På tide å løfte arbeidet med personvern

2018-05-16
Mange er usikre i møte med de skjerpede kravene til personvern. – Start med å øke bevisstheten rundt hvilke personopplysninger dere samler inn og rutinene for hvordan disse oppbevares og behandles, oppfordrer KA-sjef Marit Halvorsen Hougsnæs.

EU personvernforordning – The General Data Protection Regulation (GDPR) – innføres etter planen i Norge tidligst 1. juli. Selv om tematikken er mye omtalt i mediene, er mange usikre på hva GDPR innebærer.

En meningsmåling som Dagens Næringsliv fikk gjennomført i slutten av april, viste at bare 15 prosent av befolkningen er meget eller ganske godt kjent med hva de nye reglene innebærer. 57 prosent oppga at GDPR er fullstendig ukjent for dem.

Datatilsynet skriver dette om GDPR: «Det nye personvernregelverket legger vekt på ansvarlighet og internkontroll hos virksomheten fremfor forhåndskontroll fra Datatilsynet. Kravene til avviksbehandling, varsling av berørte og kontinuerlig arbeid med informasjonssikkerheten skjerpes i det nye regelverket.»

Oppfordrer til å skaffe oversikt

Det samles inn og brukes mye personopplysninger i Den norske kirkes virksomheter, for eksempel i barne- og ungdomsarbeid, når noen skal vies, i konfirmantarbeid og i gravplassforvaltningen. Også i organisasjonslivet er tematikken svært aktuell. Mengden data vil variere mellom de ulike tiltakene/arbeidsområdene, men prinsippene for behandling av opplysninger er de samme.

Administrerende direktør i KA Arbeidsgiverorganisasjon for kirkelige virksomheter, Marit Halvorsen Hougsnæs, oppfordrer medlemsvirksomhetene til raskt å skaffe seg et overblikk over hovedpunktene i nytt regelverk. Det er utarbeidet korte og gode oversikter blant annet på Datatilsynets hjemmesider. Med det som utgangspunkt er det mulig å lage en tidsplan for gjennomgang av risiko og rutiner i virksomheten.

– Viktig å skape bevissthet

– Kravene til personvern og forsvarlig behandling av sensitiv informasjon og andre personopplysninger er allerede strenge. GDPR er en skjerpelse, men ingen revolusjon. Det aller viktigste nå er å skape en større bevissthet rundt egne rutiner for innhenting, oppbevaring og sletting av personopplysninger, samt å tenke gjennom hva som må ryddes opp i av gamle papirer og datafiler, sier Hougsnæs.

– Vi oppfordrer alle våre medlemsvirksomheter til å sette GDPR på agendaen så fort som mulig, hvis de ikke allerede har gjort det. Hvordan behandler dere personopplysninger i dag? Har dere et oversiktlig og sikkert arkivsystem, eller ligger dokumenter rundt omkring på private serverområder, i bunker på kontorer eller på minnepinner i en skuff? En samtale om dette vil forhåpentlig identifisere en del enkle tiltak som kan bety mye.

Kritierier for innhenting og oppbevaring

Hougsnæs understreker at det ikke vil bli ulovlig verken å innhente eller å oppbevare personopplysninger og sensitive opplysninger etter 1. juli, så lenge visse kriterier er oppfylt:

  • Det må være et konkret formål med innhenting og oppbevaring.
  • Det skal spørres kun etter opplysninger som er relevante for å oppfylle formålet.
  • Den som gir fra personopplysninger skal forstå hva opplysningene skal brukes til. Ansvaret for at dette blir forstått, ligger på den som henter inn opplysningene, og dette må dokumenteres. (Datatilsynet formulerer det slik: «Alle skal gi god informasjon om hvordan de behandler personopplysninger.»)
  • Opplysningene skal oppbevares på en sikker måte. Dette innebærer blant annet at tilgang kun gis til personer som har et legitimt behov for det.
  • Innhenting av sensitiv informasjon forutsetter egen lovhjemmel. Nærliggende eksempler er opplysninger til medlemsregisteret (Forskrift om Den norske kirkes medlemsregister) og i forbindelse med gravferdsforvaltningen (Gravferdsloven).
  • Opplysningene skal slettes når formålet med dem er oppfylt. Dersom man ønsker å bruke opplysningene til et nytt formål, må samtykke hentes inn på nytt. Kirkelige organer må vurdere pålegg om sletting av opplysninger i lys av arkivloven, som fortsatt gjelder for Den norske kirke.

