Sen oppstart med GDPR?  Dette er tre viktige grep du kan ta!

Publisert: 29. Oktober 2021

NorSIS har skrevet at Nasjonal sikkerhetsmyndighet i perioden 2019 – 2020 så en tredobling av antall alvorlige cyber sikkerhetshendelser. Utviklingen har fortsatt i 2021. I takt med økt digitalisering, samt at trusselaktørene blir mer avanserte, øker fokuset på etterlevelse, tilsyn og kontroll for virksomheter som behandler personopplysninger. I tillegg til personvern og sektorspesifikke regler, ser vi fremover at også ny lovgivning som til dels overlapper med eksisterende rammeverk, f.eks. EUs nye forslag til regelverk for kunstig intelligens er på vei.

Spesielt for mindre og mellomstore virksomheter kan det bli mye å sette seg inn i. Mange opplever kravene som stilles i standardisere regelverk som både vanskelig å implementere og etterleve.

1. Start med tilsynsmyndighetenes egne «sjekklister»

Det danske Datatilsynet har nylig gjennomført tilsyn med informasjonssikkerheten knyttet til behandling av personopplysninger i 30 ulike virksomheter innenfor kommune, hotell og forsikringsselskaper. Undersøkelsen ble gjennomført ved bruk av et online-verktøy med utgangspunkt i standardiserte spørsmål. Spørsmålene de stilte er publisert på deres hjemmesider, og er ledsaget av en veiledning til besvarelse. For en virksomhet som ønsker å sette fokus på informasjonssikkerhet og personvern kan spørsmålene gi veiledning særlig i en innledende fase. Virksomhetens svar på spørsmålene kan gi veiledning for videre tiltak, og si noe om den enkelte virksomhets modenhet knyttet til beskyttelse av data. Spørsmålene brukt av det danske Datatilsynet finner du her.

2. Personvern og informasjonssikkerhet blir en integrert del av virksomheten

Spørsmålene det danske datatilsynet har utarbeidet har den fordelen at de kombinerer kravene i GDPR med andre sikkerhetsstandarder. Dette gjør det lettere å sammenstille og følge opp kravene i et system. Spørsmålene gir også en god anledning til å reflektere over en virksomhets informasjonssikkerhet. Videre gir de veiledning i sikkerhetsarbeidet og en påminnelse om at styrende dokumenter, rutiner og ikke minst risikovurderinger må forvaltes, justeres og forbedres etter hvert som ny teknologi tas i bruk, trusselbildet endres, og stadig mer data samles inn og behandles. Det danske tilsynet har kartlagt kravene i GDPR mot krav i andre anerkjente sikkerhetsstandarder som ISO/IEC 27001/2.

Tilsynsmyndighetens spørsmål kan også gi en pekepinn på hvilke forhold som kan legges til grunn ved tilsyn av grunnleggende informasjonssikkerhet, men merk at spørsmålene ikke tar hensyn verken til nasjonal lovgivning eller sektorlovgivning som kan stille tilleggskrav.

3. Kom i gang med risikostyring

Et av GDPRs grunnleggende prinsipper er at den behandlingsansvarlige er ansvarlig for og kan påvise at personopplysninger behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene (GDPR artikkel 5 nummer 1 bokstav f jfr artikkel 5 nummer 2). Kravene til risikovurdering finner man i flere av GDPR sine bestemmelser (GDPR artikkel 24 og 32) og risikovurdering er noe av det mest grunnleggende en virksomhet gjør i arbeidet med informasjonssikkerheten for å påse at opplysningene blir behandlet med tilstrekkelige tiltak. Den behandlingsansvarlige må også påse at det kun benyttes databehandlere som gir tilstrekkelige garantier for egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i GDPR og vern av de registrertes rettigheter. Det danske datatilsynets spørsmål kan i denne forbindelse også benyttes som inspirasjon ved gjennomføring av risikovurderinger av leverandører og i anskaffelsessituasjoner; eksempelvis sammen med NSMs grunnprinsipper for informasjonssikkerhet, DFØ sin veiledning på området og ENISA’s Guidelines for SMEs on the security of personal data processing.

Digitaliseringen skjer raskere enn noen gang og vurderingene rundt informasjonssikkerhet må holde tritt. Personvern- og sikkerhetsarbeid er ikke en “one-time off”, men et kontinuerlig arbeid med å styrke og forbedre i et samfunn hvor det stilles stadig strengere krav til etterlevelse og dokumentasjon, og hvor de med uærlige hensikter blir enda flinkere til å finne innganger til en virksomhet.

Slik hjelper vi deg

Deloitte kan bistå med å identifisere hvordan nettopp din virksomhet best ivaretar informasjonssikkerheten både fra et juridisk, organisatorisk og et rent teknisk perspektiv. Videre kan vi bistå med å få på plass gode rutiner som er i tråd med relevant regelverk, opplæring av de ansatte, gjennomgang og forhandling av avtaler med databehandlere og andre leverandører.