Bare 52 % oppgir at de har et dokumentert system for internkontroll. Det betyr at halvparten av landets kommuner og fylkeskommuner mangler dokumenterbare rutiner slik det kreves i personopplysningsloven. For Datatilsynet er dette betenkelig særlig siden de fleste svarer at de er kjent med personopplysningslovens regler om internkontroll.
Små kommuner mangler
Til tross for alle kommuner og fylkeskommuner ble pålagt å redegjøre for status for internkontroll og informasjonssikkerhet har 18 kommuner og 1 fylkeskommune ikke svart, selv etter gjentatte purringer. Blant de som ikke har svart er det et stort antall små kommuner. Datatilsynet kommer til å følge opp alle som ikke har svart i løpet av 2011.
Innrømmer at de ikke følger regelverket
Datatilsynets kontroller har vist at mange kommuner mangler tilfredsstillende rutiner for behandling av personopplysninger. Tilsynet er likevel overrasket over at nesten 20 % som svarer at de ikke har et dokumentert system for internkontroll og informasjonssikkerhet også svarer nei på om de har planlagt oppstart for dette arbeidet.
En stor del av kommunene innrømmer med dette at de bryter et regelverk de kjenner til. Datatilsynet kommer til å følge opp disse kommunene og fylkeskommunene med videre tiltak i 2011 og 2012.
Hvorfor brytes regelverket?
Det kommer fram i redegjørelsen at mange av kommunene mener det er for arbeidskrevende å etablere internkontroll. Mange oppgir også at kunnskap om etablering av internkontroll som årsak til at regelverket ikke blir fulgt. Datatilsynet mener det er tydelig at problemet med etterlevelse av regelverket skyldes prioriteringer og mangel på kompetanse heller enn manglende kjennskap til regelverket. Problemet skyldes derfor ikke mangel på informasjon.
Ledelsesforankring
Datatilsynet har gjennom en rekke kontroller erfart at de kommunene som løfter problemstillingene omkring internkontroll opp på ledernivå har mer velfungerende systemer for internkontroll enn de uten ledelsesforankring. Flere kommuner har gode erfaringer fra å løse denne typen utfordringer i samarbeid med andre kommuner, enten i interkommunale nettverk eller andre forum.
Datatilsynet mener ledelsesforankring er viktig også på grunn av at det signaliserer at dette tas på alvor. Samtidig øker det sannsynligheten for at det avsettes tid og ressurser til arbeidet med å få på plass et internkontrollsystem.
Forslag til tiltak
Redegjørelsen viser at det er behov for en ny strategi for å nå frem til kommunene. Tilsynet vil være avhengig av å samarbeide med andre aktører for å kunne forbedre dagens situasjon. Følgende tiltak er foreslått for å følge opp kommunesektoren og de konkrete funnene i redegjørelsen videre:
- Rapporten fra kommuneredegjørelsen oversendes Datatilsynets regelverksprosjekt slik at det kan gjøres en vurdering av regelverkets hensiktsmessighet ovenfor kommunene. Datatilsynet mener det svake resultatet kan skyldes kommunenes rammebetingelser og eller muligheter for etterlevelse av personopplysningsloven. Dette innebærer at det må vurderes om kravene er rimelige, om de bør forenkles og om det bør legges inn mer konkrete anvisninger av hva som kreves for å oppfylle regelverket.
- Datatilsynet må utvikle kontakten med relevante samarbeidsparter for å bidra til ny fokus på kommunenes tilnærming til regelverket. Datatilsynet inviterte i slutten av februar Kommunal- og Regionaldepartementet og Kommunesektorens interesse- og arbeidsgiverorganisasjon med invitasjon til møte for å drøfte resultatet av redegjørelsen og mulige videre tiltak.
- Datatilsynet mener mulighetene for å utvikle en bransjenorm, etter modellen fra helsevesenet, bør drøftes med samarbeidspartnere.
- For å kunne måle effekten av tidligere og nye initiativ overfor kommunene bør kommuneundersøkelsen gjentas i 2012 eller 2013.
Les hele Kommuneundersøkelsen 2010 - 2011 her (pdf, nytt vindu).