Virksomhetsstyring og internkontrollarbeid på en enkel, effektiv, og hensiktsmessig måte!
Personvern er fundamentalt for å verne enkeltindividets rett til kontroll over egne personopplysninger, men i moderne virksomhetsstyring er det også et strategisk og lovpålagt etterlevelseskrav. EUs personvernforordning (GDPR) og den norske personopplysningsloven krever at virksomheter implementerer systematiske tiltak – og det er her Internkontroll kommer inn. Personvernrisikoer, som datainnbrudd, bøter for manglende etterlevelse, og omdømmetap, utgjør en av de største truslene mot virksomhetsverdien. Derfor må personvern ikke behandles som en isolert IT-oppgave, men som en integrert del av virksomhetens risikostyring. Effektivt personvern innebærer å bygge tekniske og organisatoriske kontroller inn i styringssystemet, og dermed sikre at du har den nødvendige dokumentasjonen, riktige Instruksene og den kontinuerlige overvåkingen som kreves for å operere forsvarlig og i samsvar med loven.
Personvern handler grunnleggende sett om å verne enkeltpersoners rett til å bestemme over egne personopplysninger, og dette innebærer å sikre at informasjon om oss ikke samles inn, brukes eller spres uten at vi har en viss grad av kontroll. Det er viktig å forstå at personvern ikke bare er en juridisk forpliktelse, men også en integrert del av god virksomhetsstyring. Dette skyldes at personvernregelverket, som spesielt EUs personvernforordning (GDPR) og den norske personopplysningsloven, stiller strenge krav til hvordan virksomheter skal behandle personopplysninger. Disse kravene må overholdes for å unngå betydelige økonomiske sanksjoner og andre negative konsekvenser.
Manglende overholdelse av personvernreglene kan medføre betydelige økonomiske tap, skade virksomhetens omdømme og erodere tilliten hos kunder og samarbeidspartnere. Derfor er det avgjørende at virksomheter ser på personvern som en viktig del av sin risikostyring. Ved å implementere effektive internkontrolltiltak for personvern, kan virksomheter redusere risikoen for datainnbrudd, misbruk av informasjon og andre sikkerhetshendelser som kan kompromittere personopplysninger.
I tillegg til de juridiske og risikobaserte argumentene, er det også etiske og omdømmemessige aspekter ved personvern. Respekt for personvern er en grunnleggende etisk verdi, og virksomheter som demonstrerer at de tar personvern på alvor, bygger tillit hos sine interessenter. Dette kan være en viktig konkurransefordel i dagens marked, hvor forbrukere er stadig mer bevisste på hvordan deres data blir behandlet.
Informasjonssikkerhet er en annen viktig komponent i personvern. For å beskytte personopplysninger, må virksomheter iverksette tiltak for å sikre konfidensialitet, integritet og tilgjengelighet for disse opplysningene. Dette omfatter tiltak som kryptering, tilgangskontroll og sikkerhetskopiering, som bør være integrert i virksomhetens internkontrollsystem.
Kort sagt, personvern er ikke bare et spørsmål om å følge lover og regler, men en integrert del av god virksomhetsstyring. Ved å prioritere personvern kan virksomheter redusere risiko, bygge tillit og oppnå langsiktig suksess.
Samtykke eller rettslig grunnlag
I henhold til det norske personvernregelverket, som er basert på EUs personvernforordning (GDPR) og den norske personopplysningsloven, er samtykke ett av flere mulige rettslige grunnlag for å behandle personopplysninger. Det er altså ikke alltid nødvendig med samtykke.
Her er en oversikt over når samtykke er nødvendig og hvilke andre rettslige grunnlag som finnes:
Samtykke:
Samtykke er nødvendig når det ikke finnes et annet rettslig grunnlag for behandlingen.Samtykket må være:
-Frivillig: Den registrerte må ha et reelt valg.
-Spesifikt: Den registrerte må samtykke til et klart definert formål.
-informert: Den registrerte må få tilstrekkelig informasjon om behandlingen.
-Utvetydig: Den registrerte må aktivt bekrefte sitt samtykke.
Rettslig grunnlag:
Som alternativ til samtykke, kan personopplysninger behandles dersom:
-Behandlingen er nødvendig for å oppfylle en avtale med den registrerte.
-Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse.
-Behandlingen er nødvendig for å beskytte vitale interesser.
-Behandlingen er nødvendig for å utføre en oppgave av allmenn interesse.
-Behandlingen er nødvendig for å ivareta berettigede interesser, og disse interessene veier tyngre enn hensynet til den registrertes personvern.
Personopplysninger
Personopplysninger er enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person. Dette er en bred definisjon som dekker et stort spekter av informasjon.
Identifisert person:
Dette er en person som direkte kan identifiseres ved hjelp av en opplysning, for eksempel navn, personnummer eller fødselsdato.
Identifiserbar person:
Dette er en person som indirekte kan identifiseres ved hjelp av en eller flere opplysninger, for eksempel en kombinasjon av alder, bosted og yrke.
Det er viktig å merke seg at selv opplysninger som i seg selv ikke identifiserer en person, kan være personopplysninger dersom de i kombinasjon med andre opplysninger kan brukes til å identifisere en person.
Eksempler på personopplysninger:
-Navn, adresse, telefonnummer, e-postadresse
-Fødselsnummer, personnummer
-Bilder, videoopptak, lydopptak
-IP-adresser, lokaliseringsdata
-Informasjon om atferdsmønstre, som kjøpshistorikk, nettleserhistorikk
-Informasjon om arbeidsforhold, utdanning, økonomi
Det er viktig å merke seg at:
-Personvernregelverket legger stor vekt på å beskytte personopplysninger.
-Virksomheter som behandler personopplysninger, har en plikt til å sikre at behandlingen er lovlig, rettferdig og transparent.
-Definisjonen av personopplysninger er bred, og at selv tilsynelatende uskyldige opplysninger kan være omfattet.
Sensitive personopplysninger
-Rasemessig eller etnisk opprinnelse: Dette omfatter informasjon om en persons hudfarge, nasjonalitet, eller kulturelle bakgrunn.
-Politisk oppfatning: Dette omfatter informasjon om en persons politiske tilhørighet eller meninger.
-Religiøs eller filosofisk overbevisning: Dette omfatter informasjon om en persons religiøse tro eller livssyn.
-Fagforeningsmedlemskap: Dette omfatter informasjon om en persons medlemskap i en fagforening.
-Helseopplysninger: Dette omfatter informasjon om en persons fysiske eller psykiske helse, inkludert medisinske diagnoser, behandlinger, og funksjonshemninger.
-Seksuelle forhold eller seksuell legning: Dette omfatter informasjon om en persons seksuelle orientering eller seksuelle adferd.
-Genetiske opplysninger: Dette omfatter informasjon om en persons arvelige egenskaper.
-Biometriske opplysninger: Dette omfatter informasjon om en persons fysiske kjennetegn, som fingeravtrykk eller ansiktsgjenkjenning, når disse brukes til å identifisere en person.
