Hopp til hovedinnhold
25. juni 2021
5 minutter å lese

I et blogginnlegg i fjor spurte jeg om du bruker «hjemmesnekra» lister for å føre GDPR-protokoll, og anbefalte å heller ta i bruk løsningen Behandlingsoversikt. Det har Mattilsynet gjort. Her forteller de om sine erfaringer – som kanskje også kan være nyttig for deg å høre om.

For å bli bli bedre rustet i møte med kravene til dokumentasjon i GDPR tok Mattilsynet på høstparten 2020 i bruk Behandlingsoversikt.

Som jeg skrev om i innlegget Digg med digital protokoll, gjør Behandlingsoversikt det mulig for virksomheter å føre en oppdatert protokoll over behandlingsaktiviteter i henhold til personvernforordningen artikkel 30. Behandlingsoversikt ble lansert våren 2020, og er resultatet av et samarbeid mellom Brønnøysundregistrene, Felles datakatalog og Digitaliseringsdirektoratet.

Bedre rustet i møte med GDPR

Mattilsynet er et landsdekkende forvaltningsorgan som har ansvar for mange kritiske oppgaver i samfunnet. Først og fremst skal de bidra til trygg mat og trygt drikkevann for oss innbyggere, og for tilstrekkelig beredskap. Mattilsynet må derfor være forberedt på fremtidige hendelser – også hendelser som har å gjøre med personvern og sikkerhet. Mattilsynet drifter i dag flere informasjonssystemer og har behandlingsansvar for mange behandlinger. Digitaliseringsdirektoratets fellesløsning, Behandlingsoversikt, har hjulpet dem med å holde oversikt og kontroll med behandlingene.

Mattilsynet har i lang tid vært på jakt etter et digitalt verktøy for å holde oversikt over behandlingsaktiviteter etter at GDPR trådte i kraft. Personvernombud i Mattilsynet, Kate Elin Wilhelmsen, sier at Behandlingsoversikt virket som et smart valg. Løsningen oppfyller de fleste av behovene for protokollføring. I Mattilsynet oppdaget de raskt at Behandlingsoversikt er det verktøyet som kan hjelpe med å dokumentere behandlingene på en åpen og oversiktlig måte. 

Hedda Høiland Aas, Per Bratterud og Kate Elin Wilhelmsen i Mattilsynet
Hedda Høiland Aas, Per Bratterud og Kate Elin Wilhelmsen i Mattilsynet forteller om deres erfaringer med behandlingsoversikt etter de tok løsningen i bruk på høstparten 2020.

Tilgjengelighet fremfor Excel

Beredskapssjef og en av systemeierne i Mattilsynet, Hedda Høiland Aas, forklarer at det er en stor fordel at behandlingsoversikten er tilgjengelig for alle systemeiere og dataeiere i virksomheten. Mattilsynet har tidligere brukt Excel-skjema for å holde oversikt over behandlinger de foretok. – Det er mer praktisk med en felles løsning for å registrere behandlingsaktiviteter, fremfor et omfattende skjemavelde. Vi opplever at arbeidet med overgang til løsningen har vært et godt valg for oss. Behandlingsoversikt har gjort det enklere å holde kontrollen med personopplysninger på tvers av de enkelte ansvarsområdene i Mattilsynet. Den er digital og inkluderer i tillegg mulighet for å lenke til den relevante Databehandleravtalen. En felles og digital løsning hjelper Mattilsynet med å holde kontrollen, samtidig som løsningen letter vedlikehold og oppdateringer av protokollene våre.

Hvordan Mattilsynet kom i gang med Behandlingsoversikt

Mattilsynet opprettet en tverrfaglig intern gruppe for å komme i gang med registreringen og protokollføringen. Overgangen til digital protokollføring ble gjennomført i korte møter med informasjonseiere i Mattilsynet. Protokollene var fra før av basert på Datatilsynet sine maler. Registreringsfeltene i Behandlingsoversikt er basert på malen til Datatilsynet, så overgangen gikk greit. Alle ansvarlige fikk tilbud om et eget internt møte hvor de gikk gjennom behandlingsaktivitetene. Disse møtene ble en anledning til å samarbeide om og kvalitetssikre noen av behandlingsaktivitetene, forteller Kate Elin Wilhelmsen.

