5. Styret og personvern (GDPR)
Som en sentral del av risikostyringen skal styret forsikre seg om at virksomheten har definert hvilke personopplysninger som behandles om ansatte, kunder og brukere samt hvilke systemer som inneholder slik informasjon. Styret skal sikre at avtaler med eksterne aktører som behandler personopplysninger er etablert, at datatilgang er styrt av behov, og at personopplysninger ikke kommer på avveie. System for å avdekke brudd må være på plass.
(Versjon 2-3: Siste oppdatering 2024-11-11)
Kommentarer
Styret og "General Data Protection Regulation" (GDPR)
Personsensitiv informasjon registreres i stadig økende grad, og moderne IKT-løsninger gjør tilgang enklere. Myndighetene (EU/EØS) har derfor strammet inn på regelverkene, og bøtene for feil registrering og manglende kontroll på data er blitt betydelige og kan sette de enkelte virksomheter i fare, både finansielt og omdømmemessig. Styret må derfor ha en sentral rolle med hensyn til å sikre virksomheten.
Organisering
Styret må forsikre seg om at virksomheten har tilstrekkelig kompetanse og kapasitet til å håndtere GDPR og at det foreligger adekvate risikoanalyser. Ansvarsforholdene internt vil være avhengig av virksomhetens størrelse og kompleksitet (personvernombud, personvernansvarlig), men virksomhetens øverste leder vil alltid ha det operative ansvaret. Det må være statusgjennomgang i styret med definerte mellomrom, bl.a. sporing av datasøk og eventuelle varsler til myndigheter dersom data er kommet på avveie.
Ansatte
Det er maktpåliggende at alle ansatte har grunnleggende forståelse av hva personsensitiv informasjon består i og at det er godt innarbeidede rutiner for håndtering av data (kryptering, systematisk sletting av «utgåtte» data, sikker overføring av informasjon etc.)
Samarbeidspartnere
Mange virksomheter har satt bort databehandling til eksterne aktører, og personsensitive data må ivaretas gjennom godt definerte databehandleravtaler som jevnlig revideres.
Anonymisering
Virksomheten vil ofte ha behov for å bruke personsensitive data i læringsøyemed, i arbeid med ulike statistikker og til forskning. I slike tilfeller må data anonymiseres på en fullgod måte, evt. må relevante godkjennelser innhentes, og styret må forsikre seg om at administrasjonen har kontroll på bruk av slike data.
Eksempel på Stortingets personvernerklæring finnes i kildene.
Personsensitiv informasjon registreres i stadig økende grad, og moderne IKT-løsninger gjør tilgang enklere. Myndighetene (EU/EØS) har derfor strammet inn på regelverkene, og bøtene for feil registrering og manglende kontroll på data er blitt betydelige og kan sette de enkelte virksomheter i fare, både finansielt og omdømmemessig. Styret må derfor ha en sentral rolle med hensyn til å sikre virksomheten.
Organisering
Styret må forsikre seg om at virksomheten har tilstrekkelig kompetanse og kapasitet til å håndtere GDPR og at det foreligger adekvate risikoanalyser. Ansvarsforholdene internt vil være avhengig av virksomhetens størrelse og kompleksitet (personvernombud, personvernansvarlig), men virksomhetens øverste leder vil alltid ha det operative ansvaret. Det må være statusgjennomgang i styret med definerte mellomrom, bl.a. sporing av datasøk og eventuelle varsler til myndigheter dersom data er kommet på avveie.
Ansatte
Det er maktpåliggende at alle ansatte har grunnleggende forståelse av hva personsensitiv informasjon består i og at det er godt innarbeidede rutiner for håndtering av data (kryptering, systematisk sletting av «utgåtte» data, sikker overføring av informasjon etc.)
Samarbeidspartnere
Mange virksomheter har satt bort databehandling til eksterne aktører, og personsensitive data må ivaretas gjennom godt definerte databehandleravtaler som jevnlig revideres.
Anonymisering
Virksomheten vil ofte ha behov for å bruke personsensitive data i læringsøyemed, i arbeid med ulike statistikker og til forskning. I slike tilfeller må data anonymiseres på en fullgod måte, evt. må relevante godkjennelser innhentes, og styret må forsikre seg om at administrasjonen har kontroll på bruk av slike data.