-I tillegg regnes opplysninger om straffedommer og lovovertredelser som tilsvarende sensitive.
Det er viktig å merke seg at behandling av sensitive personopplysninger er i utgangspunktet forbudt, med mindre det foreligger et særskilt rettslig grunnlag. Dette kan for eksempel være:
-Samtykke fra den registrerte.
-Nødvendighet for å oppfylle en rettslig forpliktelse.
-Nødvendighet for å beskytte vitale interesser.
-Nødvendighet av hensyn til viktige allmenne interesser.
Datatilsynet er den norske tilsynsmyndigheten for personvern, og de har ansvar for å overvåke og håndheve personvernlovgivningen. De har også laget mange gode veiledere om temaet.
Risikovurdering
For å risikovurdere personopplysningsbehandling i egen virksomhet kan du følge disse trinnene:
1.
Identifiser behandlingen:
-Kartlegg hvilke personopplysninger som behandles, hvor de kommer fra, og hvordan de brukes.
-Dokumenter formålet med behandlingen og rettslig grunnlag.
2.
Vurder risiko:
-Identifiser potensielle risikoer for de registrertes rettigheter og friheter.
-Vurder sannsynlighet og konsekvens av hver risiko.
-Spesielt viktig å vurdere risiko forbundet med brudd på konfidensialitet, integritet og tilgjengelighet.
3.
Implementer tiltak:
-Iverksett tiltak for å redusere identifiserte risikoer.
-Tiltak kan være tekniske (f.eks. kryptering) eller organisatoriske (f.eks. opplæring).
4.
Dokumenter og evaluer:
-Dokumenter risikovurderingen og iverksatte tiltak.
-Evaluer risikovurderingen jevnlig og oppdater ved behov.
Viktige punkter:
-Risikovurderingen skal være proporsjonal med risikoen.
-Involver relevant personell i prosessen.
-Datatilsynet har veiledere og ressurser.
Behandlingsansvarlig & databehandler
I henhold til personvernforordningen (GDPR) og norsk personopplysningslov, er det viktig å skille mellom rollene som behandlingsansvarlig og databehandler. Disse rollene har ulike ansvarsområder i behandlingen av personopplysninger.
Behandlingsansvarlig:
Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal brukes. Dette betyr at den behandlingsansvarlige har det overordnede ansvaret for å sikre at behandlingen er i samsvar med personvernregelverket.
Den behandlingsansvarliges ansvar omfatter blant annet:
1.
Å fastsette formålet med behandlingen: Den behandlingsansvarlige må definere tydelig hvorfor personopplysningene samles inn og hvordan de skal brukes.
2.
Å velge rettslig grunnlag: Den behandlingsansvarlige må identifisere et gyldig rettslig grunnlag for behandlingen, for eksempel samtykke, avtale eller lovpålagt plikt.
3.
Å sikre personvernprinsippene: Den behandlingsansvarlige må sørge for at behandlingen er lovlig, rettferdig, åpen, adekvat, relevant, begrenset, riktig og sikker.
4.
Å ivareta de registrertes rettigheter: Den behandlingsansvarlige må etablere rutiner for å håndtere de registrertes rettigheter, som innsyn, retting, sletting og dataportabilitet.
5.
Å velge databehandler: Dersom den behandlingsansvarlige bruker en databehandler, må vedkommende velge en som gir tilstrekkelige garantier for sikkerheten ved behandlingen.
5.
Å inngå databehandleravtale: Den behandlingsansvarlige må inngå en skriftlig avtale med databehandleren som regulerer behandlingen av personopplysninger.
7.
Å melde fra om brudd: Den behandlingsansvarlige må melde fra til Datatilsynet om eventuelle brudd på personopplysningssikkerheten.
8.
Å gjennomføre risikovurderinger: Den behandlingsansvarlige må gjennomføre risikovurderinger og eventuelt personvernkonsekvensvurderinger (DPIA) når det er nødvendig.
Databehandler:
En databehandler er en fysisk eller juridisk person som behandler personopplysninger på vegne av den behandlingsansvarlige. Databehandleren handler etter instruks fra den behandlingsansvarlige og har ikke selvstendig beslutningsmyndighet over behandlingen.
Databehandlerens ansvar omfatter blant annet:
1.
Å behandle personopplysninger i henhold til instruksjoner: Databehandleren må følge de instruksjonene som er gitt av den behandlingsansvarlige.
2.
Å sikre konfidensialitet og sikkerhet: Databehandleren må implementere egnede tekniske og organisatoriske tiltak for å beskytte personopplysningene.
3.
Å bistå den behandlingsansvarlige: Databehandleren må bistå den behandlingsansvarlige i å oppfylle sine forpliktelser, for eksempel ved å gi informasjon og bistand ved brudd på personopplysningssikkerheten.
4.
Å melde fra om brudd: Databehandleren må melde fra til den behandlingsansvarlige om eventuelle brudd på personopplysningssikkerheten.
5.
Å følge databehandleravtalen: Databehandleren må overholde vilkårene i databehandleravtalen.
Det er svært viktig å skille mellom disse to rollene, og å regulere deres ansvar gjennom en klar databehandleravtale når det er aktuelt.
Den registrertes rettigheter
Den registrerte har etter regelverket en rekke rettigheter for å kunne sikre kontroll over egne personopplysninger. Her er en redegjørelse for de viktigste rettighetene:
1.
Rett til informasjon:
-Den registrerte har rett til å få klar og tydelig informasjon om hvordan personopplysningene deres behandles.
-Dette omfatter informasjon om formålet med behandlingen, hvilke opplysninger som samles inn, hvem som har tilgang til opplysningene, og hvor lenge de lagres.
2.
Rett til innsyn:
-Den registrerte har rett til å få bekreftet om personopplysninger om dem behandles, og i så fall få innsyn i disse opplysningene.
-Dette gir den registrerte mulighet til å kontrollere hvilke opplysninger som er lagret om dem.
3.
Rett til retting:
-Den registrerte har rett til å kreve at uriktige eller ufullstendige personopplysninger rettes.
-Dette sikrer at opplysningene er korrekte og oppdaterte.
4.
Rett til sletting (retten til å bli glemt):
-I visse tilfeller har den registrerte rett til å kreve at personopplysningene slettes.
-Dette kan for eksempel gjelde dersom opplysningene ikke lenger er nødvendige for formålet de ble samlet inn for, eller dersom den registrerte trekker tilbake sitt samtykke.
5.
Rett til begrensning av behandling:
-I visse tilfeller har den registrerte rett til å kreve at behandlingen av personopplysningene begrenses.
-Dette kan for eksempel gjelde dersom den registrerte bestrider riktigheten av opplysningene.
6.
Rett til dataportabilitet:
-Den registrerte har rett til å motta personopplysningene sine i et strukturert, alminnelig og maskinlesbart format, og til å overføre disse opplysningene til en annen behandlingsansvarlig.
