Altinn og ny personvernlov/GDPR
Den nye personopplysningsloven (GDPR) har ikke krevd vesentlige endringer i Altinn. Det skyldes at det meste var på plass fra før av. Noen mindre endringer er gjort.
– Personvern og datasikkerhet har alltid hatt førsteprioritet i Altinn. At Altinn og Brønnøysundregistrene jobber med dette, er ikke noe nytt. Vi har hatt et eget personvernombud i snart ti år, og personvern er sentralt i alle deler av vår virksomhet, sier jurist Oddhild Aasberg i avdeling digitalisering ved Brønnøysundregistrene.
I forbindelse med at den nye personopplysningsloven (GDPR) trer i kraft, har vi gjennomgått Altinn-løsningen nøye for å sikre at Altinn er i samsvar med lovens krav.
Bevisstgjøring
Nytt visuelt design i Altinn, som kom i 2017, gjør det mer synlig for brukerne hvilke roller og rettigheter de har tilgang til. Dette handler derfor ikke bare om design og brukeropplevelse, men er også en del av arbeidet med personvern. Helt konkret betyr det bevisstgjøring av brukerne i hvilke rettigheter de har som følge av roller i Enhetsregisteret eller delegerte roller i Altinn.
Tiltak iverksatt
– Vi har gjennomgått Altinn-løsningen for å se på forbedringspunkter. Opphør av automatisk kobling mellom rollen «Lønn- og personalmedarbeider» og styremedlem er et av flere tiltak som er iverksatt, sier Aasberg.
For enkeltpersonforetak har det vært utfordringer ved at registrering av daglig leder medførte at denne automatisk kunne representere innehaveren av enkeltpersonforetaket. Dermed hadde daglig leder også tilgang til å rapportere på innehavers fødselsnummer, for eksempel skattemeldingen.
Koblingen mellom daglig leder og innehaver er nå opphørt, og daglig leder har kun tilgang til elementer i enkeltpersonforetakets innboks, det vil si på foretakets organisasjonsnummer. Innehaver må nå aktivt delegere andre rettigheter til daglig leder, hvis det er ønskelig.
Protokoll for Altinn-løsningen
Det er utarbeidet protokoll for behandlingsaktiviteter Altinn-løsningen, hvor Brønnøysundregistrene, ved Altinn sentralforvaltning, er behandlingsansvarlig for fellesfunksjonalitet i løsningen. Tjenesteeierne er behandlingsansvarlig for egne tjenester i Altinn-løsningen og skal blant annet føre protokoll over hvilke personopplysninger som behandles.
Fra tid til annen har Altinn brukerservice fått henvendelser fra virksomheter som benytter Altinn (for eksempel helseforetak) om de må ha en databehandleravtale med Altinn. Da er svaret at det er det ikke behov for.
Kontinuerlig arbeid
Arbeidet med personvern er en kontinuerlig prosess. Blant annet vil arbeidet med oppdatering av internkontrolldokumentasjon fortsette. Det er gjennomført opplæring av ansatte, og dette arbeidet vil bli tillagt enda større vekt i tiden framover.