Høringssvar fra Norwegian Eksterngransking Organization

Merknader til gjennomføring av risiko- og kvalitetsstyringsprosessen

Dato: 15.10.2017

Svartype: Med merknad

Personvernforordningen har en rekke krav mht. risikostyring, fra planlegging, implementering og i kontrollfasen. Samtidig er det ikke beskrevet hvilke retningslinjer og/eller metode som skal benyttes ifm. implementering av risikostyringen. NS-ISO 31000 Risikostyring er en internasjonal standard som beskriver prinsipper og retningslinjer dette området. Lovgiver (EU) som har utarbeidet Forordningen synes ikke engang å ha forsøkt å tilnærme seg kjent terminologi eller prinsipper som allerede eksisterer innen risikostyring, og det er en svakhet med lovteksten slik den fremstår. Implementering og gjennomføringen av forordningen er derved forvanskeliggjort, og det er svært vanskelig å kontrollere i ettertid om kravene til risikostyring blir implementert og overholdt.

Personvernforordningen inneholder, ikke uventet, de fleste av de kravene man finner igjen i ISO 9001:2015 Ledelsessystemer for kvalitet, men uten at man har fulgt den samme strukturen og terminologien som man finner i denne standarden.  EU har i stedet valgt å fremlegge en lovtekst uten struktur, og hvor heller ikke de ulike artiklene er sortert iht. anerkjente ledelsesprinsipper eller kvalitetsstyringssystemer. I Norge har man fra før Personvernopplysningsloven og Personopplysningsforskriften, hvor man har en struktur som man finner igjen i bl.a. internkontrollforskriften som i realiteten også inneholder krav til et kvalitetsstyringssystem. Manglende struktur i Personvernforordningen i forhold til ISO standardene og gjeldende lovgivning, vil både forvanskeliggjøre implementering og kontroll i tillegg til at det blir et fordyrende element. 

Sett i sammenheng med et ekstremt høyt bøtenivå for brudd på Personvernforordningen, er det følgelig en svært høy risiko for at Norske virksomheter, etter at loven blir endel av norsk lov og med forrang foran norsk lov jf. EØS loven, blir påført betydelige kostnader som vil medføre både tap av arbeidsplasser og konkurser i Norge.

Det registreres også Standard Norge, som har høy kompetanse på ISO Standardene i Norge, ikke er med på høringslisten. Det mangler også organisasjoner med høy juridisk kompetanse på høringslisten. 

Det er for øvrig også uklart hva Justisdepartementet nå vil foreta seg mht. Personvernloven og Personvernforskriften som ikke lenger er i harmoni med Personvernforordningen. 

Med de uklarheter og svakheter som fremstår med forslag til Personvernforordning er vår anbefaling at Norge (som har forpliktet seg til å gjennomføre EU retten) igangsetter arbeid med ny Personvernlov som både implementerer realitetene i Personvernforordningen i tillegg til å ivareta prinsippene som fremgår av ISO 9001:2015 Ledelsessystemer for kvalitet, ISO 9000:2015 Grunntrekk og terminologi, samt NS-ISO 31000 Riskostyring.