Hvordan gjennomføre internkontroll i praksis
Denne delen beskriver prosessen for å etablere internkontroll. Den beskriver hvilke oppgaver som må løses, hvilke plikter en virksomhet har, hvilke rutiner som må dokumenteres og aktiviteter som må gjennomføres.
Dette kapittelet inneholder følgende:
- Skaff kunnskap
- Ledelsen har ansvaret
- Formålet med internkontrollen
- Få oversikt og vurder lovlighet, nødvendighet og proporsjonalitet
- Beskrive overordnede rammer
- Identifisere plikter
- Utarbeide rutiner
Skaff kunnskap
Virksomheten må selv ha et minimum av kunnskap, og sørge for å ha tilgang til nødvendig kunnskap om personopplysningsloven og personvernforordningen. Slik kunnskap er nødvendig for å kunne starte arbeidet med å etablere en internkontroll og tilfredsstillende informasjonssikkerhet. Virksomheten må videre identifisere de lovpålagte pliktene den skal overholde.
På våre nettsider finner du oppdatert og relevant informasjon som kan benyttes i arbeidet med internkontroll og informasjonssikkerhet. Få oversikt over alle pliktene virksomheten har på vår samleside
Ledelsen har ansvaret
Ledelsen er ansvarlig for at det settes i gang aktiviteter for å etablere internkontroll i virksomheten. Den har et spesielt ansvar for å utarbeide policy, målsetning, identifisere forpliktelser, klarlegge intern organisering og ikke minst tydelig identifisere ansvar og myndighet.
Ledelsen har også ansvar for at det etableres rutiner og instrukser basert på vurderinger for risiko for rettigheter og friheter. Det må tas stilling til hvilke rutiner som er påkrevd for å sikre samsvar mellom den etablerte systematikken og aktivitetene som faktisk utføres i virksomheten.
Dokumentasjon over systemet for internkontroll skal være tilgjengelig for de ansatte i virksomheten og for Datatilsynet ved eventuell kontroll.
Formålet med internkontrollen
Ved å etablere internkontroll bør virksomheten oppnå:
- bedre ivaretakelse av de registrertes rettigheter
- bedre informasjonssikkerhet, informasjonskvalitet og effektiviseringsgevinst
- system for kvalitetssikring av at offentlig regelverk følges
- forsvarlig drift innenfor lovverket
- fastsatte rutiner og instrukser som bidrar til at ledelsen sikrer at de ansatte arbeider i samsvar med virksomhetens mål og policy
- at avvik blir oppdaget og håndtert
- reduksjon i sjansen for alvorlige feil som skyldes manglende oppfølging av lovverket
Få oversikt, og vurder lovlighet, nødvendighet og proporsjonalitet
Virksomheten skal etablere og vedlikeholde en oversikt over alle behandlingene av personopplysninger. For å få en fullstendig oversikt, må man se på karakteristikker ved behandlingen og gjøre en vurdering proporsjonalitet og nødvendighet for å sikre at behandlingen er lovlig og at man ivaretar de registrertes rettigheter.
Internkontrollens struktur
Det er nyttig å etablere en struktur for internkontrollsystemet. I kapittelet "Internkontrollens struktur" finner dere forslag til struktur og dokumenter som kan opprettes i de ulike fasene - styrende dokumentasjon, gjennomførende dokumentasjon og kontrollerende dokumentasjon - og som vi vil vise til i den påfølgende teksten.
Beskrivelser, vurderinger og valg kan føres inn i styringsdokument for internkontroll. Disse beskrivelsene vil videre være grunnlag for å føre protokoll over behandlinger. Protokollen inkluderer blant annet oversikt over type behandlingsaktiviteter, kategorier av personopplysninger og registrerte, rettslig grunnlag og formål med behandlingene. Protokollen kan også inngå i styringsdokument for internkontroll. Dokumentasjonen bør oppdateres og gjennomgås jevnlig.
Oversikt over behandlingen er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Oversikten danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger.
For å få en fullstendig oversikt over behandlingen, vurdere lovlighet, nødvendighet og proporsjonalitet, må man gå systematisk til verks og sørge for at beskrivelsene er tydelige:
Behandlingens art, omfang, formål og sammenheng
Beskriv behandlingens art, det vil si behandlingens iboende karakteristikk. Dette kan innebære beskrivelser av hva dere gjør eller planlegger å gjøre med personopplysningene, for eksempel hvordan personopplysningene skal samles inn, lagres og brukes, og hvem det skal behandles personopplysninger om.
Beskriv behandlingens omfang. Det omfatter blant annet kategorier av personopplysninger, antall registrerte involvert, volum av data, hvor hyppig er behandlingen, lagringstid og geografisk omfang.
Beskriv behandlingens formål, det vil si å beskrive tydelig hva personopplysningene skal brukes til.
Beskriv hvilken sammenheng eller kontekst behandlingen utføres i. Dette innebærer å se behandlingen i et større bilde, og beskrive alle interne og eksterne faktorer som kan påvirke forventninger eller konsekvenser. Beskriv for eksempel hvilke kilder som brukes for innhenting av personopplysninger, hvilken relasjon virksomheten har til de registrerte, hvilke forventninger de registrerte har til behandlingen og i hvilken grad de registrerte har kontroll over sine personopplysninger.
