Noen kommuner har mer enn 500 protokoller for behandlinger som inkluderer personopplysninger, mens andre ender opp på under 200. Hva er egentlig riktig? Jeg vil i denne artikkelen argumentere meg fram til 200, uten at dette behøver å være den eneste fasiten.
HVA ER FORMÅLET MED PROTOKOLLENE?
Protokollene har som hovedformål å være en oversikt over personopplysningene som behandles i virksomheten, slik at en kan gjøre tiltak for å sikre opplysningene. I tillegg fungerer protokollene som datagrunnlag for informasjonen som gis til borgere og kunder (personvernerklæringer). Borgere og kunder får da muligheter til å bruke rettighetene som loven gir dem.
HVA ER EN BEHANDLINGSAKTIVITET I KOMMUNER?
En kommune bruker personopplysninger i tjenestene de tilbyr, samt i administreringen av ansatte. Tjenestene er ulike og krever egne protokoller. Det samme kan en si om aktivitetene kommunen gjør overfor ansatte. Dette mener jeg er det enkleste grunnlaget for å lage en funksjonell liste over behandlingsaktiviteter som krever egne protokoller (og dermed egne personvernerklæringer).
HVILKE TJENESTER LEVERER KOMMUNEN?
På kommunens websider finner en alle tjenestene som kommunen leverer. Eksempelvis så kan en på Tromsø kommunes websider finne oversikten nedenfor. Klikker en videre på tjenestene finner du en mer detaljert oversikt. Ut fra dette er det forholdsvis enkelt å lage en liste over behandlinger som gjelder borgere og kunder. I tillegg bør det lages en oversikt over aktiviteter overfor ansatte, så som ansettelse, oppsigelse, betaling av lønn etc.
NOEN ANDRE AKTUELLE BEHANDLINGER
I tillegg til ovennevnte er det en del andre behandlinger som også kan være riktig å lage protokoller for mottak av telefon, e-post og post, slik at dere kan informere borgere og kunder om hvilke og hvordan opplysningene i disse tilfellene brukes. Videre kan det være en del teknologisk utstyr som inngår i behandlinger som krever god oversikt og protokoll.
200?
Med ovennevnte som utgangspunkt kommer jeg fram til ca 200 behandlingsaktiviteter som det er naturlig å lage protokoller for. Tallet kan være lavere for kommuner som ikke har kino, svømmehall etc., og større for de som leverer flere tjenester enn andre. Vi har laget en liste som du kan se her. Listen er ikke uttømmende, men viser sånn ca. hvor man bør havne når det gjelder antall behandlinger i kommuner, basert på logikken ovenfor.
HVORFOR 500?
Hvorfor havner noen på 5 - 600 behandlinger og protokoller? Årsaken er neppe at noen kommuner leverer så mange flere tjenester enn andre. Heller må det være at en velger å dele opp tjenester i flere protokoller, så som at en hjemmetjeneste inkluderer behandlingsaktivitetene bilkjøring, levering av medisin, renhold og medisinering etc. Med et slikt detaljeringsnivå vil en snart komme opp i 5-600 protokoller.
Dette kan være en riktig måte å gjøre det på, men kanskje vil det være likeså funksjonelt å si at tjenesten hjemmehjelp inkluderer flere del-behandlinger, som beskrives i en protokoll. Borgere vil nok oppfatte en personvernerklæring for hjemmetjenesten som et akseptabelt nivå. Kommunen vil en ha en god oversikt over det som behandles i en protokoll.
LITT OM KATEGORIER OG RASJONALITET
Loven sier at en skal angi kategorier av registrerte og personopplysninger som benyttes. Ordet kategorier er her viktig da lovmakerne ikke inviterer til en for stor detaljeringsgrad da dette ikke vil være rasjonelt å håndtere i forhold til øvrig drift. Selv om en kommune baserer mye av driften på bruk av personopplysninger, så skal også selve tjenesten utføres.
Dersom en har 500 protokoller så betyr det også at det er mange som må holde orden på svært mye, noe som igjen kan gjøre at personvernsystemet tynges ned av egen vekt. Etter min mening er dette svært viktig - det skal fungere i hverdagen - hvis ikke så vil både personvern og tjenestene lide.
TIL SIST LITT OM INNHOLDET I PROTOKOLLENE
Det kan være krevende å utarbeide en funksjonell liste over behandlinger (bruk gjerne vår liste her som utgangspunkt). Enda mer krevende er det å utarbeide innholdet i alle protokollene. Man bør gjerne involvere de som utfører tjenestene da de vet mest om hvilke- og hvordan opplysningene brukes. For å lette på arbeidet har vi i Personvernappen utarbeidet pre-utfylte protokoller for alle behandlingene på listen ovenfor.
Hensikten med de pre-utfylte protokollene er ikke klipp og lim eller å ta arbeidet fra de som skal utføre det. Men mye av arbeidet er selvsagt og krevende, dette har vi tatt på oss slik at dere kan fullføre og kvalitetssikre. Vi kan laste opp de pre-utfylte protokollene direkte i deres konto i Personvernappen - eller dere kan få levert protokollene som en Excel-fil som kan brukes av alle (også de som ikke er kunder av Personvernappen).