Innebygd personvern er et sentralt krav i personopplysningsloven. Vi tenker da gjerne at teknologien skal løse dette for oss, men hva med oss mennesker som bruker systemene?
I alle utviklingsfaser av informasjonssystemer er innebygd personvern noe som må følges. Personvernprinsippene skal legges til grunn for alt vi gjør, og det er flere ting vi må huske på:
- Det må være rettslig grunnlag for planlagt behandling av personopplysningene.
- Formålet med behandlingen skal kunne identifiseres og beskrives.
- Personopplysninger man ikke har behov for skal heller ikke samles inn.
- Dataene skal være korrekte og eventuelt feilregistrert informasjon skal kunne slettes.
- Når formålet med personopplysningene er opphørt skal dataene slettes.
- Alle virksomheter må vise ansvar, dokumentere at man etterlever personvernforordningen.
- Sist, men ikke minst, den behandlingsansvarlige må sørge for å iverksette tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger.
Det er viktig å kjenne til disse personvernprinsippene når informasjonssystemer skal utvikles. Man må være i forkant, tenke gjennom alle stegene, og sørge for at personopplysningene blir ivaretatt på en sikker og god måte. Datatilsynet har utviklet gode veiledere til hjelp for programvarehus og andre som utvikler software.
Alle har ansvar for å sikre personvern
Vi kommer ikke utenom at det er en rekke ting vi mennesker må gjøre og vite for å sikre at personvernet ivaretas. Det gjelder både når vi opptrer som privatpersoner og som arbeidstaker. Innholdet i personvernprinsippene er noe vi alle burde kjenne til og ha et eierforhold til. Bevisstgjøring om hva prinsippene betyr i vår hverdag vil kunne gjøre en forskjell for oss selv og menneskene rundt oss.
Hvordan man ivaretar personvernet til hver enkelt ansatt i virksomheten vil ha betydning for virksomhetens omdømme. Dette samme gjelder behandling av kunder og innbyggere i både privat og offentlig sektor.
Offentlig sektor er også pliktet til å følge offentlighetslovens bestemmelser om åpenhet. All data er som hovedregel offentlige, med mindre det fremgår lovhjemmel for å holde informasjonen unntatt offentlighet. I tillegg skal krav til arkivering og bevaring etterleves. På toppen av det hele forventes det at tjenestene leveres raskt og effektivt og med høy kvalitet.
Les mer: 5 tips for å løfte personvernet!
Viktigheten av et godt internkontrollsystem
Et godt internkontrollsystem er blant svarene vi ser for å kunne klare å holde orden på alle krav, prosedyrer og rutiner. Et godt internkontrollsystem sikrer at vi behandler personopplysninger på en god måte og i samsvar med regelverket. Samtidig er det vesentlig å ha oversikt over hvilke data man faktisk forvalter. Arkivverket skriver følgende i en nettartikkel:
Informasjonsforvaltning og dokumentasjonsforvaltning er to sider av samme sak. Det handler om å ha kontroll på dataene virksomheten forvalter, slik at virksomhetene er i stand til å gjennomføre sine oppgaver effektivt. Offentlig sektor skal kunne etterprøves, og rettssikkerheten til innbyggere og organisasjoner skal i varetas – både under saksbehandlingen og i fremtiden.
(Kilde: Arkivverket)
Arkivverket har i senere tid innført et nytt begrep, eller prinsipp om du vil, «Innebygd arkivering». Vi forstår dette prinsippet dithen at lovligheten knyttet til arkivering og bevaring bør skje på en slik måte at saksbehandler i virksomheten kan holde fokus på kjerneprosessene i arbeidet, mens arkiveringsprosessen skjer i bakhånd. Arkivaren skal samtidig kunne utføre sine arbeidsoppgaver effektivt og beholde nødvendig kontroll over disse prosessene.
Saksbehandler i sentrum
Av saksbehandlers kjerneoppgaver vil alltid ansvaret for personvern være tilstede når det kommuniseres og behandlingen involverer mennesker. Saksbehandler har også ansvar for å vurdere hvorvidt informasjonen de behandler er offentlig eller ei. Det er ikke en oppgave som kan overlates til arkivet fullt og helt, men oppgaven kan utføres med god støtte fra systemet. Å la maskinen hjelpe til med å avdekke om innholdet har personinformasjon i seg vil være en nyttig og god måte for virksomheten å ta i bruk maskinlæring og kunstig intelligens på. Det vil fortsatt være saksbehandler som kontrollerer, men maskinen gir nødvendig støtte.
Innhold som er unntatt offentlighet skal skjermes før publisering. Et sentralt tiltak for å både sikre personvern og samtidig sørge for åpenhet, er mulighetene som ligger i sladding av innhold før publisering. Personinformasjon og informasjon som ikke er tillatt å publisere på nett fordi sammenstillingen av informasjon kan misbrukes, kan sladdes bort før dokumentene tilgjengeliggjøres på www.einnsyn.no eller virksomhetens publiseringsløsning.
På denne måten kan vi fortsatt være et åpent samfunn, og samtidig være trygge på at personsensitiv data ikke kommer på avveie.
