Dette kommer blant annet til utrykk i forvaltningsloven § 13 som verner opplysninger om innbyggernes personlige forhold. Søkelyset på å ivareta personopplysninger på god måte fikk et fornyet driv i 2018 med EUs nye personvernregler. De siste årene har også vist oss at kommuner ikke går fri fra kyberkriminalitet, hvor risikoen er betydelig for at personopplysninger kommer på avveie.
Denne artikkelen [1] omhandler hvordan vi som revisorer med forvaltningsrevisjon kan bidra til kommunens personvernarbeid.
Rammene for forvaltningsrevisjonsprosjekt
Behandling av personopplysninger er i dag regulert av EUs personvernsforordning (GDPR). I Norge er disse reglene tatt inn i personopplysningsloven. Reglene for behandling av personopplysninger i GDPR er omfattende. I tillegg er kommunen er en stor organisasjon med mange fagområder som behandler store mengder personopplysninger, som i mange tilfeller også er sensitive. Samtidig går den teknologiske utviklingen raskt.
Denne utfordringen kommer godt til utrykk i fortalen til GDPR (pkt. 6):
Den raske teknologiske utviklingen samt globaliseringen har skapt nye utfordringer med hensyn til vern av personopplysninger. Omfanget av innsamlingen og utvekslingen av personopplysninger har økt betraktelig. Teknologien gjør det mulig for både private selskaper og offentlige myndigheter å benytte seg av personopplysninger i sitt arbeid i et helt nytt omfang.
I tillegg kommer også temaer som er tett knyttet til personvern, eks. IKT-sikkerhet, som i seg selv er omfattende temaer.
Den store bredden, både med tanke på kravene i lovverket og kommunens behandling av personopplysninger, gjør det viktig å tenke på avgrensning tidlig i prosjektet.
Den store bredden, både med tanke på kravene i lovverket og kommunens behandling av personopplysninger, gjør det viktig å tenke på avgrensning tidlig i prosjektet. Avgrensning kan gjøres først og fremst i formulering av problemstilling, men kan også framgå av avgrensninger og revisjonskriterier.
Problemstillinger og avgrensninger
Som for alle forvaltningsrevisjoner setter problemstillingene en viktig ramme for prosjektet. I de forvaltningsrevisjonene jeg har arbeidet med har vi delt prosjektet i to deler. I første del ser jeg på kommunens rutiner og styringssystem som en helhet, og i andre del fokuserer jeg på et utvalg casestudier. Problemstillingene kan formuleres som dette:
- Har x kommune etablert tiltak for å ivareta kravene i personopplysningsloven?
- Hvordan blir personopplysningsloven og kommunens egne tiltak fulgt opp i praksis i kommunens enheter?
Aktuelle avgrensninger kan være f.eks. mot IKT-sikkerhet, arkiv og saksbehandling og taushetsplikt. Det er også en mulighet å avgrense til en bestemt del av kommunen, men det kan være et like godt alternativ å spesifisere dette i problemstillingene.
Revisjonskriterier
Hvilke revisjonskriterier du velger å utlede har også stor betydning for omfanget av forvaltningsrevisjonen. Aktuelle kilder for revisjonskriteriene er:
- personopplysningsloven (GDPR)
- Datatilsynets veiledere
- fagbøker om temaet
Under vil jeg gjennomgå noen aktuelle temaer som det er aktuelt å utlede revisjonskriterier for.
Organisering av personvernarbeidet
Kommunen som rettssubjekt er, i de fleste tilfeller, behandlingsansvarlig for de personopplysningene som blir behandlet av eller på vegne av kommunen. Det er kommunens ansvar at det blir gjennomført tilstrekkelige tekniske og organisatoriske tiltak for å sikre at behandlingen av personopplysninger gjøres med tilfredsstillende sikkert. Tiltakene skal være tilpasset risikoen som er knyttet til den enkelte behandling av personopplysninger, jf. GDPR art. 24 (1).
