Virksomhetsstyring og internkontrollarbeid på en enkel, effektiv, og hensiktsmessig måte!

Relatert styring

→ Virksomhetsstyring → Styringssystem → Internkontroll → Risikostyrt beredskap → Avviksbehandling

Personvern (GDPR) og informasjonssikkerhet

Personvern som en integrert del av styringssystemet
Personvern og behandling av personopplysninger er ikke lenger bare et IT-spørsmål, men et sentralt ledelsesansvar. Etter innføringen av GDPR har kravene til dokumentasjon, internkontroll og risikovurdering blitt betydelig skjerpet. Et velfungerende styringssystem må sikre at virksomheten behandler personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, samtidig som personopplysningssikkerheten ivaretas gjennom tekniske og organisatoriske tiltak.

Etterlevelse av GDPR og Personopplysningsloven

For å sikre etterlevelse kreves det en systematisk tilnærming til hvordan data flyter gjennom organisasjonen. Dette inkluderer:

  • Protokoll over behandlingsaktiviteter: Full oversikt over hvilke personopplysninger som behandles, hvorfor, og med hvilket rettslig grunnlag.
  • Risikovurderinger (DPIA): Vurdering av personvernkonsekvenser ved bruk av ny teknologi eller omfattende behandling av data.
  • Informasjonssikkerhet: Sikre konfidensialitet, integritet og tilgjengelighet gjennom robuste IT-instrukser og tilgangsstyring.
  • Innebygd personvern: Sikre at personvernhensyn ivaretas helt fra planleggingsfasen av nye systemer og prosesser.

Tillit gjennom åpenhet

Godt personvernarbeid handler i stor grad om å bygge tillit hos kunder, ansatte og samarbeidspartnere. En tydelig personvernerklæring og gode rutiner for håndtering av de registrertes rettigheter er avgjørende for virksomhetens omdømme og for å unngå sanksjoner fra Datatilsynet.

Har din virksomhet kontroll på personvernet?

Vi bistår med å implementere nødvendige instrukser som sikrer at personvernet blir en naturlig og operativ del av deres styringssystem.

Kontakt oss om personvern

Personvern er fundamentalt for å verne enkeltindividets rett til kontroll over egne personopplysninger, men i moderne virksomhetsstyring er det også et strategisk og lovpålagt etterlevelseskrav. EUs personvernforordning (GDPR) og den norske personopplysningsloven krever at virksomheter implementerer systematiske tiltak – og det er her Internkontroll kommer inn. Personvernrisikoer, som datainnbrudd, bøter for manglende etterlevelse, og omdømmetap, utgjør en av de største truslene mot virksomhetsverdien. Derfor må personvern ikke behandles som en isolert IT-oppgave, men som en integrert del av virksomhetens risikostyring. Effektiv personvern innebærer å bygge tekniske og organisatoriske kontroller inn i styringssystemet, og dermed sikre at du har den nødvendige dokumentasjonen, riktige Instruksene og den kontinuerlig overvåkingen som kreves for å operere forsvarlig og i samsvar med loven.

Personvern handler grunnleggende sett om å verne enkeltpersoners rett til å bestemme over egne personopplysninger, og dette innebærer å sikre at informasjon om oss ikke samles inn, brukes eller spres uten at vi har en viss grad av kontroll. Det er viktig å forstå at personvern ikke bare er en juridisk forpliktelse, men også en integrert del av god virksomhetsstyring. Dette skyldes at personvernregelverket, som spesielt EUs personvernforordning (GDPR) og den norske personopplysningsloven, stiller strenge krav til hvordan virksomheter skal behandle personopplysninger. Disse kravene må overholdes for å unngå betydelige økonomiske sanksjoner og andre negative konsekvenser.

Manglende overholdelse av personvernreglene kan medføre betydelige økonomiske tap, skade virksomhetens omdømme og erode tilliten hos kunder og samarbeidspartnere. Derfor er det avgjørende at virksomheter ser på personvern som en viktig del av sin risikostyring. Ved å implementere effektive internkontrolltiltak for personvern, kan virksomheter redusere risikoen for datainnbrudd, misbruk av informasjon og andre sikkerhetshendelser som kan kompromittere personopplysninger.

