Når toppledelsens manglende personvern-engasjement gir bot
Datatilsynet har ilagt Ferde AS et overtredelsesgebyr på NOK 5 millioner og peker blant annet på uaktsomhet hos styret. Ferde satt behandlingen av sladdede bilder fra bompasseringer til en databehandler utenfor EØS, uten å kunne påvise at det var gjort risikovurderinger, inngått gyldig databehandleravtale eller sikret gyldig grunnlag for overføring av data ut av EØS.
Mens bærekraft får mye oppmerksomhet når investeringer diskuteres, viser denne saken behovet for også å sette søkelyset på virksomhetsstyringen (Governance).
Ferde er nok på ingen måte enestående og saken burde være en kraftig vekker for veldig mange. Gebyret kan ses på som likegyldighetens pris – når ledelse og styret tar for lett på GDPR.
Ute av syne, ute av sinn?
Delegert ansvar uten ressurser og mandat løser ikke problemet.
Personvern har kommet høyere på agendaen de siste årene, men dessverre er det fortsatt mange som tenker at dette er noe for spesielt interesserte. Det praktiske ansvaret blir ofte delegert til enkeltpersoner i administrasjonen, uten direkte knytning til forretningsdriften og uten tilstrekkelige ressurser, kompetanse eller mandat. Med tanke på at GDPR kanskje er den mest gjennomgripende reformen i morderne tid, er det interessant å se en oppfatning av at alt skal løses på magisk vis. I styrets og ledelsens løpende prioritering glimrer oppfølging av personvern med sitt fravær og det er forventet at juridisk og/eller IT-sikkerhet ivaretar dette. Men, på samme måte som at virksomhetens resultatansvar ikke tillegges regnskapskontoret, kan ikke juristene eller IT-sikkerhet holdes ansvarlig for personvernet. Personvern må sees på som en del av løpende forretningsdrift og innarbeides i virksomhetsstyringen.
Manglende interesse er ikke en unnskyldning for å bryte loven
I dag er det mange som slår seg til ro med at ledelsen sier de har god oversikt og kontroll på personvernet, men hvilke kontrollspørsmål stilles og hvordan rapporteres det?
Datatilsynets personvernombudsundersøkelse viser at det står dårlig til i norske virksomheter. I utgangspunktet skulle man tro at virksomheter som har utpekt personvernombud også ville ta dette mer på alvor, men selv der viser flertallet at det ikke er noen strukturert oppfølging, hverken via skriftlige rapporter eller møter og kun et mindretall rapporterer at ledelsen er interessert, eller svært interessert, i personvernarbeidet til ombudet. Da er det ikke vanskelig å tenke seg hvilken status det er i øvrige virksomheter.
Men, at andre følger en praksis som ikke tilfredsstiller lovkravet er vel ikke en grunn til å bryte loven selv? Og, det er all grunn til å tro at praksis vil endres, både ut fra hva loven dikterer, men også ut fra de saker som behandles i datatilsynene og domstolene. For eksempel stiller Schrems II-dommen i Europadomstolen krav til en vesentlig bedre presisjon i dokumentasjon og grunnlag for hvor personopplysninger behandles, også blant en virksomhets underdatabehandlere. Ferde-saken plasserer ansvaret og bevisbyrden utvetydelig på øverste ledelse og styret:
«Den aktuelle behandlingen av personopplysninger ble gjennomført uten at det forelå databehandleravtale, risikovurderinger eller overføringsgrunnlag for overføring av personopplysninger til Kina. Datatilsynet anser at dette må karakteriseres som klart uaktsomt å ikke ha på plass disse sentrale instrumentene etter personvernregelverket og Ferde som behandlingsansvarlig har ansvar for å sørge for at alle plikter etter personvernforordningen er oppfylt jf. personvernforordningen artikkel 5 nr. 2 (ansvarlighetsprinsippet). Videre legger vi til grunn at ansvaret ligger hos styret i Ferde AS, jf. aksjeloven § 6-12 første ledd første punktum og aksjeloven § 6-30. Vi understreker styrets tilsynsansvar med selskapets virksomhet jf. aksjeloven § 6-13. Denne uaktsomheten tillegges styret ved styreleder som må anses som å ha opptrådt på vegne av selskapet.»
