/ 07.11.2018

De 5 vanligste GDPR-forseelsene blant norske virksomheter

Abonner på nyhetsbrev

Støvet har lagt seg etter de første GDPR-rundene, men arbeidet med den nye personvernloven er langt fra over. Det er mange virksomheter som har gjort en god jobb så langt, men uten full kontroll på alt fra personvernombud til hvordan dere håndterer varslinger, risikerer dere store bøter.

Basert på erfaringen til Habberstads GDPR-rådgivere, ønsker vi å trekke frem tilfeller hvor norske virksomheters rutiner ikke samsvarer godt nok med den nye loven.

1. Internkontroll

Mange små og mellomstore virksomheter glemmer at kravene til en dokumentert og operativ internkontroll for informasjons­sikkerhet og personvern er en del av GDPR og må på plass. Årsaken til dette ligger i en vesentlig endring i den nye loven ved at den formelt sett ikke har en tilsvarende forskrift som i tidligere lov:

  • I ny lov er det i hovedsak i artikkel 24 (den behandlingsansvarliges ansvar) og 32 (sikkerhet ved behandlingen) at internkontroll omtales. Dessuten er ikke betydningen så lett tilgjengelig; det vises til standarder for internkontroll som ikke er navngitte.
  • I forskriften til den foregående personopplysningsloven (før GDPR) derimot, beskrives Informasjonssikkerhet (kap 2) og internkontroll (kap 3) på en lettfattelig måte. Men – mange virksomheter tok for lett på internkontroll og hadde det ikke på plass før den nye loven kom, da sanksjonsnivået var lavt.


Nivået har nå forandret seg. Har dere ikke internkontroll for informasjonssikkerhet og personvern på plass i bunn, vil mangler på dette området medføre sanksjoner i samme klasse som når de nye kravene til personvern ikke blir oppfylt.

Det er ISO 27001 som er den mest anerkjente standarden for et internkontrollsystem for informasjons­sikkerhet. Denne må kjøpes fra Standard Norge for flere tusen kroner og virksomheten kjenner ofte ikke til denne standarden. Dessuten er den ganske omfattende.

Det kan være hensiktsmessig for mindre virksomheter å etablere internkontroll i henhold til forskriften til tidligere lov først, og så tenke ISO 27001 på sikt.

2. Ansvar

Med nye, strengere krav til personvern og informasjonssikkerhet, må virksomhetene tenke nytt. Vår oppfatning er at ledelsen ser alvoret, men at det ikke er opplagt hvordan ansvaret skal deles ut til ansatte i virksomheten.

Hovedprinsippene for behandling av personopplysninger er nå (jamfør prinsippene i artikkel 5): lovlighet, rettferdighet og åpenhet, formålsbegrensning, dataminimering, riktighet, lagringsbegrensning og integritet og konfidensialitet. Den behandlingsansvarlige er ansvarlig for, og skal kunne påvise, at prinsippene overholdes.

Ved innføringen av Personopplysningsloven, da den kom tidlig på 2000-tallet, ble det utpekt en informasjonssikkerhetsansvarlig, som skulle ha hovedansvaret for informasjonssikkerhet i virksomheten. Dette har nok aldri vært en veldig god måte å ta ansvar på, men det var en forbedring at noen i det hele tatt hadde fokus på informasjonssikkerhet.

Ansvar for personvern og informasjonssikkerhet må legges i linjen, som annet ansvar, og gjerne inngå i ledernes stillingsbeskrivelser. Det er HR-sjef som er ansvarlig for alle personopplysninger innen sitt domene, uansett hvor de befinner seg – som for eksempel applikasjoner, e-post, SharePoint, Facebook eller filområder.

Den tidligere tittelen informasjonssikkerhetsansvarlig, kan erstattes av én eller flere informasjonssikkerhetsrådgivere som sammen har ansvar for å bistå alle ledere med eierskap til personopplysninger – systemeiere, tjenesteeier eller lignende – med å gjennomføre de definerte tiltakene. Å erstatte den ansvarlige med én eller flere rådgivere, er ikke bare en formell tittelendring, men en endring i selve arbeidet med informasjonssikkerhet.