I tillegg til de juridiske og risikobaserte argumentene, er det også etiske og omdømmemessige aspekter ved personvern. Respekt for personvern er en grunnleggende etisk verdi, og virksomheter som demonstrerer at de tar personvern på alvor, bygger tillit hos sine interessenter. Dette kan være en viktig konkurransefordel i dagens marked, hvor forbrukere er stadig mer bevisste på hvordan deres data blir behandlet.

Informasjonssikkerhet er en annen viktig komponent i personvern. For å beskytte personopplysninger, må virksomheter iverksette tiltak for å sikre konfidensialitet, integritet og tilgjengelighet for disse opplysningene. Dette omfatter tiltak som kryptering, tilgangskontroll og sikkerhetskopiering, som bør være integrert i virksomhetens internkontrollsystem.

Kort sagt, personvern er ikke bare et spørsmål om å følge lover og regler, men en integrert del av god virksomhetsstyring. Ved å prioritere personvern kan virksomheter redusere risiko, bygge tillit og oppnå langsiktig suksess.

Samtykke eller rettslig grunnlag

I henhold til det norske personvernregelverket, som er basert på EUs personvernforordning (GDPR) og den norske personopplysningsloven, er samtykke ett av flere mulige rettslige grunnlag for å behandle personopplysninger. Det er altså ikke alltid nødvendig med samtykke.

Her er en oversikt over når samtykke er nødvendig og hvilke andre rettslige grunnlag som finnes:

Samtykke: Samtykke er nødvendig når det ikke finnes et annet rettslig grunnlag for behandlingen. Samtykket må være:
-Frivillig: Den registrerte må ha et reelt valg.
-Spesifikt: Den registrerte må samtykke til et klart definert formål.
-Informert: Den registrerte må få tilstrekkelig informasjon om behandlingen.
-Utvetydig: Den registrerte må aktivt bekrefte sitt samtykke.

Rettslig grunnlag: Som alternativ til samtykke, kan personopplysninger behandles dersom:
-Behandlingen er nødvendig for å oppfylle en avtale med den registrerte.
-Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse.
-Behandlingen er nødvendig for å beskytte vitale interesser.
-Behandlingen er nødvendig for å utføre en oppgave av allmenn interesse.
-Behandlingen er nødvendig for å ivareta berettigede interesser, og disse interessene veier tyngre enn hensynet til den registrertes personvern.

Personopplysninger

Personopplysninger er enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person. Dette er en bred definisjon som dekker et stort spekter av informasjon.

Identifisert person: Dette er en person som direkte kan identifiseres ved hjelp av en opplysning, for eksempel navn, personnummer eller fødselsdato.

Identifiserbar person: Dette er en person som indirekte kan identifiseres ved hjelp av en eller flere opplysninger, for eksempel en kombinasjon av alder, bosted og yrke. Det er viktig å merke seg at selv opplysninger som i seg selv ikke identifiserer en person, kan være personopplysninger dersom de i kombinasjon med andre opplysninger kan brukes til å identifisere en person.

Eksempler på personopplysninger:
-Navn, adresse, telefonnummer, e-postadresse
-Fødselsnummer, personnummer
-Bilder, videoopptak, lydopptak
-IP-adresser, lokaliseringsdata
-Informasjon om atferdsmønstre, som kjøpshistorikk, nettleserhistorikk
-Informasjon om arbeidsforhold, utdanning, økonomi

Det er viktig å merke seg at:
-Personvernregelverket legger stor vekt på å beskytte personopplysninger.
-Virksomheter som behandler personopplysninger, har en plikt til å sikre at behandlingen er lovlig, rettferdig og transparent.
-Definisjonen av personopplysninger er bred, og at selv tilsynelatende uskyldige opplysninger kan være omfattet.

