Av Ole Anders Ulsrud, rådgiver ved Norsk senter for informasjonssikring (NorSIS) og Stewart Kowalski, professor ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi, NTNU

NorSIS og NTNU arrangerer sammen med KPMG Sikkerhetstoppmøtet tre ganger i året. Det 23. Sikkerhetstoppmøtet i juni 2017 hadde GDPR som hovedtema for diskusjonen blant de 35 informasjonssikkerhetslederne fra offtentlige og private virksomheter som deltok. Hovedinntrykket er at virksomheter som fra før har gode virksomhetsstyringssystemer ser på det å tilpasse seg GDPR som overkommelig.

Ledelse, styring og tillitt

Erfaringene fra virksomhetene levner liten tvil om at tverrfaglig avklaring og koordinering fremstår som viktigere enn korte prosessuelle trinn med adskilte faggrupper i denne fasen. Det må etableres en kontekst relatert til hele ledelsessystemet i spennet fra IT-drift, utvikling og informasjonssikkereht til jus og bedriftskultur. For at dette skal kunne gjøres effektivt må toppledelsen ta ansvar i prosessene. Der det operative ansvaret for innføringen av GDPR legges utenfor toppledelsen fremkommer det fra Sikkerhetstoppmøtet at det vil avhenge av lokale forhold om ansvaret bør legges til juridisk avdeling, avdeling for internkontroll eller knyttes opp mot informasjonssikkerhetsfunksjonen.

Forholdet mellom organisasjoner

Forordningen gir føringer for forhold mellom en virksomhet og dens databehandlere. Det anbefales å begynne arbeidet med leverandørene tidlig, gjerne i parallell med den interne prosessen. Erfaringsmessig vil en rekke utfordringer knyttet til organisasjonsstrukturer oppstå og uavklarte avhengigheter mellom organisasjoner avdekkes. Det er derfor viktig å skrive gode avtaler som omhandler leverandørenes selvstendige plikter knyttet til GDPR.  Særlig virksomheter som opererer internasjonalt får et større selvstendig ansvar knyttet til rapportering ved dataeksport og –utlevering. Her minner vi på at selv om arbeidet utkontraheres, så forblir ansvaret internt. 

Vurdering av personvernkonsekvenser

Ett av de nye kravene er vurdering av personvernkonsekvenser av tiltak som medfører risiko for personvernet. En slik vurdering består av sammensatte tverrfaglige problemstillinger. Vi ser at eksisterende offentlig tilgjengelig metodikk gjerne ikke strekker til for disse vurderingene. Sikkerhetsoppmøtet pekte på ulike tilnærminger til dette, i spennet fra klassiske metoder for riskoanalyse til Privacy Information Managements Systems (PIMS) som en tjeneste. Det er en forventning fra NorSIS og NTNUs side at vi på sikt vil se at det vil etableres åpent tilgjengelige og standiserte verktøy og metoder for dette.

Rekruttering og opplæring

Mange norske virksomheter må nå etablere personvernombud. Det vil etterhvert bli en debatt om hva som er relevante kvalifikasjonskrav for denne rollen og hvordan samfunnet kan fylle dette kompetansebehovet gjennom kursing, sertifisering eller universitetsutdannelse. Erfaringene fra Sikkerhetstoppmøtet viser skepsis til å rekruttere kompetanse eksternt på dette området, men vi tror at dette vil endre seg på sikt. Ut over personvernombudet, virker det opplagt at alle ansatte fra nå av må være seg bevisst på utfordringene knyttet til personvern på samme måte som de for eksempel forholder seg til HMS.