-Dette gjelder kun dersom behandlingen er basert på samtykke eller avtale.
7.
Rett til å protestere:
-Den registrerte har rett til å protestere mot behandlingen av personopplysningene sine i visse tilfeller, for eksempel ved direkte markedsføring.
-Dette gir den registrerte mulighet til å motsette seg uønsket behandling.
8.
Rett til ikke å være gjenstand for automatiserte avgjørelser:
-Den registrerte har rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, inkludert profilering, dersom denne avgjørelsen har rettslige virkninger eller på lignende måte i betydelig grad påvirker vedkommende.
Viktige punkter:
-Virksomheter som behandler personopplysninger, har plikt til å tilrettelegge for at de registrerte kan utøve sine rettigheter.
-Datatilsynet er den norske tilsynsmyndigheten for personvern, og de har ansvar for å veilede og håndheve personvernregelverket.
Styringsdokumentasjon
For å imøtekomme personvernregelverket (GDPR og personopplysningsloven), må virksomheter etablere en rekke instrukser og rutiner. Disse skal sikre at personopplysninger behandles på en lovlig, sikker og transparent måte. Her er noen av de viktigste instruksene som typisk må etableres:
1.
Instrukser for innsamling og behandling av personopplysninger:
-Formålsbeskrivelse:
Instrukser som definerer tydelig formålet med innsamlingen og behandlingen av personopplysninger. Dette skal sikre at opplysningene kun brukes til de angitte formålene.
-Rettslig grunnlag:
Instrukser som spesifiserer hvilket rettslig grunnlag som brukes for hver type behandling (samtykke, avtale, lovpålagt plikt, etc.). Dette skal sikre at behandlingen er lovlig.
-Dataminimering:
Instrukser som begrenser innsamlingen av personopplysninger til det som er nødvendig for de angitte formålene. Dette skal hindre innsamling av unødvendige opplysninger.
-Informasjon til de registrerte:
Instrukser for hvordan de registrerte skal informeres om behandlingen av deres personopplysninger (personvernerklæring). Dette skal sikre åpenhet og transparens.
2.
Instrukser for sikkerhet ved behandling:
-Tilgangskontroll:
Instrukser som regulerer hvem som har tilgang til personopplysningene og hvordan tilgangen skal kontrolleres. Dette skal hindre uautorisert tilgang.
-Kryptering:
Instrukser for bruk av kryptering for å beskytte sensitive personopplysninger. Dette skal sikre konfidensialitet.
-Sikkerhetskopiering:
Instrukser for regelmessig sikkerhetskopiering av personopplysninger. Dette skal sikre tilgjengelighet ved eventuelle hendelser.
-Hendelseshåndtering:
Instrukser for hvordan personvernbrudd skal håndteres, inkludert rapportering til Datatilsynet og de registrerte. Dette skal sikre rask og effektiv respons ved brudd.
3.
Instrukser for de registrertes rettigheter:
-Innsyn:
Instrukser for hvordan de registrerte kan få innsyn i sine personopplysninger. Dette skal sikre retten til innsyn.
-Retting og sletting:
Instrukser for hvordan de registrerte kan kreve retting av uriktige opplysninger eller sletting av opplysninger. Dette skal sikre retten til retting og sletting.
-Dataportabilitet:
Instrukser for hvordan de registrerte kan kreve å få overført sine personopplysninger til en annen behandlingsansvarlig. Dette skal sikre retten til dataportabilitet.
4.
Instrukser for databehandlere:
-Databehandleravtale:
Instrukser for innholdet i databehandleravtaler, som regulerer behandlingen av personopplysninger på vegne av den behandlingsansvarlige. Dette skal sikre at databehandleren oppfyller kravene i personvernregelverket.
-Oppfølging av databehandlere:
Instrukser for hvordan den behandlingsansvarlige skal følge opp databehandlerens arbeid. Dette skal sikre at databehandleren overholder avtalen.
5.
Instrukser for risikovurdering og personvernkonsekvensvurdering (DPIA):
-Risikovurdering:
Instrukser for hvordan risikovurderinger skal gjennomføres for å identifisere og redusere risikoer for de registrertes rettigheter.Dette skal sikre en risikobasert tilnærming til personvern.
-DPIA:
Instrukser for når en DPIA skal gjennomføres, og hvordan den skal dokumenteres. Dette skal sikre at personvernkonsekvensene av behandlingen er vurdert.
Det er viktig å merke seg at disse instruksene må tilpasses den enkelte virksomhets spesifikke behov og risikoprofil.
Personopplysningsbehandling & Internkontrollarbeid
Personopplysningsarbeidet står sentralt i enhver virksomhets internkontrollarbeid og styringssystem. Dette er ikke bare en anbefaling, men et krav som følger av personvernregelverket (GDPR og personopplysningsloven).
Her er en redegjørelse for hvorfor og hvordan personopplysningsarbeidet må være en del av internkontrollarbeidet og styringssystemet:
1.
Lovpålagte krav:
-GDPR artikkel 24 krever at den behandlingsansvarlige implementerer egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med forordningen. Dette innebærer å bygge personvern inn i virksomhetens styringssystem.
-Internkontrollforskriften, som gjelder for de fleste virksomheter, krever at virksomheter har systematiske tiltak for å sikre at lover og forskrifter følges. Dette inkluderer personvernregelverket.
2.
Risikobasert tilnærming:
-Personvernregelverket legger vekt på en risikobasert tilnærming. Dette betyr at virksomheter må identifisere, vurdere og redusere risikoer knyttet til behandling av personopplysninger.
-Internkontroll er et verktøy for å håndtere risiko, og personvernrisikoer må derfor integreres i virksomhetens risikostyringssystem.
3.
Dokumentasjon og ansvarlighet:
-Personvernregelverket krever omfattende dokumentasjon av personopplysningsbehandlingen.
-Internkontrollsystemet skal sikre at dokumentasjon er på plass, og at ansvar for personvern er tydelig plassert i organisasjonen.
4.
Kontinuerlig forbedring:
-Personvern er ikke en engangsøvelse, men en kontinuerlig prosess.
-Internkontrollsystemet skal sikre at personvernarbeidet evalueres og forbedres jevnlig.
Hvordan integrere personvern i internkontroll og styringssystem:
-Risikovurderinger: Gjennomfør regelmessige risikovurderinger av personopplysningsbehandlingen.
-Retningslinjer og prosedyrer: Utarbeid og implementer interne retningslinjer og prosedyrer for personvern.
-Opplæring: Sørg for at ansatte får tilstrekkelig opplæring i personvern.
-Avvikshåndtering: Etabler rutiner for å håndtere avvik og brudd på personopplysningssikkerheten.
-Internrevisjon: Gjennomfør jevnlige internrevisjoner for å kontrollere at personvernarbeidet fungerer som det skal.
Ved å integrere personvernarbeidet i internkontroll og styringssystem, kan virksomheter sikre at de overholder personvernregelverket, og samtidig bygge tillit hos kunder og andre interessenter.
