AI-generert bilde.

Avvik

Det er nå andre uke i Nasjonal sikkerhetsmåned, og vi fortsetter med et nytt tema, «Avvik»

I denne artikkelen kan du lese om noen av overskriftene som ble snakket om i Dig. lunsj 10. oktober. Se opptak her:

Hva er «avvik»?

Illustrasjon
Illustrasjon av Petter Berg – Midjourney

Avvik er et tema som i stor grad dreier seg om lovverk. Vi kan se på et avvik som en beskjed til ledelsen, om at noe kan/må forbedres. Uten regler om avvik, har ikke organisasjonen kontroll på sitt eget kvalitetsarbeid.  

Mange organisasjoner har rutiner og er godt kjent med avviksregistrering av faglig karakter, men hvor flinke er vi til å håndtere avvik innen databehandling?  

Behandlingsansvarlig, som ofte er ledelsen i en organisasjon, har en plikt til å melde fra til Datatilsynet så fort som mulig, ved brudd på personopplysningssikkerhet (ref. artikkel 33 og 34, Personopplysningsloven).  

Personopplysningsloven inneholder noen personvernprinsipper som alle virksomheter må følge. Ett av prinsippene er ansvarlighet. Dette prinsippet går ut på at virksomheten skal ha full oversikt over sin behandling av personopplysninger og iverksette tekniske og organisatoriske tiltak som gjør at loven følges. Dette betyr at hver enkelt virksomhet må gjøre mange viktige vurderinger på egen hånd – før de samler inn og bruker personopplysninger. 

Virksomheten har også ansvar for å dokumentere at de følger loven. Brudd på reglene kan føre til sanksjoner, for eksempel advarsler, irettesettelser, forbud og pålegg.

Kilde: datatilsynet.no 

Personopplysningsloven inneholder både rettigheter og plikter, og disse bygger på noen prinsipper. Datatilsynet har satt opp en kort oppsummering av disse prinsippene, som vi gjengir her: 

Prinsipper:

Du finner en utfyllende veiledning til prinsippene på Datatilsynets nettside: https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/grunnleggende-personvernprinsipper/ 

Viktige spørsmål

Illustrasjon
Illustrasjon av Petter Berg – Midjourney

Nå som vi er kjent med ansvaret, kan vi stille oss en rekke spørsmål: 

  • Hvor kan jeg, og hvor kan jeg ikke lagre personopplysninger? 
  • Hvor skal møtereferater lagres? 
  • Hva er greit å skrive av personopplysninger i en teams-chat? 
  • Hvor kan vi oppbevare originaldokumenter?  
  • Hvor registrerer jeg avvik, og hvordan kan jeg være sikker på at det faktisk er et avvik? 

Dette er noen av spørsmålene som man bør reflektere over på egen arbeidsplass. Hvis du er usikker på, eller ikke kan svare på disse, er det viktig at man tar opp dette med nærmeste leder.  

Som nevnt innledningsvis, eksisterer avvikssystemet for at organisasjonen skal opprettholde kvalitet og kontroll over egne tjenester.  

Har du spørsmål rundt dette temaet, kan du kontakte din IKT-kontakt, eller sikkerhetsansvarlig i din organisasjon. 

Å melde avvik er en bra ting!

Illustrasjon
Illustrasjon av Petter Berg – Midjourney

Avvik i seg selv kan være ille, men det å melde fra om avviket er en bra ting. Er det noe du skal ta med deg videre etter at du har lest denne artikkelen, er det at du ikke skal være redd for å melde fra om avvik, og at ved å gjøre det, bidrar du til bedre kvalitet på tjenestene.