Anbefalte tiltak fra KS’ Fagråd for informasjonssikkerhet og personvern

KS’ Fagråd for informasjonssikkerhet og personvern har utarbeidet anbefalte tiltak for kommunal sektor for oppfølging av Datatilsynets rapport etter fjorårets kommunetilsyn.

Datatilsynet satte i 2023 i gang et større tilsynsarbeid mot nærmere hundre norske kommuner og fylkeskommuner som gjelder ivaretakelse av personopplysningssikkerheten. Rapporten fra tilsynet inneholder beskrivelse av kravene i personvernregelverket og oppsummering av funn. Rapporten inneholder også flere råd og veiledning om hvordan kommuner og fylkeskommuner bør arbeide med de temaene som Datatilsynet har hatt tilsyn i.

Les også: Omfattende tilsyn med personvernet i kommunene

Datatilsynets tilsyn viser at fagfeltet informasjonssikkerhet og personvern bør ha en god forankring i kommunenes ledelse. I forbindelse med digitaliseringen av tjenester er det viktig at kommunen tar eierskap for at digitaliseringsprosessene skjer på en lovlig, forsvarlig og sikker måte. Risikohåndtering, prioritering og dokumenterte beslutninger er stikkord i Datatilsynets rapport.

KS’ Fagråd for informasjonssikkerhet og personvern (fagrådet) har utarbeidet anbefalte tiltak for kommunal sektor for oppfølging av Datatilsynets rapport.

Fagrådet har jobbet med konkretisering av anbefalinger etter Datatilsynets funn ved å lage one-pagere (pdf). Det er 11 one-pagere som gir praktisk veiledning innenfor de temaene som Datatilsynet har hatt søkelys på. Veiledningen i one-pagerne er hentet både fra Datatilsynets rapport og faglige vurderinger av fagpersoner i kommunalsektor og utvalgte nettverk.

Veiledningen i one-pagerne er hentet både fra Datatilsynets rapport og faglige vurderinger av fagpersoner i kommunalsektor og utvalgte nettverk.

Ettersom personvern er ledelsesansvar, er one-pagere også formet slik at kommunedirektøren kan stille kontrollspørsmål til sin egen organisasjon for å avklare modenhet og om personvern er ivaretatt i kommunen.

Med utgangspunkt i Datatilsynets rapport anbefaler fagrådet følgende kort- og langsiktige tiltak som kan løfte kommunal sektoren innenfor området som er underkastet tilsyn. De forslåtte tiltakene vil bidra til større oppmerksomhet rundt sikkerhets- og personvernarbeidet i kommunal sektor og digital robusthet.

Kortsiktige tiltak

  1. KS lanserer konkrete anbefalinger (one-pagere) om hva kommunene bør gjøre med hensyn til temaer som er tatt opp i Datatilsynets rapport.
  2. Arrangere webinar knyttet til veiledningene (one-pagerne).
  3. Vurdere å sende brev til kommunedirektører på et overordnet nivå om hvordan ansvaret kan ivaretas helt overordnet.
  4. Vurdere å tilby temaet til regionale kommunedirektørutvalg og kommunedirektørmøter.

KS vil komme tilbake til hvordan og når kortsiktig tiltak 2–4 bør gjennomføres.

Langsiktige tiltak

Når det gjelder revisjon av verktøykassen for kommunedirektørene, er arbeidet påbegynt og revisjonen ferdigstilles i løpet av høst 2024.

Kilde: KS

https://www.ks.no/fagomrader/digitalisering/sikkerhet/anbefalte-tiltak-i-forbindelse-med-datatilsynets-tilsyn-mot-norske-kommuner/