GDPR har de siste fem årene gitt økt fokus på de ideelle verdiene bak personvernet, men det har blitt mye papirarbeid også.
Omfattende dokumentasjon av vurderinger knyttet til berettiget interesse, tredjelandsoverføringer, DPIAer og mye annet. For mye, vil mange mene. Men regelverk er nå en gang regelverk. Samtidig ser vi at dette blir stadig viktigere for næringslivet. Store innkjøpere stiller strenge krav til etterlevelse og dokumentasjon.
Nylig fikk NAV-saken mye oppmerksomhet. Den gjelder blant annet avvik ved tilgangsstyring og loggkontroll. Noen tror saken «kun» gjelder NAV, men den har konsekvenser for langt flere. Og tilsynet har sagt at gebyret ville blitt høyere om det gjaldt en privat bedrift. (NAV fikk høyeste beløp gitt en offentlig etat.)
Internkontroll oppleves ofte som omfattende arbeid hvor fokuset ofte er å sikre at dokumentasjonen er på plass. Så enkelt er det ikke. Et av avvikene i NAV-saken var at retningslinjer ikke var revidert på flere år. Dette utgjorde en klar mangel. Det er altså ikke godt nok å lage et godt rammeverk dersom dette legges i en skuff.
Anna Olberg Eide
Associate, Schjødt og forfatter av artikkel
Eva Jarbekk
Partner, Schjødt og forfatter av artikkel
Tankevekkende
Det aner oss også at tilgangsstyring ikke har fått tilstrekkelig oppmerksomhet i mange bedrifter – i det minste ikke i det omfanget Datatilsynet nå forventer. Mange gir vide tilganger fordi det er praktisk. Tilgangsstyring er imidlertid et sentralt virkemiddel for å sikre personvern, og flere av avvikene i NAV handler om dette.
Datatilsynet hadde synspunkter på selve organisasjonsstrukturen i NAV og at denne gjorde at tilgangsbegrensningen var vanskelig. I et desentralisert oppsett kunne mange sies å ha behov for tilganger. Tilsynet var kritiske og mente at vide tilganger må matches med loggkontroll av reelle oppslag. Det er ikke så mange utenom helsevesenet som gjør slikt. Bedrifter med ansatte som jobber på tvers av kontorer vil ofte, i likhet med NAV, ha behov for å gi vide tilganger. Datatilsynet mente at «tjenstlig behov» var uegnet som tilgangskriterium. Dette er tankevekkende, fordi det griper inn i hvordan en virksomhet organiserer seg.
Mer fokus på internkontroll
Rutinene rundt kontroll av tilganger ble også funnet mangelfulle fordi de ikke ga nok veiledning på hvordan vurderingene av hvem som har tilgangsbehov skal gjennomføres. Det er altså ikke tilstrekkelig med rutiner som klargjør at tilgangskontroll skal etableres – rutinene må sikre at den ansatte som skal vurdere tilganger, vet hva som er kriteriene for vurderingen.
Det ble også kritisert at historiske saker og arkivsaker var åpne for mange – noe som også er et tema flere som bør se på. Kan slike tilganger snevres inn, så bør de. Datatilsynet har blitt et meget aktivt tilsyn med flere fokusområder enn bare tech-gigantene. Det kommer til å bli fokus på internkontroll fremover.
Av Eva Jarbekk og Anna Olberg Eide