Koplingen mellom Personopplysningsloven og Datasikkerhetsloven
Forholdet mellom personopplysningsloven og datasikkerhetsloven er nært knyttet, men de regulerer ulike aspekter ved behandling av informasjon. Her er en redegjørelse for koplingen mellom disse lovene:
Personopplysningsloven:
-Denne loven, som er basert på EUs personvernforordning (GDPR), har som hovedformål å beskytte enkeltpersoners personvern.
-Den regulerer behandling av personopplysninger, som er enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person.
-Loven stiller krav til blant annet lovlighet, rettferdighet, åpenhet, sikkerhet og de registrertes rettigheter.
Datasikkerhetsloven:
-Med den nye loven om digital sikkerhet, er det nå et mer helhetlig lovverk. Denne loven implementerer NIS1 og NIS2 direktivet, og omhandler krav til digital sikkerhet for samfunnskritiske tjenester.
-Denne loven omhandler virksomheters plikt til å ha et forsvarlig sikkerhetsnivå for sine IKT-systemer.
-Den stiller krav til risikovurdering, sikkerhetstiltak, hendelseshåndtering og rapportering av sikkerhetshendelser.
Koplingen:
-Selv om personopplysningsloven og datasikkerhetsloven har ulike formål, er det en klar sammenheng mellom dem.
-Datasikkerhet er en forutsetning for å oppfylle kravene i personopplysningsloven. For å beskytte personopplysninger, må virksomheter ha tilstrekkelig sikkerhet i sine IKT-systemer.
-Personopplysningsloven stiller krav til "integritet og konfidensialitet" ved behandling av personopplysninger. Dette innebærer at personopplysninger skal beskyttes mot uautorisert tilgang, endring og sletting.
-Datasikkerhetsloven bidrar til å sikre "integritet og konfidensialitet" ved å stille krav til tekniske og organisatoriske sikkerhetstiltak.
-En virksomhet som ikke har tilstrekkelig datasikkerhet, vil dermed kunne bryte både datasikkerhetsloven og personopplysningsloven.
Viktige punkter:
-Personopplysningsloven fokuserer på beskyttelse av personvern, mens datasikkerhetsloven fokuserer på beskyttelse av IKT-systemer.
-Datasikkerhet er en viktig del av personvernarbeidet, og virksomheter må sørge for at de oppfyller kravene i begge lovverk.
-Det er viktig og merke seg at de nye kravene i den nye loven om digital sikkerhet(Datasikkerhetsloven) vil føre til at mange flere virksomheter må forholde seg til krav om digital sikkerhet.
Datasikkerhetsloven ble vedtatt av Stortinget 12. desember 2023, og sanksjonert av Kongen i statsråd 20. desember 2023. Dette betyr at loven formelt sett er vedtatt. Loven trer derimot først i kraft når det er bestemt gjennom forskrift. Det pågår nå arbeid med å utarbeide den forskriften som skal til for at loven trer i kraft.
Koplingen mellom Personopplysningsloven og Sikkerhetsloven
Forholdet mellom personopplysningsloven og sikkerhetsloven er et komplekst samspill mellom to viktige lovverk som ivaretar henholdsvis personvern og nasjonal sikkerhet. Her er en redegjørelse av koplingen mellom disse lovene:
Personopplysningsloven:
-Denne loven, som er basert på EUs personvernforordning (GDPR), regulerer behandling av personopplysninger generelt.
-Den har som formål å beskytte enkeltpersoners personvern og stiller krav til blant annet lovlighet, rettferdighet, åpenhet, sikkerhet og de registrertes rettigheter.
Sikkerhetsloven:
-Denne loven har som formål å forebygge, avdekke og motvirke sikkerhetstruende virksomhet som kan skade nasjonale sikkerhetsinteresser.
-Den gir myndighetene hjemmel til å iverksette tiltak for å beskytte skjermingsverdig informasjon, systemer og objekter.
Samspill og konflikter:
-I visse situasjoner kan det oppstå konflikter mellom hensynet til personvern og hensynet til nasjonal sikkerhet.
-Sikkerhetsloven kan i noen tilfeller gi myndighetene adgang til å behandle personopplysninger på en måte som avviker fra personopplysningslovens krav.
-Dette gjelder spesielt i situasjoner der behandlingen er nødvendig for å ivareta nasjonale sikkerhetsinteresser.
-Det er viktig å merke seg at avvik fra personopplysningsloven må være begrunnet i et legitimt sikkerhetsbehov og være proporsjonalt med den aktuelle sikkerhetstrusselen.
Nøkkelpunkter:
-Sikkerhetsloven kan gi hjemmel for unntak fra personopplysningsloven når nasjonale sikkerhetsinteresser tilsier det.
-Det må alltid foretas en konkret vurdering av forholdet mellom personvern og nasjonal sikkerhet i den enkelte sak.
-Nasjonal sikkerhetsmyndighet (NSM) har en viktig rolle i å veilede og kontrollere at personopplysningsbehandlingen i sikkerhetssektoren er i samsvar med lovverket.
-Det er viktig og merke seg at det er et komplekst samspill, og at det er en stadig vurdering av hvordan disse lovene skal samspille.
Viktige hensyn:
-Det er et behov for å balansere hensynet til personvern med hensynet til nasjonal sikkerhet.
-Transparens og rettssikkerhet er viktig også i sikkerhetssektoren.
-Det er viktig å sikre at eventuelle unntak fra personopplysningsloven er nødvendige og proporsjonale.
Øvrig regelverk
I tillegg til ovennevnte vil følgende regelverk kunne sette rammer for personopplysningsbehandlingen i din virksomhetsutøvelse avhengig av virskomhetstype mv.;
-Arbeidsmiljøloven
-Forvaltningsloven
-Arkivloven
-Politiregisterloven
-Strafferegisterloven
-Opplæringsloven
-Universitets- og høyskoleloven
-Helsepersonelloven
-Pasientjournalloven
-Helseregisterloven
-mv.
Personvernerklæring & samtykkeskjema
Dette er et eksempel på en enkel og typisk personvernerklæring med tilhørende samtykkeskjema. Det er viktig at du tilpasser disse dokumentene til din virksomhets spesifikke behov og praksis. Det anbefales å søke juridisk rådgivning for å sikre at dokumentene er i samsvar med gjeldende personvernregelverk.
Personvernerklæring
Denne personvernerklæringen beskriver hvordan [Virksomhetens navn] samler inn, bruker og beskytter dine personopplysninger. Vi er forpliktet til å behandle dine personopplysninger i samsvar med gjeldende personvernregelverk, inkludert personvernforordningen (GDPR) og personopplysningsloven.
1. Behandlingsansvarlig
[Virksomhetens navn] er behandlingsansvarlig for personopplysningene vi samler inn.
2. Formål med behandlingen
Vi samler inn og behandler personopplysninger for følgende formål:
-For å levere våre tjenester til deg.