Kilder, mottakere og ansvarsforhold
Identifiser, avklar og dokumenter ansvarsforhold. Dette innebærer blant annet å klargjøre egen virksomhets rolle og ansvar knyttet til verdikjedene for behandling av personopplysninger i virksomheten. Dokumenter når virksomheten er behandlingsansvarlig eller databehandler.
Identifiser og dokumenter alle mottakere av personopplysninger. Dette omfatter deling internt i virksomheten, databehandlere, tredjeparter, eksterne virksomheter (private og offentlige myndigheter) og så videre. Gjennomgå formål, rettslig grunnlag og hvilke forhåndsregler som tas for å beskytte personopplysningene (taushetserklæringer, databehandleravtale, atferdsnormer, sikkerhetstiltak og så videre). Dersom personopplysninger overføres eller lagres i land utenfor EU/EØS, må det sikres at det foreligger mekanismer som tillater slik overføring (se artikkel 44-49 i personvernforordningen).
Dersom det tas i bruk tjenesteutsetting eller skytjenester, bør man se på Nasjonal sikkerhetsmyndighets temahefte «Sikkerhetsfaglige anbefalinger ved tjenesteutsetting» (pdf).
Vurdering av lovlighet, nødvendighet og proporsjonalitet
Virksomheten må undersøke om behandlingene er lovlige, at de valgene man tar er nødvendige og står i et rimelig forhold til formålene. Dere må ta utgangspunkt i prinsippene for behandling av personopplysninger. Beskrivelser, vurderinger og valg kan føres i styringsdokumentet for internkontroll.
Fastsette behandlingsgrunnlag: Det er ikke tillatt å behandle personopplysninger uten et rettslig grunnlag. Behandlingen skal være basert på lovlighet, rettferdighet og åpenhet (artikkel 5.1 bokstav a og artikkel 6 og 9).
Et rettslig grunnlag/behandlingsgrunnlag kan være samtykke, at det er nødvendig for avtale/kontrakt, en rettslig forpliktelse, vitale interesser, utøvelse av myndighet eller en berettiget interesse. Undersøk om det rettslige grunnlaget omfatter både egne formål og utlevering.
Vurder og kontroller behandlingsgrunnlagets gyldighet og rimelighet. Er det et tydelig skille mellom hvilke personopplysninger som er nødvendig for avtale og hva som skal baseres på samtykke? Hva er de forventede fordelene ved behandlingen for virksomheten, den registrerte og samfunnet for øvrig?
Vurder hvordan åpenhet ivaretas i behandlingen.
Identifiser formål: Det er ikke tillatt å behandle personopplysninger uten at det er definert et formål med behandlingen. Formål(ene) skal være spesifikt, uttrykkelig angitt og berettiget (artikkel 5.1 bokstav b). Det innebærer at formålet skal være klart definert og i samsvar med forventningene til de registrerte. Kan formålet oppnås med en mindre inngripende behandling og med anonyme eller pseudonyme alternativer?
Dataminimering: Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene (artikkel 5.1 bokstav c). Identifiser og vurder personopplysningene som skal behandles. Kan formålet oppnås ved å begrense innsamlingen av personopplysninger, med mindre detaljerte personopplysninger, uten fortrolige eller sensitive personopplysninger, med aggregerte eller pseudonyme personopplysninger?
Riktighet: Personopplysninger skal være korrekte og oppdaterte (artikkel 5.1 bokstav d). Vurder hvordan personopplysninger skal holdes korrekte og oppdaterte, med og uten den registrertes involvering. Har dere nødvendig funksjonalitet for å rette og slette uriktige personopplysninger? Har dere rutiner for å oppdage feil ved personopplysninger? Har dere rutiner for hvordan registrertes anmodning om retting og sletting av personopplysninger skal håndteres?
Lagringsbegrensning: Personopplysninger skal slettes eller anonymiseres når formålet er oppnådd (artikkel 5.1 bokstav e). Avklar lovlig oppbevaringstid og slettefrister for alle typer personopplysninger som virksomheten behandler. Det innebærer å ta stilling til avveiinger som omfatter formålet med behandlingen, virksomhetens behov og andre rettslige krav som regulerer oppbevaringsrett og oppbevaringsplikt. Utarbeid nødvendige rutiner og tekniske løsninger for nødvendig sletting, anonymisering eller pseudonymisering.
Integritet og konfidensialitet: Virksomheten skal sørge for tilstrekkelig sikkerhet for personopplysningene ved bruk av tekniske og organisatoriske tiltak (artikkel 5.1 bokstav f). Det innebærer å sikre opplysningene mot uautorisert eller ulovlig behandling, og mot utilsiktet tap, ødeleggelse eller skade.
Ansvar: Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes (artikkel 5.2).