Sensitive personopplysninger

-Rasemessig eller etnisk opprinnelse: Dette omfatter informasjon om en persons hudfarge, nasjonalitet, eller kulturelle bakgrunn.
-Politisk oppfatning: Dette omfatter informasjon om en persons politiske tilhørighet eller meninger.
-Religiøs eller filosofisk overbevisning: Dette omfatter informasjon om en persons religiøse tro eller livssyn.
-Fagforeningsmedlemskap: Dette omfatter informasjon om en persons medlemskap i en fagforening.
-Helseopplysninger: Dette omfatter informasjon om en persons fysiske eller psykiske helse, inkludert medisinske diagnoser, behandlinger, og funksjonshemninger.
-Seksuelle forhold eller seksuell legning: Dette omfatter informasjon om en persons seksuelle orientering eller seksuelle adferd.
-Genetiske opplysninger: Dette omfatter informasjon om en persons arvelige egenskaper.
-Biometriske opplysninger: Dette omfatter informasjon om en persons fysiske kjennetegn, som fingeravtrykk eller ansiktsgjenkjenning, når disse brukes til å identifisere en person.
-I tillegg regnes opplysninger om straffedommer og lovovertredelser som tilsvarende sensitive.

Det er viktig å merke seg at behandling av sensitive personopplysninger er i utgangspunktet forbudt, med mindre det foreligger et særskilt rettslig grunnlag. Dette kan for eksempel være samtykke, rettslig forpliktelse, vitale interesser eller viktige allmenne interesser.

Datatilsynet er den norske tilsynsmyndigheten for personvern, og de har ansvar for å overvåke og håndheve personvernlovgivningen. De har også laget mange gode veiledere om temaet.

Risikovurdering

For å risikovurdere personopplysningsbehandling i egen virksomhet kan du følge disse trinnene:

1. Identifiser behandlingen:
-Kartlegg hvilke personopplysninger som behandles, hvor de kommer fra, og hvordan de brukes.
-Dokumenter formålet med behandlingen og rettslig grunnlag.

2. Vurder risiko:
-Identifiser potensielle risikoer for de registrertes rettigheter og friheter.
-Vurder sannsynlighet og konsekvens av hver risiko.
-Spesielt viktig å vurdere risiko forbundet med brudd på konfidensialitet, integritet og tilgjengelighet.

3. Implementer tiltak:
-Iverksett tiltak for å redusere identifiserte risikoer.
-Tiltak kan være tekniske (f.eks. kryptering) eller organisatoriske (f.eks. opplæring).

4. Dokumenter og evaluer:
-Dokumenter risikovurderingen og iverksatte tiltak.
-Evaluer risikovurderingen jevnlig og oppdater ved behov.

Viktige punkter:
-Risikovurderingen skal være proporsjonal med risikoen.
-Involver relevant personell i prosessen.
-Datatilsynet har veiledere og ressurser.

Behandlingsansvarlig & databehandler

I henhold til personvernforordningen (GDPR) og norsk personopplysningslov, er det viktig å skille mellom rollene som behandlingsansvarlig og databehandler. Disse rollene har ulike ansvarsområder i behandlingen av personopplysninger.

Behandlingsansvarlig: Den som bestemmer formålet med behandlingen og hvilke midler som skal brukes. Har det overordnede ansvaret for etterlevelse.
Ansvar inkluderer: Å fastsette formål, velge rettslig grunnlag, sikre personvernprinsippene, ivareta de registrertes rettigheter, velge databehandler, inngå databehandleravtale, melde fra om brudd og gjennomføre risikovurderinger (DPIA).

Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige. Handler etter instruks.
Ansvar inkluderer: Å behandle opplysninger i henhold til instrukser, sikre konfidensialitet og sikkerhet, bistå behandlingsansvarlig, melde fra om brudd og følge databehandleravtalen.

Det er svært viktig å skille mellom disse to rollene, og å regulere deres ansvar gjennom en klar databehandleravtale når det er aktuelt.