Kommunedirektøren har ansvar for at kommunen har internkontroll, også på personvernområdet, jf. kommuneloven § 25-1.
Det er derfor aktuelt å kartlegge hvordan kommunen har organisert seg i personvernarbeidet, og hvordan de har sikret en tilstrekkelig internkontroll.
Det er derfor aktuelt å kartlegge hvordan kommunen har organisert seg i personvernarbeidet, og hvordan de har sikret en tilstrekkelig internkontroll.
En viktig aktør i kommunens arbeid med personvern er personvernombudet. Kommunen er pålagt å ha dette, jf. GDPR art. 37. Personvernombudet har flere forskjellige oppgaver, blant annet:
- gi råd og informasjon både til kommunen og de registrerte/innbyggerne
- kontrollere overholdelse av reglene i GDPR
- samarbeide med og være kontaktpunkt for Datatilsynet
Det stilles også særlige krav til personvernombudet. Personvernombudet skal ha dybdekunnskap om personvernlovgivningen og praksis på området, jf. GDPR art. 37 (5). Videre må den som oppnevnes ha tilstrekkelig uavhengighet.
I dette ligger det både at personvernombudet ikke skal instrueres i utførelsen av sine oppgaver, og at hen ikke skal ha andre oppgaver i kommunen som kommer i konflikt med oppgavene som personvernombud. Et eksempel på sistnevnte er at personvernombudet ikke kan være systemansvarlig for IKT-systemer, da hen som systemansvarlig vil være med å bestemme hvilke og hvordan personopplysninger skal behandles. Dette er noe hen skal kontrollere som personvernombud.[2] Kommunen må også sørge for at personvernombudet har tilstrekkelige ressurser og tid til å utføre sine oppgaver og mulighet til å holde seg faglig oppdatert.
Protokoll
Kommunen er pliktig til å føre en protokoll over de behandlingsaktivitetene den utfører. Minstekrav til protokollen er listet opp i GDPR art. 30, og inkluderer blant annet:
- formålet med behandlingen
- hvilke grupper med personer det samles personopplysninger om
- hvilke personopplysninger som blir samlet
- hvilke personopplysninger som blir utlevert til andre
- hvis mulig tidsfrist for sletting av personopplysninger
- hvis mulig beskrivelse av tekniske og organisatoriske sikkerhetstiltak
Siden kommunen har mange forskjellige behandlinger av personopplysninger, vil protokollen fort bli svært omfattende. Det er derfor en risiko for at den blir uoversiktlig, hvis man ikke har gode verktøy for å håndtere informasjonen.
Det er derfor en risiko for at den blir uoversiktlig, hvis man ikke har gode verktøy for å håndtere informasjonen.
Kommunen må også sikre at de som fyller ut informasjonen om behandlingene i protokollen har tilstrekkelig kompetanse, slik at de oppgir korrekt informasjon. Det kan også bli en utfordring for kommunen å holde informasjonen i protokollen oppdatert.
Behandlingsgrunnlag
I forbindelse med en gjennomgang av kommunens protokoll kan det være hensiktsmessig å undersøke om kommunen har et gyldig behandlingsgrunnlag for sin databehandling. Kort fortalt krever all behandling av personopplysninger et behandlingsgrunnlag, jf. GDPR art. 6. I samme artikkel er de lovlige behandlingsgrunnlagene listet opp. Det er flere av grunnlagene som er aktuelle for kommunens forskjellige databehandlinger, så kommunen må vurdere hvilket grunnlag som passer for hver behandling. Det skal kun brukes ett grunnlag per behandling.
Hvis kommunen skal behandle særlige kategorier av personopplysninger (også kalt sensitive personopplysninger) må kommunen, i tillegg til et behandlingsgrunnlag i GDPR art. 6, ha et grunnlag for behandlingen i GDPR art. 9, andre ledd.
