre at disse skjer igjen, eksempelvis forbedring av rutiner, klarere ansvarsplassering, mer opplæring eller nye tekniske løsninger for å sikre personvernet til de registrerte.

Et annet viktig ledd i gjennomgangen blir å undersøke om virksomheten behandler flere/andre personopplysninger, og om de oppgitte formål og behandlingsgrunnlag fortsatt er dekkende for hvordan virksomheten behandler disse personopplysningene i dag. Virksomheten må ha særlig fokus på behandling av sensitive personopplysninger, slik som helseopplysninger og opplysninger om fagforeningsmedlemskap. Det er viktig at personvernerklæringer til ansatte, kunder og eventuelt andre gjennomgås, for å undersøke om informasjonen som gis til disse, fortsatt er dekkende for hvordan virksomheten behandler deres personopplysninger. 

Sticos tilbyr skreddersydd faglig veiledning og rådgivning om hvordan din virksomhet kan etterleve GDPR. Les mer om vår personvernworkshop Serious Game

Datatilsynet har stort søkelys på virksomhetens plikt til å slette personopplysninger virksomheten ikke lengre har grunnlag for å beholde. Slettearbeidet er derfor noe virksomheten må ha fokus på hele året. I den årlige gjennomgangen er det viktig at virksomheten undersøker om virksomheten faktisk har slettet personopplysninger de ikke lengre kan beholde. 

Det er videre naturlig at ledelsen kaller inn til et risikomøte hvor temaet er om det har oppstått nye risikoer, eksempelvis i forhold til behandling av sensitive personopplysninger, nye myndighetskrav og nye sikkerhetstrusler på personvernområdet. Naturlige punkter i risikomøtet er å undersøke om virksomheten har tilstrekkelig informasjonssikkerhet for personopplysninger de behandler. Eksempelvis om tilgangsstyringen til personopplysningene er riktig, om IT-sikkerheten er tilstrekkelig på hjemmekontor, om ansatte følger rutiner for kryptering av e-post og låsing av skjerm når de forlater pulten. 

I gjennomgangen blir det viktig å sjekke om virksomheten har all nødvendig personverndokumentasjon på plass, eksempelvis om virksomheten har databehandleravtale med nye leverandører, eller om eksisterende databehandleravtaler må oppdateres. Et viktig punkt blir å sjekke om kartleggingsdokumentasjonen for behandlingen gir et riktig bilde av formål og behandlingsgrunnlag. Ledelsen bør også gjennomgå GDPR- policyen i virksomheten og se om det er behov for justeringer/endringer. 

Avslutningsvis skal virksomheten utarbeide en skriftlig rapport/referat fra gjennomgangen.

Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Meld deg på vårt nyhetsbrev og følg Sticos på Facebook og LinkedIn 

 

Print

Sticos holder deg oppdatert: