Bruker du "hjemmesnekra" lister for å føre GDPR-protokoll for å oppfylle personvernforordningen? Da utfordrer jeg deg til å konvertere til løsningen "Behandlingsoversikt". Skal vi holde orden på levende digital informasjon, krever det at vi bruker riktige verktøy.
«Behandlingsoversikt» ble lansert i mai og er et resultat av et samarbeid mellom Digitaliseringsdirektoratet, Brønnøysundregistrene og Felles datakatalog. Løsningen gjør det mulig for virksomheter å føre en oppdatert protokoll over behandlingsaktiviteter i henhold til personvernforordningen artikkel 30.
Kunsten å holde oversikt
Mange opplever det som krevende å føre oppdatert oversikt over ulike typer informasjon som finnes i en virksomhet.
Den økte digitaliseringen i samfunnet gjør at vi i dag både bruker og kommuniserer informasjon på en annen måte enn tidligere. Informasjonsmengdene vokser og informasjonen er dynamisk - digital informasjon eksisterer på flere steder og til samme tid. Det er derfor nødvendig å strukturere digital informasjon, slik at vi forstår hvor informasjonen stammer fra og hvilke prosesser informasjonen inngår i.
Verktøy ment for en annen tid
I dag nytter det ikke å tilnærme seg digital informasjon som om den ikke skulle være levende. Vi kan ikke forvente å forstå informasjonen vår, eller å ha god oversikt og kontroll med digital informasjon om vi bruker verktøy som er ment for en annen tid. Derfor kan vi ikke fortsette med å strukturere digital informasjon i Excel og "hjemmesnekra" lister og protokoller for å holde orden i sysakene.
Digitalisering dreier seg om mer enn å sette strøm på et papir. Vi må alle tenke nytt, og vi må tørre å tenke digitalt. Av den grunn utfordrer jeg dere der ute som fortsatt fører protokoll etter GDPR i en hjemmesnekra protokoll, til å konvertere til Behandlingsoversikt.
La meg forklare: Personvernforordningen gjelder i hovedsak for personopplysninger som foreligger i digital form.
For å være i overensstemmelse med personvernforordningen er det nødvendig med god oversikt over hvilke personopplysninger virksomheten behandler, og hvilke prosesser personopplysningene inngår i. Det fremste ansvaret du har som behandlingsansvarlig, er å kunne si deg enig i følgende punkter:
- Vi vet hvilke personopplysninger vi har.
- Vi vet hva personopplysningene brukes til.
- Vi vet at personopplysningene er korrekte og oppdaterte.
Kan dere ikke si dere enig i de ovennevnte punktene, da er dere heller ikke i overensstemmelse med forordningen. Bruker dere en hjemmesnekra protokoll, er sannsynligheten større for at dere ikke kan krysse av de ovennevnte punktene med god samvittighet.
Digital protokoll over behandlingsaktiviteter
Digitaliseringsdirektoratet har i samarbeid Brønnøysundregistrene og Felles datakatalog utarbeidet en digital protokoll i tråd med personvernforordningen. Den digitale protokollen kan hjelpe virksomheter med å etterleve og påvise de ovennevnte punktene. Samtidig gir bruk av protokollen bedre struktur og oversikt over personopplysninger som behandles.
I bildet nedenfor vises det til at det er mulig å legge til flere behandlingsaktiviteter. Det er også mulig å generere en rapport som gir en total oversikt over behandlingsaktivitetene.
Rapporten viser hvem som har behandlingsansvaret, hvilke kategorier av personopplysninger som behandles, i hvilke systemer det behandles personopplysninger, hvor personopplysningene er hentet fra, hvilke sikkerhetstiltak som er gjennomført, og mye mer. Den er derfor praktisk ved gjennomføring av internkontroll, men også nyttig dersom tilsyn etterspør dokumentasjon for etterlevelse av behandlingsansvaret.
Bedre struktur og oversikt over personopplysninger gis ved at det er en funksjon for å legge til en eller flere kategorier av personopplysninger. På denne måten kan virksomhetene få bedre oversikt over informasjonen. Det er også mulig å knytte informasjon om behandlingsaktiviteter til beskrivelser av datasett som virksomheten forvalter i protokollen. Om dere kobler til datasettbeskrivelser, kan dere regelmessig kontrollere at datasettene er oppdaterte for behandlingsformålet.
Har du innspill?
På sikt vil derfor bruk av digital protokoll gi bedre oversikt over hvilke personopplysninger som finnes, hva personopplysningene brukes til og om informasjonen virksomheten bruker er oppdatert. Det er med andre ord mange gode grunner til å ta protokollen i bruk. Digital protokoll er digg!
Protokollen er en beta-løsning som vi jobber med å forbedre framover. Vi ønsker å høre flere innspill og erfaringer med bruk av protokollen. Digitalisering er en evig prosess og vi trenger derfor tilbakemeldinger for å kontinuerlig kunne forbedre protokollen. Ønsker dere å teste ut Behandlingsoversikt, finner dere veiledning for å opprette en brukerprofil.
Christiane Andrea Fröhlich
Christiane Andrea Fröhlich jobber med utvikling og utbredelse av Felles datakatalog. Hennes faglige bakgrunn er innen forvaltningsinformatikk. På fritiden er hun glad i friluftsliv, og da særlig langrenn.
Forfatter
Sjur Bjerke
Hei,
Er løsningen for registrering av behandlingsaktiviteter også egnet for informasjonsverdier / systemer som inneholder data som ønskes beskyttes av andre grunner enn GDPR, f.eks. forskningsdata ?
Mvh Sjur Bjerke
IT-direktør UiS