Kilde: Datatilsynets vedtak om overtredelsesgebyr, pkt 6.1b
Det er flere interessante nyanser ved denne saken, så det anbefales å lese vedtaket i sin helhet. Det tar ikke lang tid og vil gi god innsikt.
Kontrollrutiner for personvernet er like viktig som for virksomhetens økonomi
Det må altså legges opp til gode kontrollrutiner for å sikre at personopplysninger behandles i tråd med regelverket. I en hverdag hvor digitalisering står sentralt og ny teknologi introduseres og tas i bruk fortløpende, er det derfor helt nødvendig å legge inn rutiner for å ivareta og dokumentere personvernet. Hva betyr dette i praksis?
La oss bruke økonomi og regnskap som et eksempel og en god parallell. De fleste virksomheter har et godt styringssystem for å følge opp økonomien, har klare regler for hvem som kan ta beslutning om økonomiske forpliktelser og hvilke vurderinger som må ligge til grunn. Nye aktiviteter, anskaffelser eller endringer vil alle vurderes fra et økonomisk perspektiv før de iverksettes. Det vil aldri ansettes en leder som ikke har et forhold til økonomistyring. Det samme burde gjelde for personvern. Hvorfor? Fordi personopplysninger kan sees på som en valuta med stor verdi og hvor et avvik kan ha vesentlig større betydning for virksomheten enn kroner og øre. Feil behandling av personopplysninger kan medføre i) tap av omdømme og tillit, ii) tap av forretning om kunder ikke får tilfredsstillende dokumentasjon iii) at grunnlaget for virksomheten bortfaller eller i hvert fall blir kraftig redusert dersom forretningsgrunnlaget innebærer ulovlig behandling av personopplysninger og iv) bøter fra myndighetene og søksmål fra registrerte.
PERSONVERNETS 1·2·3 FOR TOPPLEDELSE OG STYRET
1 |
Personopplysninger: alle opplysninger som kan knyttes til en enkeltperson, enten direkte eller indirekte. Behandling: enhver operasjon, eller rekke av operasjoner (innsamling, sletting, lagring, sammenstilling, konsultering, bruk, utlevering etc som gjøres med personopplysninger. Det betyr at personopplysninger behandles i alle prosesser og systemer. |
2 |
Kontantstrøm står sentralt i fastsettelsen av en virksomhets verdi. Virksomheter bruker data til å optimalisere prosesser og forbedre kontantstrøm. Men, er behandlingen lovlig og kontantstrømmen bærekraftig? |
3 |
Lovens ansvarlighetsprinsipp dikterer at virksomheten må kunne påvise etterlevelse av regelverket. Kan dere enkelt dokumentere at all behandling er lovlig? Hvor godt styringssystem har dere på bruk av data i deres virksomhet? |
Ferde kunne ikke dokumentere at de hadde gjort tilstrekkelige vurderinger, ei heller avtaler før de startet å bruke en databehandler som oversendte opplysninger til Kina. Dette er ikke unikt for Ferde. De fleste virksomheter benytter et stort antall fagsystemer for forskjellige formål. De fleste av disse systemene er satt sammen av tjenester som leveres av underdatabehandlere som igjen kan behandle opplysninger utenfor EU /EØS. Dette kan være et problem og stiller utvidet krav til vurderinger og dokumentasjon.
Forslag til tiltak
Hva bør man gjøre? På samme måte som man ville ha angrepet manglende kontroll på økonomien er det nødvendig med konkrete kortsiktige tiltak og noen mer langsiktige som etter hvert flyter i hverandre. Nedenfor listes det opp noen forslag til tiltak.
