Datatilsynet satte i 2023 i gang et større tilsynsarbeid mot nærmere hundre norske kommuner og fylkeskommuner som gjelder ivaretakelse av personopplysningssikkerheten. Rapporten fra tilsynet inneholder beskrivelse av kravene i personvernregelverket og oppsummering av funn. Rapporten inneholder også flere råd og veiledning om hvordan kommuner og fylkeskommuner bør arbeide med de temaene som Datatilsynet har hatt tilsyn i.
Les også: Omfattende tilsyn med personvernet i kommunene
Datatilsynets tilsyn viser at fagfeltet informasjonssikkerhet og personvern bør ha en god forankring i kommunenes ledelse. I forbindelse med digitaliseringen av tjenester er det viktig at kommunen tar eierskap for at digitaliseringsprosessene skjer på en lovlig, forsvarlig og sikker måte. Risikohåndtering, prioritering og dokumenterte beslutninger er stikkord i Datatilsynets rapport.
KS’ Fagråd for informasjonssikkerhet og personvern (fagrådet) har utarbeidet anbefalte tiltak for kommunal sektor for oppfølging av Datatilsynets rapport.
Fagrådet har jobbet med konkretisering av anbefalinger etter Datatilsynets funn ved å lage one-pagere (pdf). Det er 11 one-pagere som gir praktisk veiledning innenfor de temaene som Datatilsynet har hatt søkelys på. Veiledningen i one-pagerne er hentet både fra Datatilsynets rapport og faglige vurderinger av fagpersoner i kommunal sektor og utvalgte nettverk.
Veiledningen i one-pagerne er hentet både fra Datatilsynets rapport og faglige vurderinger av fagpersoner i kommunal sektor og utvalgte nettverk.
Ettersom personvern er ledelsesansvar, er one-pagere også formet slik at kommunedirektøren kan stille kontrollspørsmål til sin egen organisasjon for å avklare modenhet og om personvern er ivaretatt i kommunen.
Med utgangspunkt i Datatilsynets rapport anbefaler fagrådet følgende kort- og langsiktige tiltak som kan løfte kommunal sektoren innenfor området som er underkastet tilsyn. De forslåtte tiltakene vil bidra til større oppmerksomhet rundt sikkerhets- og personvernarbeidet i kommunal sektor og digital robusthet.
Kortsiktige tiltak
- KS lanserer konkrete anbefalinger (one-pagere) om hva kommunene bør gjøre med hensyn til temaer som er tatt opp i Datatilsynets rapport.
- Arrangere webinar knyttet til veiledningene (one-pagerne).
- Vurdere å sende brev til kommunedirektører på et overordnet nivå om hvordan ansvaret kan ivaretas helt overordnet.
- Vurdere å tilby temaet til regionale kommunedirektørutvalg og kommunedirektørmøter.
KS vil komme tilbake til hvordan og når kortsiktig tiltak 2–4 bør gjennomføres.
Langsiktige tiltak
- KS etablerer dialog med statlige/kommunale veiledningsaktører om mulighet for et praktisk styringssystem for personvern.
- Revisjon av KS’ verktøykasse for personvern og informasjonssikkerhet, under Kommunedirektørenes internkontroll – orden i eget hus (pdf).
Når det gjelder revisjon av verktøykassen for kommunedirektørene, er arbeidet påbegynt og revisjonen ferdigstilles i løpet av høst 2024.
Kilde: KS