Endringer i personvernreglene i fra Mai 2018

Den 25.  Mai neste år trer den nye felleseuropeiske personvernloven i kraft. I og med at Norge er medlem av EØS og en del av Schengen-samarbeidet vil loven også gjelde i Norge.

Det nye regelverket vil bety nye plikter for alle virksomheter. Regelverket betyr også at man vektlegger ansvarlighet fremfor forhåndskontroll i fra Datatilsynet. Regelverket fører også med seg strengere krav til avviksbehandling, varsling av berørte parter samt et kontinuerlig arbeid med informasjonssikkerhet.

En del foretak vil også få krav på seg til å ha et eget personvernombud. Dette kravet vil gjelde alle private virksomheter som håndterer sensitive opplysninger samt alle offentlige virksomheter. Personvernombudet skal være uavhengig slik at det er godt posisjonert for å passe på at virksomheten følger de nye personvernreglene. Dette vil f.eks. bety at alle som håndterer helseopplysninger må ha personvernombud. Kravet vil også gjelde for aktører som overvåker personer og deres adferd i f.eks. ulike fordelsprogrammer.

Det er all grunn til å tro at det nye regelverket vil bety et stort behov for nye personvernombud i både offentlig og privat sektor. Dette kan for mange virksomheter bli ganske krevende selv om det ikke kreves noen formell sertifisering for å fungere som personvernombud. Det kreves imidlertid god kjennskap til det nye regelverket og her er det nok en del virksomheter som per i dag har mangelfull kjennskap til det kommende regelverket. For mange bør kursing og opplæring stå på agendaen i tiden fremover. Datatilsynet kjører kurs på dette feltet men denne kursvirksomheten vil opphøre når det nye regelverket trer i kraft.

Det nye regelverket vil også få betydning for de som utvikler eller bidrar til utvikling av programvare som inneholder personopplysninger. Her er det laget en prosess på 7 trinn som leder frem til programvare med det som kalles innebygd personvern. Datatilsynet har bl.a. publisert et diagram som viser de 7 trinnene med en mer detaljert beskrivelse. Dette er noe som Datatilsynet har utviklet i samarbeid med sikkerhetseksperter og programutviklere i privat og offentlig sektor.

De nye reglene har selvfølgelig også betydning for de som har fått sine opplysninger registrert. Utgangspunktet her er at de registrerte får styrket sine rettigheter. Når man ber om innsyn skal man få opplysninger om den aktuelle virksomheten behandler personopplysninger. Hvis virksomheten har slike opplysninger har den registrerte krav på å få tilgang til sine opplysninger. Vedkommende kan også kreve å få utlevert en kopi av disse opplysningene. Herunder følger en rekke punkter som forteller hva man har krav på å få ut av informasjon.

Datatilsynet har også utarbeidet en rekke veiledere som viser hva som har endret seg innenfor de ulike områdene som omfattes av personvernet:

Hva betyr de nye personvernreglene for din virksomhet?

Virksomhetens ansvar etter nytt regelverk

Programvareutvikling med innebygd personvern

Vurdering av personvernkonsekvenser etter nytt regelverk

Personvernombud etter nytt regelverk

Grunnleggende personvernprinsipper etter nytt regelverk

De registrertes rettigheter etter nytt regelverk

 

Datatilsynet har også kommet med noen anbefalinger i forhold til hva man bør gjøre nå for å forberede seg på det nye regelverket.