-For å kommunisere med deg, for eksempel ved å svare på henvendelser eller sende deg informasjon om våre tjenester.
-For å administrere kundeforholdet.
-For å overholde lovpålagte krav.
-For å forbedre våre tjenester og nettsider.
-For å tilpasse vår kommunikasjon og markedsføring til dine interesser.
3. Kategorier av personopplysninger
Vi kan samle inn følgende kategorier av personopplysninger:
-Kontaktinformasjon (navn, adresse, e-postadresse, telefonnummer).
-Demografisk informasjon (alder, kjønn, bosted).
-Informasjon om din bruk av våre tjenester og nettsider.
-Informasjon du gir oss i kommunikasjon med oss.
-Betalingsinformasjon (kun når relevant).
-Tekniske data (IP-adresse, informasjonskapsler).
4. Rettslig grunnlag for behandlingen
Vi behandler personopplysninger basert på følgende rettslige grunnlag:
-Samtykke: Når du har gitt oss samtykke til å behandle dine personopplysninger for spesifikke formål.
-Avtale: Når behandlingen er nødvendig for å oppfylle en avtale med deg.
-Lovpålagt plikt: Når behandlingen er nødvendig for å oppfylle en rettslig forpliktelse.
-Berettiget interesse: Når behandlingen er nødvendig for å ivareta våre berettigede interesser, og disse interessene veier tyngre enn hensynet til ditt personvern.
5. Mottakere av personopplysninger
Vi kan dele dine personopplysninger med følgende kategorier av mottakere:
-Tjenesteleverandører som bistår oss med å levere våre tjenester.
-Offentlige myndigheter når det er lovpålagt.
-Andre tredjeparter med ditt samtykke.
6. Overføring av personopplysninger til utlandet
Vi kan overføre dine personopplysninger til land utenfor EØS. Når vi gjør dette, vil vi sørge for at det er et tilstrekkelig beskyttelsesnivå, for eksempel ved å inngå standard personvernklausuler.
7. Lagringstid
Vi lagrer dine personopplysninger så lenge det er nødvendig for å oppfylle formålene med behandlingen, eller så lenge vi er lovpålagt å gjøre det.
8. Dine rettigheter
Du har følgende rettigheter knyttet til dine personopplysninger:
-Rett til innsyn: Du har rett til å få innsyn i hvilke personopplysninger vi behandler om deg.
-Rett til retting: Du har rett til å kreve at uriktige personopplysninger rettes.
-Rett til sletting: Du har rett til å kreve at dine personopplysninger slettes.
-Rett til begrensning av behandling: Du har rett til å kreve at behandlingen av dine personopplysninger begrenses.
-Rett til dataportabilitet: Du har rett til å motta dine personopplysninger i et strukturert, alminnelig og maskinlesbart format.
-Rett til å protestere: Du har rett til å protestere mot behandlingen av dine personopplysninger.
-Rett til å trekke tilbake samtykke: Når behandlingen er basert på samtykke, har du rett til å trekke tilbake samtykket når som helst.
9. Klage til Datatilsynet
Dersom du mener at vår behandling av dine personopplysninger er i strid med gjeldende personvernregelverk, har du rett til å klage til Datatilsynet.
10. Endringer i personvernerklæringen
Vi kan oppdatere denne personvernerklæringen fra tid til annen. Vi vil varsle deg om eventuelle vesentlige endringer.
11. Kontaktinformasjon
Dersom du har spørsmål om denne personvernerklæringen eller vår behandling av dine personopplysninger, kan du kontakte oss på: [E-postadresse]
12. Samtykke til innhenting og behandling av personopplysninger
Jeg samtykker til at [Virksomhetens navn] samler inn og behandler mine personopplysninger i samsvar med deres personvernerklæring.
Jeg er klar over at jeg kan trekke tilbake mitt samtykke når som helst.
[Navn]
[Dato]
[Signatur]
Databehandleravtale
Databehandleravtale
Mellom:
[Navn på Behandlingsansvarlig], [Organisasjonsnummer], [Adresse] (heretter kalt «Behandlingsansvarlig»)
og
[Navn på Databehandler], [Organisasjonsnummer], [Adresse] (heretter kalt «Databehandler»)
(Samlet kalt «Partene»)
Dato: [Dato for avtalens inngåelse]
1. Bakgrunn og Formål
1.1. Behandlingsansvarlig behandler personopplysninger i forbindelse med [beskriv formålet med behandlingen, f.eks. kundeadministrasjon, markedsføring, drift av nettsted].
1.2. Behandlingsansvarlig ønsker å engasjere Databehandler til å utføre visse oppgaver på vegne av Behandlingsansvarlig som innebærer behandling av personopplysninger.
1.3. Denne avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i samsvar med personvernlovgivningen, herunder personvernforordningen (GDPR) og annen relevant nasjonal lovgivning.
2. Definisjoner
Med mindre annet er uttrykkelig angitt, skal følgende definisjoner gjelde i denne avtalen:
Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»).
Behandling: Enhver operasjon eller ethvert sett av operasjoner som utføres på personopplysninger eller sett av personopplysninger, enten automatisert eller ikke, slik som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller på annen måte tilgjengeliggjøring, sammenstilling eller sammenslåing, begrensning, sletting eller tilintetgjøring.
Behandlingsansvarlig: Den fysiske eller juridiske person, offentlige myndighet, institusjon eller ethvert annet organ som alene eller sammen med andre fastsetter formålene med behandlingen av personopplysninger og måten det skal skje på.
Databehandler: Den fysiske eller juridiske person, offentlige myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
Underdatabehandler: En annen databehandler som er engasjert av Databehandler for å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig.
Personvernlovgivningen: Til enhver tid gjeldende lover og forskrifter som regulerer behandling av personopplysninger, herunder GDPR og norsk nasjonal lovgivning.
Brudd på personopplysningssikkerheten: Et sikkerhetsbrudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, uautorisert utlevering av eller uautorisert tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
3. Databehandlers Forpliktelser
3.1. Databehandler skal behandle personopplysninger kun i henhold til dokumenterte instrukser fra Behandlingsansvarlig, herunder de som er gitt i denne avtalen og eventuelle senere skriftlige instrukser.
3.2. Databehandler skal sikre at de personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt en lovfestet taushetsplikt.
3.3. Databehandler skal iverksette alle nødvendige tekniske og organisatoriske tiltak for å sikre et tilstrekkelig sikkerhetsnivå, tilpasset risikoen ved behandlingen, herunder, men ikke begrenset til: * [Spesifiser konkrete sikkerhetstiltak, f.eks. kryptering, pseudonymisering, tilgangskontroll, loggføring, sikkerhetskopiering, rutiner for gjenoppretting]. * [Henvis til eventuelle sertifiseringer eller standarder Databehandler følger].
