I dette kapitlet beskriver vi hvordan vi utfører internkontroll på personvern i DFØ.
5.1. Styrende dokumentasjon
Relevant regulering: GDPR kapittel IV jf. artikkel 5 nr. 2.
DFØ har utarbeidet en Policy for behandling av personopplysninger. Policyen tar blant annet for seg DFØs rolle som databehandler. Her fremgår det tydelig at DFØ i rollen som databehandler plikter å kun behandle personopplysninger i henhold til inngåtte databehandleravtaler.
Revisjon av styrende dokumenter er sist gjennomført våren 2022.
- Årshjulet for personvernarbeidet i DFØ er oppdatert.
- Policy for behandling av personopplysninger er gjennomgått og mindre språklige endringer er foretatt. Det er ikke vurdert nødvendig å gjøre endringer i meningsinnholdet.
- Beskrivelse av organisering av personvernarbeidet i DFØ er gjennomgått. Det har ikke vært behov for endringer.
5.2. Organisering og roller på personvernområdet
Relevant regulering: GDPR kapittel IV jf. artikkel 5 nr. 2
Personvernarbeidet er organisert med et personvernombud for virksomheten, og en personvernkoordinator i hver divisjon Personvernkoordinatorene skal ha en koordinerende rolle og bidra til at personvernombudet har god oversikt over behandlingsaktiviteter i de enkelte divisjonene. Enkelte divisjoner har på grunn av størrelse og kompleksitet i arbeidsoppgaver to personvernkoordinatorer der den enkelte har ansvar for sitt område.
Personvernkoordinatorene har ansvar for å ajourføre behandlingsprotokollen for sin divisjons behandlingsaktiviteter og rapporterer tertialvis til personvernombudet. De skal også følge opp og rapportere på divisjonenes tiltak for å etterleve personvernregelverket.
Ansvarsdelingen sikrer bedre oversikt over aktiviteter og sørger for tettere oppfølging med personvernarbeidet i divisjonene. Personvernkoordinatorene fungerer som en førstelinje og kan bistå øvrige ansatte i divisjonene med personvernarbeidet.
Noen av personvernkoordinatorene er jurister, andre ikke. Våren 2022 ble det gjennomført opplæring i personvernregelverket for personvernkoordinatorene som hadde behov, slik at alle er i stand til å ivareta sine plikter på best mulig måte. Opplæringen ble gjennomført av eksterne.
5.3. Protokoller over behandlingsaktiviteter
Relevant regulering: GDPR artikkel 30 jf. artikkel 5 nr. 2
Databehandler har plikt til å føre protokoll over behandlingsaktiviteter i henhold til personvernregelverket.
DFØs Policy for behandling av personopplysninger omtaler plikten til å føre protokoll i tråd med GDPR art. 30. DFØ har en protokoll over behandlingsaktiviteter, både i rollen som behandlingsansvarlig og databehandler.
DFØ jobber kontinuerlig med utfylling og kartlegging av behandlingsaktiviteter. Behandlingsprotokollen gjennomgås årlig.
Protokollene utfylles og oppdateres kontinuerlig. Etter rapportering i første tertial 2022 på personvern er det sett et behov for å utbedre behandlingsprotokollene. Etter dette vil:
- Hver divisjon får sin egen behandlingsprotokoll for behandling av personopplysninger hvor DFØ er behandlingsansvarlig. Dette vil gi bedre oversikt og forhindre feilutfylling og begrense konsekvensene ved feil.
- Behandlingsprotokollen over behandling av personopplysninger som databehandler endres ikke.
5.4. Databehandleravtaler
Relevant regulering: GDPR artikkel 28
Det er utarbeidet en ny versjon av DFØs databehandleravtale med kundene som ligger tilgjengelig på våre nettsider. Ny databehandleravtale ble sendt til kundene 27.10.21, med anledning for kunder å komme med innspill/kommentar. Etter en gjennomgang av innspill er ny databehandleravtale publisert.
Ny databehandleravtale er tilgjengelig her:
Den oppdaterte databehandleravtalen skal gi kunden økt klarhet og et bedre bilde av hva DFØ gjør på vegne av kunden, samt tydeliggjøre de krav og plikter kunden har som behandlingsansvarlig og DFØ som databehandler.