  1. Skaff dere en oversikt over hvilke personopplysninger som behandles i virksomheten i dag. Alle virksomheter som samler inn eller bruker slike opplysninger skal ha en slik oversikt. Dette kravet gjelder også i dag.
  2. Sørg for å oppfylle dagens lovkrav. Overgangen til et nytt regelverk vil bli enklere om dagens lovkrav innfris. Herunder kommer også gode rutiner for internkontroll som er godt kjent i organisasjonen.
  3. Sett dere inn i det nye regelverket. Datatilsynet har publisert hele forordningsteksten samt en rekke veiledere.
  4. Lag rutiner for å følge de nye reglene. Se på dagens rutiner for behandling av personopplysninger og oppdater de slik at de er i tråd med det nye regelverket. Sørg for å dokumentere de nye rutinene og lag en plan for implementering av evt. endringer. Har dere systemer som innfrir kravene til bl.a. innebygd personvern? Klarer dere å fange opp og besvare evt. henvendelser i fra borgere innen 1 måned?

Kilder: Datatilsynet.no og DN.no

Arbeidstilsynet med nye kontroller rettet mot bygge- og anleggsbransjen

Arbeidstilsynet har i løpet av 4 måneder gjennomført 2 aksjoner spesielt rettet mot farlig arbeid i høyden i bygge- og anleggsbransjen. Aksjonene inngår i Arbeidstilsynet sin innsats rettet mot bygge- og anleggsbransjen hvor man i løpet av de siste 3 årene har gjennomført over 11000 tilsyn. Årsaken til de hyppige kontrollene er at denne bransjen er risikoutsatt. Tilsynet har også tidligere varslet at de vil utstede gebyrer oftere for å redusere antall fall- og klemulykker i bransjen.

Bilde av heisekran på an byggeplass

Illustrasjonsfoto i fra Pixabay.com

I aksjonen som ble gjennomført i uke 22 og 23 i mai måned ble 336 virksomheter kontrollert og 136 av disse fikk arbeid stanset som en følge av de kontrollene som ble foretatt. I overkant av 50 virksomheter risikerte overtredelsesgebyrer som en følge av aksjonen. I siste halvdel av august gjennomførte tilsynet en ny runde med kontroller og denne gangen ble 345 virksomheter kontrollert og 150 av disse fikk arbeid stanset. I denne runden var det ca. 90 virksomheter som risikerte overtredelsesgebyrer. Arbeidstilsynet har listet opp de vanligste funnene i aksjonene:

  • Usikret arbeid på tak
  • Mangel på stillas
  • Manglende kollektiv sikring
  • Mangelfull sikring av stillas og stiger
  • Farlig arbeid på kanter og utsparinger
  • Farlige adkomstveier
  • Manglende opplæring vedrørende bruk av stillas
  • Manglende opplæring ved montering av stillas
  • Manglende merking/skilt/kontrollrapport
  • Manglende rekkverk
  • For dårlig forankring, infesting/fundamentering
  • Manglende HMS-kort

I de tilfeller hvor arbeid har blitt stanset har det for en stor del dreid seg om farlig arbeid i høyden og alle stansinger ble begrunnet med overhengende fare for liv og helse. Arbeidstilsynet vil fortsette innsatsen i bygge- og anleggsbransjen med både tilsyn og veiledning. Innsatsen gjøres i samarbeid med bransjen selv.

Arbeid i høyden

Arbeid i høyden er definert som arbeidsoperasjoner som kan medføre fall til et lavere nivå. Typisk arbeid som omfattes av dette er arbeid i stillas, arbeid i stige, arbeid på dekker  og arbeid i personløfter. Ulykker i forbindelse med arbeid i høyden er dessverre en av de vanligste årsakene til skader og dødsfall i arbeidslivet.

Som arbeidsgiver er det en rekke ting som som kan gjøres for å gjøre arbeidsplassen tryggere. Arbeidstilsynet har selv listet opp en 8 punkter som man bør tenke på:

  • Legg atkomsten så nær arbeidsområde som mulig.
  • Velg trappetårn til atkomst.
  • Planlegg lagringsplassen for arbeidet; området for lagringsplass er en del av arbeidsområdet.
  • Sørg for at arbeidsutstyret blir kontrollert før bruk. Utstyr som ikke er i orden skal tas ut av bruk.
  • Benytt løfteutstyr/kran for transport/heising av materialer.
  • God belysning gjør arbeidet lettere og sikrere.
  • En ryddig arbeidsplass øker sikkerheten.
  • Husk ansvar for tredjeperson.

