.

Aktuelt

Data- og personsikkerhet på alvor

Samfunnsviterne forbereder seg på å møte kravene i de nye personvernreglene, som trer i kraft neste år.
  • Gunn Kvalsvik
  • Pixabay/Håvard Schei

25. mai neste år trer EUs personvernforordning i kraft, både i EU og i EØS-landet Norge. Det betyr sterkere vern av våre personopplysninger og en innskjerping av kravene til virksomheters lagring, deling og håndtering av informasjon. Det handler om en forordning som tar mål av seg å skape et mer ensartet datasikkerhetslovverk.

 

Advokat og personvernrådgiver Åse Marie Eliassen, som har jobbet med data- og personsikkerhet i Samfunnsviternes sekretariat de siste syv årene, hilser forordningen velkommen.

 

– Jeg mener vi har bygget opp god kompetanse om personvernreglene og hovedprinsippene rundt sikring av medlemsopplysninger. Vi har også et aktivt blikk på hvordan status er i egen organisasjon, så totalt sett synes jeg at vi er i rute, mener Eliassen.

 

– Vi innførte et ISO-basert internkontrollsystem for sju år siden, og med dette i bunnen har vi jobbet med å utvikle praksis og rutiner i takt med egne erfaringer og utfordringer som må løses. Dette gjør at jeg opplever at foreningen er godt skodd for det EU kommer med, fastslår hun.

 

– Like fullt er det absolutt ting å ta tak i fram til mai neste år.

 

Mer fokus – heldigvis

Fokuset på datasikkerhet har vokst frem i takt med teknologiveksten. Stadig nye produkter og løsninger med tilhørende problemstillinger krever ny innsikt i både sikkerhetsordninger og reguleringer.

 

– Jeg må innrømme at jeg ikke var hoppende glad da jeg fikk denne oppgaven i fanget i 2010. Internkontrollsystemet vårt er omfattende og er nok utformet for å passe større organisasjoner enn vår. Erkjennelsen av at personvern er viktig, har likevel vært der, og etter hvert har både kunnskapen og interessen min vokst. Det hjelper nok at jeg er jurist og at sånne som meg fort kan bli nerdete når det kommer til lover og forordninger, ler personvernrådgiveren.

 

Med en generalsekretær og ledelse som også er fokusert på gode rutiner og sikkerhetsforordninger, har foreningen bygget datasikkerhet på en solid grunnmur, stadig justert rutiner i henhold til det som er påkrevd og på et vis klart å sjonglere mellom nytte og sikkerhet. Eliassen er fornøyd med retningen og status.

 

– Interessen rundt personvern og datasikkerhet er økende. Vi merker det internt, i Akademiker-fellesskapet og ellers i samfunnet. Det at dette nummeret av Samfunnsviteren omhandler datasikkerhet og at jeg nylig var på styremøte for å informere om nye personvernregler og status for dette arbeidet i Samfunnsviterne, er veldig bra. All oppmerksomheten rundt de nye reglene er en god ting, det dytter oss fremover.

 

Mye er gjort, men arbeid gjenstår

– Vi har nylig justert rollefordelingen internt i sekretariatet slik at flere skal være tett involvert i personvernarbeidet, og det er oppnevnt en intern arbeidsgruppe som vil jobbe med å forberede foreningen på det nye regelverket. Det kjennes betryggende å få på plass den nye arbeidsgruppen, mener Eliassen, og viser til at gruppens representanter har ulik kompetanse og erfaring fra flere viktige driftsområder.

 

Personvernrådgiveren er den første til å erkjenne at det er krevende å jobbe kontinuerlig med informasjonssikkerhet. Hun mener at selv om foreningen har et solid fundament, gjenstår det mye arbeid:

 

– De nye reglene stiller nye og strengere krav. Vi må sørge for mer og bedre informasjon ut til medlemmene om hva vi registrerer, på hvilket grunnlag, hvordan opplysningene behandles og hvem de kan kontakte hvis de har spørsmål om personvern. Vi må også se på samtykkerutiner og hvordan vi kan styrke veiledningen og opplæringen av våre tillitsvalgte og deres ivaretakelse av personvernet lokalt. Dette er kjente temaer hvor kravene blir strengere. De nye reglene stiller også krav som er helt nye for oss, blant annet retten til dataportabilitet. Her må vi sammen med våre IKT-leverandører se på hvordan vi kan imøtekomme dette.

