tilt | Signert | GDPR i praksis | Læringspunkter fra Datatilsynets tilsyn med kommuner

Læringspunkter fra Datatilsynets tilsyn med kommuner

torsdag 11. januar 2024 @ 07:30

Datatilsynets rapport etter tilsyn med flere kommuner i Norge, gir oss nyttig læring.
Av Erik Horn

I 2023 gjennomførte Datatilsynet et omfattende landsomfattende tilsyn med norske kommuner og fylkeskommuners etterlevelse av personvernforordningen (GDPR). Tilsynet ble gjort i to faser – først en bred brevkontroll mot 98 kommuner, og deretter stedlige tilsyn med 10 utvalgte kommuner.

Hensikten med tilsynet var å undersøke kommunenes modenhet og systematikk for å ivareta krav til personvern og personopplysningssikkerhet. Personopplysninger er i dag en integrert del av de fleste kommunale tjenester og forvaltningsoppgaver. Kommunene behandler store mengder sensitive data om innbyggerne, og har et stort ansvar for å håndtere disse på en sikker og forsvarlig måte.

Artikkelserie:

GDPR i praksis

I en serie artikler vil Erik Horn gi deg praktisk veiledning i GDPR.

Derfor skal oppstartsselskaper inkludere personvern helt fra start

Personvern og IT-sikkerhet i praksis 

Slik bygger du en god personvernkultur

• Læringspunkter fra Datatilsynets tilsyn med kommuner (denne artikkelen)

Overordnede retningslinjer mangler

I brevkontrollen ba Datatilsynet kommunene om å redegjøre for en rekke områder: Protokoller over behandlingsaktiviteter, organisering av ansvar, styringssystem/internkontroll, risiko- og sårbarhetsanalyser, sikkerhetsstrategi, IKT-samarbeid, autentiseringsløsninger, sikkerhetskopiering/gjenoppretting, sikkerhetsrevisjon og personvernombud.

Datatilsynets samlerapport fra tilsynet gir nyttig innsikt i status på kommunenes arbeid med personvern. Det kommer fram at det gjøres mye godt arbeid, men også at det fortsatt er mangler og forbedringspotensial på viktige områder.

Et sentralt funn er at mange kommuner mangler overordnede styrende retningslinjer og rutiner på flere områder. Dette gjelder særlig risiko- og sårbarhetsanalyser, men også rutiner for varsling av avvik, autentisering, sikkerhetsrevisjon mv.

Personvern som kontinuerlig prosess

Videre ser Datatilsynet behov for økt bevissthet rundt sammenhengen mellom personvern, informasjonssikkerhet og beredskap i kommunene. Manglende helhetlige rutiner for blant annet risikovurderinger, sikkerhetskopiering og avvikshåndtering gjør kommunene sårbare for alvorlige konsekvenser ved eventuelle databrudd.

Rapporten understreker viktigheten av at personvernforpliktelsene er godt forankret i ledelsen og styringssystemene. Samtidig må rutiner og opplæring implementeres på alle nivåer. Ansatte må ha kunnskap om hvordan personopplysninger skal håndteres sikkert i deres arbeidshverdag.

Et naturlig første steg er å kartlegge all behandling av personopplysninger. Deretter må man løpende analysere risiko, sårbarheter og mulige tiltak. Personvern må ses på som en kontinuerlig prosess, ikke et engangsprosjekt. Avvik vil oppstå, og må følges opp. Opplæring og bevisstgjøring er helt avgjørende.

Mange kommuner har også IKT-samarbeid på tvers. Slik samarbeide kan ha flere fordeler, men det forutsetter at hver kommune fortsetter å ha et bevisst forhold til sitt selvstendige ansvar som behandlingsansvarlig. Ansvar kan ikke fullt ut delegeres til slikt IKT-samarbeid, eller til den som er «vertskommune», da behandlingsansvaret ligger i den enkelte kommune.

Behov for mer veiledning

Rapporten gir nyttig læring om hva kommunene bør prioritere framover: Etablere helhetlige rutiner og retningslinjer, styrke kompetansen på informasjonssikkerhet, øke bevisstheten rundt risikovurderinger og faren for databrudd, samt sørge for at personvernforpliktelsene er godt implementert i hele organisasjonen.

Datatilsynet konkluderer med at det er behov for mer veiledning til kommunene om personvern og informasjonssikkerhet. Rapporten gir derfor omfattende råd og tips til hva kommunene bør på plass. Datatilsynet arbeider videre med publisering av gode eksempler på rutiner fra kommuner som skårer «godt nok» – slik at alle vet hva de bør strekke seg mot.

Samlet gir Datatilsynets tilsyn og rapport nyttig læring om status på personvernarbeidet i kommune-Norge, og verdifull veiledning i det videre arbeidet med å bygge en varig personvernkultur.

Hvis du ønsker å lese alt om dette – se Datatilsynets egne sider om emnet.

Lykke til!

Om forfatteren

Erik Horn er en erfaren rådgiver innen personvern (GDPR), IT-sikkerhet og endringsledelse. Med sitt praktiske fokus hjelper han virksomheter med å sette personvernet i system på en effektiv måte.

Våre ukebrev

Her kan du melde deg på et eller flere av våre ukebrev. Du kan melde deg av eller endre hva du mottar via lenker i epostene.

"*" obligatorisk felt

Navn*

Litt klokere

Ukentlige nettmøter hvor vi gjør hverandre litt klokere. Du må være logget inn som medlem for å melde deg på.

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

Submit a Comment

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

På forsiden nå

Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

|
Den ultimate lederutfordringen: Det eneste du kan tilby av motivasjon er vafler. Tusenvis står i det hver dag.
Kvinne holde en presentasjon foran et publikum.

Kunsten å skape engasjement i møter og på kurs

|
VIVA er en huskeregel for den som vil skape engasjerende kurs som huskes.
Utsikten fra elfenbenstårnet

Utsikten fra elfenbenstårnet

|
Å se det store bildet er bra, men hvis det er det eneste vi ser, mister vi kontakten med virkeligheten.
Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

|
Visdommen jeg arvet fra min kjære bestefar, en visdom som strekker seg langt utover åkrene og inn i livets mange aspekter, er en uvurderlig guide i forståelsen av likhetene mellom lederskap og bondekunnskap.
Vektorgrafikk med to personer foran en tavle som viser elementer for god GDPR. Illustrerer viktigheten av å bygge en god personvernkultur.

12 bud for å bygge en robust personvernkultur

|
GDPR og IT-sikkerhet er ikke et engangsoppsett. Det krever konstant fokus og kontinuerlig oppdatering. Her er 12 gode råd for å bygge en varig personvernkultur.
Toppliste med pallplassene 1, 2 og 3.

Disse artiklene ble mest lest i 2023

|
Er artikkel om bærekraftig IT og grønn koding ble den mest leste artikkelen i 2023.
Lederskap bor i oss alle

Lederskap bor i oss alle

|
Jeg ønsker at vi reflekterer mer over hva lederskap egentlig er og hvilket mangfold av lederskap vi ønsker.
Kvinne med avsjekkshefte. Gode rutiner er personvern i praksis.

Personvern og IT-sikkerhet: Slik oppfyller du GDPR-kravene

|
Personvern er småskrittsforbedringer og sunn fornuft satt i system, forankret i lovverket. Det er ledelsens ansvar, men alles oppgave!
Derfor skal oppstartsselskaper inkludere personvern helt fra start

Derfor skal oppstartsselskaper inkludere personvern helt fra start

|
I denne artikkelen guider jeg deg gjennom hva du bør sikre som minimum rundt personvern og IT-sikkerhet allerede fra start.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.