I perioden 2017–2019 gjennomførte DFØ et GDPR-prosjekt med ekstern prosjektbistand, hvor hovedformålet var å klargjøre hvilke krav som stilles til DFØ etter personvernforordningen (GDPR), herunder å identifisere hvilke endringer og tiltak som måtte iverksettes for å sikre tilfredsstillende etterlevelse av regelverket. Prosjektet fokuserte særlig på kartlegging av hvilke personopplysninger DFØ behandler i rollen som behandlingsansvarlig og databehandler, inngåelse av databehandleravtaler med kunder og leverandører, samt utarbeidelse av operative rutiner.

For å sikre kontinuitet i arbeidet og ferdigstille etablering av internkontroll på personvernområdet, igangsatte DFØ våren 2020 et nytt GDPR-prosjekt. DFØ har engasjert ekstern, rådgivende bistand også i dette personvernarbeidet. Prosjektet arbeidet systematisk og målrettet med etablering av helhetlig internkontroll for personvern. Dette for å sikre god oversikt, systematisk forbedring og etterlevelse av personvernregelverket over tid.

GDPR-prosjektet er nå avsluttet og internkontrollen er etablert, med rutiner for jevnlig gjennomgang og forbedring. Aktivitetene knyttet til dette fremgår av personvernombudets årshjul.

I 2021 gjennomførte DFØ en oppfølging av underleverandører etter anbefalte retningslinjer fra Datatilsynet og Det europeiske personvernrådet (EDPB) med ekstern bistand. Du kan lese mer om dette nedenfor under punkt 5.5. I 2022 har DFØ gjennomført en internrevisjon av personvernområdet, med en uavhengig testing gjennomført av PwC. Denne rapporten med vedlegg er resultatet av tredjepartsrevisjonen. Formålet med rapporten er å gi DFØs kunder en status på arbeidet med personvern siden forrige statusrapport for 2020, som ble publisert i januar 2021.