Risikovurdering av et av Statens vegvesens fagsystem etter krav i personvernforordningen

Abstract

Risikovurderinger skal bidra til å forebygge uønskede hendelser eller mangler ved behandling av personopplysninger i virksomheter. En risikovurdering er både et kartleggingsverktøy og et forbedringsverktøy som omfatter hele virksomheten. En risikovurdering inkluderer både organisering, ansvarsfordeling og rutiner for det daglige virket. Risikovurderingen skal kunne synliggjøre risikobildet og gi et grunnlag for å mestre risikoen ved å planlegge og iverksette “egnede tekniske og organisatoriske tiltak”.1 Personvernregelverket forutsetter gjennomføring av risikovurdering ved at det tas hensyn til “risikoene av varierende sannsynlighets- og alvorlighetsgrad”.2 Resultatet av en risikovurdering vil danne grunnlag for etablering av tilfredsstillende sikkerhetstiltak og er nødvendig for dokumentering av etterlevelse av kravene etter personvernforordningen. Det er mange tilgjengelige metodikker som kan brukes for å gjennomføre en risikovurdering, og akkurat dette skaper forvirring. Til og med når metodikken er valgt, kan resultatet variere ut fra forståelsen av risiko. Metoden som velges bør være skalerbar i forhold til virksomhetenes størrelse og sikkerhetsbehov. Denne masteroppgaven tar sikte på å undersøke hvordan en risikovurdering er gjennomført i praksis i et bestemt offentlig forvaltningsorgan. Forvaltningsorganet jeg har valgt er Statens vegvesen, og jeg vil undersøke hvordan rettslige krav i personvernforordningen håndteres for å risikovurdere et av deres fagsystemer. Jeg vil også undersøke hvordan arbeidet med en risikovurdering blir organisert og hvilken fremgangsmåte som blir anvendt når et fagsystem gjennomgår en risikovurdering. Oppgaven tar utgangspunkt i fire bestemte bestemmelser som inneholder krav om risikovurdering. Nesten alle bestemmelsene viser også til PVF art. 40 og art. 42 om godkjente atferdsnormer og sertifiseringsmekanismer som en faktor for å påvise at disse forpliktelsene overholdes. Jeg kommer ikke til å se nærmere på disse bestemmelsene fordi det faller utenfor oppgavens ramme som omhandler selve risikovurderingen.