Datatilsynet har sendt ut brev (pdf) til alle landets 357 kommuner for å kartlegge kommunenes arbeid med personopplysningssikkerhet og sikkerhetshendelser.
Målet med tilsynene er ifølge Datatilsynet å bidra til at norske kommuner blir bedre rustet til å både forebygge og håndtere sikkerhetshendelser. De tiltakene som skal kontrolleres, er tett knyttet til beredskap.
Tidligere tilsyn og rapporterte avvik viser at det er stor forskjell på i hvilken grad norske kommuner ivaretar personopplysninger på en sikker måte. Mange sikkerhetsbrudd skyldes svake løsninger for pålogging (autentisering). Dette er et av områdene som Datatilsynet vektlegger i kontrollen.
Datatilsynet erfarer også at konsekvensene av digitale angrep blir unødvendig store om kommunene mangler gode rutiner for back-up og gjenoppretting av data.
Kontrollen er delt opp i tre trinn som vil gjennomføres i løpet av 2026, hvor første fase er i gang:
- Kartlegging: Alle norske kommuner må svare på spørsmål (pdf) om hvordan de ivaretar personopplysningssikkerheten. Svarfristen for tilbakemelding fra kommunene er 20. februar 2026.
- Dokumentasjon: Et utvalg kommuner må sende inn utfyllende dokumentasjon om sine systemer og rutiner.
- Kontroll på stedet: Stedlige tilsyn med et utvalg kommuner.
Kilde: Datatilsynet