Arbeidstilsynet har også listet opp en rekke punkter som gjelder for bruk av stige og bruk av stillas.

Bilde av stillas

Illustrasjonsfoto i fra Pixabay

Bruk av stige (Kilde: Arbeidstilsynet)

  • Stige skal i hovedsak brukes til adkomst, og ikke som arbeidsplattform.
  • Stige kan brukes når det på bakgrunn av risikovurdering ikke vil være hensiktsmessig å bruke annet og sikrere arbeidsutstyr.
  • Stigen skal oppstilles på en slik måte at stabiliteten er sikret under bruk.
  • Stigen skal sikres mot utglidning. Så langt det er praktisk mulig skal stigen festes i toppen eller sikres på annen måte.
  • Stiger skal brukes slik at arbeidstakerne hele tiden har et sikkert grep og står støtt.
  • Stigen må rage minst 1 meter over adkomstnivået. Dette gjør det enklere å gå av og på stigen.
  • Når en stige skal brukes som atkomst skal den alltid sikres i toppen.

Bruk av stillas (Kilde: Arbeidstilsynet)

  • Stillasmontører skal ha opplæring i montering av stillas. Det er ulike krav til opplæring avhengig av høyden på øverste stillasgulv. Se forskrift om utførelse av arbeid kap. 17 i høyre marg.
  • Brukere av stillas skal ha opplæring i bruk av det aktuelle stillaset.
  • Fundamentering. Stillaset skal være solid understøttet. Det må kontrolleres jevnlig om det har skjedd setninger i grunnen.
  • Adkomst.  Stillaset må ha en sikker atkomst.
  • Skilting. Stillas skal være merket med et lett synlig skilt som viser om stillaset er trygt å bruke, alternativt om at det ikke er tillatt å bruke.
  • Forankring. Stillas som ikke er konstruert for å være frittstående eller hengende må ha tilstrekkelig forankring. Forankringene må dimensjoneres for til belastningene stillaset utsettes for. Forankringer skal prøves med 20 % høyere belastning enn de beregnes for.
  • Stillasgulv. Stillasgulvet må være festet slik at det ikke vipper og forskyver seg ved normal bruk, og stillasgulvet skal være tett slik at ting ikke faller ned på andre.
  • Rekkverk. Stillas skal som hovedregel være utstyrt med rekkverk i form av hånd-, kne- og fotlist. Dersom fotlist ikke er tilstrekkelig for å forhindre at gjenstander kan falle ned, skal rekkverket dekkes med nett eller skjermer. Avstand til vegg skal være maks 0,30 m.

Les mer om arbeid i høyden på Arbeidstilsynet sin faktaside

Vær også oppmerksom på at reglene for arbeid i høyden ble endret i fra 1. januar 2016. Du kan lese mer om de ulike endringene her.

Risikovurdering

Hva er hensikten med en risikovurdering?

Målsettingen med en risikovurdering er å redusere sjansen for skader eller sykdom på arbeidsplassen. Det kan få alvorlige konsekvenser for den enkelte arbeidstaker dersom det er elementer i arbeidsdagen som medfører høy risiko for skader eller sykdom samt at det kan få konsekvenser for arbeidsgivere i form av høyere sykefravær, lavere produksjon, høyere gjennomtrekk av arbeidstakere med tilhørende kostnader i forbindelse med rekruttering etc.

Bilde av arbeider som er påkjørt av truck

Hvem trenger risikovurdering?

Arbeidsmiljøloven dekker i all hovedsak alle virksomheter som har arbeidstakere med noen få unntak som er spesifisert i lovens paragraf 1-2.