Risikovurderinger og vurderinger av personvernkonsekvenser
Kommunens skal gjennomføre nødvendige tiltak for å sikre at behandling av personopplysninger har et tilstrekkelig sikkerhetsnivå som samsvarer med risikoen behandlingen innebærer, jf. GDPR art. 32. Kommunen har derfor et behov for å gjennomføre risikovurderinger av sine behandlinger.
Kommunen har ofte egne planer for slike risikovurderinger. Min erfaring er imidlertid at risikovurderinger ikke blir gjennomført i det omfanget som planen legger opp til.
I tilfeller hvor en behandling vil medføre en høy risiko for personers rettigheter og friheter, skal det gjennomføres en utvidet risikovurdering som heter «vurdering av personvernkonsekvenser» (forkortet DPIA – Data Protection Impact Assessment). Datatilsynet har også utarbeidet en liste over typer behandlinger hvor kommunen skal gjennomføre en DPIA. Dette kommer i tillegg til de tilfellene hvor kommunens selv vurderer det som nødvendig.
Tatt i betraktning at kommunen behandler mange personopplysninger som er sensitive, særlig i sektorer som oppvekst, helse og sosial, er min erfaring at kommunene har gjennomført relativt få DPIAer.
Tiltak for å håndtere brudd på personopplysningssikkerheten
Når det oppstår et brudd på personopplysnings- eller informasjonssikkerheten, eks. at sensitive personopplysninger er publisert på kommunens nettside, vil det være viktig for kommunen raskest mulig å få rettet bruddet. Dette forutsetter at kommunen har godt kjente kanaler for varsling av avvik, og at slike avviksmeldinger kommer frem raskt.
Rask varsling gir kommunen mulighet til å begrense skaden på bruddet, eks. ved raskt å fjerne opplysninger som ved en feil er publisert på kommunens nettsider. For det andre er kommunen pålagt å varsle Datatilsynet innen 72 timer fra et brudd på personopplysningssikkerheten blir kjent, jf. GDPR art. 33.
Kommunen er også forpliktet til å varsle de personene som er berørt av bruddet på personopplysningssikkerheten, hvis det er sannsynlig at bruddet medfører en høy risiko for fysiske personers rettigheter og friheter. I denne sammenhengen skal rettigheter og friheter tolkes vidt, slik at det ikke bare gjelder rettigheter og friheter etter personopplysningsloven, men også annet nasjonalt eller internasjonalt regelverk og inngåtte avtaler.[3]
De registrertes rettigheter
Personer som kommunen behandler personopplysninger om, «de registrerte», har en rekke rettigheter beskrevet i GDPR kap. III. Her er det viktig å merke seg at i offentlig sektor er noen av rettighetene begrenset, både med begrensninger som følger av GDPR og i andre lovverk. I det følgende beskriver jeg noen av disse rettighetene som kommunen plikter å overholde.
Informasjon
Kommunen plikter å informere om sin innsamling av personopplysninger, jf. GDPR art. 12-14, både når den hentes direkte fra den registrerte og fra andre kilder.
Kommunen har som oftest en personvernerklæring på sine nettsider for å informere om sin behandling av personopplysninger. En tydelig og tilpasset personvernerklæring er et godt middel for å oppfylle kravet til informasjon, men den er sjeldent tilstrekkelig for å dekke alle måtene kommunen samler inn og behandler personopplysninger på. Det kan derfor være et behov for å gi ytterligere informasjon til de behandlede når kommunen samler inn opplysninger til bestemte formål, eks. når en innbygger søker om en kommunal tjeneste.
I tillegg til den informasjonen som kommunen selv skal gi ved innsamling av personopplysninger, kan den registrerte be om å få informasjon om innsamlingen og behandlingen av sine personopplysninger. GDPR art. 15 lister opp hvilken informasjon som kommunen skal gi om behandlingen. Artikkelen fastsetter også at den registrerte har rett til en kopi av de opplysningene som kommunen behandler.
