GDPR – personvern i folkebiblioteka

Forrige Leksjon

Avvik, innebygd personvern og internkontroll

GDPR – personvern i folkebiblioteka Avvik, innebygd personvern og internkontroll

Leksjonen inneheld nedlastbart arbeidsark (pdf)

Formål, grunnlag og risiko (Ill.: Rakhshan Abbasi)

Avvik

  • Sørg for at du veit kommunen sine rutiner og system for avvik. Då er du klar når uhellet er ute.
  • Avvik skal meldast straks. Vit kven du skal melda til.
  • Frist for å melda til Datatilsynet er 72 timar
  • Ta kontakt med dei som er berørt (den registrerte, databehandlaren, samarbeidspartnaren)

Dersom ein ikkje har avvik når det gjeld behandling av personopplysingar, er det sjølvsagt bra, men i dei fleste organisasjonar skjer det avvik. Det er berre det at dei ikkje blir melde inn. Det kan vera mange grunnar til det. Ein er redd for at det får konsekvensar for den som gjer feil, det er travelt når det skjer, det er eit tungvint system for avviksmeldingar eller den einskilde medarbeidaren manglar kunnskap om kva som er avvik.

Tvert imot kan ein tenka seg at ein organisasjon som rapporterer mange avvik, er ein som har orden i eige hus og som er opptatt av personvern. Alle avvik skal meldast i et system og etter rutinar som kommunen har bestemt. Hovudregelen er at avvik som gjeld personopplysingar skal meldast vidare til Datatilsynet, og då innan 72 timar etter at avviket skjedde. I praksis er det berre alvorlege avvik som blir melde inn. Ansvaret for å melda inn avvik til datatilsynet, ligg hos leiinga i kommunen. Men den korte tida ein har på seg før fristen går ut, gjer at du bør senda melding direkte til den ansvarlege (og personvernombod) i tillegg til at du legg avviket inn i systemet.

Det blir i tillegg ofte kravd at du skal leggja inn forslag til tiltak slik at dette avviket ikkje skjer fleire gonger. Det kan vera litt vanskeleg å komma på tiltak der og då, så eg vil råda dykk til å fyrst melda avviket så snart som råd og så leggja til tiltak etterpå.

Etter at avviket har skjedd, er det viktig å sjekka rutinar og system som er ramma og sørga for at nye tryggingstiltak blir sette i verk og at dokumentasjonen blir oppdatert. Dersom databehandlar er involvert, er det lurt å ha ein ny runde der ein går gjennom deira tryggingstiltak. Sjå meir nedanfor om internkontroll.

Eksempel på avvik (slett ikkje utfyllande)

  • Uvedkommande får tak i personopplysingar
  • Personopplysingar er komme på avveg slik at uvedkommande kan få tilgang
  • SkrankePC er forlatt utan at han er stengd ned
  • Papirdokument med personopplysingar er kasta utan at dei har blitt arkivert
  • Databehandlar blir hacket eller utsett for ransomware
  • Tilsette som har slutta, har framleis tilgang til ulike system
  • System er nede p.g.a. feil og ein har ikkje tilgang til personopplysingane
  • Tilsette som skulle hatt tilgang til personopplysingar for å gjera oppgåvene sine, har ikkje denne tilgangen

Innebygd personvern

Kravet til innebygd personvern inkluderer å implementere tilstrekkelige tekniske og organisatoriske tiltak, samt nødvendige garantier i behandlingen for å sikre at personvernprinsippene og de registrertes rettigheter og friheter ivaretas på en effektiv måte i behandlingen. Kjelde: Datatilsynet

Er du ferdig med all dokumentasjon for alle behandlingane du har i eit bibliotek, har du lagt et godt grunnlag. Men for å kunna seia at du har innebygd personvern for biblioteket, må du i tillegg gå gjennom dokumentasjon og rutiner minst ein gong i året og elles om det er nødvendig. Her skisserer eg nokre av stega på vegen mot innebygd personvern, men du vil sjå meir i siste del av denne leksjonen om internkontroll:

  • Ta utgangspunkt i behandlingane du har identifisert. For kvar behandling (system/rutine) går du gjennom dei 7 prinsippa for personvern
  • Ta utgangspunkt i dei same behandlingane. For kvar behandling går du gjennom den registrerte sine rettar
  • Sjekk for feil eller uheldige rutinar
  • Rett opp feila
  • Dokumenter arbeidet etter kommunen sin mal

Internkontroll

Formålet med internkontrollen er:

  1. bedre ivaretakelse av de registrertes rettigheter
  2. bedre informasjonssikkerhet, informasjonskvalitet og effektiviseringsgevinst
  3. system for kvalitetssikring av at offentlig regelverk følges
  4. forsvarlig drift innenfor lovverket
  5. fastsatte rutiner og instrukser som bidrar til at ledelsen sikrer at de ansatte arbeider i samsvar med virksomhetens mål og policy
  6. at avvik blir oppdaget og håndtert
  7. reduksjon i sjansen for alvorlige feil som skyldes manglende oppfølging av lovverket

