Datatilsynet har laget en samlerapport (PDF) der det oppsummerer funnene fra brevkontrollene og gir veiledning om kravene i personvernregleverket.
Kontrollene ble gjort i to faser:
- Det ble først gjennomført brevkontroller mot 93 kommuner og 5 fylkeskommuner. Datatilsynet ba da om informasjon og dokumentasjon innenfor nærmere angitte tema knyttet til personvern og personopplysningssikkerhet.
- Det ble deretter gjennomført stedlige tilsyn med 10 kommuner, med samme tema som brevkontrollen. Formålet med de stedlige tilsynene var å kontrollere faktisk etterlevelse på de forskjellige områdene.
Samlerapporten inneholder beskrivelse av kravene i personvernregelverket, oppsummering av besvarelsene Datatilsynet har mottatt og veiledning om de juridiske kravene og temaene det har undersøkt. Noe av veiledningen har Datatilsynet skrevet selv, men det har også henvist til andre aktører.
Datatilsynet undersøkte blant annet organisering av roller og ansvar, behandlingsprotokoller, styrende retningslinjer for risiko- og sårbarhetsanalyser, sikkerhetsstrategier og rutiner for sikkerhetskopiering og gjenoppretting. Datatilsynet kommer senere til å publisere gode eksempler fra kommuner og fylkeskommuner for å vise «hvor lista bør ligge».
Noen stikkord fra funnene:
- Det gjøres mye godt personvernarbeid, til tross for begrensede ressurser.
- Det er stor forståelse for at personvern og informasjonssikkerhet er viktige verdier som må ivaretas.
- De fleste har etablert gode verktøy for styringssystem/internkontroll og behandlingsprotokoller.
- Det er innført tekniske tiltak for å ivareta informasjonssikkerheten.
- Mange mangler overordnede retningslinjer og praktiske rutiner/prosedyrer innenfor de fleste temaene som ble kontrollert.
- Det uttrykkes behov for mer, bedre og samlet veiledning, og det er ønske om tilgang på gode eksempler.
KS oppfordrer alle medlemmene til å gjennomgå rapporten og gjennomføre en egenvurdering av både dokumentasjon og etterlevelse av rutiner. KS håper videre tilsynet bidrar til at kommunal toppledelse engasjerer seg mer i personvernsarbeidet.
KS oppfordrer alle medlemmene til å gjennomgå rapporten og gjennomføre en egenvurdering av både dokumentasjon og etterlevelse av rutiner.
Ifølge KS er det mange kommuner som fortsatt har mangelfull styring og rutiner på personvern og personopplysningssikkerheten. Det overordnede bildet er likevel tydelig; Kommunal sektor går i riktig retning med personvernsarbeidet, men ifølge KS det går for sakte.
Datatilsynets rapport, erfaringer og funn ble presentert på et seminar nylig. Du kan se et opptak av seminaret her >> (varighet: 1 time og 30 minutter).
Datatilsynet vil også presentere rapporten på NKRFs Kontrollutvalgskonferanse 2024.
Kilde: Datatilsynet