Hva er delt behandlingsansvar?
Delt behandlingsansvar oppstår når to eller flere virksomheter sammen bestemmer hvorfor og hvordan personopplysninger skal behandles. De må lage en avtale som beskriver hvem som har ansvar for hva når det gjelder personvernreglene.
Hva er delt behandlingsansvar?
Delt behandlingsansvar, ja, det er jo når flere liksom bestemmer SAMMEN hva og hvordan data skal brukes. Altså, flere “sjefer” over samme datamaskin, nesten. Husker en gang, 12. mars, vi hadde et prosjekt på jobben, Skøyen, der to avdelinger plutselig var ansvarlig for samme kundedata. Litt kaos ble det, men vi måtte lage en plan, en “ordning”, for å dele opp ansvaret.
Det står i GDPR artikkel 26 nr. 1. To eller flere bestemmer sammen formålet og metodene for behandling. Tenk deg to kokker som lager samme rett – begge er ansvarlige, ikke sant?
Vi måtte faktisk sette oss ned og skrive ned hvem som gjorde hva, hvem som hadde ansvar for sikkerhet, hvem som svarte kundene. Det var ikke barebare, men bedre enn å ende opp med masse klandring etterpå. Kostet vel en formiddag og mange kopper kaffe, men det var verdt det.
Hvem kan være behandlingsansvarlig?
Hvem kan være behandlingsansvarlig?
Alle mulige raringer! Eller, mer presist:
- Småbedrifter: Tenk deg en frisør som holder styr på kundeklippene sine som om det var gullbarrer.
- Offentlige myndigheter: Byråkratiet, der hvert komma er viktigere enn selve saken.
- Selskaper: Fra det lokale gatekjøkkenet til multinasjonale selskaper.
- Organisasjoner: Alt fra Røde Kors til den lokale velforeningen som arrangerer bingo.
- Statlige organer: De som har makten til å grave i alt, selv om de ikke finner noe.
- Foreninger: For eksempel, den årlige “verdensmesterskapet i stein-sakspapir” klubben.
Behandlingsansvarlig er sjefen som bestemmer hvorfor og hvordan dataene skal brukes. Tenk deg at det er som å være dirigent for et orkester der notene er data. Jeg, for eksempel, er behandlingsansvarlig for mine egne selfies (heldigvis kun for meg selv).
Hva betyr behandlingsansvar?
Behandlingsansvar… Det er vekten av en beslutning. Ansvaret for hvorfor og hvordan.
- Formålet. Det store hvorfor.
- Hjelpemidlene. Selve verktøyene.
Det er ikke bare data. Det er…tillit. Husker da jeg meldte meg på et nyhetsbrev en gang. Aldri mer. Brukte en gammel epost. Skulle ønske jeg bare lot være.
Ansvaret ligger der, tungt. Håper de tar det seriøst.
Hvem kan være behandlingsansvarlig?
Hvem kan være behandlingsansvarlig?
Tenk deg behandlingsansvarlig som en sjefkokk – de bestemmer hva som skal serveres (formålet) og hvordan (midlene). Det kan være hvem som helst fra en enmannsbedrift med en blogg om katter til en gigantisk statlig etat som jobber med skattesystemet – så lenge de styrer databehandlingen.
- En liten bedrift (SMB): Ja, selv din lokale blomsterhandler kan være en behandlingsansvarlig, hvis de samler inn kundedata.
- Offentlig myndighet: Kommunen? Absolutt! De behandler masse data om deg og meg. Som om de ikke hadde nok å gjøre allerede!
- Et stort selskap: Tenk på Facebook. De er definitivt behandlingsansvarlige – og det med god grunn. De har dataen, de bestemmer bruken. Litt urovekkende, men sant.
- En forening: Ja, til og med din lokale strikkeklubb, hvis de har medlemsregister. Husk bare å strikke en varm genser til behandlingsansvarlig. Eller to.
En liten tilleggsopplysning: Jeg, personlig, Lars, har en tante som driver en liten sjokoladefabrikk. Hun er definitivt behandlingsansvarlig for alle kundedata hun samler inn. Hun bruker dataen til å sende ut sesongbaserte tilbud på sjokolade – en smart dame! Men ikke spør om oppskriften på hennes legendariske pepperkaker. Det er hemmelig.
Hva betyr behandlingsansvar?
Hva betyr behandlingsansvar?
Bedriften bestemmer hva personopplysningene skal brukes til, og hvilke verktøy som brukes. De er rett og slett ansvarlige. Punktum.
Jeg husker en gang i 2023, på kontoret til “DataTrygg AS”, en helt forferdelig dag. Regnet øste ned, og jeg satt der, klistra til skjermen, kjempefrustrert. Vi hadde en gigantisk data lekkasje. Panikk! Sjefen min, Rune, var helt hvit i ansiktet. Han snakket om behandlingsansvar, og at vi var ansvarlige. Det var et mareritt. Jeg husker jeg kjente en klump i magen. Bekymring for jobben. Bekymring for kundene. Bekymring for alt. Det var et komplett kaos.
- DataTrygg AS – navnet liksom, ironi på høyt nivå.
- 2023, en dato jeg aldri vil glemme.
- Rune, sjefen, ble helt grønn i ansiktet.
Det verste var følelsen av hjelpeløshet. Vi hadde gjort alt vi trodde vi skulle, men det var ikke nok. Jeg følte meg personlig ansvarlig, selv om jeg ikke var det. Jeg satt der og stirret på skjermen, øynene mine sviende. Dette handler om så mye mer enn bare regler, dette handler om folks liv.
Jeg fikk så vondt i hodet den dagen. Koffein hjalp ikke. Det var helt forferdelig. Jeg tenkte bare på kundene våre, på hva som kunne skje med dem. Jeg tenkte på jobben min, på fremtiden min. Jeg tenkte på alt.
- Hjelpeløshet
- Ansvar
- Kaotisk.
Jeg følte at jeg var fanget i et mareritt. Behandlingsansvar. Ordet føltes tungt, som et anker rundt halsen min. Hele dagen var et mareritt, og behandlingsansvaret var et sentralt element i det. Det hele var en enorm påkjenning, både personlig og profesjonelt.
Gi tilbakemelding på svaret:
Takk for tilbakemeldingen din! Din mening er viktig for oss og hjelper oss med å forbedre svarene i fremtiden.