Slik beskytter du personopplysninger under en krise

Av Gullik Gundersen 31. okt. 2017

P9270085.jpgEr det forskjell på hvordan vi håndterer personopplysninger i daglig drift og under en krise? Lovens klare svar på dette spørsmålet er, nei. Vi er ikke unntatt personopplysningsloven selv om vi rammes av en uforutsett hendelse. Allikevel syndes det antageligvis grovt i norske virksomheter på dette området.

Jeg velger å tro at det skyldes dårlige forberedelser, ikke at man bevisst unnlater å ivareta folks personlige informasjon. I dette blogginnlegget viser jeg hvordan du kan jobbe strukturert med personvern i forkant av en uforutsett hendelse slik at du slipper å gjøre det under og i etterkant av en krise.

Les mer: Krisehåndtering: Full kontroll på kortest mulig tid

Hva er personvern?

Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Enhver opplysning eller vurdering som kan knyttes opp mot en bestemt person er en personopplysning og må behandles deretter. Enhver lagring, bruk og deling av disse opplysningene defineres som en behandling.

Vi må være svært forsiktige og nøyaktige ved deling av slike opplysninger. Til og med deling med politiet krever et behandlingsgrunnlag. Dette er allment og gjelder altså uavhengig av om du har opplysningene i et elektronisk system eller i en folder.

Struktur er hjertet i godt personvernsarbeid

Det er viktig å utvikle interne prosesser for innhenting og håndtering av personopplysninger før en uønsket hendelse inntreffer. I praksis kan det være en tabell som tar for seg personopplysningens art, formålet for innhenting og hvilket grunnlag man har i loven for å behandle slike opplysninger. Det kan for eksempel se slik ut:

personvern-747603-edited.png

Sørg for at informasjonen du kategoriserer er spesifikk og nyttig. Det må kunne brukes til noe. Presis og utfyllende dokumentasjon er viktig. Man har i de aller fleste tilfeller hatt en tanke bak arbeidet, men slikt er svært vanskelig å dokumentere i ettertid.

Det er ikke så viktig for datatilsynet hvordan man velger å lagre informasjonen, så lenge det lagres sikkert. Mer informasjon om dette kan du finne på våre nettsider.

Les mer: Informasjonssikkerhet: Det digitale trusselbildet i bedriftsmarkedet

De tre bud for godt personvern i krisehåndtering

Jeg har tre budskap for godt personvernsarbeid:

  1. Personvern er et ledelsesansvar
    Det er ledelsen som står ansvarlig for at virksomheten følger loven.
  2. Få personvern inn i eksisterende styringssystemer
    Mange virksomheter jobber i siloer, spesielt når det kommer til håndtering av lovverk, men godt personvernsarbeid avhenger av samhandling mellom roller.
  3. Inkluder personvernombudet i beredskapsarbeidet
    En slik rolle er i dag en frivillig ordning, men blir en plikt for alle offentlige virksomheter etter nyttår. Personvernombudet tar med seg andre perspektiver som er viktig i sikkerhet- og beredskapsplanlegging.
Les mer: K-U-L-T-U-R for sikkerhet og beredskap

Husk i tillegg:

Hva skjer etter krisen?

I utgangspunktet skal man informere i forkant når man innhenter personopplysninger, men havner man i en situasjon hvor dette ikke er mulig, må man ha prosesser på plass som sikrer det nødvendige arbeidet etterpå.

Personopplysninger skal slettes når det ikke lenger er bruk for dem. Man bør i tillegg opprette en prosess for å gå gjennom opplysninger etter at de har blitt registrert. I en kaotisk situasjon er det svært sannsynlig at man registrerer feil, og dette må rettes opp.

I utgangspunktet er det ikke noe i veien for å dele informasjon. Faktisk er det meget viktig å utveksle informasjon mellom etater for å få et godt situasjonsbilde. Men vi må alltid vurdere hvilken lovhjemmel vi har for å dele denne informasjonen.

 

New Call-to-action 

Temaer: Krisehåndtering, personvern


Gullik Gundersen's photo

Av: Gullik Gundersen

Gullik jobber som juridisk rådgiver i datatilsynet. Han er utdannet jurist og er visepresident i Norges judoforbund.

Epost

Kommentarer

Søk i bloggen

One Voice AS

One Voice er en teknologibedrift, etablert i 2006, med hovedkontor i Trondheim. Vi leverer programvareløsninger innen blant annet risiko- og sårbarhetsanalyser, beredskapsplanlegging og hendelse- og krisehåndtering. Vårt hovedprodukt CIM® er verdensledende innen krisehåndtering, og omtales som det nasjonale beredskapssystemet.

Besøk onevoice.no

New Call-to-action

Siste innlegg