Krav til sikring av registre som ikke er konsesjonspliktige,
er nedfelt i forskrift. For konsesjonspliktige personregistre setter
Datatilsynet krav til sikkerheten i konsesjonsvilkårene.
Datatilsynet har også utarbeidet generelle retningslinjer
om informasjonssikkerhet.
I henhold til artikkel 17 i EU-direktivet skal medlemsstatene
gi regler om den behandlingsansvarliges plikt til å iverksette
tekniske og organisatoriske tiltak for å beskytte personopplysninger.
Utvalget foreslår en regel som pålegger den
behandlingsansvarlige et kontinuerlig ansvar for tilstrekkelig sikring
av personopplysninger. Eventuelle pålegg om sikringstiltak
skal kunne fastsettes av Datatilsynet gjennom enkeltvedtak. Ingen
høringsinstanser har hatt innvendinger mot forslaget.
Komiteen registrerer at EU-direktivet
legger opp til at medlemsstatene skal gi regler om den behandlingsansvarliges
plikt til å iverksette tiltak for å beskytte personopplysninger. Komiteen slutter
seg til forslaget på dette punkt, som gir den behandlingsansvarlige
ansvar gjennom tekniske og organisatoriske tiltak for at tilstrekkelig
sikring av personopplysninger finner sted. For komiteen er
det også viktig at Datatilsynet gjennom enkeltvedtak skal
kunne gi pålegg om sikringstiltak, hvis tilsynet finner
det nødvendig.
Sammen med bestemmelsen om internkontroll (§ 14)
synes komiteen at sikringsbestemmelsen (§ 13)
legger et godt grunnlag for ivaretakelse av personvernet.