DFØ arbeider systematisk og målrettet med forbedring av internkontroll for personvern, slik at vi sikrer lovlig behandling av personopplysninger, herunder i rollen som databehandler.
Internkontroll for personvern består av overordnet styrende dokumentasjon, samt gjennomførende og kontrollerende rutiner. Internkontrollen skal sikre at etterlevelsen av personvernregelverket dokumenteres.
DFØs styrende dokumentasjon for behandling av personopplysninger består av en policy for behandling av personopplysninger og beskrivelse av organiseringen av personvernområdet med tilhørende roller og ansvar. Den styrende dokumentasjonen er forankret og godkjent hos ledelsen, og legger tydelige føringer for DFØs behandling av personopplysninger. DFØ fører protokoll over sine behandlingsaktiviteter i tråd med personvernregelverket, både i rollen som behandlingsansvarlig og databehandler.
DFØ har organisert personvernområdet slik at alle sentrale roller er på plass og oppgaver ivaretas. DFØ har styrket innsatsen på personvernområdet ved å ansette et personvernombud på heltid fra 1. januar 2021. fra mars 2022 har DFØ hatt et midlertidig personvernombud i 50 % stilling. Fra høsten skal det ansettes nytt personvernombud i 100 % stilling.
På det gjennomførende nivået har DFØ utarbeidet rutiner som operasjonaliserer DFØs policy for behandling av personopplysninger og sørger for at personvernregelverket etterleves i den daglige håndteringen av personopplysninger. DFØ arbeider kontinuerlig med å implementere og forbedre rutinene på personvern i virksomheten.
For å kunne kontrollere og vurdere om etablerte føringer og rutiner fungerer etter sin hensikt, og sørge for at DFØ etterlever regelverket på en tilfredsstillende måte, har DFØ etablert et årshjul med definerte kontrollaktiviteter og rapporteringer. Årshjulet inneholder også aktiviteter knyttet til gjennomgang og eventuell oppdatering av styrende dokumenter og etablerte rutiner.
Samlet sett skal etablerte aktiviteter og rapporteringer sikre at DFØs internkontroll er dekkende og bidrar til at personvernregelverket etterleves.
Det er utarbeidet rutine for ledelsens gjennomgang, og denne aktiviteten er gjennomført i 2021 og 2022. Neste gjennomføring er satt til 2023.
Opplæring og bevisstgjøring er sentrale tiltak for å lykkes med personvernarbeidet. Vi arbeider løpende med å sikre god kunnskap og bevissthet hos ansatte, slik at de forstår ansvaret som ligger hos den enkelte ved behandling av personopplysninger. DFØ gjennomfører opplæring på personvern for alle nyansatte, ansatte som arbeider med personvern, samt jevnlig for ledelsen og øvrige ansatte divisjonene. I tillegg avholdes webinarer som er tilpasset for ulike målgrupper.
I forbindelse med utarbeidelsen av ny databehandleravtale har vi beskrevet rutine for revisjon av DFØs etterlevelse av databehandleravtalen. Kunden har anledning til å be om at det gjennomføres revisjon hos databehandler én gang i året. Påbegynnelsesdato for revisjon er 1. mars, og frist for å komme med kundeinnspill er 1. desember. Mer om dette kan du lese i Databehandleravtalen Vedlegg C – Instruks punkt C.
Etter Schrems II-dommen har DFØ jobbet med å utarbeide en fullstendig oversikt over sine systemer, herunder skyløsninger, med hensyn til eventuelle overføringer til tredjeland. DFØ har fulgt opp sine leverandører i tråd med anbefalingene fra Det europeiske personvernrådet (EDPB) og Datatilsynet. Det ble innhentet ekstern bistand fra advokatfirma i forbindelse med dette arbeidet. Les mer om dette under punkt 5.5.
EU-kommisjonen vedtok i 2021 at Storbritannia har et godt nok beskyttelsesnivå for personopplysninger. Det er derfor ikke nødvendig med ekstra tiltak for eventuelle overføringer av personopplysninger dit.