Avvik

Publisert 6. oktober 2022. Skrevet av Petter Berg

Det er nå andre uke i Nasjonal sikkerhetsmåned, og vi fortsetter med et nytt tema, «Avvik»

I denne artikkelen kan du lese om noen av overskriftene som ble snakket om i Dig. lunsj 10. oktober. Se opptak her:

Du kan se de andre temaene vi skal igjennom i årets sikkerhetsmåned, på vår samleside: https://www.hedmark-ikt.no/nsm/

Hva er «avvik»?

Illustrasjon av Petter Berg – Midjourney

Avvik er et tema som i stor grad dreier seg om lovverk. Vi kan se på et avvik som en beskjed til ledelsen, om at noe kan/må forbedres. Uten regler om avvik, har ikke organisasjonen kontroll på sitt eget kvalitetsarbeid.  

Mange organisasjoner har rutiner og er godt kjent med avviksregistrering av faglig karakter, men hvor flinke er vi til å håndtere avvik innen databehandling?  

Behandlingsansvarlig, som ofte er ledelsen i en organisasjon, har en plikt til å melde fra til Datatilsynet så fort som mulig, ved brudd på personopplysningssikkerhet (ref. artikkel 33 og 34, Personopplysningsloven).  

Personopplysningsloven inneholder noen personvernprinsipper som alle virksomheter må følge. Ett av prinsippene er ansvarlighet. Dette prinsippet går ut på at virksomheten skal ha full oversikt over sin behandling av personopplysninger og iverksette tekniske og organisatoriske tiltak som gjør at loven følges. Dette betyr at hver enkelt virksomhet må gjøre mange viktige vurderinger på egen hånd – før de samler inn og bruker personopplysninger. 

Virksomheten har også ansvar for å dokumentere at de følger loven. Brudd på reglene kan føre til sanksjoner, for eksempel advarsler, irettesettelser, forbud og pålegg.

Kilde: datatilsynet.no 

Personopplysningsloven inneholder både rettigheter og plikter, og disse bygger på noen prinsipper. Datatilsynet har satt opp en kort oppsummering av disse prinsippene, som vi gjengir her: 

Prinsipper:

At behandlingen av personopplysninger må være lovlig innebærer først og fremst at det må finnes et rettslig grunnlag for en planlagt behandling av personopplysningerPersonvernforordningen har en liste over rettslige grunnlag og minst ett av disse må være oppfylt for at behandlingen skal være lovlig. Prinsippet om lovlighet kan også sies å inkludere alle de øvrige prinsippene og reglene for behandling av personopplysninger som en behandlingsansvarlig må oppfylle.

At behandlingen av personopplysninger må skje rettferdig betyr at den skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal være forståelig for de registrerte og ikke foregå på skjulte eller manipulerende måter. Gjennomsiktig betyr i denne sammenheng at bruken av personopplysninger skal være oversiktlig og forutsigbar for den opplysningene gjelder. Gjennomsiktighet bidrar til å skape tillit og det setter enkeltpersonen i stand til å bruke sine rettigheter og ivareta sine interesser.

Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det betyr at ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer. Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet.

Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn.

Personopplysninger som behandles skal være korrekte, og skal om nødvendig oppdateres. Dette betyr at den behandlingsansvarlige må sørge for å straks slette eller rette personopplysninger som er uriktige ut i fra de formålene de er samlet inn for.

Prinsippet om lagringsbegrensning innebærer at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for.

Personopplysninger skal behandles slik at opplysningenes integritetkonfidensialitet og tilgjengelighet beskyttes. Dette betyr at den behandlingsansvarlige må sørge for å iverksette tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger.

Prinsippet om ansvarlighet understreker ansvaret for å opptre i samsvar med reglene for behandling av personopplysninger. Dette ansvaret ligger på alle virksomheter som behandler personopplysninger.  Det er ikke nok å bare ha ansvar – man må vise at man tar ansvar. Det betyr at virksomheten må kunne dokumentere at den har gjennomført tiltak for å etterleve personvernforordningen. Virksomheten må opptre proaktivt og etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid.

Du finner en utfyllende veiledning til prinsippene på Datatilsynets nettside: https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/grunnleggende-personvernprinsipper/ 

Viktige spørsmål

Illustrasjon av Petter Berg – Midjourney

Nå som vi er kjent med ansvaret, kan vi stille oss en rekke spørsmål: 

  • Hvor kan jeg, og hvor kan jeg ikke lagre personopplysninger? 
  • Hvor skal møtereferater lagres? 
  • Hva er greit å skrive av personopplysninger i en teams-chat? 
  • Hvor kan vi oppbevare originaldokumenter?  
  • Hvor registrerer jeg avvik, og hvordan kan jeg være sikker på at det faktisk er et avvik? 

Dette er noen av spørsmålene som man bør reflektere over på egen arbeidsplass. Hvis du er usikker på, eller ikke kan svare på disse, er det viktig at man tar opp dette med nærmeste leder.  

Som nevnt innledningsvis, eksisterer avvikssystemet for at organisasjonen skal opprettholde kvalitet og kontroll over egne tjenester.  

Har du spørsmål rundt dette temaet, kan du kontakte din IKT-kontakt, eller sikkerhetsansvarlig i din organisasjon. 

Å melde avvik er en bra ting!

Illustrasjon av Petter Berg – Midjourney

Avvik i seg selv kan være ille, men det å melde fra om avviket er en bra ting. Er det noe du skal ta med deg videre etter at du har lest denne artikkelen, er det at du ikke skal være redd for å melde fra om avvik, og at ved å gjøre det, bidrar du til bedre kvalitet på tjenestene.

Materiell

Ønsker du å skape litt mer engasjement og forståelse for dette tema på arbeidsplassen? Bruk gjerne disse bildene:

Format: 1:1

Illustrasjon av Petter Berg – Midjourney

Format: 2:1

Illustrasjon av Petter Berg – Midjourney
Hedmark IKT