Eksempel på Stortingets personvernerklæring finnes i kildene.
Referanser
1. Guidelines, Recommendations, Best Practices | European Data Protection Board (europa.eu)
2. Førde, K. H. (2022, mars 29). Alle styremedlemmer – skjerp dere. Hentet fra https://www.finansavisen.no/nyheter/debattinnlegg/2022/03/29/7841435/alle-styremedlemmer-skjerp-dere.
3. European Parliament and Council of the European Union. (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Official Journal of the European Union. Hentet fra https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.
4. Sikt. (u.å.). Vanlige spørsmål om personvern og meldeskjema. Hentet fra https://sikt.no/tjenester/personverntjenester-forskning/fylle-ut-meldeskjema-personopplysninger/vanlige-sporsmal-om-personvern-og-meldeskjema.
5. Datatilsynet. (2023, juli 27). Personvernprinsippene. Hentet fra https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/.
6. Datatilsynet. (2023, juli 27). Hvordan lage en databehandleravtale? Hentet fra https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/databehandleravtale/hvordan-lage-en-databehandleravtale/.
7. Stortinget. (2022, november 29). Personvernerklæring – Stortinget. Hentet fra https://www.stortinget.no/no/Stottemeny/Hjelp/Om-nettstedet/Personvernerklaring-Stortinget/.
8. Pfeifle, S. (2017, oktober 23). WP29 releases guidelines on administrative fines under the GDPR. Hentet fra https://iapp.org/news/a/a29wp-releases-guidelines-on-administrative-fines-under-the-gdpr/.
9. Aasheim, E. (2018). Styrets ansvar for aksjeselskapets etterlevelse av EUs personvernforordning (GDPR). Betydningen av GDPR for styrets forvaltningsansvar etter aksjeloven § 6-12 og styremedlemmenes erstatningsansvar etter aksjeloven § 17-1 (Master's thesis, The University of Bergen).
10. Botillen, J. (2022). Styrets ansvar ved aksjeselskapets brudd på EUs personvernforordning (GDPR)-Betydningen av GDPR for styremedlemmets personlige erstatningsansvar etter aksjeloven § 17-1 (1) (Master's thesis, The University of Bergen).
2. Førde, K. H. (2022, mars 29). Alle styremedlemmer – skjerp dere. Hentet fra https://www.finansavisen.no/nyheter/debattinnlegg/2022/03/29/7841435/alle-styremedlemmer-skjerp-dere.
3. European Parliament and Council of the European Union. (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Official Journal of the European Union. Hentet fra https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.
4. Sikt. (u.å.). Vanlige spørsmål om personvern og meldeskjema. Hentet fra https://sikt.no/tjenester/personverntjenester-forskning/fylle-ut-meldeskjema-personopplysninger/vanlige-sporsmal-om-personvern-og-meldeskjema.
5. Datatilsynet. (2023, juli 27). Personvernprinsippene. Hentet fra https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/.
6. Datatilsynet. (2023, juli 27). Hvordan lage en databehandleravtale? Hentet fra https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/databehandleravtale/hvordan-lage-en-databehandleravtale/.
7. Stortinget. (2022, november 29). Personvernerklæring – Stortinget. Hentet fra https://www.stortinget.no/no/Stottemeny/Hjelp/Om-nettstedet/Personvernerklaring-Stortinget/.
8. Pfeifle, S. (2017, oktober 23). WP29 releases guidelines on administrative fines under the GDPR. Hentet fra https://iapp.org/news/a/a29wp-releases-guidelines-on-administrative-fines-under-the-gdpr/.
9. Aasheim, E. (2018). Styrets ansvar for aksjeselskapets etterlevelse av EUs personvernforordning (GDPR). Betydningen av GDPR for styrets forvaltningsansvar etter aksjeloven § 6-12 og styremedlemmenes erstatningsansvar etter aksjeloven § 17-1 (Master's thesis, The University of Bergen).
10. Botillen, J. (2022). Styrets ansvar ved aksjeselskapets brudd på EUs personvernforordning (GDPR)-Betydningen av GDPR for styremedlemmets personlige erstatningsansvar etter aksjeloven § 17-1 (1) (Master's thesis, The University of Bergen).