3.4. Databehandler skal bistå Behandlingsansvarlig med å oppfylle sine forpliktelser overfor de registrerte, herunder å svare på henvendelser om innsyn, retting, sletting, begrensning og dataportabilitet. Kostnader knyttet til dette bistandet skal avtales særskilt dersom de overstiger et rimelig nivå.
3.5. Databehandler skal uten unødig opphold varsle Behandlingsansvarlig dersom det oppstår et brudd på personopplysningssikkerheten. Varslingen skal inneholde informasjon om bruddet, herunder omfang, konsekvenser og iverksatte tiltak.
3.6. Databehandler skal bistå Behandlingsansvarlig med å gjennomføre vurderinger av personvernkonsekvenser (DPIA) og forhåndsdrøftinger med Datatilsynet dersom dette er nødvendig som følge av behandlingen. Kostnader knyttet til dette bistandet skal avtales særskilt dersom de overstiger et rimelig nivå.
3.7. Databehandler skal føre en oversikt over alle behandlingsaktiviteter som utføres på vegne av Behandlingsansvarlig.
3.8. Databehandler skal gjøre all informasjon som er nødvendig for å påvise overholdelse av forpliktelsene i denne avtalen tilgjengelig for Behandlingsansvarlig og tillate og bidra til revisjoner, herunder inspeksjoner, som utføres av Behandlingsansvarlig eller en annen revisor som er bemyndiget av Behandlingsansvarlig. Kostnadene for slike revisjoner bæres av Behandlingsansvarlig, med mindre revisjonen avdekker vesentlige mangler hos Databehandler.
3.9. Databehandler skal informere Behandlingsansvarlig umiddelbart dersom Databehandler mener at en instruks fra Behandlingsansvarlig er i strid med personvernlovgivningen.
3.10. Ved opphør av denne avtalen skal Databehandler, etter Behandlingsansvarligs valg, enten slette eller returnere alle personopplysninger til Behandlingsansvarlig, og slette eksisterende kopier med mindre lovgivningen krever lagring av personopplysningene.
4. Behandlingsansvarligs Forpliktelser
4.1. Behandlingsansvarlig er ansvarlig for å sikre at behandlingen av personopplysninger som utføres av Databehandler har et lovlig grunnlag og at formålene med behandlingen er klart definert.
4.2. Behandlingsansvarlig skal gi Databehandler nødvendige og dokumenterte instrukser for behandlingen av personopplysninger.
4.3. Behandlingsansvarlig skal påse at personopplysningene som overføres til Databehandler er korrekte og relevante for formålet med behandlingen.
4.4. Behandlingsansvarlig skal informere Databehandler om eventuelle endringer i behandlingen som kan påvirke Databehandlers forpliktelser under denne avtalen.
4.5. Behandlingsansvarlig skal gjennomføre regelmessige vurderinger av Databehandlers tekniske og organisatoriske sikkerhetstiltak.
5. Bruk av Underdatabehandlere
5.1. Databehandler skal ikke engasjere underdatabehandlere uten Behandlingsansvarligs skriftlige forhåndsgodkjenning.
5.2. Dersom Behandlingsansvarlig gir generell skriftlig godkjenning til bruk av underdatabehandlere, skal Databehandler informere Behandlingsansvarlig om eventuelle planlagte endringer i listen over underdatabehandlere i god tid før endringen trer i kraft, slik at Behandlingsansvarlig får mulighet til å motsette seg slike endringer.
5.3. Databehandler skal sikre at enhver underdatabehandler er underlagt de samme forpliktelsene som Databehandler i henhold til denne avtalen, gjennom en skriftlig avtale. Databehandler er fullt ut ansvarlig overfor Behandlingsansvarlig for underdatabehandlers handlinger og unnlatelser.
6. Overføring av Personopplysninger til Tredjeland
6.1. Databehandler skal ikke overføre personopplysninger til et land utenfor EØS uten skriftlig samtykke fra Behandlingsansvarlig og kun dersom det foreligger et gyldig overføringsgrunnlag i henhold til personvernlovgivningen (f.eks. EU-kommisjonens beslutning om tilstrekkelig beskyttelsesnivå, standard personvernbestemmelser godkjent av EU-kommisjonen, bindende bedriftsregler).
7. Konfidensialitet
7.1. Databehandler forplikter seg til å behandle alle personopplysninger konfidensielt og skal sikre at ansatte og eventuelle underdatabehandlere som har tilgang til personopplysningene er underlagt en tilsvarende konfidensialitetsforpliktelse. Denne forpliktelsen skal også gjelde etter opphør av denne avtalen.
8. Ansvar og Erstatning
8.1. Hver av Partene er ansvarlig for skade som skyldes brudd på deres forpliktelser i henhold til denne avtalen og personvernlovgivningen.
8.2. Databehandler er særlig ansvarlig for skade som skyldes behandling som ikke er i samsvar med Behandlingsansvarligs instrukser eller personvernlovgivningen.
8.3. [Her kan det eventuelt inntas bestemmelser om ansvarsbegrensning, i samsvar med gjeldende rett].
9. Vederlag og Betalingsbetingelser
9.1. [Beskriv vederlaget Databehandler skal motta for sine tjenester].
9.2. [Angi betalingsbetingelser og faktureringsrutiner].
10. Varighet og Oppsigelse
10.1. Denne avtalen trer i kraft på [startdato] og gjelder inntil [sluttdato eller beskrivelse av avtalens varighet, f.eks. så lenge hovedavtalen mellom Partene er gyldig].
10.2. Hver av Partene kan si opp avtalen med [antall] måneders skriftlig varsel.
10.3. Hver av Partene kan si opp avtalen med umiddelbar virkning ved vesentlig mislighold fra den andre Partens side, herunder brudd på personvernlovgivningen eller denne avtalen.
11. Lovvalg og Verneting
11.1. Denne avtalen er underlagt norsk rett.
11.2. Enhver tvist som måtte oppstå i forbindelse med denne avtalen skal søkes løst i minnelighet. Dersom enighet ikke oppnås, skal tvisten bringes inn for de ordinære domstoler i [sted], Norge.
12. Endringer og Tillegg
12.1. Enhver endring av eller tillegg til denne avtalen skal være skriftlig og signert av begge Parter.
(Underskrifter)
For Behandlingsansvarlig: For Databehandler:
[Navn og tittel] [Navn og tittel] [Dato] [Dato]
Veiledningstekst for Utarbeidelse av Databehandleravtale
Utarbeidelsen av en databehandleravtale er en viktig forpliktelse i henhold til personvernforordningen (GDPR) artikkel 28. Denne veiledningen gir deg en oversikt over de viktigste vurderingene du må gjøre ved utfylling av malen over.
Generelle Vurderinger:
Identifiser rollene tydelig: Sørg for at det er klart hvem som er behandlingsansvarlig og hvem som er databehandler. Behandlingsansvarlig bestemmer formålet med og måten personopplysninger skal behandles på, mens databehandler behandler opplysningene på vegne av den behandlingsansvarlige.
