Nyhet

Altinn og ny personvernlov/GDPR

Den nye personopplysningsloven (GDPR) har ikke krevd vesentlige endringer i Altinn. Det skyldes at det meste var på plass fra før av. Noen mindre endringer er gjort.

– Personvern og datasikkerhet har alltid hatt førsteprioritet i Altinn. At Altinn og Brønnøysundregistrene jobber med dette, er ikke noe nytt. Vi har hatt et eget personvernombud i snart ti år, og personvern er sentralt i alle deler av vår virksomhet, sier jurist Oddhild Aasberg i avdeling digitalisering ved Brønnøysundregistrene.

I forbindelse med at den nye personopplysningsloven (GDPR) trådte i kraft, gikk vi gjennom Altinn-løsningen nøye for å sikre at Altinn er i samsvar med lovens krav.

Bevisstgjøring

Nytt visuelt design i Altinn, som kom i 2017, gjør det mer synlig for brukerne hvilke roller og rettigheter de har tilgang til. Dette handler derfor ikke bare om design og brukeropplevelse, men er også en del av arbeidet med personvern. Helt konkret betyr det bevisstgjøring av brukerne i hvilke rettigheter de har som følge av roller i Enhetsregisteret eller delegerte roller i Altinn.

Tiltak iverksatt

– Vi har gjennomgått Altinn-løsningen for å se på forbedringspunkter. Opphør av automatisk kobling mellom rollen «Lønn- og personalmedarbeider» og styremedlem er et av flere tiltak som er iverksatt, sier Aasberg. (Det kan du lese mer om her.)

For enkeltpersonforetak har det vært utfordringer ved at registrering av daglig leder medførte at denne automatisk kunne representere innehaveren av enkeltpersonforetaket. Dermed hadde daglig leder også tilgang til å rapportere på innehavers fødselsnummer, for eksempel innehavers skattemelding. Koblingen mellom daglig leder og innehaver er nå opphørt, og daglig leder har kun tilgang til elementer i enkeltpersonforetakets innboks, det vil si på foretakets organisasjonsnummer. Innehaver må nå aktivt delegere andre rettigheter til daglig leder, hvis det er ønskelig.

Protokoll for Altinn-løsningen

Det er utarbeidet protokoll for behandlingsaktiviteter i Altinn-løsningen, hvor Brønnøysundregistrene, ved Altinn sentralforvaltning, er behandlingsansvarlig for fellesfunksjonalitet. Tjenesteeierne er behandlingsansvarlig for egne tjenester i Altinn og skal blant annet føre protokoll over hvilke personopplysninger som behandles.

Databehandleravtale

Samarbeidsavtalen inneholder databehandleravtale mellom Brønnøysundregistrene (Altinn sentralforvaltning) og tjenesteeierene. Forslag til revidert mal for databehandleravtale er sendt ut på høring hos alle tjenesteeiere. Oppdatert databehandleravtale sendes til alle tjenesteeiere for signering så snart høringsinnspillene er mottatt og innarbeidet.

Fra tid til annen har Altinn brukerservice fått henvendelser fra virksomheter som benytter Altinn (for eksempel helseforetak) om de må ha en databehandleravtale med Altinn. Da er svaret at det er det ikke behov for.

Kontinuerlig arbeid

Arbeidet med personvern er en kontinuerlig prosess. Blant annet vil arbeidet med oppdatering av internkontrolldokumentasjon fortsette. Det er gjennomført opplæring av ansatte, og dette arbeidet vil bli tillagt enda større vekt i tiden framover.

Personvernklæringen for Altinn-løsningen er oppdatert.