I paragraf 3 er det listet opp en rekke krav til systematisk helse-, miljø- og sikkerhetsarbeid. Herunder fremgår det i punkt C at farer og problemer skal kartlegges med tanke på å vurdere risikoforholdene i virksomheten. Dette omtales også i Internkontrollforskriftens paragraf 5 hvor det fremgår at kartlegging av farer og problemer skal dokumenteres skriftlig.

Det betyr med andre ord at alle virksomheter som omfattes av Arbeidsmiljøloven skal vurdere risikoen med den hensikt å redusere sjansen for skader og sykdom. Det fremgår også at det er arbeidsgivers ansvar å foreta denne risikovurderingen.

Gjennomføring av risikovurdering

På Arbeidstilsynets faktaside om risikovurdering er hovedbudskapet at man bør gjøre dette enkelt. De trekker frem tre spørsmål som dekker kjernen i en risikovurdering:

  • Hva kan gå galt?
  • Hva kan gjøres for å hindre dette?
  • Hva kan vi gjøre for å redusere konsekvensene dersom det allikevel skulle skje?

Hvor omfattende en risikovurdering blir avhenger selvfølgelig av typen virksomhet, hvilken type arbeid som utføres og størrelsen på arbeidsplassen.

For en enkel arbeidsplass med for eksempel vanlig kontorarbeid vil en risikovurdering være en rimelig enkel sak. For de virksomhetene som er større og har mer kompliserte risikoforhold kan det være hensiktsmessig å innhente ekstern hjelp. Arbeidstilsynet presiserer på sin faktaside at uansett hvem som gjennomfører risikovurderingen så er det arbeidsgiver som har ansvaret for at risikovurderingen blir gjennomført på en god måte.

Arbeidstilsynet viser også en enkel trinnvis modell for gjennomføring av risikovurderingen:

Trinn 1: Finn farekilder

Trinn 2: Hva kan skje og hvor sannsynlig er det?

Trinn 3: Hva kan vi gjøre for å hindre det?

Trinn 4: Tiltak og videre arbeid

Arbeidet med risikovurdering og internkontroll er et løpende arbeid. Den risikovurderingen man gjennomførte for 3 eller 5 år siden er ikke nødvendigvis dekkene i dag. I Internkontrollforskriftens paragraf 4 fremgår det at det er den ansvarlige i virksomheten som er ansvarlig for at det innføres og utøves internkontroll.

 

Kilder og ressurser for mer informasjon om risikovurdering:

Arbeidstilsynets faktaside om risikovurdering

Arbeidsmiljøloven

Internkontrollforskriften

Internkontroll

Hva er internkontroll?

Internkontroll er rett og slett en samling med systematiske tiltak som sørger for at en virksomhet arbeider i henhold til gjeldende krav. Hvilke krav som gjelder for din virksomhet avhenger av hva din virksomhet driver med. Omfanget av arbeidet med internkontroll avhenger også av virksomhetens størrelse og arbeidsområde. Små virksomheter med liten risiko klarer seg gjerne med et enkelt system mens større virksomheter med stor risiko vil trenge et mer omfattende system.

Hvilke krav stilles til internkontrollen?

I Internkontrollforskriftens paragraf 5 er det listet opp 8 punkter for hva internkontrollen innebærer for virksomheter:

  1. Gjeldende lover og forskrifter skal være lett tilgjengelig med særlig fokus på de som gjelder din virksomhet spesifikt.
  2. Arbeidstakere skal ha tilstrekkelig informasjon om virksomhetens arbeid med systematisk internkontroll.
  3. Sørge for at arbeidstakerne deltar i arbeidet med internkontrollen.
  4. Etablering av mål for helse, miljø og sikkerhet.
  5. Oversikt over virksomhetens organisering med oversikt over hvordan ansvar, oppgaver og myndighet er fordelt.
  6. Kartlegging av farer og problemer med den hensikt å avdekke risikoforhold. Dette brukes til å etablere tiltak for å redusere risikoen.
  7. Iverksetting av rutiner for å rette opp og forebygge overtredelser.
  8. Løpende oppfølging av internkontrollen slik at man hele tiden vet om den fungerer som forutsatt.