Advokat og personvernrådgiver Åse Marie Eliassen stiller seg positiv til oppmerksomheten rundt de nye reglene. - Det er en god ting, det dytter oss fremover, sier hun.

 

Balanse mellom deling og sikring av data

Eliassen peker på at en av utfordringene ved fagforeningsvirksomhet og personvern er at fagforeningsmedlemskap ifølge både nåværende og nye personvernregler er definert som en sensitiv personopplysning.

 

Kategoriseringen av medlemskap som en sensitiv informasjon påvirker hvordan vi kan og skal behandle medlemmenes personopplysninger. Vernet av sensitive personopplysninger er generelt strengt, selv om det også ved slike opplysninger er rom for å hensynta at noen sensitive opplysninger har større skadepotensial enn andre hvis det havner hos uvedkommende.

 

– Vi klarer ikke å drive foreningen uten å dele informasjon. E-poster med signatur, deltakerlister på kurs og seminarer og så videre er i mange tilfeller umulig å gjøre helt usynlig. Medlemmene selv stiller også krav om effektiv og rask behandling, og mye kommunikasjon skjer via e-post. De siste årene har vi utviklet og tatt i bruk nye IKT-systemer, og det har vært temmelig krevende å finne en funksjonell balanse mellom komplekse systemer som er skapt for å dele informasjon, og behovet for å skjerme noen typer informasjon som er særlig sensitiv og personlig.

 

Eliassen forteller at noe informasjon er særlig beskyttet også innad i sekretariatet. Saker hvor foreningen gir arbeidsrettslig bistand til enkeltmedlemmer er skjermet slik at det bare er saksbehandlerne som har tilgang. Hun mener dette er en naturlig følge av at ikke alle i sekretariatet har behov for tilgang til disse sakene.

 

– Vi har hele tiden som mål å finne gode og effektive rutiner slik at vi kan oppfylle lovens krav. Personvern handler om tillit. Medlemmene våre skal kunne ha tillit til at foreningen behandler deres opplysninger på en god måte. Det er et ansvar vi tar på alvor. At vi har et samfunn med hurtig endringstakt og teknologiutvikling gjør at sikkerheten rundt personvern stadig blir utformet. Datatilsynet har gode nettsider med bra informasjon, og disse har vært veldig viktige for mitt eget engasjement og arbeid, fremhever hun.

 

Framtiden

Eliassen mener det er gode grunner til å støtte strengere plikter for den enkelte virksomhet og sterkere vern av de registrertes rettigheter. Hun anser også at forordningen er nødvendig fordi data og informasjon beveger seg over landegrenser, og internasjonale reguleringer må derfor være på plass. Hun kjenner innholdet i den nye EU-forordningen siden hun har bidratt til foreningens høringsinnspill til en ny, norsk personopplysningslov.

 

– EUs forordning peker blant annet på bransjesamarbeid og opprettelse av flere personvernombud. Det tror jeg er fornuftig. For oss er det i første omgang naturlig å samarbeide innen Akademiker-familien. Så langt har mange strevet og laget egne systemer, men her kan vi lære mye av hverandre. Vi er i gang med et uformelt samarbeide med noen av foreningene, og jeg håper at vi på sikt kan får etablert et mer permanent samarbeid, sier hun.

 

En del av risikoarbeidet handler om god kommunikasjon. Å kommunisere om personvern høres kanskje lett ut, men er vanskelig. Likevel er det på dette området mye skal gjøres fremover.

 

– Jeg tror og erfarer at sikkerhet får mer og mer fokus fremover. Mange er «på alerten», ikke bare de som jobber med sikkerhet. Det handler om godt og klart språk, åpenhet om hvordan vi jobber og enda mer kursing og veiledning av både ansatte og tillitsvalgte, avslutter hun.