I 2023 gjennomførte Datatilsynet et omfattende landsomfattende tilsyn med norske kommuner og fylkeskommuners etterlevelse av personvernforordningen (GDPR). Tilsynet ble gjort i to faser – først en bred brevkontroll mot 98 kommuner, og deretter stedlige tilsyn med 10 utvalgte kommuner.

Hensikten med tilsynet var å undersøke kommunenes modenhet og systematikk for å ivareta krav til personvern og personopplysningssikkerhet. Personopplysninger er i dag en integrert del av de fleste kommunale tjenester og forvaltningsoppgaver. Kommunene behandler store mengder sensitive data om innbyggerne, og har et stort ansvar for å håndtere disse på en sikker og forsvarlig måte.

Overordnede retningslinjer mangler

I brevkontrollen ba Datatilsynet kommunene om å redegjøre for en rekke områder: Protokoller over behandlingsaktiviteter, organisering av ansvar, styringssystem/internkontroll, risiko- og sårbarhetsanalyser, sikkerhetsstrategi, IKT-samarbeid, autentiseringsløsninger, sikkerhetskopiering/gjenoppretting, sikkerhetsrevisjon og personvernombud.

Datatilsynets samlerapport fra tilsynet gir nyttig innsikt i status på kommunenes arbeid med personvern. Det kommer fram at det gjøres mye godt arbeid, men også at det fortsatt er mangler og forbedringspotensial på viktige områder.

Et sentralt funn er at mange kommuner mangler overordnede styrende retningslinjer og rutiner på flere områder. Dette gjelder særlig risiko- og sårbarhetsanalyser, men også rutiner for varsling av avvik, autentisering, sikkerhetsrevisjon mv.

Personvern som kontinuerlig prosess

Videre ser Datatilsynet behov for økt bevissthet rundt sammenhengen mellom personvern, informasjonssikkerhet og beredskap i kommunene. Manglende helhetlige rutiner for blant annet risikovurderinger, sikkerhetskopiering og avvikshåndtering gjør kommunene sårbare for alvorlige konsekvenser ved eventuelle databrudd.

Rapporten understreker viktigheten av at personvernforpliktelsene er godt forankret i ledelsen og styringssystemene. Samtidig må rutiner og opplæring implementeres på alle nivåer. Ansatte må ha kunnskap om hvordan personopplysninger skal håndteres sikkert i deres arbeidshverdag.

Et naturlig første steg er å kartlegge all behandling av personopplysninger. Deretter må man løpende analysere risiko, sårbarheter og mulige tiltak. Personvern må ses på som en kontinuerlig prosess, ikke et engangsprosjekt. Avvik vil oppstå, og må følges opp. Opplæring og bevisstgjøring er helt avgjørende.

Mange kommuner har også IKT-samarbeid på tvers. Slik samarbeide kan ha flere fordeler, men det forutsetter at hver kommune fortsetter å ha et bevisst forhold til sitt selvstendige ansvar som behandlingsansvarlig. Ansvar kan ikke fullt ut delegeres til slikt IKT-samarbeid, eller til den som er «vertskommune», da behandlingsansvaret ligger i den enkelte kommune.

Behov for mer veiledning

Rapporten gir nyttig læring om hva kommunene bør prioritere framover: Etablere helhetlige rutiner og retningslinjer, styrke kompetansen på informasjonssikkerhet, øke bevisstheten rundt risikovurderinger og faren for databrudd, samt sørge for at personvernforpliktelsene er godt implementert i hele organisasjonen.

Datatilsynet konkluderer med at det er behov for mer veiledning til kommunene om personvern og informasjonssikkerhet. Rapporten gir derfor omfattende råd og tips til hva kommunene bør på plass. Datatilsynet arbeider videre med publisering av gode eksempler på rutiner fra kommuner som skårer «godt nok» – slik at alle vet hva de bør strekke seg mot.

Samlet gir Datatilsynets tilsyn og rapport nyttig læring om status på personvernarbeidet i kommune-Norge, og verdifull veiledning i det videre arbeidet med å bygge en varig personvernkultur.

Hvis du ønsker å lese alt om dette – se Datatilsynets egne sider om emnet.

Lykke til!