Av GDPR art. 12 kommer det fram at kommunen plikter å legge til rette for at de registrerte skal utøve sine retter og at kommunen skal gi:
informasjon […] om behandlingen på en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk, især når det gjelder informasjon som spesifikt er rettet mot et barn.
Retting og sletting
Hvis den registrerte gjør kommunen oppmerksom på feil i personopplysningene om hen, skal kommunen uten ugrunnet opphold rette disse opplysningene, jf. GDPR art. 16. Den registrerte skal også kunne gi utfyllende informasjon hvis hen mener at personopplysningene som kommunen har er ufullstendige, i den grad de utfyllende opplysningene er relevante for formålet til kommunens behandling.
På visse vilkår kan den registrerte kreve å få sine personopplysninger slettet, jf. GDPR art. 17. Blant annet hvis personopplysningene ikke lengre er nødvendige for det formålet de ble innsamlet til, eller at den registrerte trekker tilbake sitt samtykke til at personopplysningene blir behandlet.[4]
Det er imidlertid viktig å merke seg at retten til å bli slettet er begrenset for de personopplysningene som kommunen behandler.
Det er imidlertid viktig å merke seg at retten til å bli slettet er begrenset for de personopplysningene som kommunen behandler. Disse begrensningen kommer frem i GDPR og av andre lover. GPDR art. 17 fastsetter at retten til sletting ikke gjelder når behandlingen er nødvendig for blant annet å utøve ytrings- og informasjonsfrihet, arkivformål, og for at kommunen skal oppfylle en rettslig forpliktelse den har etter nasjonalt lovverk. Eksempel på nasjonalt lovverk som legger begrensninger på hvilke personopplysninger kommunen kan slette, er blant annet arkivloven og kommuneloven.
Reservasjonsrett mot automatiserte beslutninger
Den registrerte har rett til ikke å være gjenstand for en avgjørelse som kommunen gjør utelukkende basert på automatisert behandling, herunder profilering, hvis denne beslutningen har rettsvirkninger eller på tilsvarende måte i betydelig grad påvirker vedkommende, jf. GDPR art. 22.
Et praktisk eksempel på dette kan være søknad om skjenkebevilling. Her kan hele behandlingsprosessen være automatisert, basert på de opplysningene som søker fyller inn eller som kommunen henter fra andre kilder. Søker vil da ha mulighet til å reservere seg mot at behandlingen av søknaden gjøres automatisert. Merk likevel at det er noen unntak til denne retten, jf. GDPR art. 22, andre ledd.
Databehandleravtale
En databehandler er noen (eks. en IKT-bedrift) som behandler personopplysninger på vegne av kommunen, der kommunen er behandlingsansvarlig. Kommunen må sikre at den har en avtale med databehandler som regulerer databehandlers behandling av personopplysninger, en databehandleravtale, jf. GDPR art. 28.
Mange databehandlere har også egne databehandlere som behandler data på deres vegne. Disse vil da være underdatabehandlere av kommunen. Kommunen må samtykke til at underdatabehandlere blir benyttet av databehandler.
Det er verdt å merke seg at terskelen for å være databehandler er lav. Eks. vil en leverandør av et IKT-system hvor alle personopplysninger behandles lokalt i kommunen, fortsatt være en databehandler hvis den har tilgang til systemene for å gjøre eks. vedlikehold eller brukerstøtte.
Metode
Som ellers i forvaltningsrevisjon vil en sammensetning av flere forskjellige metoder i arbeidet med personvern gi et bedre datagrunnlag.
Et godt utgangspunkt er å bruke dokumentgjennomgang for å kartlegge kommunens rutiner for blant annet personvern, informasjonssikkerhet og ansvarsfordeling/delegasjonsreglement.
Videre kan det være nyttig å se på avvik som meldes på personvern, både for å kartlegge hva slags avvik som blir rapportert, og at systemet er lagt til rette for å rapportere avvik på personvern. Sistnevnte er viktig både med tanke på at avviksmeldinger kommer til rett person, og for at kommunen kan nytte gjøre seg av avvikene i det videre forbedringsarbeidet.