Det fremgår også av forskriften at punktene 4-8 skal dokumenteres skriftlig.

 

Hva er hensikten med internkontroll?

Formålet med internkontroll fremgår i Internkontrollforskriftens paragraf 1. Det systematiske arbeidet med internkontroll skal fremme følgende punkter:

  • Arbeidsmiljø og sikkerhet
  • Forebygging av helseskade eller miljøforstyrrelser
  • Vern av det ytre miljø mot forurensing og en bedre avfallshåndtering.

Ved å jobbe med disse punktene vil man være på god vei mot å nå målene i lovgivningen for helse-, miljø- og sikkerhet. I samarbeid med arbeidstakerne vil det systematiske arbeidet med internkontrollen være en god form for kvalitetssikring. For at dette skal fungere i praksis er det viktig at alle arbeidstakerne er kjent med virksomhetens internkontroll. Herunder ligger rutiner, tiltak, ansvarsområder og hvem som har myndighet på dette området i virksomheten. Gode rutiner for varsling av avvik med tilhørende muligheter for tilbakemelding på avvik er gjerne også viktig for at dette arbeidet skal fungere som forutsatt.

 

Hvem trenger Internkontroll?

Alle virksomheter som har arbeidstakere er underlagt krav om internkontroll. Ansvaret for å sørge for at virksomheten etterlever kravene om internkontroll ligger hos den som er ansvarlig for virksomheten. Arbeidet med internkontrollen skal utføres i tett samarbeid med virksomhetens arbeidstakere. En detaljert oversikt over internkontrollforskriftens virkeområde finner man i forskriftens paragraf 2.

 

Risikovurdering

Punkt 6 i listen over henspeiler på det som ofte kalles risikovurdering. En risikovurdering er i utgangspunktet bygget på spørsmål rundt hvilke risikoelementer man har i virksomheten, hvordan man kan redusere denne risikoen og hva som kan gjøres for å redusere konsekvensene dersom det skulle gå galt. Risikovurderingens omfang avhenger av virksomhetens størrelse og art.

Les mer om risikovurdering. (link til egen artikkel om risikovurdering)

 

Tilsyn

Det finnes en rekke ulike tilsynsorganer som følger opp kravene til internkontroll. Hvilke tilsynsmyndigheter som er aktuelle for din virksomhet avhenger av virksomhetens art.

Tilsynsmyndighetene kan være behjelpelig med informasjon om hvilke krav som gjelder for din virksomhet. Et godt sted å starte i så måte er Arbeidstilsynet. Les gjerne mer om Internkontroll på deres faktaside.

 

Kilder og ressurser

Arbeidstilsynet

Direktoratet for samfunnssikkerhet og beredskap

Helsedirektoratet

Miljødirektoratet

Statens strålevern

Mattilsynet

Internkontrollforskriften

Beredskap i fokus?

2011/2012 burde være år hvor beredskap settes i fokus. Til en viss grad har dette kanskje vært tilfelle. I alle fall har svikt i den overordnede nasjonale beredskapen vært fokusert.

Det er vel en viss fare for at dette fokuset blekner noe når man har fått lagt fram en Stortingsmelding om saken, skiftet noen statsråder og etatsledere, slik som det ble etter orkanen i 1992 og storflommen i 1995.
Beredskap har ikke og blir vel ikke noe meritterende tema for sentrale offentlige tjenestemenn, eller virksomhetsledere, og da blir det vel heller ikke en prioritet hos underliggende ledernivå.
Beredskap er ikke noe tema for helter, men et systematisk arbeid for å ha oversikt over, planlegge, samordne og koordinere ressurser som kan være tilgjengelig ved et eventuelt innsatsbehov som alle håper ikke oppstår.