De mest sentrale endringene er:
- Pkt 7 - Overføringer til tredjeland - DFØ skal ikke overføre personopplysninger til tredjeland med mindre det foreligger skriftlig instruks fra kunden og vilkårene i punkt 7.3 er oppfylt. Tidligere har dette krevd forhåndsgodkjennelse fra Kunden. Basert på kundeinnspill og fokus knyttet til Schrems II, har DFØ klargjort DFØs forpliktelse til å beskytte kunders data.
- Pkt 9 - En mer detaljert beskrivelse av DFØs underretning til kunden om brudd på personopplysningssikkerheten.
- Pkt 11 - Revisjonsadgang
- Vedlegg A- Oversikt over hvilke typer personopplysninger behandlingen omfatter.
- Vedlegg B - Oversikt over utveksling av personopplysninger
DFØs databehandleravtale med våre leverandører
DFØ har gjennomgått sine databehandleravtaler med våre leverandører som behandler personopplysninger på vegne av DFØ
5.5. Oppfølging underleverandører
Relevant regulering: GDPR artikkel 28
DFØ har etablert rutiner for oppfølging av underleverandører. Der DFØ som databehandler benytter underleverandører følger DFØ opp at avtaleforholdet med underleverandører er innenfor rammene av det som er skriftlig avtalt med kundene.
DFØ har gjennomført en oppfølging av underleverandører etter anbefalte retningslinjer fra Datatilsynet og Det europeiske personvernrådet (EDPB) med ekstern bistand. I etterkant av oppfølgingen ble det iverksatt tiltak knyttet mot leverandøroppfølging samt endring i noen databehandleravtaler med underleverandører. Det skal videre arbeides med å oppsummere det utførte arbeidet og beskrive tiltakene som er blitt iverksatt.
5.6. Bistand til behandlingsansvarlig
Relevant regulering: GDPR artikkel 28 nr. 3
Gjennom personvernregelverket er DFØ som databehandler pålagt en rekke plikter overfor kundene. De sentrale pliktene er konkret regulert i databehandleravtalen, i tillegg til de lovregulerte oppgavene som følger av personvernforordningen art. 28. DFØ plikter blant annet å bistå kundene med oppfyllelse av de registrertes rettigheter, håndtering- og underretning om brudd på personopplysningssikkeheten, sletting av personopplysninger, samt bistå kunden med nødvendig informasjon for å kunne påvise etterlevelse av forpliktelsene etter personvernforordningens art 28.
I DFØs Policy for behandling av personopplysninger fremgår det tydelig og definert hvilken bistand DFØ som databehandler gir kundene. Dette er viktige avklaringer som viser at DFØ er bevisst på sin rolle som databehandler. Videre har DFØ et etablert og dedikert kundesenter, som sikrer god dialog med kundene, samt sørger for at kundene får nødvendig bistand på henvendelsene.
I ny databehandleravtale punkt 8, er DFØs bistand til behandlingsansvarlige oppdatert og konkretisert i henhold til de lovregulerte oppgavene som følger av personvernforordningen.
5.7. Rutiner for sletting
Relevant regulering: GDPR artikkel 5 nr. 2 jf. artikkel 5 nr. 1 bokstav e og artikkel 24, samt artikkel 28
Personopplysninger skal slettes når formålet med behandlingen er oppnådd, jf. personvernforordningen art. 5 nr. 1 bokstav c) og e). Kravet til sletting gjelder med mindre andre rettslige forpliktelser tilsier videre lagring, eksempelvis arkivloven og bokføringsloven. Det er den behandlingsansvarliges ansvar å påse at det gis klare føringer for sletting av personopplysninger når formålet med behandlingen er oppnådd.
Status 2021–2022:
- Sletterutiner er implementert i flere systemer. I disse systemene gjennomføres sletting i henhold til oppsatte sletterutiner.
- Personvernombudet har laget en veileder for å sikre innebygd personvern i nye anskaffelser, herunder sletterutiner. Dette gjelder også anskaffelser i DFØs rolle som databehandler.