Forklar hvorfor du spør

Et eksempel fra kirkelig sektor kan være innskriving av konfirmanter. Da vil det være legitimt å be om navn, personnummer og kontaktinformasjon til konfirmanten, samt navn og kontaktinformasjon til foreldre.

Det vil også være legitimt å be om opplysninger som er nødvendige for å gjennomføre undervisning og eventuelt leir på en forsvarlig måte, slik som lærevansker, allergier eller sykdommer. I slike tilfeller er det viktig å forklare hvorfor man spør, slik at formålet er tydelig for den som svarer.

Det må være klare rutiner for lagring og hvem som har tilgang til innsamlet personinformasjon, og at informasjonen ikke brukes til andre formål enn det opprinnelige. Når konfirmasjonstiden er over skal all innsamlet informasjon slettes, med unntak av den informasjon som ifølge arkivreglene skal arkiveres for ettertiden.

Dersom menigheten ønsker å offentliggjøre navneliste over konfirmantene før selve konfirmasjonshandlingen har funnet sted, kan dette tas med i skjemaet, med mulighet for den enkelte til reservere seg. Det samme gjelder dersom gruppebilde av konfirmantene skal publiseres i lokalavis og/eller menighetsblad.

Slette når noen slutter

Som arbeidsgiver har man fortsatt rett til å innhente og oppbevare opplysninger som er nødvendige for å oppfylle arbeidskontrakten, slik som navn, adresse, personnummer og kontonummer. Navn og kontaktopplysninger til pårørende er frivillig å oppgi til arbeidsgiver, men det er også fullt lovlig og anbefalt å spørre ansatte om dette.

Arbeidsgiver har rett til å publisere opplysninger knyttet til arbeidsforholdet, slik som for eksempel navn, ansvarsområde, telefonnummer og e-postadresse, på sine hjemmesider. For bruk av portrettbilde kreves samtykke av den enkelte arbeidstaker. Det samme gjelder dersom arbeidsgiver ønsker å publisere mer detaljerte opplysninger om arbeidstakeren, som for eksempel CV.

I løpet av et arbeidsforhold vil arbeidsgiver innhente mye personinformasjon om de tilsatte, for eksempel helseopplysninger. Det meste av denne informasjonen skal slettes når arbeidsforholdet tas slutt, med unntak av den informasjonen som arkiveres i henhold til arkivloven.

Ansvarsfordeling mellom KA og Kirkerådet

En arbeidsgruppe nedsatt av Kirkerådet og KA har siden i vinter jobbet med det mål å best mulig kunne veilede i og implementere det nye regelverket i Den norske kirke. Generelt er det Kirkerådet som har hovedansvar for å gi råd om personvernspørsmål som angår medlemsregisteret, frivillige, kirkelige handlinger og så videre. KA har hovedansvar for å gi råd om personvernspørsmål som angår arbeidsgiverrollen og gravplassforvaltning.

Noe stoff er allerede lagt ut på Kirkebakken (intranett for alle virksomheter i Den norske kirke). KA vil komme med et rundskriv i løpet av noen uker. Det vil også bli laget forslag til personvernerklæring og praktiske rutiner for håndtering av personalinformasjon. KA arbeider også med å få avklart i hvilken grad fellesrådene har behov for en egen personvernombudsordning.

Det jobbes dessuten med å lage en samlet felles framstilling av generelle krav og rutiner som må foreligge på alle områder (medlemshåndtering, gravplassadministrasjon, ansattinformasjon), samt konkrete eksempler på besvarelser av case og forslag til maler. Gjennomgående temaer vil være kravet til behandlingsgrunnlag, når kreves det samtykke, krav til risikovurdering og rutiner for avviksrapportering.

KA og Kirkerådet vil ta initiativ til en felles «Sikkerhetsmåned» i høst. Da vil blant annet alle kirkelige organer bli oppfordret til å rydde opp i gamle data og slette det som skal slettes.

 

Sentrale begreper

Personopplysninger: En opplysning eller vurdering som kan identifisere eller knyttes til deg som enkeltperson, for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, og fødselsnummer (både fødselsdato og personnummer), adferdsmønster.

Sensitive personopplysninger: Etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, straffemessige forhold, helseforhold, seksuelle forhold eller medlemskap i fagforeninger m.m.


