Foto: KPMG

Ny verktøykasse for informasjonssikkerhet og personvern

På oppdrag for KS har KPMG utarbeidet rapporten "Kommunedirektørens verktøykasse for informasjonssikkerhet og personvern".

Det er mange situasjoner der en bevisst holdning til og et system for informasjonssikkerhet er viktig.

Dette kan være:

  • For opplysninger knyttet til skjermet adresse, er typisk vern mot uautorisert innsyn svært viktig å ivareta.
  • For dokumentasjon i arkivsystemet vil det være viktig at opplysningene er sikret mot utilsiktet endring.
  • For opplysninger i pasientjournalsystemet til den kommunale legevakten er både tilgjengelighet og konfidensialitet viktig å ivareta.
  • Informasjon om gjenvinningsstasjonens åpningstider har ingen spesielle sikkerhetsbehov, men tilgjengelighet til informasjonen er viktig.

For å oppnå mål og ønsket effekt av digitaliseringen, er det viktig å ta hensyn til personvern og informasjonssikkerhet allerede fra starten av digitalt utviklingsarbeid.

Kommuner og fylkeskommuner behandler svært mange personopplysninger om innbyggere og ansatte, og mange av disse personopplysningene er av sensitiv karakter. I tillegg har kommuner og fylkeskommuner en rekke samfunnskritiske oppgaver hvor det å ivareta informasjonsbehovet, og samtidig gjøre nødvendige grep for beskyttelse av informasjon, har stor betydning.

Økt digitalisering innebærer økt avhengighet av teknologiske løsninger. Teknologien må fungere for at kommunal sektor skal kunne levere tjenester til innbyggerne. De lange kjedene av leverandører og tekniske løsninger som informasjonen flyter gjennom blir stadig mer komplekse. Dette stiller krav til gode rutiner for oppfølging og kontroll.

Verktøykassen skal gjøre det enklere for kommunedirektører og fylkeskommunedirektører å gjennomføre internkontroll på området personvern og informasjonssikkerhet. Rapporten er ment å være et tillegg til KS-veilederen "Kommunedirektørens internkontroll – Orden i eget hus".

Les også: Ny veileder for internkontroll

For å sikre et fornuftig regime for internkontroll som vil avdekke eller gi kunnskap om systemenes sårbarhet, må det legges opp til kontrollaktiviteter.

Fasene i et kontrollregime bør bestå i:

A: Skaffe oversikt over

  • sentrale lover og regler – og ha kunnskap om hvilken betydning de har for kommunen.
  • sentrale informasjonsverdier og vurdere deres kritikalitet for kommunens drift og tjenesteproduksjon.
    Herunder etablere en oversikt over behandling av personopplysninger i kommunen.

B: Plassere ansvar

Som minimum bør følgende ansvar fastsettes og dokumenteres som en del av kommunens eksisterende interkontroll:

  • Hvem skal føre oversikt over informasjonsverdier, vurdere kritikalitet og vedlikeholde en behandlingsprotokoll?
    Bør det skilles på administrative fellesprosesser og fagområder?
  • Hvem skal gjennomføre risikovurderinger av ulike behandlinger og teknologiske løsninger?
  • Der det er nødvendig, hvem skal sikre at det gjennomføres personvernkonsekvensvurderinger?
  • Hvem har ansvar for å stille krav til, og følge opp eksterne leverandører?
  • I prosjekter, hvem skal gjennomføre og ivareta oppgavene nevnt over og hvem skal ta over ansvaret når prosjektet er fullført?
  • Hvem er personvernombud og har vi behov for en sikkerhetsleder eller -rådgiver?
  • Har vi nødvendig kompetanse i eget hus til å gjennomføre oppgavene?

C: Gjennomføre risikovurderinger

  • For de systemer og behandleringer som er identifisert under punkt A, må kommunen sikre at det blir gjennomført risikovurderinger for sikkerhet og personvern. Det anbefales at kommunens etablerte metode for risikostyring benyttes for å bidra til at informasjonssikkerhet blir en naturlig del av kommunenes ordinære risikostyring
  • Kommunedirektøren bør som minimum kjenne til resultatet av risikovurderingene og ta stilling til uakseptabel risiko. Der det er identifisert høy risiko må kommunedirektøren sikre at tiltak blir iverksatt og forsikre seg om at risiko blir redusert.

D: Utarbeide tiltaksplan

Kommunedirektøren må sikre at det blir utarbeidet en tiltaksplan med tilhørende ansvarlige (se punkt B) for de tiltak som skal innføres med bakgrunn i identifiserte plikter (se punkt A) og gjennomførte risikovurderinger (se punkt C). Tiltakene utarbeides i neste fase. Kommunedirektøren bør få regelmessig orientering om fremdrift.

Kilde: KS

https://www.ks.no/fagomrader/forskning-og-utvikling-fou/forskning-og-utvikling/slik-sikrer-du-oppfolging-av-personvern-og-informasjonssikkerhet/