Dette er selvfølgelig ingen enkel endring. De ansvarlige må forstå ansvaret de pålegges gjennom bevisstgjøring og opplæring. Det er først når ledere med eierskap til personopplysninger må stille hos behandlingsansvarlig i en årlig gjennomgang for å forklare hva som er gjort det siste året, at ansvaret blir reelt. Da må de forklare hvilke avvik som er funnet, hva resultatet av risikovurderinger ble og hva som skal gjøres innen informasjonssikkerhet og personvern neste periode.

Verden i dag er så gjennomdigitalisert at det blir umulig for én enkelt informasjonssikkerhetsansvarlig å bære hele ansvaret for informasjonssikkerheten.  Personvern som linjeansvar har derimot en god mulighet til å lykkes.

3. Avviksmelding

Det jobbes mye med kravene til avviksmeldinger med tidsfrister for melding til Datatilsynet og eventuell beskjed til den enkelte registrerte.

Vår erfaring er at det er mange som ikke har klart definert hva kravene faktisk er. Derfor er det behov for bedre veiledere for personvern og informasjonssikkerhet som er tilpasset ulike målgrupper. Ansatte, innleide, medlemmer, studenter eller andre må få vite hvilke krav som stilles til dem. Det er viktig at alle kan utføre oppgavene sine innenfor de gitte rammer.

Hvordan kan du oversende sensitive personopplysninger over internett? Du kan for eksempel ikke si at du ikke kan sende sensitive personopplysninger på e-post; veilederen må si hvordan du skal gjøre det. Bare slik kan du vite når det skal meldes et avvik gjennom virksomhetens avviksrapporteringssystem.

4. Informasjon, kommunikasjon og opplæring

Internkontroll, ansvarsforhold og håndtering av avvik, er som beskrevet over, sentralt for gjennomføring av arbeidet med personvern. Samtidig viser både forskning og våre erfaringer hvor viktig det er at nye forhold og endringer som skal innføres, planlegges og håndteres på en god måte for å oppnå oppsatte mål og nytteverdier for organisasjonen.

Noen av nøkkelpunktene for å oppnå en suksessfull endringsprosess er (ikke uventet): informasjon, kommunikasjon og opplæring.

5. Ledelsesinvolvering

Vår erfaring er at toppledelsen i de fleste virksomheter tar personvern på alvor og involverer hele ledelsen i arbeidet med personvern. Dette er både veldig bra og en vesentlig endring fra tidligere.

Vi er ikke i tvil om at det er det høye bøtenivået som er årsaken – dessverre. Lite annet er endret fundamentalt og kan gi opphav til den økte forståelsen.

Vi er også sikre på at denne involveringen fra ledelsen er helt nødvendig for å lykkes med arbeidet med å få en varig endring og god praksis på personvern.

Personvernarbeidet må inn i rutinene

Tidligere i artikkelen har vi tatt opp ansvar og hvordan det kan organiseres (og ikke bør organiseres). Vi har også vært innom internkontroll for informasjons­sikkerhet og personvern, og mener at dette er helt nødvendig å ha på plass, og at det må fungere. Videre er behandlingsansvarlig ansvarlig for at dette skjer, både gjennom sine holdninger og handlinger. Til slutt, og som mål, må alle i virksomheten få vite og være inneforstått med hva som kreves av dem gjennom veiledere og annet materiale, i en lett tilgjengelig informasjonsarkitektur og -kanal.

Bevisstheten rundt personvern kommer ikke på plass av seg selv. Nøye planlagte innføringstiltak, informasjons- og kommunikasjonskampanjer og opplæring er nødvendige, og ledelsen må ta personvern inn i det daglige arbeidet. Arbeidet med personvern må inngå i de operative rutiner, og ikke kun være et separat tillegg.

Rolf Haavik

Rolf Haavik har spesialisert seg innen personvern og informasjonssikkerhet og er personvernombud for flere virksomheter. Rolf er opptatt av å gi kundene et intern-kontrollsystem for personvern som er praktisk og tilpasset virksomhetens størrelse (risikobasert). Rolf er i tillegg opptatt av å få til personvern som faktisk fungerer i første forsøk, noe som krever god forankring i hele organisasjonen og bevisst endringsledelse.

Relaterte artikler