Beskrive overordnede rammer
Denne delen omfatter ledelsens begrunnelse for behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi i virksomheten. Begrunnelsen og de overordnede føringene kan beskrives i styringsdokumentet for internkontroll. Begrunnelsene omhandler virksomhetens behov for å behandle personopplysningene slik at den kan ivareta sine forpliktelser, herunder levere sine tjenester eller følge opp sine ansatte. De overordnede føringene er krav og plikter som virksomheten blir underlagt fordi den behandler personopplysninger. Slike krav og plikter kan blant annet følge av personvernlovgivningen, av pålegg fra Datatilsynet eller av annen lovgivning.
Andre føringer er sikkerhetsmål og sikkerhetsstrategier. Disse legger begrensninger på bruken av IKT for å sikre tilfredsstillende sikkerhet for personopplysningene. Samme dokument kan også inneholde føringer som krav til hendelseshåndtering, egenkontroll, avviksbehandling og ledelsens gjennomgang.
Identifisere plikter
Behandling av personopplysninger medfører plikter for virksomheten. Ulike opplysninger og ulike formål gjør at ingen virksomheter er like. Hver virksomhet må derfor identifisere plikter og tilpasse internkontroll og informasjonssikkerhetstiltak til sin organisasjon. Dette gjøres med utgangspunkt i behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoen for de registrertes rettigheter og friheter.
Prinsippene for behandling av personopplysninger legger føringer for hvordan personopplysninger skal behandles. Virksomheten må identifisere hvilke plikter den har og gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med forordningen (artikkel 24).
De ulike pliktene for behandlingsansvarlig og databehandlere er beskrevet i kapittel IV i personvernforordningen. Nedenfor nevner vi noen av disse pliktene med lenker til mer informasjon.
- Innebygd personvern og personvern som standardinnstilling (artikkel 25)
- Databehandler (artikkel 28) – Veiledning om databehandleravtaler
- Protokoller over behandlingsaktiviteter (artikkel 30) – Veiledning og mal for protokoll
- Sikkerhet ved behandlingen (artikkel 32)
- Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten (artikkel 33) og informasjon til den registrerte om brudd på personopplysningssikkerheten (artikkel 34) – Avvikshåndtering
- Vurdering av personvernkonsekvenser (DPIA) (artikkel 35) – Veiledning om vurdering av personvernkonsekvenser
- Forhåndsdrøftelser (artikkel 36)
- Personvernombud (artikkel 37-39)
- Atferdsnormer/bransjenormer (artikkel 40)
- Sertifisering (artikkel 42)
- Overføring av personopplysninger ut av EØS (artiklene 44-49)
Virksomheten må identifisere hvilke rettigheter og friheter for de registrerte som gjør seg gjeldende på grunn av virksomhetens behandling av personopplysninger. Virksomheten har plikt til å oppfylle disse rettighetene (beskrevet i artiklene 12-22) Vi har laget en samleside med oversikt over rettighetene. Med de registrertes friheter mener vi blant annet friheter etter Den europeiske menneskerettskonvensjonen (EMK), slik som retten til privatliv og kommunikasjonsvern, retten til ikke å bli diskriminert, tanke-, tros- og religionsfrihet, ytrings- og informasjonsfrihet. Vurder hvordan de registrertes rettigheter og friheter skal ivaretas.
Det finnes også nasjonale bestemmelser i personopplysningsloven som er presiseringer og unntak fra hovedregler i personvernforordningen.
Utarbeide rutiner
Personvernforordningen stiller krav til internkontroll i form av egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen. Tiltakene skal gjennomgås på nytt og skal oppdateres ved behov.
Utarbeid rutiner som er nødvendige for oppfyllelse av virksomhetens plikter og de registrertes rettigheter. Her nevnes noen nødvendige rutiner, samt hvordan rutinene kan utformes. Alle rutiner vil imidlertid ikke være relevante for alle virksomheter. En risikovurdering kan dessuten vise at virksomheten har behov for andre rutiner enn dem som er listet opp.
Eksempler på rutiner for håndtering av personopplysninger:
- Iverksettelse og opphør av behandling
- Informasjon (rettferdig og gjennomsiktig behandling, artikkel 12, 13 og 14)
- Innhenting og kontroll av samtykke (artikkel 7 og 8)
- Innsyn (artikkel 15)
- Dataportabilitet (artikkel 20)
- Retting og sletting (artikkel 16, 17 og 19)
- Begrensning (artikkel 18 og 19)
- Protestere (artikkel 21)
- Særskilte regler for automatiserte avgjørelser (artikkel 22)
- Utlevering av personopplysninger til andre
- Overføre personopplysninger til land utenfor EØS (artikkel 44-49)
Rutinene bør utformes etter en felles mal. Rutinene blir da enklere å bruke, og det blir lettere å vurdere om de er fullstendige.
Forslag til utforming av rutiner
- Hvorfor skal rutinen utarbeides, hva er hensikten med den?
- Hvem er ansvarlig for å utføre de ulike aktivitetene?
- Hva skal utføres av de ulike ansvarlige?
- Hvordan skal aktivitetene utføres?
- Når skal de ulike aktivitetene utføres, eller under hvilke betingelser?
- Hva er forventet resultat ved utførelse av rutinen?