Siden det fort kan bli store menger data som skal vurderes i et forvaltningsrevisjonsprosjekt om personvern, kan stikkprøver være et nyttig virkemiddel for å få innsikt i kommunens praksis.
Siden det fort kan bli store menger data som skal vurderes i et forvaltningsrevisjonsprosjekt om personvern, kan stikkprøver være et nyttig virkemiddel for å få innsikt i kommunens praksis. Aktuelle områder å gjøre stikkprøver på er blant annet:
- IKT-systemer eller behandlinger i protokollen: er korrekte og oppdaterte opplysninger registret i protokollen, herunder korrekt behandlingsgrunnlag?
- Risikovurderinger av behandlinger eller IKT-system: er risikovurdering gjennomført og oppdatert?
- Databehandlere for IKT-system: har kommunen oversikt over databehandlere og underdatabehandlere, og har kommunen en dekkende databehandleravtale med disse?
- Vurdering av personvernkonsekvenser (DPIA): oppfyller DPIAen kravene i GDPR? Er tiltak i DPIAen fulgt opp? Min erfaring er at kommunen har så få DPIAer at jeg kan se på alle.
Intervju av sentrale personer som personvernombud, IKT-ansvarlig og kommunedirektør kan også være nyttig.
Vi har også gjennomført casestudier. Her har vi prøvd både å bruke IKT-systemer og enheter i kommunen som casestudier. Min erfaring er at jeg har hatt størst nytte av å bruke enheter (eks. en enkelt skole, sykehjem eller hjemmetjenestebase) hvor jeg gjennomfører et intervju og befaring (omvisning) på enheten. Dette gir, etter min erfaring, det mest fullstendige inntrykket av enhetens arbeid i praksis.
Skriveprosess
Personvern er et område hvor det både er et omfattende regelverk og et stort omfang av personopplysninger som kommunen behandler. Det berører hele kommunens virksomhet. I tillegg til dette kan temaet fremstå som abstrakt, siden alt er digitalt og lovverket bruker mange ord og konsepter som kan være vanskelig å ha noen intuitiv forståelse av. Det vil derfor kreve en innsats fra revisor i skrivearbeidet for å formidle funn på en måte som er tilgjengelig for kontrollutvalgets medlemmer, kommunestyret og innbyggerne i kommunen. Et tips er å ha en liten ordliste, hvor sentrale begreper blir forklart, tidig i rapporten.
Et tips er å ha en liten ordliste, hvor sentrale begreper blir forklart, tidig i rapporten.
Selv om personvern kan være et utfordrede felt å ta fatt på, vil jeg påstå at det er verdt innsatsen. Min erfaring er at kontrollutvalgene setter stor pris på rapportene på dette temaet, da de tar opp viktige temaer.
Kommunens arbeid bygger på tillit, at innbyggernes kan være trygge på at deres personvern ivaretas er sentralt for å holde på denne tilliten. Derfor er forvaltningsrevisjon på dette området helt sentralt
____________________________
Noter:
[1] Erfaringene jeg deler i denne artikkelen baserer seg på flere prosjekter både jeg og mine kollegaer i Vestfold og Telemark revisjon IKS har gjennomført på personvern. Takk også til kollegaer for gode innspill til teksten.
[2] Se: Næss og Østmoe, «Hvordan skape et supert personvernombud?», Lov & Data, 2/2021, s. 8-11
[3] Datatilsynet, «Informasjon til de berørte», datert: 25.05.22
[4]
Dette gjelder hvis samtykke var grunnlaget for at personopplysningene ble samlet inn, og det ikke finnes annet grunnlag for behandlingen. I de fleste tilfeller benytter kommuner andre behandlingsgrunnlag.
_____________________________
Lenke til kontroll & revisjon nr. 2/2023: