Hvor går Datatilsynet videre?

I et innlegg på Personvernbloggen går Datatilsynets direktør Bjørn Erik Thon gjennom de viktigste personvernhendelsene det siste året og erfaringer fra Datatilsynet. I innlegget kommer det også frem noen viktige «takeaways».

  • Datatilsynet og NSM mener at det meste kan utkontrakteres, og til de fleste steder, bare man gjøres grundig forhåndsvurdering hvor resultatet av vurdering er at utkontraktering er forsvarlig.
  • Datatilsynet stiller følgende grunnleggende spørsmål ved gjennomganger hos virksomheter (som enhver behandlingsansvarlig bør kunne besvare uten alt for lang betenkningstid):
    • Hva samles inn av personopplysninger, klassifisering av dataene?
    • Hvilke risikovurdering er gjort?
    • Hvilke opplysning gis til de registrerte?
    • Når slettes opplysninger?
    • Overføres data til utlandet?
    • Tredjeparter? Hva samles inn, deles og til hvilke formål?
  • Det har vært en enorm økning i avviksmeldinger, og det blir trolig nær 1000 innen årets utløp. Dette har gjort at Datailsynet har opprettet en egen gruppe som håndterer avviksmeldinger for å etablere en lik praksis for avviksmeldinger, og Datatilsynet vil senere informere om hva som er nivået for å sende inn melding.
  • Alle saker av internasjonal karakter vil bli samlet i en egen database (kalt IMI).
  • 583 personvernombud er meldt inn i Altinn, som representerer 787 virksomheter. Dette er for lavt mener Datatilsynet og vil i løpet av høsten kontrollere om offentlig virksomheter har innført ombud.
  • Det er ikke kommet inn noen anmodning om forhåndsdrøftelse som følge av konsekvensvurdering (DPIA).
  • Det er ikke kommet noen saker om dataportabilitet.
  • Det er kommet inn 10 bransjenormer til godkjenning. Det er identifisert 30 områder hvor det arbeides med normer.
  • Datatilsynet strammer inn på veiledningsmøter, og krever at de som vil ha veiledning er bedre forberedt.
  • Det vil innføres ny tilsynsmetodikk.

Les innlegget her:  https://www.personvernbloggen.no/2018/09/06/personvernaret-2018/

Kurs i GDPR