Nyheter

Klimaendringene truer kirkene våre
Klimaendringene truer kirkene våre
Det gjøres mye for å sikre og vedlikeholde norske kirker, men større vannbelastning og fare for flom og skred gjør at arbeidet må...
Tilgjengelighetens hensikt
Tilgjengelighetens hensikt
Å gjøre kirken tilgjengelig for alle, handler ikke bare om universell utforming, men også om å hjelpe folk til å forstå det de ser, skriver...
Kataloghaiene prøver seg igjen – ikke la deg lure
Kataloghaiene prøver seg igjen – ikke la deg lure
Ikke kjøp katalog- eller kartoppføringer av telefonselgere. Ikke «bekreft» avtaler som ikke finnes. Og sjekk alle mottatte fakturaer nøye.
«Nedleggelse av kristne og ideelle barnehager?»
«Nedleggelse av kristne og ideelle barnehager?»
– Mange barnehager med utvidet formål risikerer å måtte stenge dørene. Det er konsekvensene av at regjeringen ønsker en barnehagenorm de...
Slik har kirkelige virksomheter merket #metoo
Slik har kirkelige virksomheter merket #metoo
63 prosent av virksomhetene i Den norske kirke oppgir at #metoo-kampanjen har påvirket dagliglivet i staben på én eller flere måter. Ny...
Landsrådet samlet seg om ny strategiplan
Landsrådet samlet seg om ny strategiplan
Ekstraordinært landsråd ga sin tilslutning til styrets forslag til ny strategiplan for KA.
Forbudt nysgjerrighet
Forbudt nysgjerrighet
I en rekrutteringsprosess er det avgjørende å få fram søkernes kvalifikasjoner og egnethet. Den nye likestillings- og diskrimineringsloven...
Nå må arbeidsgivere jobbe aktivt mot diskriminering
Nå må arbeidsgivere jobbe aktivt mot diskriminering
Fire lover er blitt til én: I den nye likestillings- og diskrimineringsloven er arbeidsgivers aktivitetsplikt tydeligere enn før.
Kirkepartner er blitt ett selskap
Kirkepartner er blitt ett selskap
Ved sammenslåingen av Kirkepartner AS og Kirkepartner IKT AS har Kirkerådet og 134 fellesråd overtatt eierskapet til Den norske kirkes felles...
Kirkemøtet vil ha delt finansiering, lovhjemmel for fellesorgan og lovfesting av soknets oppgaver
Kirkemøtet vil ha delt finansiering, lovhjemmel for fellesorgan og lovfesting av soknets oppgaver
Den norske kirkes øverste organ fulgte anbefalingen fra lokale råd og fra Kirkerådet.
Kirkevergene er bekymret for lokalkirken
Kirkevergene er bekymret for lokalkirken
Nyvalgt leder i Norges Kirkevergelag, Oddbjørn Eide, er redd for resultatet dersom Kirkemøtet går inn for å kutte båndene til kommunen. –...
«Kirkemøtet må bidra til konsensus og bygge bro»
«Kirkemøtet må bidra til konsensus og bygge bro»
– Kirkemøtet har to overordnede oppgaver når delegatene samles i Trondheim: Å finne en samlende løsning på den internkirkelige uenigheten om...
Advarer mot flom ved kirker og på gravplasser
Advarer mot flom ved kirker og på gravplasser
Hver sjette norske kirke ligger i aktsomhetssonen for flom. Med flomsesongen på vei er det ekstra viktig å gjøre en grundig risikovurdering av...
Slår et slag for kirkeklokkene
Slår et slag for kirkeklokkene
Kirkeklokkene binder oss sammen med tusen års historie. En ny bok fra KA og Riksantikvaren skal bidra til at disse kulturminnene ikke forvitrer...
Lederskapets kjerne
Lederskapets kjerne
Godt lederskap handler ikke om å svelge kameler, men om å forvalte fellesskapets fortid og nåtid og samtidig peile ut en retning som kan sikre...
«Nasjonale kulturminner er et statlig ansvar»
«Nasjonale kulturminner er et statlig ansvar»
Det er på tide at regjeringen sørger for en økt innsats for å ta vare på de mest verdifulle kirkene, skriver KAs Øystein Dahle og NIKUs...
Endelig klart for etterspurt musikk-kurs
Endelig klart for etterspurt musikk-kurs
Til høsten kan kirkemusikere utvikle sin kompetanse på rytmisk musikk i et samarbeid mellom Musikkhøgskolen, NLA i Staffeldtsgate og Fagutvalg...
Fellesrådsnettverket har etablert nasjonal struktur
Fellesrådsnettverket har etablert nasjonal struktur
Nettverk for Kirkelige Fellesråd (NKF) har nå en regional og nasjonal struktur på plass. Jørn Lemvik fra Oslo er valgt til å lede styringsgruppa.
...

Powered by Cornerstone