Mattilsynet opplevde at motivasjonen for å arbeide med GDPR og dokumentasjonskrav økte etter at de fikk et digitalt verktøy. Årsaken til økt motivasjon er nok at alle som eier og forvalter informasjonen i protokollen også må inn og godkjenne behandlingene elektronisk i systemet.

Mange muligheter

Personvernombudet i Mattilsynet ser at Behandlingsoversikt har potensiale til å avhjelpe de store dokumentasjonskravene som GDPR innebærer. Hun ønsker seg en videreutvikling av oversikten og har stor tro på at den kan løse utfordringer flere virksomheter opplever.

Det er gledelig å høre at hun har stor tiltro til Digdir som drifter funksjonaliteten for Behandlingsoversikt: – Vi må si vi ble imponert da vi bare dager etter at vi hadde meldt inn at lenke til Databehandleravtaler ikke fungerte opplevde at funksjonaliteten ble fikset. Den flotte servicen og brukerorienteringen lover godt, og gir oss håp om videreutvikling og innovasjon på nye områder. For eksempel mulighet til å kunne ta ut ulike rapporter som kan legge til rette for bedre oversikt og mulighet for å analysere avvik.

Informasjonsarkitekt i Mattilsynet, Per Bratterud, mener det er muligheter for å innovere på arkivområdet. Tenk om vi også kunne fått innebygd funksjon som tilfredsstiller kravene etter arkivloven! Han forteller videre om arbeidet med protokollføringen som har ført til at de er blitt mer bevisst og oppdatert på hvordan de forvalter og dokumenterer informasjon om behandlingsaktiviteter.

Ta verktøyet i bruk

– Vi oppfordrer alle statlige aktører til å ta verktøyet i bruk! Det er den klare oppfordringen fra Mattilsynet, som ser for seg at tjenestene i Felles datakatalog er et steg i retning av en mer samordnet og effektiv offentlig sektor. Staten kan spare store pengesummer og sikre uavhengighet ved å fortsette å bygge ut gode løsninger som letter etterlevelse av stadig strengere dokumentasjonskrav.

I blogginnlegget mitt, Digg med digital protokoll, forklarte jeg at Behandlingsoversikt legger opp til en smart tilnærming for å kartlegge behandlingene og dokumentere de dataene som behandles. Det er ikke uvanlig at virksomheter som har ansvar for mange behandlinger, opplever det som utfordrende å ha kontroll over dataene. I møte med Mattilsynet opplevde jeg at Behandlingsoversikt hjelper dem med å etablere god kontroll, og ikke minst et robust samarbeid på tvers i virksomheten. Om alle i organisasjonen har innsikt i hvilke personopplysninger som behandles, og i hvilke systemer disse opplysningene finnes, har man kommet langt på vei i å overholde behandlingsansvaret. Det blir spennende å finne ut av hvordan vi kan utvikle Behandlingsoversikt sammen med andre aktører for å forbedre løsningen og effektivisere etterlevelsen av dokumentasjonskravene i lovgivningen.

Ønsker du en demo og å teste ut Behandlingsoversikt, så ta gjerne kontakt på e-post: christiane.andrea.frohlich@digdir.no.

Christiane Andrea Fröhlich
Rådgiver, Digitaliseringsdirektoratet

Christiane Andrea Fröhlich

Christiane Andrea Fröhlich jobber med utvikling og utbredelse av Felles datakatalog. Hennes faglige bakgrunn er innen forvaltningsinformatikk. På fritiden er hun glad i friluftsliv, og da særlig langrenn.

Author

Christiane Andrea Fröhlich
Christiane Andrea Fröhlich
Rådgiver, Digitaliseringsdirektoratet

Kommenter

Felt merket med en rød stjerne (*) er obligatoriske.

Innholdet i dette feltet blir holdt privat og vil ikke bli vist offentlig.
Er du et menneske?
5 + 3 =
Løs dette enkle mattespørsmålet og skriv inn svaret. For eksempel: For 1+3, skriv inn 4.