Forstå behandlingen:
Før du inngår en databehandleravtale, må du ha en klar forståelse av hvilke personopplysninger som skal behandles, for hvilket formål, hvor lenge og hvordan behandlingen skal foregå.
Dokumenter instruksjonene:
Behandlingsansvarlig må gi klare og dokumenterte instrukser til databehandleren om hvordan personopplysningene skal behandles. Disse instruksjonene bør være spesifikke og omfatte alle relevante aspekter ved behandlingen.
Vurder risikoen:
Både behandlingsansvarlig og databehandler må vurdere risikoen knyttet til behandlingen av personopplysninger for de registrerte. Dette vil påvirke kravene til sikkerhetstiltak.
Velg en pålitelig databehandler: Behandlingsansvarlig har plikt til å velge en databehandler som gir tilstrekkelige garantier for at de vil gjennomføre passende tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller kravene i GDPR og sikrer de registrertes rettigheter.
Skriftlighet er påkrevd:
Databehandleravtalen skal alltid være skriftlig, inkludert i elektronisk form
Har du spørsmål eller utfordringer knyttet til GDPR? Ta gjerne kontakt for en uforpliktende samtale.
Personvern handler grunnleggende sett om å verne enkeltpersoners rett til å bestemme over egne personopplysninger, og dette innebærer å sikre at informasjon om oss ikke samles inn, brukes eller spres uten at vi har en viss grad av kontroll. Det er viktig å forstå at personvern ikke bare er en juridisk forpliktelse, men også en integrert del av god virksomhetsstyring. Dette skyldes at personvernregelverket, som spesielt EUs personvernforordning (GDPR) og den norske personopplysningsloven, stiller strenge krav til hvordan virksomheter skal behandle personopplysninger. Disse kravene må overholdes for å unngå betydelige økonomiske sanksjoner og andre negative konsekvenser.
Manglende overholdelse av personvernreglene kan medføre betydelige økonomiske tap, skade virksomhetens omdømme og erodere tilliten hos kunder og samarbeidspartnere. Derfor er det avgjørende at virksomheter ser på personvern som en viktig del av sin risikostyring. Ved å implementere effektive internkontrolltiltak for personvern, kan virksomheter redusere risikoen for datainnbrudd, misbruk av informasjon og andre sikkerhetshendelser som kan kompromittere personopplysninger.
I tillegg til de juridiske og risikobaserte argumentene, er det også etiske og omdømmemessige aspekter ved personvern. Respekt for personvern er en grunnleggende etisk verdi, og virksomheter som demonstrerer at de tar personvern på alvor, bygger tillit hos sine interessenter. Dette kan være en viktig konkurransefordel i dagens marked, hvor forbrukere er stadig mer bevisste på hvordan deres data blir behandlet.
Informasjonssikkerhet er en annen viktig komponent i personvern. For å beskytte personopplysninger, må virksomheter iverksette tiltak for å sikre konfidensialitet, integritet og tilgjengelighet for disse opplysningene. Dette omfatter tiltak som kryptering, tilgangskontroll og sikkerhetskopiering, som bør være integrert i virksomhetens internkontrollsystem.
Kort sagt, personvern er ikke bare et spørsmål om å følge lover og regler, men en integrert del av god virksomhetsstyring. Ved å prioritere personvern kan virksomheter redusere risiko, bygge tillit og oppnå langsiktig suksess.
Samtykke eller rettslig grunnlag
I henhold til det norske personvernregelverket, som er basert på EUs personvernforordning (GDPR) og den norske personopplysningsloven, er samtykke ett av flere mulige rettslige grunnlag for å behandle personopplysninger. Det er altså ikke alltid nødvendig med samtykke.
-informert: Den registrerte må få tilstrekkelig informasjon om behandlingen.
-Utvetydig: Den registrerte må aktivt bekrefte sitt samtykke.
Rettslig grunnlag:
-Behandlingen er nødvendig for å oppfylle en avtale med den registrerte.
-Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse.
-Behandlingen er nødvendig for å beskytte vitale interesser.
-Behandlingen er nødvendig for å utføre en oppgave av allmenn interesse.
-Behandlingen er nødvendig for å ivareta berettigede interesser, og disse interessene veier tyngre enn hensynet til den registrertes personvern.
Personopplysninger
Identifisert person:
Identifiserbar person:
Sensitive personopplysninger
Datatilsynet er den norske tilsynsmyndigheten for personvern, og de har ansvar for å overvåke og håndheve personvernlovgivningen. De har også laget mange gode veiledere om temaet.
Risikovurdering
1.
Identifiser behandlingen:
-Kartlegg hvilke personopplysninger som behandles, hvor de kommer fra, og hvordan de brukes.
-Dokumenter formålet med behandlingen og rettslig grunnlag.
2.
Vurder risiko:
-Identifiser potensielle risikoer for de registrertes rettigheter og friheter.
-Vurder sannsynlighet og konsekvens av hver risiko.
-Spesielt viktig å vurdere risiko forbundet med brudd på konfidensialitet, integritet og tilgjengelighet.
3.
Implementer tiltak:
-Iverksett tiltak for å redusere identifiserte risikoer.
-Tiltak kan være tekniske (f.eks. kryptering) eller organisatoriske (f.eks. opplæring).
4.
Dokumenter og evaluer:
-Dokumenter risikovurderingen og iverksatte tiltak.
-Evaluer risikovurderingen jevnlig og oppdater ved behov.
Viktige punkter:
Behandlingsansvarlig & databehandler
Behandlingsansvarlig:
Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal brukes. Dette betyr at den behandlingsansvarlige har det overordnede ansvaret for å sikre at behandlingen er i samsvar med personvernregelverket.
1.
2.
3.
4.
5.
5.
7.
8.
Databehandler:
Databehandlerens ansvar omfatter blant annet:
1.
Å behandle personopplysninger i henhold til instruksjoner: Databehandleren må følge de instruksjonene som er gitt av den behandlingsansvarlige.
2.
3.
4.
5.
Det er svært viktig å skille mellom disse to rollene, og å regulere deres ansvar gjennom en klar databehandleravtale når det er aktuelt.
Den registrertes rettigheter
1.
Rett til informasjon:
2.
3.
Rett til retting:
4.
Rett til sletting (retten til å bli glemt):
5.
Rett til begrensning av behandling:
6.
Rett til dataportabilitet:
7.
Rett til å protestere:
8.
Rett til ikke å være gjenstand for automatiserte avgjørelser:
Styringsdokumentasjon
1.
Instrukser for innsamling og behandling av personopplysninger:
-Formålsbeskrivelse:
Instrukser som definerer tydelig formålet med innsamlingen og behandlingen av personopplysninger. Dette skal sikre at opplysningene kun brukes til de angitte formålene.
-Rettslig grunnlag:
Instrukser som spesifiserer hvilket rettslig grunnlag som brukes for hver type behandling (samtykke, avtale, lovpålagt plikt, etc.). Dette skal sikre at behandlingen er lovlig.
