Dokumentér, dokumentér, dokumentér!
Om Datatilsynet kommer på besøk og gjennomfører tilsyn hos dere, ønsker de å se hva slags rutiner dere har for håndtering og oppbevaring av persondata. Da holder det ikke at én person i organisasjonen kan ramse opp noen rutiner fra sitt eget hode. Alt dere har av rutiner må være begrunnet og skrevet ned.
Når dere tar en full gjennomgang av persondataene, er det naturlig å fortsette arbeidet med å gå gjennom og skrive ned rutinene dere har for alle persondata dere håndterer i organisasjonen. Her følger noen eksempler på spørsmål dere kan stille ved en slik gjennomgang:
Eksempel 1 - Medlemsregisteret
- Hvem har tilgang til medlemsregisteret?
- Hvem trenger tilgang til hva?
- Hvem kan hente ut rapporter/lister?
- Vedkommende må kjenne rutinene for hva man kan gjør med listene.
- Oppbevaring/håndtering/sletting av opplysninger fra medlemsregisteret.
- Databehandler - egen avtale må inngås.
Eksempel 2 - Ansattinformasjon
- Hvem har tilgang til denne informasjonen?
- Hvor lagres opplysningene?
- Hvilken informasjon er nødvendig å ha?
- Når slettes opplysninger over tidligere ansatte?
- Hvilke opplysninger beholdes og hvorfor?
Eksempel 3 - Avvik
- Hvordan håndteres avvik i organisasjonen?
- Hvordan dokumenteres avvikene?
- Hvordan følges de opp internt?
- Hvem er ansvarlig for å følge opp og melde til Datatilsynet?
Samme spørsmål stilles og dokumenteres knyttet til alle persondataene dere behandler.