Mange virksomheter har et personvernombud på plass, men er likevel usikre på om de faktisk jobber riktig med personvern. Rollen blir ofte misforstått og dermed også underutnyttet.
Sannheten er at personvern ikke handler om én funksjon, men om hvordan hele virksomheten jobber i praksis. La oss se på hva virksomheten faktisk må gjøre for å få kontroll og hvorfor vi «blander oss inn i dette».
Ansvar for å følge personvernreglene
Det første som må på plass, er en felles forståelse av ansvar. Personvernombudet er en viktig ressurs, men det er ikke der ansvaret ligger. Det er ledelsen som eier risikoen og som må sørge for at virksomheten etterlever regelverket. Personvernombudet skal støtte, utfordre og gi råd, ikke ta beslutningene alene.
I praksis betyr det en tydelig rollefordeling, der personvernombudet skal:
- gi råd og veiledning
- følge opp etterlevelse
- være kontaktpunkt mot tilsyn
På sin side skal ledelsen:
- eie risikoen
- ta beslutninger
- sørge for at tiltak faktisk gjennomføres
Når denne rolleforståelsen er uklar, ser vi ofte at personvernombudet enten blir for passivt eller får for mye ansvar. Begge deler skaper risiko, enten fordi ingenting skjer eller fordi man tror man har kontroll uten å ha det.
Mer å lese: GDPR - riktig håndtering av e-post og personopplysninger når ansatte slutter
Hvor lagres sensitive data?
Neste steg handler om oversikt. Ikke den teoretiske oversikten som ligger i et dokument, men den faktiske: hva dere lagrer av personsensitiv informasjon, hvor den ligger og hva som skjer med den over tid.
De fleste virksomheter har rimelig god kontroll på aktive systemer. Utfordringen oppstår i randsonene der utstyr fases ut, ansatte slutter eller data flyttes.
Det er her mange bør sjekke hvordan det faktisk står til med evnen til å etterleve kravene. Gamle PC-er som blir liggende på et lager eller servere som er tatt ut av drift uten å bli håndtert. Lagringsmedier generelt som ingen helt vet hva inneholder.
Dette er ikke bare rot, men konkrete kilder til potensielle datalekkasjer.
Så du denne? Hva koster det å miste kontroll over sensitiv informasjon i virksomheten?
Personvernrutiner er kritisk
For å redusere denne risikoen holder det ikke med gode intensjoner. Dere må ha rutiner som faktisk fungerer i hverdagen. Det betyr at det må være tydelig hva som skjer når utstyr tas ut av bruk, hvem som har ansvar og hvordan informasjonen håndteres videre.
Typiske punkter der det svikter er når
- ansatte slutter
- utstyr byttes ut
- lagringsmedier tas ut av bruk
Hvis dette overlates til tilfeldigheter, vil det før eller siden oppstå avvik. Og nettopp her ser vi en tydelig sammenheng: Virksomheter med gode rutiner for informasjonssikkerhet har langt færre hendelser som skyldes “uhell” eller tilfeldigheter. Struktur og system slår flaks, hver gang.
Et personvernombud kan bidra til å identifisere risiko og peke på forbedringer, men det er linjen som må gjennomføre. Derfor fungerer rollen best når den er tett på virksomheten, men samtidig uavhengig nok til å stille de riktige spørsmålene.
Verdt å sjekke: Hva er beste praksis for håndtering av sensitive dokumenter?
Håndtering av digitale lagringsmedier
Et område som ofte undervurderes, er håndteringen av digitale lagringsmedier. Det er lett å tenke at sletting er gjort når man trykker “delete” eller nullstiller en enhet. I praksis er dataene fortsatt der og kan gjenskapes.
Det betyr at virksomheten må ta et aktivt valg: enten sikker og dokumenterbar sletting eller fysisk destruksjon dersom man trenger full garanti.
Det er sjelden strategien det står på. Det er gjennomføringen. Særlig i overgangen mellom det som er i bruk og det som ikke lenger er det, mister mange virksomheter kontrollen. Informasjon blir liggende, utstyr blir glemt, og ansvar blir uklart.
NG Secure jobber med å sørge for at dette ikke skjer, ved at sensitiv informasjon faktisk blir håndtert på en trygg og dokumentert måte.
Ta kontakt for å diskutere behovene for din virksomhet.
Det kan også være nyttig å se på denne sjekklisten for GDPR:
