tilt | Signert | GDPR i praksis | Læringspunkter fra Datatilsynets tilsyn med kommuner

Læringspunkter fra Datatilsynets tilsyn med kommuner

torsdag 11. januar 2024 @ 07:30

Datatilsynets rapport etter tilsyn med flere kommuner i Norge, gir oss nyttig læring.
Av Erik Horn

I 2023 gjennomførte Datatilsynet et omfattende landsomfattende tilsyn med norske kommuner og fylkeskommuners etterlevelse av personvernforordningen (GDPR). Tilsynet ble gjort i to faser – først en bred brevkontroll mot 98 kommuner, og deretter stedlige tilsyn med 10 utvalgte kommuner.

Hensikten med tilsynet var å undersøke kommunenes modenhet og systematikk for å ivareta krav til personvern og personopplysningssikkerhet. Personopplysninger er i dag en integrert del av de fleste kommunale tjenester og forvaltningsoppgaver. Kommunene behandler store mengder sensitive data om innbyggerne, og har et stort ansvar for å håndtere disse på en sikker og forsvarlig måte.

Artikkelserie:

GDPR i praksis

I en serie artikler vil Erik Horn gi deg praktisk veiledning i GDPR.

Derfor skal oppstartsselskaper inkludere personvern helt fra start

Personvern og IT-sikkerhet i praksis 

Slik bygger du en god personvernkultur

• Læringspunkter fra Datatilsynets tilsyn med kommuner (denne artikkelen)

Overordnede retningslinjer mangler

I brevkontrollen ba Datatilsynet kommunene om å redegjøre for en rekke områder: Protokoller over behandlingsaktiviteter, organisering av ansvar, styringssystem/internkontroll, risiko- og sårbarhetsanalyser, sikkerhetsstrategi, IKT-samarbeid, autentiseringsløsninger, sikkerhetskopiering/gjenoppretting, sikkerhetsrevisjon og personvernombud.

Datatilsynets samlerapport fra tilsynet gir nyttig innsikt i status på kommunenes arbeid med personvern. Det kommer fram at det gjøres mye godt arbeid, men også at det fortsatt er mangler og forbedringspotensial på viktige områder.

Et sentralt funn er at mange kommuner mangler overordnede styrende retningslinjer og rutiner på flere områder. Dette gjelder særlig risiko- og sårbarhetsanalyser, men også rutiner for varsling av avvik, autentisering, sikkerhetsrevisjon mv.

Personvern som kontinuerlig prosess

Videre ser Datatilsynet behov for økt bevissthet rundt sammenhengen mellom personvern, informasjonssikkerhet og beredskap i kommunene. Manglende helhetlige rutiner for blant annet risikovurderinger, sikkerhetskopiering og avvikshåndtering gjør kommunene sårbare for alvorlige konsekvenser ved eventuelle databrudd.

Rapporten understreker viktigheten av at personvernforpliktelsene er godt forankret i ledelsen og styringssystemene. Samtidig må rutiner og opplæring implementeres på alle nivåer. Ansatte må ha kunnskap om hvordan personopplysninger skal håndteres sikkert i deres arbeidshverdag.

Et naturlig første steg er å kartlegge all behandling av personopplysninger. Deretter må man løpende analysere risiko, sårbarheter og mulige tiltak. Personvern må ses på som en kontinuerlig prosess, ikke et engangsprosjekt. Avvik vil oppstå, og må følges opp. Opplæring og bevisstgjøring er helt avgjørende.

Mange kommuner har også IKT-samarbeid på tvers. Slik samarbeide kan ha flere fordeler, men det forutsetter at hver kommune fortsetter å ha et bevisst forhold til sitt selvstendige ansvar som behandlingsansvarlig. Ansvar kan ikke fullt ut delegeres til slikt IKT-samarbeid, eller til den som er «vertskommune», da behandlingsansvaret ligger i den enkelte kommune.