Internkontroll gjer deg trygg på at du har «orden i eige hus». Å ha ein systematisk internkontroll er ein føresetnad for at du skal kunna seia at du har innebygd personvern eller personvern som standard. Internkontrollen skal gjerast jamnleg og nye vurderingar skal alltid gjerast etter avvik. I tillegg skal ein ha ein ny gjennomgang dersom det er endringar i system eller rutinar som påverkar behandlinga av personopplysingar. Jamfør med gjennomgangen av Sommarles våren 2023. Databehandlar er pliktig til å melda frå om endringar som påverkar personvernet, men ver likevel merksam på at uforutsette ting kan skje når systemleverandøren gjer oppdateringar. Det er ikkje alltid at databehandlaren sjølv skjønar at endringar dei gjer, vil ha ein slik innverknad. Be om dokumentasjon på endringane slik at du kan endra dokumenta dine (behandlingsprotokoll/DPIA).

Illustraisjon. 3 personar rundt eit bord
Ill.: Rakhshan Abbasi

Etterlys gjerne kommunen sine retningsliner for internkontroll dersom du ikkje kjenner til dei. Avtal gjerne halvårleg gjennomgang med personvernombod eller andre i kommunen som kan bistå.

Når skal ein ha internkontroll?

  • Ved avvik (små eller store)
  • Endring av rutinar
  • Endring av programvare
  • Endring av vilkår hos databehandlar
  • Ved revidering av dokument som lånereglement, personvernerklæring, kontrakt for meirope
  • Kvart halvår uansett om det har vore endringar eller ikkje.

Korleis gjennomføre ein internkontroll

I forslaget her, tar eg utgangspunkt i Demings sirkel (se lenke under)

https://www.helsebiblioteket.no/innhold/artikler/kvalitetsforbedring/kvalitetsforbedring/oversikt-over-metoder-og-verktoy/overordnede-metoder/modell-for-kvalitetsforbedring

Førebu

  • Har det vore avvik?
  • Har det vore avvik som ikkje er melde inn?
  • Har det vore spørsmål/klager frå brukarane?
  • Har biblioteket tatt i bruk nye tekniske løysingar/ny programvare?
  • Har det vore lovendringar eller avgjersler i rettvesenet som har innverknad på biblioteket si behandling av personopplysingar? Jfr. informasjonskapslar/cookies
  • Er det nokre behandlingar som ikkje er dokumentert i behandlingsprotokollen?
  • Har du databehandlaravtale med alle leverandører av tenester og teknisk utstyr som inneber handsaming av personopplysingar?

Planleggja

  • Ta utgangspunkt i behandlingsprotokollen og innførslane som gjeld bibliotek. For kvar behandling (system/rutine) går du gjennom dei 7 prinsippa for personvern
    • Lovleg, rettferdig og gjennomsiktig
    • Avgrensa formål
    • Dataminimering
    • Riktige opplysingar
    • Avgrensa lagringstid
    • Integritet og konfidensialitet
    • Ansvarlig handsaming
  • Ta utgangspunkt i dei same behandlingane. For kvar behandling går du gjennom den registrerte sine rettar (Er den registrerte sine rettar tatt vare på når det gjeld lovleg, rettferdig og gjennomsiktig? Er den registrerte sine rettar tatt vare på når det gjeld å avgrensa formålet? O.s.b.
    • Rett til innsyn
    • Rett til sletting
    • Avgrensing
    • Rett til å protestera
    • Dataportabilitet
    • Rett til informasjon
  • Sjekk for feil eller uheldige rutinar
  • Plukk ut nokre behandlingar som skaper engasjement hos dei tilsette og lag ei lita idé-utveksling: (Døma under skulle ta ca. 15 min. kvar)
    • Døme I: MEIROPE – Kva er rutinane dersom det er tjuveri i biblioteket? Kven skal sjå videoopptak? Skal opptak leverast politiet dersom ein melder saka? Er dette kjent for brukarane/for dei tilsette? Kan informasjon frå alarmportane koplast saman med innloggingsinformasjon får meirope-systemet? Kva inneber det for brukaren?
    • Døme II: SKRANKE – Kva er risikoen dersom ein går frå PC-en utan å låse?
    • Døme III: PERSONVERNERKLÆRINGA – Les gjennom og sjå etter feil, uforståelege eller tunge setningar, overdrivne tekniske forklaringer, noko som manglar…

Utføra

  • Lag ein handlingsplan for det de kom fram til i idé-dugnaden
  • Rett opp feil i dokumenta
  • Lag nye rutinar
  • Gjer endringane kjende for alle medarbeidarar

Evaluera

  • Er handlingsplanen i rute?
  • Er dokumenta retta opp?
  • Følgjer alle medarbeidarar dei nye rutinane?
  • Er endringane som er gjort, nok?

Følgja opp

  • Er det noko frå evalueringa, eller frå fasar tidlegare i prosessen, som det ikkje er gjort noko med?

Forrige Leksjon
Tilbake til Kurs