Kortsiktig
- Be om å få utlevert virksomhetens behandlingsprotokoll. Dette er en oversikt over alle behandlingsaktiviteter i virksomheten med hvilke opplysninger som behandles, på hvilket grunnlag og hvor behandlingen skjer. Kvaliteten i behandlingsprotokollen vil si noe om oppgavene dere står overfor.
- Be om å få utlevert en oversikt over alle IT-systemer som virksomheten benytter, fordelt på forretningsområde og med definert systemeier.
- På grunnlag av behandlingsprotokoll og systemregister:
- Benyttes det underdatabehandlere?
- Finnes det risikovurderinger?
- Finnes det gyldig databehandleravtale?
- Finnes det sikkerhetsdokumentasjon?
- Basert på svarene på a-d, innhent og kompletter dokumentasjon
- Syretest: Sammenlign med informasjon fra regnskap over hvilke systemer det betales for.
- Vurder pågående aktiviteter for forbedringsprogrammer/forretningsutvikling og avklar hvorvidt personvernvurderinger er gjort og er tilstrekkelige.
Mer langsiktige tiltak
- Sikre at virksomheten har et godt styringssystem for personvern, informasjonssikkerhet og informasjonsforvaltning. Sett aktivitetene i sammenheng med andre årshjul.
- Definer relevant revisjonssyklus på dokumentasjonen og oppfølging av databehandlere eller andre dere deler data med.
- Still krav til dokumentert etterlevelse til alle leverandører dere bruker. Valg av leverandører som ikke ivaretar lover og regler kan være en omdømmerisiko og være konkurransevridende.
- Sikre at virksomheten har oppdatert oversikt over databehandlere og deres underdatabehandlere samt innhenter sikkerhetsdokumentasjon, revisjonsrapporter for å kvalitetssikre verdikjeden.
- Sikre at ansvaret for personvern følger resultatansvaret og at det settes av nødvendige ressurser til opplæring og kompetanseheving i organisasjonen.
- Sikre at det stilles krav om personvernkompetanse ved rekruttering av nøkkelpersoner.
- Sikre at virksomheten har en godt definert anskaffelsesprosess for IKT systemer/databehandlere som sikrer at
- nødvendige risiko- og personvernkonsekvensvurderinger er gjort,
- at systemets sikkerhet er egnet for den behandlingen som skal gjøres,
- at databehandleravtale er inngått før behandlingen iverksettes.
- Sikre at informasjon som gis til de registrerte oppfyller kravene til enkelt og klart språk og samtidig er dekker nødvendig innhold.
- Sikre at alle forbedringsprosjekter og andre tiltak også er vurdert ut fra personvernperspektiv og at nødvendig dokumentasjon foreligger før det iverksettes.
I en hektisk hverdag kan dette virke overveldende. GDPR er et gjennomgripende regelverk og om alle deler av regelverket skal være oppfylt vil det kreve store ressurser, mye rapportering og ad-hoc arbeid. Samtidig, for de i virksomheten som sitter tettest på de enkelte aktivitetene og har ansvaret for disse så er selve arbeidet for å beskrive hva de gjør antagelig ganske enkelt. På samme måte vet systemleverandørene godt hvordan sikkerheten i løsningene deres er ivaretatt. Så, om arbeidet organiseres fornuftig, vi belastningen på hver især ikke være stor samtidig som virksomheten samlet får et stort løft.
Det finnes system for operativt personvern
Ansvarlighetsprinsippet krever at virksomheten fortløpende kan påvise etterlevelse. Å løse dette manuelt er veldig krevende og lite konstruktivt. På samme måte som at virksomheten investerer inn i et regnskapssystem for løpende oversikt og automasjon finnes det systemer for operativt personvern som på en smart måte kan innarbeides i løpende prosesser. Iconfirm har gjennom de siste 4 årene utviklet en samhandlingsplattform for operativt personvern som gir virksomheter god oversikt, styring og kontroll uten at det blir en stor ekstra belastning for virksomheten.