Makuleringsbloggen - En blogg fra NG Secure AS

Sensitive personopplysninger på avveie: Internkontroll, sa du?

Skrevet av NG Secure | 6. desember 2016

Internkontrollforskriften gjelder for alle arbeidstakere i både offentlige og private virksomheter. Den gjelder også for enkeltmannsforetak. Produserer, selger eller tilbyr bedriften din varer eller tjenester, kan du gå ut i fra at forskriften gjelder deg også. Det innebærer også et ekstra ansvar for sensitive personopplysninger.

Hva er internkontroll?

Ifølge forskriften defineres internkontroll slik: "Systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av helse-, miljø- og sikkerhetslovgivningen": Den omhandler altså:

  • Arbeidsmiljø og sikkerhet 
  • Forebygging av helseskade og miljøforstyrrelser 
  • Vern av det ytre miljø mot forurensning

Krav til internkontroll

Internkontrollforskriften krever at den som er ansvarlig for en virksomhet må følge kravene som er fastsatt i lover og regler. Internkontroll kalles ofte for virksomhetens kvalitetssystem for etterlevelse av regelverk.

Det skal innføres rutiner for utøvelse av internkontroll i samarbeid med arbeidstakere og deres representanter, det vil i tillegg si arbeidsmiljøutvalg, verneombud og/eller tillitsvalgte der det finnes. Rutiner og tiltak skal gjenspeile behov over tid.

Selv om internkontroll skal utøves på alle nivåer i virksomheten, er det altså ledelsen eller eier som har hovedansvaret for å sette i gang arbeidet («innføre» internkontroll) og å holde det i gang («utøve» internkontroll).  

Tre vesentlige elementer 

  • Styrende elementer: Retter seg mot ledelsen. Hvilke beslutninger og føringer må tas for å inneha god internkontroll?
  • Gjennomførende elementer: Retter seg mot ansatte og beskriver de rutiner som er tilpasset den enkeltes arbeidssituasjon 
  • Kontrollerende elementer: Skal bidra til å fange opp uønskede hendelser og avvik, og sørge for at det gjennomføres periodiske gjennomganger for å oppnå kontinuerlig forbedring

Konkrete krav

  • Lag en oversikt over organisasjonen, og hvordan ansvar, oppgaver og myndighet for det systematiske arbeidet med HMS er fordelt
  • Kartlegg farer og problemer, foreta en risikovurdering og kom med tiltak for å redusere disse 
  • Innfør rutiner for å avdekke, rette opp og forebygge overtredelser av krav i HMS-lovgivningen
  • Lover og forskrifter for HMS skal være tilgjengelige - med en oversikt over alle krav som er særlig viktige for virksomheten  
  • Arbeidstakerne skal ha tilstrekkelig kunnskap om HMS og informasjon om endringer 
  • Arbeidstakerne skal medvirke slik at samlet kunnskap og erfaring utveksles

Alle ansatte har både rettigheter og plikter i forbindelse med HMS-arbeidet. Det er et viktig poeng at ansatte aktivt skal medvirke til systematiske forbedringer. Deres erfaring er nyttig og avgjørende for å sikre forbedring i de forskjellige prosessene.

Dokumentasjon av internkontroll

Rutiner knyttet til internkontrollen skal dokumenteres og vedlikeholdes. Først og fremst er internkontroll arbeidsgiverens ansvar, men alle ansatte har både rettigheter og plikter i forbindelse med HMS-arbeidet.

Internkontroll og sensitive personopplysninger 

Når en virksomhet samler inn personopplysninger, må det også etableres et internkontrollsystem med rutiner som viser hvordan kravene i personopplysningsloven etterleves. Her skal det også fremkomme hva som gjøres med personopplysninger når de ikke lenger skal oppbevares, og hvilke rutiner dere har for sletting.

Fra 2018 trer EUs nye personvernforordning i kraft. Det innebærer enda strengere krav til rutiner knyttet til personopplysninger, og større ansvar for personvern. Det er ingen grunn til å vente med å sette seg inn i dette. Jeg fant en grei innføring på virke.no Kanskje den er noe for deg også?

Les også: Personopplysningsloven: Dette må du kjenne til »

Internkontroll, sa du?

Internkontroll er som sagt en lovpålagt plikt. Hvis virksomheten din får datatilsynet på besøk og internkontrollen ikke er i orden, kan det bli kostbart. De kan gi bøter på opptil 4% av bedriftens årlige omsetning. Svikt i rutinene vil ikke bare gå utover personen det gjelder. Det kan også få store økonomiske konsekvenser i form av blant annet overtredelsesgebyrer, erstatningsansvar og omdømmetap.

Et ledelsesansvar

Det er viktig å understreke at internkontroll er et ledelsesansvar. Skjer en uønsket hendelse på grunn av manglende interne rutiner, kan konsekvensene for den som er ansvarlig, bli store. Sørg derfor for at:

  • Alle medarbeidere blir involvert
  • Rutiner blir fulgt og justert ved behov
  • Alle i virksomheten får nødvendig opplæring
Da blir det lettere for deg som leder å bære ansvaret også. 

Og du, ikke glem at en god internkontroll for håndtering av sensitive opplysninger krever tydelige rutiner når det gjelder makulering og sletting. Last ned guiden vår nedenfor hvis du vil lese mer om dette.