Den registrertes rettigheter

Den registrerte har etter regelverket en rekke rettigheter for å kunne sikre kontroll over egne personopplysninger:

1. Rett til informasjon: Klart og tydelig om hvordan data behandles.
2. Rett til innsyn: Få bekreftet behandling og se egne opplysninger.
3. Rett til retting: Kreve at uriktige data korrigeres.
4. Rett til sletting (å bli glemt): Kreve sletting når data ikke lenger er nødvendig.
5. Rett til begrensning: Kreve at behandlingen begrenses i visse tilfeller.
6. Rett til dataportabilitet: Motta data i maskinlesbart format.
7. Rett til å protestere: Motsette seg uønsket behandling (f.eks. markedsføring).
8. Automatiserte avgjørelser: Rett til ikke å bli gjenstand for beslutninger utelukkende basert på automatisering.

Styringsdokumentasjon

For å imøtekomme personvernregelverket, må virksomheter etablere en rekke instrukser og rutiner. Her er de viktigste:

1. Instrukser for innsamling og behandling: Inkluderer formålsbeskrivelse, rettslig grunnlag, dataminimering og informasjon til de registrerte.

2. Instrukser for sikkerhet ved behandling: Inkluderer tilgangskontroll, kryptering, sikkerhetskopiering og hendelseshåndtering.

3. Instrukser for de registrertes rettigheter: Rutiner for innsyn, retting, sletting og dataportabilitet.

4. Instrukser for databehandlere: Rutiner for databehandleravtale og oppfølging av leverandører.

5. Instrukser for risikovurdering og DPIA: Hvordan og når vurderinger skal gjennomføres og dokumenteres.

Personopplysningsbehandling & Internkontrollarbeid

Personopplysningsarbeidet står sentralt i enhver virksomhets internkontrollarbeid og styringssystem. Dette er et krav som følger av GDPR artikkel 24 (organisatoriske tiltak) og Internkontrollforskriften.

Risikobasert tilnærming: Personvernrisikoer må integreres i virksomhetens risikostyringssystem.
Dokumentasjon og ansvarlighet: Sikre at ansvar er tydelig plassert og at nødvendig dokumentasjon er tilgjengelig.
Kontinuerlig forbedring: Personvern må evalueres og forbedres jevnlig som en del av den faste styringssyklusen.

Koplingen mellom Personopplysningsloven og Datasikkerhetsloven

Datasikkerhet er en forutsetning for å oppfylle kravene i personopplysningsloven. Den nye loven om digital sikkerhet (som implementerer NIS1 og NIS2) stiller strengere krav til risikovurdering og hendelseshåndtering for samfunnskritiske tjenester. En virksomhet som ikke har tilstrekkelig datasikkerhet, vil dermed kunne bryte begge lovverkene.

Koplingen mellom Personopplysningsloven og Sikkerhetsloven

Sikkerhetsloven ivaretar nasjonale sikkerhetsinteresser. I visse situasjoner må hensynet til personvern balanseres mot nasjonal sikkerhet. Unntak fra personopplysningsloven må være begrunnet i legitime sikkerhetsbehov og være proporsjonale. Nasjonal sikkerhetsmyndighet (NSM) spiller her en viktig rolle i veiledning og kontroll.

Øvrig regelverk

Følgende regelverk kan også sette rammer for personopplysningsbehandlingen: Arbeidsmiljøloven, Forvaltningsloven, Arkivloven, Politiregisterloven, Strafferegisterloven, Opplæringsloven, Universitets- og høyskoleloven, Helsepersonelloven, Pasientjournalloven og Helseregisterloven.

Personvernerklæring & samtykkeskjema

Dette er eksempler som må tilpasses virksomheten. Det anbefales juridisk rådgivning for å sikre samsvar.

Personvernerklæring: Beskrivelse av innsamling, formål, rettslig grunnlag, lagringstid og rettigheter.

Databehandleravtale: Regulering av forholdet mellom behandlingsansvarlig og databehandler i henhold til GDPR artikkel 28.

Har du spørsmål eller utfordringer knyttet til GDPR? Ta gjerne kontakt for en uforpliktende samtale.

Kontakt oss i dag

Senest revidert den 04.12.2025

Svein Roar Holt
Tlf: +47 410 40 853
E.post: srh@internkontrollportalen.no

Personvern er fundamentalt for å verne enkeltindividets rett til kontroll over egne personopplysninger_skisse