Beredskapsplaner

Beredskapsplaner er ofte av typen fra visjon til arkiv.
Noen av de beredskapsplanene jeg har hatt ansvar for har til og med vært innlåst i safe og hvor bare en avgått tjenestemann kjente koden. Mange av de ansvarlige i disse planene var også for lengst avgått også i fysisk betydning.
Det er mest menn som er angitt som ansvarlige for beredskap, og menns minne kan ofte være noe kort.
Uten at toppledere engasjerer seg og har eieforhold til sin virksomhets beredskap vil man aldri få noe temperatur i beredskapsarbeidet. For at toppledere skal engasjerer seg ser det ut til at det også må inngå som del av vurderings- og belønningssystemene.

Samordning i den nasjonale beredskapen

Mangel på samordning i den nasjonale beredskapen er tidligere dekket i mange offentlige rapporter. For ca 1140 år siden samlet Harald Hårfagre denne nasjonen til ett rike. Når det gjelder nasjonalt beredskapssystem ser det ut som vi konsekvent ønsker å gjøre hevn over denne gjerningen. Selv om Kåre Willoch, (som slett ikke kan benevnes hårfager), med basis i flere rapporter om samfunnssikkerhet har foreslått forbedringer i samordningen, kan det tyde på at vi bare er blitt dårligere på dette området.
Beredskap er ikke bare et nasjonalt ansvar, men også lokalt ansvar i mange typer virksomheter. En ny påminnelse om dette fikk vi i starten på desember med skoleskytingen i Connecticut. Lite er vel gjort både når det gjelder kommunale skoler, videregående skoler og høgskoler når det gjelder beredskap mot denne type hendelser.

Helter har vi bruk for, og de bør hedres bedre enn vi gjør, men de hører innsatsen til. Innsatspersonell gjør sjelden feil. De kan bare gjøre det de kan, med det de har – der de er. Det er beredskapssystemet bakenfor som, både kunnskapsmessig, materiellmessig og treningsmessig, skal sette disse i stand til å gjøre en god innsats.

Risiko ved omorganisering og flytting

Omorganiseringer og flytteprosesser fjerner ofte fokus fra det normale og systematiske HMS-arbeidet i virksomheter. Slike flytte- og omorganiseringsprosesser kan være kompliserte prosesser og kan innebære:

–       Flytting av produksjonsmaskiner og utstyr

–       Flytting av lager og lagerbeholdninger

–       Flytting av sensitivt elektronisk utstyr

–       Flytting av pasienter

–       Tunge løft

–       Midlertidige fravikelse av hygienebarrierer

Mange virksomheter ser på flytting til nye lokaler som et ”gode”, men er det alltid slik?

Alle som har vært med på flytteprosesser vet at det er utfordringer i disse ”godene”. Noen av disse utfordringene i HMS-arbeidet er:

  • Enhver endring skaper usikkerhet hos de ansatte, og usikkerhet øker sannsynligheten for at feil man ellers ikke gjør oppstår.
  • Nye lokaler, systemer og prosesser krever både opplæring og en innføringsperiode.
  • Nye lokaler har alltid feil og mangler i forhold til de prosesser og arbeidsoppgaver som skal utføres.
  • Medarbeidere som skal utføre viktige driftsoppgaver i de nye lokalene har sjelden blitt tatt med i utforming og tilrettelegging av lokalene.
  • Kontakter og montasjer passer ikke helt til bruken av lokalene, og mange midlertidige tilpassinger må gjøres.
  • Selve flyttingen av materiell og utstyr er nye og kanskje ukjente oppgaver, særlig der virksomhetens egne ansatte utfører oppgavene.

Alle disse forholdene tilsier at risikoforholdene i virksomheten øker i en slik prosess. Flytteprosesser bør derfor sikres ved at man gjennomfører en risikovurdering før man starter. En slik risikovurdering må dekke alle fasene i flyttingen fra avvikling av eksisterende drift og til man er operativ fra nye lokaler.