Behov for mer veiledning

Rapporten gir nyttig læring om hva kommunene bør prioritere framover: Etablere helhetlige rutiner og retningslinjer, styrke kompetansen på informasjonssikkerhet, øke bevisstheten rundt risikovurderinger og faren for databrudd, samt sørge for at personvernforpliktelsene er godt implementert i hele organisasjonen.

Datatilsynet konkluderer med at det er behov for mer veiledning til kommunene om personvern og informasjonssikkerhet. Rapporten gir derfor omfattende råd og tips til hva kommunene bør på plass. Datatilsynet arbeider videre med publisering av gode eksempler på rutiner fra kommuner som skårer «godt nok» – slik at alle vet hva de bør strekke seg mot.

Samlet gir Datatilsynets tilsyn og rapport nyttig læring om status på personvernarbeidet i kommune-Norge, og verdifull veiledning i det videre arbeidet med å bygge en varig personvernkultur.

Hvis du ønsker å lese alt om dette – se Datatilsynets egne sider om emnet.

Lykke til!

Om forfatteren

Erik Horn er en erfaren rådgiver innen personvern (GDPR), IT-sikkerhet og endringsledelse. Med sitt praktiske fokus hjelper han virksomheter med å sette personvernet i system på en effektiv måte.

Samsvar og myndigheter

Vektorgrafikk med to personer foran en tavle som viser elementer for god GDPR. Illustrerer viktigheten av å bygge en god personvernkultur.

12 bud for å bygge en robust personvernkultur

GDPR og IT-sikkerhet er ikke et engangsoppsett. Det krever konstant fokus og kontinuerlig oppdatering. Her er 12 gode råd for å bygge en varig personvernkultur. Les mer
Derfor skal oppstartsselskaper inkludere personvern helt fra start

Derfor skal oppstartsselskaper inkludere personvern helt fra start

I denne artikkelen guider jeg deg gjennom hva du bør sikre som minimum rundt personvern og IT-sikkerhet allerede fra start. Les mer
Kvinne med avsjekkshefte. Gode rutiner er personvern i praksis.

Personvern og IT-sikkerhet: Slik oppfyller du GDPR-kravene

Personvern er småskrittsforbedringer og sunn fornuft satt i system, forankret i lovverket. Det er ledelsens ansvar, men alles oppgave! Les mer

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av “kloke hoder” (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Salgsbroen, alle pilarer er like viktige.

Kan du skape tillit? Da er du en selger!

|
Du skal si til deg selv: «Jeg er en selger», og du skal si det med stolthet.
Adferdslæring: Tanker skaper følelser - følelser skaper adferd - adferd skaper tanker

De ubevisste holdningene til eldre arbeidstakere

|
Det foreligger en «allmenn sannhet» om de unge «talentene»: De er fremoverlente, innovative og proaktive arbeidstakere.
Soloprenørene: Hvordan skaffe nye kunder?

Soloprenørene: Hvordan skaffe nye kunder?

|
Overraskende kundeinnsikt fra erfarne soloprenører.
Hvordan 84% av norske virksomheter skaffer nye kunder

Hvordan 84% av norske virksomheter skaffer nye kunder

|
Ukens Tirsdag morgen er skrevet spesielt til en stor gruppe mennesker jeg beundrer: soloprenørene. Dere andre: Les på eget ansvar.
Diagnose: Kan brukes til alt

Diagnose: Kan brukes til alt

|
Å kunne mer om det meste enn de fleste høres bra ut. Men i et ekspertdrevet arbeidsliv kan "multitalent" klinge mer som en diagnose.
Skal vi gni det inn, eller ikke?

Skal vi gni det inn, eller ikke?

|
De gangene jeg som barn kom over en liten rift på en tapetvegg eller i et klesplagg, var det utrolig fristende å pirke litt, og se om jeg kunne få løs en bit til, eller lage hullet litt større. Jeg hadde ikke noe ønske om å ødelegge, jeg ville bare se hva som skjedde.  
Født som leder?

Født som leder?

|
Blir man født som leder? Eller kan det læres? Jeg trodde ikke dette var et tema lenger. Jeg tok feil.
Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.