Styring av personvern i praksis
Da EUs personvernforordning GDPR trådte i kraft i 2018, ble håndtering av personopplysninger for alvor satt på dagsordenen i virksomheter over hele Europa og langt utover EUs grenser. Forordningen styrket den enkeltes rettigheter til egne personopplysninger og påla virksomheter et tydelig ansvar for å beskytte disse rettighetene på en lovlig og strukturert måte.
Likevel er konsistent beskyttelse av personopplysninger fortsatt en utfordring for mange. En nylig Espresso Survey fra DNV viser at modenheten innen styring av personvern bare har økt marginalt siden en tilsvarende undersøkelse i 2019. Da GDPR ble innført for fire år siden, slet mange virksomheter med å sikre etterlevelse. For mange ser dette fortsatt ut til å være hovedfokuset. En tilnærming til personvern som utelukkende er juridisk forankret, kan imidlertid være begrensende og lite bærekraftig over tid.
Mennesker er den største risikofaktoren
Undersøkelsen viser at virksomhetene vurderer menneskelig svikt som den største risikokilden innen personvern (44,5 %). Deretter følger manglende bevissthet blant ansatte eller svak organisasjonskultur (27,7 %), samt manglende juridisk kompetanse eller forståelse av regelverket (25,3 %).
Dette bildet er i stor grad det samme som i 2019. Samtidig ser vi en tydelig endring i prioriterte tiltak. Mens forbedring av IT‑sikkerhet tidligere var det viktigste investeringsområdet, prioriterer nå nesten én av to virksomheter kurs og bevisstgjøring av ansatte.
Når menneskelig svikt og lav bevissthet vurderes som den største risikoen, tyder det ofte på at virksomheten mangler en etablert og effektiv personvernkultur. Dette kan reduseres gjennom innføring av et formelt ledelsessystem for styring av personvern. Alle virksomheter opplever endringer i bemanning, for eksempel gjennom turnover eller nyansettelser. Det stiller krav til regelmessige kurs for nye ansatte, og jevnlig oppfriskning for eksisterende medarbeidere.
Å bygge en konsistent personvernkultur
Dette behovet kan best møtes gjennom et ledelsessystem basert på beste praksis, slik det er beskrevet i ISO/IEC 27701 – standarden for styring av personvern. Standarden stiller tydelige krav til regelmessige kurs og bevisstgjøring for å sikre et jevnt og gjennomgående kompetansenivå i hele organisasjonen.
En slik tilnærming bidrar til økt engasjement og gjør ansatte bedre i stand til å tenke personvern i hverdagen. Det gir dem også bedre forutsetninger for å håndtere usikkerhet og gråsoner knyttet til behandling av personopplysninger. Erfaringer fra andre områder, som informasjonssikkerhet, viser tydelig hvordan et ledelsessystem kan brukes til å bygge og videreutvikle en sterk sikkerhetskultur.
I et stadig mer sammenkoblet samfunn spenner personvernrisiko fra informasjons- og cybersikkerhet til feilaktig – og ofte utilsiktet – bruk eller lagring av data, både internt i virksomheten og hos eksterne aktører. Investeringer i IT‑sikkerhet er derfor nødvendige og høyt prioritert. Likevel er det ofte mennesket som bruker informasjonen, systemene og programvaren, som utgjør det svakeste leddet i datakjeden. Dette understreker behovet for regelmessige og målrettede kurs, enten i form av e‑læring, korte fagmoduler eller mer omfattende kurs for ansatte som arbeider med behandling av personopplysninger.
Ledelsessystemer gir en robust og pålitelig tilnærming
I tillegg til et velfungerende ledelsessystem er det avgjørende å ha interne fagpersoner med riktig kompetanse innen styring av personvern. Disse fungerer ofte som et naturlig kontaktpunkt for spørsmål og usikkerhet blant ansatte, og spiller en viktig rolle i å forankre personvern i virksomhetens prosesser.
Slike fagpersoner bidrar også til å integrere personvernprinsipper som «innebygd personvern» og «personvern som standard» i virksomhetens design og utviklingsprosesser. Dette innebærer blant annet å begrense innsamling og behandling av data, sikre datakvalitet, håndtere lagring og sletting på en kontrollert måte, og etablere nødvendige kontrollmekanismer ved overføring av personopplysninger.
DNVs Espresso Survey om personvernssttring viser at mange virksomheter har investert betydelig i kurs og bevisstgjøring for å redusere risikoen for menneskelig svikt. Investering i kompetanse er alltid et konstruktivt tiltak. Når dette kombineres med implementering av et ledelsessystem i tråd med ISO/IEC 27701, legger det grunnlaget for en mer robust, fleksibel og pålitelig tilnærming til styring av personvern. Se alle kurs innen informasjonssikkerhet her.
Av Nanda Kumar Shamanna, ICT Business Manager, DNV
Espresso survey: Håndtering av personverninformasjon – rapport
Se rapporten: Hvordan takler selskaper bedriftsrisiko?
Espresso survey: Håndtering av personverninformasjon - infografikk
Se infografikken til Espresso survey vår.
Informasjonssikkerhet og personvernstyringssystem
Oppdag sertifiseringene våre for informasjonssikkerhet
Kurs innen informasjonssikkerhet og IT-tjenesteledelse
Finn ut kursene vi tilbyr.