job Kvalitet og metode

Hvordan kan risikostyring bidra til bedre personvern i virksomhetene?

Personvern handler mye om å ha god risikostyring. Informasjon har verdi. Den har verdi for virksomheten og i forhold til den enkeltes behov for personvern.

Rollen til risikostyringsfunksjonen er å bistå organisasjonen i å ha et trygt opplegg for å forvalte denne verdien. 

I denne artikkelen knyttes først alminnelig risikostyringsbegrepsapparat, -metoder og -verktøy sammen med lovgivningens bestemmelser. Deretter foreslås en rekke spørsmål som virksomhetene bør stille seg for å sikre riktig bidrag fra risikostyring til personvernarbeidet.

Risikostyring, vårt begrepsapparat, metoder og verktøy

De aller fleste som arbeider med risikostyring i dag benytter en standard eller et rammeverk som innebærer innføring av helhetlig risikostyring, eksempelvis ISO 31000:2018 og COSO ERM: 2017. Det er også vanlig å benytte COBIT (Information System Control Standard), ITIL (Information Technology Infrastructure Library) eller ISO/ IEC 27001 (ledelsessystem for informasjonssikkerhet) for å sikre bruk av beste praksis i struktur, drift og utvikling på IKT-området.

ISO 31000:2018 og COSO ERM:2017 har følgende fellestrekk:

  • Risiko forbindes med virkningen av usikkerhet på måloppnåelsen. Usikkerheten kan være negativ, positiv, eller begge deler. Risikostyrer bør være like opptatt av «muligheter» som av hendelser som «kan gå galt».
  • Risikostyring benyttes til å skape og å beskytte verdier.
  • Risikostyring bør være integrert i alle strategiske, taktiske og operasjonelle beslutningsprosesser.

I sitt arbeid med helhetlig risikostyring har risikoleder anledning til å benytte mange ulike metoder og verktøy for kontekstanalyser, risikoidentifisering, risikovurdering -og håndtering. I tillegg kan risikoleder benytte 3-faktormodellen for å vurdere verdier, trusler og sårbarhet når objektsikkerhet, personsikkerhet eller informasjonssikkerhet står på dagsordenen.

Personvernlovgivning 

Lov om behandling av personopplysninger med GDPR (General Data Protection Regulation) ble kunngjort 15.06.2018, med ikrafttredelse fra 20.07.2018. GDPR er en forordning og gjelder som norsk lov, dvs. uten de muligheter for lokale tilpasninger og omskrivninger som et direktiv tillater. Risikoleder må forholde seg til de krav og formuleringer i loven inklusiv forordningen.

Lovens intensjon vedrørende risikostyring

I forbindelse med innføring av GDPR har European Commission utgitt publikasjonen «The GDPR: New Opportunities, New Obligations». For risikoledere gir tittelens fokus på mulighetene assosiasjoner til helhetlig risikostyring. I publikasjonen nevnes det fem muligheter GDPR bringer til virksomhetene. En av disse er «risikobasert tilnærming» som lover tilpasninger skreddersydd til virksomhetens risikobilde.

Lovens intensjon er å benytte risikostyring for å oppnå godt personvern bl.a. ved å dosere de tekniske og organisatoriske tiltak etter risikobildet.

Hva med lovens bokstav?

Begrepet risiko fremkommer i mange av de artiklene i forordningen. Forordningen fokuserer kun på «høy risiko» og «negative konsekvenser for fysiske personers rettigheter og friheter». Eksempler er: 

Artikkel 24. Behandlingsansvarliges ansvar 

Artikkel 25. Innebygd personvern og personvern som standardinnstilling 

Artikkel 30. Protokoller over behandlingsaktiviteter, pkt.5

Artikkel 32. Sikkerhet ved behandlingen, pkt.1.

Artikkel 33. Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten, pkt.1

I alle disse artiklene leser vi følgende formulering:

«…I det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak…»

Forordningens Artikkel 32.2, pkt.2 omhandler egnet sikkerhetsnivå som impliserer bruk av 3-faktor modellen. Artikkelen lyder:

«…Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke–autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet….»

«Slett databehandling» er en trussel som påvirker tilgjengeligheten, konfidensialiteten og integriteten av personopplysninger og skaper negative konsekvenser for enkelte personers rettigheter og friheter.

Fokuset på «høy risiko» synliggjøres i Artikkel 35 Vurdering av personvernkonsekvenser, pkt.1 som sier:

«… Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og i det det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet….».

Dette er den mye siterte formuleringen om Data Protection Impact Assessment (DPIA) som virksomheter har hatt høyt fokus på.

Kun i et tilfelle ser vi krav til helhetlig risikostyring i forordningen, i forbindelse med definisjon av personvernombudets oppgaver. Artikkel 39 pkt 2 sier at

«… Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoene forbundet med behandlingsaktivitetene, i det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i …»

Noen kritiske spørsmål for risikostyring og personvernsarbeid 

Lovens bokstav åpner for følgende spørsmålsstillinger:

1. Benytter vi risikobasert tilnærming i vårt personvernarbeid og tilpasser våre tiltak til risikobildet etter tilstrekkelige analyser av intern og ekstern kontekst, størrelse av risikoer og muligheter, rotårsaker til disse i tillegg til en vurdering av eksisterende kontrolltiltak? 

2. Fokuserer vi kun på «høy risiko og nedside»? Hva med å utnytte mulighetene som kan gi et bedre personvern til virksomhetene?

3. I vanlige risikoanalyser vurderer virksomhetene middelsstore (gul og oransje) risikoer etter kostnadene ved å mitigere dem. Mange ganger knyttes det proaktive tiltak til disse fordi virksomheten finner dette akseptabelt. Fokuserer vi kun på høy risiko i vårt personvernarbeid?

4. Benytter vi kun DPIA? Bruker personvernombudet tilstrekkelige verktøy for å identifisere, prioritere, analysere, evaluere og håndtere risikoene/mulighetene?

5. Har vi fokus på rotårsaker? Bruker vi analyser for å avsløre kritiske kontrollpunkter i våre prosesser?

Risikoleder bør være den egnede ressurs som kan besvare disse spørsmålene i en virksomhet og dermed sikre at personvernarbeidet får en riktig plass i virksomhetenes helhetlige risikostyring. Dette krever tett samarbeid med HR, IKT, Compliance, Juridisk og Kvalitetsmiljøene i virksomheten.

Avslutningsvis

Når personvernarbeidet gjøres som en del av helhetlig risikostyring inneholder det følgende elementer:

• Vurderinger og analyser som identifiserer både risikoer og muligheter, risikokategorier og rotårsaker ved bruk av egnede verktøy. Disse analyser bør også omfatte manuell behandling av data. Virksomhetene bør utnytte mulighetene og innføre tiltak på «ikke høyrisiko» områdene hvis de finner preventive eller holdningsskapende tiltak fornuftige.

• 3-faktor modell for å vurdere sårbarhet, tilgjengelighet og konfidensialitet

• DPIA etter en grundig vurdering av forhold som er beskrevet i Artikkel 35.

Den   nye personvernlovgivningen inneholder muligheter for å bruke kraftige bøter. Mange virksomheter fokuserer derfor på lovens bokstav i stedet for intensjonen. Det jobbes med å identifisere høy risikoområder, konsekvenser for de registrerte og DPIA. Dette bør ikke gå på bekostning av helhetlig risikostyring. Når fokus på intensjonen bak GDPR er premissgivende for arbeidet med personvern, ikke frykten for bøter, betyr det at risikostyringen lyktes i virksomheten.