Publisert: 05.06.2024

Litt om Datatilsynets rapport

Rapporten fra datatilsynet inneholder beskrivelse av kravene i personvernregelverket og oppsummering av funn. Rapporten inneholder også flere råd og veiledning om hvordan kommuner og fylkeskommuner bør arbeide med de temaene som Datatilsynet har hatt tilsyn i.

Noen stikkord fra funnene:

  • Det gjøres mye godt personvernarbeid, til tross for begrensede ressurser.
  • De fleste har etablert verktøy for styringssystem/internkontroll og behandlingsprotokoller, men det er fortsatt betydelige mangler med hensyn til innhold og systematikk.
  • Det er innført tekniske tiltak for å ivareta informasjonssikkerheten, men det er betydelige mangler på strategisk nivå (styrende retningslinjer).
  • Mange mangler overordnede retningslinjer og praktiske rutiner/prosedyrer.
  • Det uttrykkes behov for mer, bedre og samlet veiledning, og det er ønske om tilgang på gode eksempler.

Anbefalte tiltak fra KS’ Fagråd for informasjonssikkerhet og personvern

Datatilsynets tilsyn viser at fagfeltet informasjonssikkerhet og personvern bør ha en god forankring i kommunenes ledelse. I forbindelse med digitaliseringen av tjenester er det viktig at kommunen tar eierskap for at digitaliseringsprosessene skjer på en lovlig, forsvarlig og sikker måte. Risikohåndtering, prioritering og dokumenterte beslutninger er stikkord i Datatilsynets rapport.

KS’ Fagråd for informasjonssikkerhet og personvern (fagrådet) har utarbeidet anbefalte tiltak for kommunal sektor for oppfølging av Datatilsynets rapport.

Fagrådet har jobbet med konkretisering av anbefalinger etter Datatilsynets funn ved å lage one-pagere. Det er 11 one-pagere som gir praktisk veiledning innenfor de temaene som Datatilsynet har hatt søkelys på. Veiledningen i one-pagerne er hentet både fra Datatilsynets rapport og faglige vurderinger av fagpersoner i kommunalsektor og utvalgte nettverk.

Ettersom personvern er ledelsesansvar, er one-pagere også formet slik at Kommunedirektøren kan stille kontrollspørsmål til sin egen organisasjon for å avklare modenhet og om personvern er ivaretatt i kommunen.

Med utgangspunkt i Datatilsynets rapport anbefaler fagrådet følgende kort- og langsiktige tiltak som kan løfte kommunal sektoren innenfor området som er underkastet tilsyn. De forslåtte tiltakene vil bidra til større oppmerksomhet rundt sikkerhets- og personvernarbeidet i kommunal sektor og digital robusthet.

Kortsiktige tiltak;

  • KS lanserer konkrete anbefalinger (one-pagere) om hva kommune bør gjøre med hensyn til temaer som er tatt opp i Datatilsynets rapport.
  • Arrangere webinar knyttet til veiledningene (one-pagerene).
  • Vurdere å sende brev til kommunedirektører på et overordnet nivå om hvordan ansvaret kan ivaretas helt overordnet.
  • Vurdere å tilby teamet til regionale KDUer og kommunedirektørmøter.

KS vil komme tilbake til hvordan og når kortsiktig tiltak 2–4 bør gjennomføres.

Langsiktige tiltak;

  • KS etablerer dialog med statlige/kommunale veiledningsaktører om mulighet for et praktisk styringssystem for personvern.
  • Revisjon av KS’ verktøykasse for personvern og informasjonssikkerhet, under Kommunedirektørenes internkontroll – orden i eget hus.

Når det gjelder revisjon av verktøykassen for kommunedirektørene, er arbeidet påbegynt og revisjonen ferdigstilles i løpet av høst 2024.

Vedlegg