Vi jobber med å implementere innebygd personvern i eksisterende systemer.
5.8. Rutine for rapportering og håndtering av avvik
Relevant regulering: GDPR artikkel 5 nr. 2 jf. 31 og 32, samt artikkel 28
Ved brudd på personopplysningssikkerheten skal DFØ uten ugrunnet opphold etter å ha fått kjennskap til bruddet, underrette den behandlingsansvarlige (kunden) skriftlig om eventuelle brudd, slik at kunden kan overholde sin forpliktelse til å melde bruddet til Datatilsynet, jf. personvernforordningen artikkel 33. Videre skal DFØ blant annet bistå kunden med å melde bruddet til Datatilsynet, samt gjennomføre de nødvendige tiltak for å unngå tilsvarende brudd på personopplysningssikkerheten.
DFØ har utarbeidet en prosessbeskrivelse og rutine for hvordan brudd på personopplysningssikkerheten skal rapporteres og håndteres. Rutine for håndtering av avvik ivaretar DFØs rapporteringsplikt til behandlingsansvarlig der hvor DFØ er databehandler. Som en del av rutinen for avvikshåndtering varsler DFØ berørte kunder der det er vurdert nødvendig. Siden forrige statusrapport er det meldt inn 6 avvik relatert til DFØs rolle som databehandler, 4 av disse ble meldt av kunden selv.
Rutine for avvikshåndtering er etablert i DFØ, gjennomgått i 2022 og det er ikke behov for oppdateringer eller endringer.
5.9. Egenkontroller og ledelsens gjennomgang
Relevant regulering: GDPR artikkel 5 nr. 2 jf. artikkel 24
DFØ vurderer løpende om iverksatte tiltak er dekkende og fungerer etter sin hensikt, eller om det er behov for endringer.
I Policy for behandling av personopplysninger beskrives det et årshjul med definerte kontrollaktiviteter og rapporteringer. Årshjulet skal sikre at DFØs etablerte internkontroll er dekkende og hensiktsmessig. Videre er det utarbeidet rutine for ledelsens gjennomgang.
Årshjulet følges og er oppdatert med aktiviteter for 2022. Ledelsens gjennomgang for 2021 ble gjennomført i februar 2022.
Internrevisjon ved uavhengig part PWC har gjennomført en revisjon i Q2 innenfor personvernområdet basert på kundeinnspill. PWC sin rapport er oversendt til kundene som har kommet med kundeinnspill, øvrige kunder kan be om å få denne rapporten tilsendt.
5.10. Innebygd personvern
DFØ har utarbeidet veileder for innebygd personvern. Denne omtaler krav som skal stilles i anskaffelser av nye systemer som behandler personopplysninger. DFØ skal stille krav som sikrer de registrertes rettigheter og at DFØ kan overholde sine plikter etter personvernregelverket, enten det er i rollen som behandlingsansvarlig eller databehandler.
Det skal gjennomføres en risikovurdering av informasjonssikkerheten ved utvikling, vedlikehold og/eller endring av systemer og IT-løsninger som vil kunne påvirke behandlingen av personopplysninger. Vurderingen skal avdekke sårbarheter og mangler og dermed bidra til å stille tilstrekkelige sikkerhetskrav. I tillegg skal det vurderes hvorvidt det er behov for å gjennomføre en personvernkonsekvensvurdering (DPIA).
5.11 Opplæring
I dag tilbyr DFØ kurs i personvern og sikkerhet for alle nyansatte gjennom DFØ-skolen. Personvernombudet har også gjennomført opplæring i avdelingene som har ønsket det. Verdien av dette oppleves å være stor. Personvernombudet har tidligere sendt ut et månedlig nyhetsbrev til alle ansatte i DFØ. Hensikten har vært å oppdatere ansatte på hva personvernombudet jobber med, og øke bevisstheten rundt personvernarbeidet i virksomheten. Det er også startet på et opplegg for kursing av ledere, anskaffere og prosjektdeltakere på personvern.
Det vil være fokus på opplæring også i resten av 2022.