Det finnes i dag et ganske omfattende regelverk rundt behandling av personopplysninger og krav gitt ut i fra lover og forskrifter rundt dette.
Spesielt om databehandleravtalen.
Datatilsynet har også gitt ut en veileder, som beskriver, rent praktisk hvordan vi går fram for å bygge opp et “system for internkontroll” rundt behandling av persondata.
Det finnes spesielt også et krav/en anbefaling om at systemet for internkontroll skal være tilgjengelig for de ansatte.
Dokumentasjon over systemet for internkontroll skal være tilgjengelig for de ansatte i virksomheten og for Datatilsynet ved eventuell kontroll.
Det finnes også særskite krav til det som går på risikovurdering og risikostyring.
Litt mer om krav til internkontroll:
Det finnes også en forskrift som heter “Internforskriften” som ikke har direkte med internkontroll i forbindelse med lagring og bruk av personopplysninger å gjøre. Prinsippene bak kan kanskje, etter mitt syn, ha noe til felles.