Administrative tiltak for å sikre personopplysningar
Når vi som bedrift utformar rutinar for behandling av personopplysningar, tek vi først ei risikovurdering der vi stiller spørsmål som:
- Kven treng tilgang til opplysningane i arbeidet sitt?
- Kva bør opplæringsplanen og instruksane innehalde for å sikre personopplysningane?
- Kva truslar mot personvernet er sannsynlege?
- Kva konsekvensar vil det ha om personopplysningane kjem på avvegar?
- Kva rutinar bør vi ha for internkontroll?
Når vi har kartlagt kven som treng tilgang til personopplysningar, må vi setje inn tiltak som sikrar at det er berre desse som får tilgang til opplysningane. Tilgang til både arkiv og elektronisk lagring må derfor avgrensast til desse personane.
Ein grundig opplæringsplan for dei som har tilgang, skal sikre at personopplysningane blir behandla i samsvar med gjeldande regelverk.
Når personopplysningane er lagra i ein database, kan truslane vere datalekkasje, hacking eller snoking. Sikringstiltak mot slike truslar kan vere å avgrense tilgang til personopplysningar gjennom passordvern eller krav til innlogging.
I tillegg hindrar vi tilgang for uvedkomande med brannmur og virusprogram.
I personopplysningslova finn vi reglar for innsamling og lagring av personopplysningar. I den grad vi skal samle inn personopplysningar, skal dei ha eitt uttalt formål. Lova er tydeleg på at innsamling og lagring av personopplysningar skal avgrensast til det som er absolutt nødvendig.
Personopplysningane skal òg slettast eller bli anonymiserte så snart dei ikkje er nødvendige for formålet lenger. Dette gjeld til dømes opplysningar om tilsette som ikkje lenger jobbar i bedrifta. Også kunde- og medlemsregister må oppdaterast jamleg som ein del av internkontrollen.
Administrativ sikring inkluderer administrering av nøklar, nøkkelkort og tilgangar. Den som administrerer utlån og oppbevaring av nøklar, vil ofte ha eit register over kven som har åtgang kvar. Registera bør oppbevarast sikkert, anten elektronisk eller i eit arkiv eller ei skuff som lèt seg låse.