GDPR og dokumentoverføring: Hva artikkel 32 betyr i praksis

GDPR artikkel 32 er bestemmelsen organisasjoner oftest undervurderer — og den bestemmelsen Datatilsynet oftest bruker som grunnlag for sanksjoner. Den krever «egnede tekniske og organisatoriske tiltak» for å oppnå et sikkerhetsnivå «som er egnet med hensyn til risikoen».

Men hva betyr «egnet» i praksis — særlig når det gjelder overføring av sensitive dokumenter?

Hva artikkel 32 faktisk sier

Bestemmelsen krever at behandlingsansvarlige og databehandlere gjennomfører tiltak der det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenheng, samt risikoene for registrertes rettigheter og friheter.

Fire konkrete tiltak nevnes eksplisitt: pseudonymisering og kryptering av personopplysninger, evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet, evne til gjenoppretting ved hendelser, og regelmessig testing og vurdering av tiltakenes effektivitet.

Nøkkelordet er «egnet med hensyn til risikoen». Tilnærmingen er risikobasert — ikke teknologispesifikk.

Risikobasert betyr ikke valgfritt

At tilnærmingen er risikobasert betyr at organisasjonen selv må vurdere hvilke tiltak som er nødvendige. Men det betyr ikke at organisasjonen fritt kan velge å la være.

For sensitive opplysninger — helseopplysninger, barnevernsdokumenter, vergemålsvedtak, NAV-vedtak med opplysninger om «noens personlige forhold» — vil risikovurderingen nesten alltid tilsi at kryptering er nødvendig ved digital overføring.

Faglitteraturen er tydelig: Innføring og oppgavesamling i personvernrett fremhever at konfidensialiteten skal sikres med både organisatoriske og tekniske tiltak, og at systemer som benyttes skal ha tilstrekkelig sikkerhet mot datainnbrudd. Vanlig e-post uten ekstra kryptering regnes vanligvis ikke som tilstrekkelig for sensitive opplysninger.

Norske PVN-avgjørelser: Reell håndheving

Personvernnemnda har i flere saker ilagt betydelige sanksjoner for brudd på artikkel 32.

PVN-2022-13: Østre Toten kommune — 4 millioner kroner

I 2021 ble Østre Toten kommune utsatt for et løsepengevirusangrep. Hele den kommunale tjenesteleveransen ble rammet, og betydelige mengder personopplysninger kom på avveie. Datatilsynet ila 4 millioner kroner i overtredelsesgebyr for brudd på kravene til sikkerhet og internkontroll.

Nemnda fant at det var klar sannsynlighetsovervekt for at både de objektive og subjektive vilkårene for gebyr var oppfylt. Kommunen hadde ikke gjennomført tilstrekkelige tekniske og organisatoriske tiltak tilpasset risikoen.

PVN-2024-17: NAV — pålegg

NAV fikk pålegg fra Datatilsynet for brudd på personvernforordningen. Nemnda opphevet fem av elleve pålegg, men bekreftet at Datatilsynet kan — og skal — gripe inn ved manglende sikkerhet. Saken viser at selv store offentlige aktører ikke er unntatt fra tilsynets krav.

PVN-2021-16: Sykehuset Østfold — 500 000 kroner

Sykehuset Østfold ble ilagt gebyr for at uttrekk fra elektronisk pasientjournal ble lagret usikkert. Sensitive pasientopplysninger var tilgjengelige for personell som ikke hadde tjenstlig behov. Nemnda bekreftet at tilgangsstyring og logging er obligatoriske tiltak etter artikkel 32.

PVN-2021-21: OUS — pålegg om databehandleravtale

Oslo universitetssykehus fikk pålegg om å formalisere databehandleravtaler for utlevering av helseopplysninger til utenlandske laboratorier. Saken viser at artikkel 32 ikke bare handler om tekniske tiltak, men også om formelle avtaler og dokumentasjon.

Artikkel 25: Privacy by design er en plikt

GDPR artikkel 25 krever at personvern bygges inn i løsningen fra starten — «innebygd personvern og personvern som standardinnstilling». Karnov-kommentaren presiserer at dette er en handlingsplikt for den behandlingsansvarlige, som gjelder både ved fastsettelse av midler og ved selve behandlingen.

For dokumentoverføring betyr dette at sikkerheten ikke kan være et tillegg — den må være en del av arkitekturen. En løsning der tjenesteleverandøren aldri kan se innholdet (zero-knowledge) oppfyller dette kravet strukturelt. En løsning der innholdet sendes i klartekst via e-post gjør det ikke.

Overføring til tredjestater

GDPR artikkel 44 og 48 regulerer overføring av personopplysninger til land utenfor EØS. Organisasjoner som bruker tredjepartstjenester med servere i USA eller andre tredjestater, må vurdere om overføringen er lovlig — og om garantiene er tilstrekkelige.

PVN-2021-21 bekrefter at dette kravet gjelder også i helsesektoren. For organisasjoner som velger løsninger med databehandling utelukkende innenfor EØS, er dette en compliance-fordel.

Praktisk sjekkliste: Art. 32-compliance ved dokumentoverføring

Har dere gjennomført en risikovurdering av den aktuelle dokumenttypen og mottakergruppen?

Er dokumentet kryptert under transport (TLS) og i hvile? For sensitive opplysninger: er ende-til-ende-kryptering vurdert?

Er tilgangsstyring implementert — hvem kan se innholdet, og er tilgangen begrenset til dem med tjenstlig behov?

Logges tilgang slik at det kan etterprøves hvem som har åpnet dokumentet?

Er det inngått databehandleravtale med tredjepartstjenester som behandler personopplysninger?

Lagres eller overføres data utenfor EØS? Hvis ja: er overføringsgrunnlaget dokumentert?

Testes tiltakene regelmessig — og er testresultatene dokumentert?

Kan dere påvise at tiltakene er gjennomført (artikkel 24 — ansvarlighetsprinsippet)?

---

Rettskilder brukt i denne artikkelen

• GDPR art. 24, 25, 32, 44, 48
• Personopplysningsloven § 26
• eForvaltningsforskriften § 5
• PVN-2022-13 (Østre Toten, 4 mill.)
• PVN-2024-17 (NAV)
• PVN-2021-16 (Sykehuset Østfold, 500k)
• PVN-2021-21 (OUS, DPA)
• Innføring og oppgavesamling i personvernrett kap. 4.7, 7.5
• Karnov lovkommentar til art. 25 og 32

Relaterte artikler

• Det juridiske rammeverket for sikker digital dokumentoverføring
• Hvorfor du ikke bør sende sensitive dokumenter per e-post
• Databehandleravtaler ved dokumentoverføring
• Zero-knowledge-arkitektur

---

Håkon Haugen er praktiserende verge og grunnlegger av envei.no.