-Dataminimering:
Instrukser som begrenser innsamlingen av personopplysninger til det som er nødvendig for de angitte formålene. Dette skal hindre innsamling av unødvendige opplysninger.
-Informasjon til de registrerte:
Instrukser for hvordan de registrerte skal informeres om behandlingen av deres personopplysninger (personvernerklæring). Dette skal sikre åpenhet og transparens.
2.
Instrukser for sikkerhet ved behandling:
-Tilgangskontroll:
Instrukser som regulerer hvem som har tilgang til personopplysningene og hvordan tilgangen skal kontrolleres. Dette skal hindre uautorisert tilgang.
-Kryptering:
Instrukser for bruk av kryptering for å beskytte sensitive personopplysninger. Dette skal sikre konfidensialitet.
-Sikkerhetskopiering:
Instrukser for regelmessig sikkerhetskopiering av personopplysninger. Dette skal sikre tilgjengelighet ved eventuelle hendelser.
-Hendelseshåndtering:
Instrukser for hvordan personvernbrudd skal håndteres, inkludert rapportering til Datatilsynet og de registrerte. Dette skal sikre rask og effektiv respons ved brudd.
3.
Instrukser for de registrertes rettigheter:
-Innsyn:
Instrukser for hvordan de registrerte kan få innsyn i sine personopplysninger. Dette skal sikre retten til innsyn.
-Retting og sletting:
Instrukser for hvordan de registrerte kan kreve retting av uriktige opplysninger eller sletting av opplysninger. Dette skal sikre retten til retting og sletting.
-Dataportabilitet:
Instrukser for hvordan de registrerte kan kreve å få overført sine personopplysninger til en annen behandlingsansvarlig. Dette skal sikre retten til dataportabilitet.
4.
Instrukser for databehandlere:
-Databehandleravtale:
Instrukser for innholdet i databehandleravtaler, som regulerer behandlingen av personopplysninger på vegne av den behandlingsansvarlige. Dette skal sikre at databehandleren oppfyller kravene i personvernregelverket.
-Oppfølging av databehandlere:
Instrukser for hvordan den behandlingsansvarlige skal følge opp databehandlerens arbeid. Dette skal sikre at databehandleren overholder avtalen.
5.
Instrukser for risikovurdering og personvernkonsekvensvurdering (DPIA):
-Risikovurdering:
Instrukser for hvordan risikovurderinger skal gjennomføres for å identifisere og redusere risikoer for de registrertes rettigheter.Dette skal sikre en risikobasert tilnærming til personvern.
-DPIA:
Instrukser for når en DPIA skal gjennomføres, og hvordan den skal dokumenteres. Dette skal sikre at personvernkonsekvensene av behandlingen er vurdert.
Det er viktig å merke seg at disse instruksene må tilpasses den enkelte virksomhets spesifikke behov og risikoprofil.
Personopplysningsbehandling & Internkontrollarbeid
1.
Lovpålagte krav:
-Internkontrollforskriften, som gjelder for de fleste virksomheter, krever at virksomheter har systematiske tiltak for å sikre at lover og forskrifter følges. Dette inkluderer personvernregelverket.
2.
Risikobasert tilnærming:
-Internkontroll er et verktøy for å håndtere risiko, og personvernrisikoer må derfor integreres i virksomhetens risikostyringssystem.
3.
Dokumentasjon og ansvarlighet:
4.
Kontinuerlig forbedring:
Hvordan integrere personvern i internkontroll og styringssystem:
Ved å integrere personvernarbeidet i internkontroll og styringssystem, kan virksomheter sikre at de overholder personvernregelverket, og samtidig bygge tillit hos kunder og andre interessenter.
Koplingen mellom Personopplysningsloven og Datasikkerhetsloven
Datasikkerhetsloven:
Koplingen:
Viktige punkter:
Koplingen mellom Personopplysningsloven og Sikkerhetsloven
-Denne loven, som er basert på EUs personvernforordning (GDPR), regulerer behandling av personopplysninger generelt.
-Den har som formål å beskytte enkeltpersoners personvern og stiller krav til blant annet lovlighet, rettferdighet, åpenhet, sikkerhet og de registrertes rettigheter.
Sikkerhetsloven:
-Denne loven har som formål å forebygge, avdekke og motvirke sikkerhetstruende virksomhet som kan skade nasjonale sikkerhetsinteresser.
-Den gir myndighetene hjemmel til å iverksette tiltak for å beskytte skjermingsverdig informasjon, systemer og objekter.
Viktige hensyn:
I tillegg til ovennevnte vil følgende regelverk kunne sette rammer for personopplysningsbehandlingen i din virksomhetsutøvelse avhengig av virskomhetstype mv.;
Personvernerklæring & samtykkeskjema
Personvernerklæring
Denne personvernerklæringen beskriver hvordan [Virksomhetens navn] samler inn, bruker og beskytter dine personopplysninger. Vi er forpliktet til å behandle dine personopplysninger i samsvar med gjeldende personvernregelverk, inkludert personvernforordningen (GDPR) og personopplysningsloven.
12. Samtykke til innhenting og behandling av personopplysninger
Jeg samtykker til at [Virksomhetens navn] samler inn og behandler mine personopplysninger i samsvar med deres personvernerklæring.
Databehandleravtale
og
[Navn på Databehandler], [Organisasjonsnummer], [Adresse] (heretter kalt «Databehandler»)
Dato: [Dato for avtalens inngåelse]
3.2. Databehandler skal sikre at de personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt en lovfestet taushetsplikt.
9.2. [Angi betalingsbetingelser og faktureringsrutiner].
(Underskrifter)
Utarbeidelsen av en databehandleravtale er en viktig forpliktelse i henhold til personvernforordningen (GDPR) artikkel 28. Denne veiledningen gir deg en oversikt over de viktigste vurderingene du må gjøre ved utfylling av malen over.
Generelle Vurderinger:
Forstå behandlingen:
Før du inngår en databehandleravtale, må du ha en klar forståelse av hvilke personopplysninger som skal behandles, for hvilket formål, hvor lenge og hvordan behandlingen skal foregå.
Dokumenter instruksjonene:
Behandlingsansvarlig må gi klare og dokumenterte instrukser til databehandleren om hvordan personopplysningene skal behandles. Disse instruksjonene bør være spesifikke og omfatte alle relevante aspekter ved behandlingen.
Vurder risikoen:
Både behandlingsansvarlig og databehandler må vurdere risikoen knyttet til behandlingen av personopplysninger for de registrerte. Dette vil påvirke kravene til sikkerhetstiltak.
Skriftlighet er påkrevd:
Databehandleravtalen skal alltid være skriftlig, inkludert i elektronisk form
Har du spørsmål eller utfordringer knyttet til GDPR? Ta gjerne kontakt for en uforpliktende samtale.
Senest revidert den 04.12.2025
Svein Roar Holt
Tlf: +47 410 40 853
E.post: srh@internkontrollportalen.no
