Gebyr for Hovedredningssentralen Nord-Norge

Datatilsynet fant klare mangler i Hovedredningssentralen (HRS) Nord-Norges rutiner for behandling av personopplysninger.

Blant de alvorligste manglene var at vi ikke fant dokumentert at det var gjort risikovurderinger, slik loven krever. Avvikene var mange nok til at HRS Nord-Norge ble ilagt et overtredelsesgebyr på 50.000 kroner.

Manglet oversikt og rutiner

HRS Nord-Norge hadde ikke noen dokumentert oversikt over hvilke personopplysninger som behandles i virksomheten. Det var heller ikke dokumentert hvem som hadde behandlingsansvar for personopplysninger, selv om det var klart i organisasjonen at dette ansvaret lå hos Politimesteren i Salten. I tillegg var det ikke etablert noe fullgodt internkontrollsystem, altså et system for å ivareta at personopplysninger blir behandlet på en god måte. Et slikt system er et krav i personopplysningsloven.

- Mangelfull internkontroll gjør Hovedredningssentralen ute av stand til å forutse potensielle konsekvenser for personvernet, sier Datatilsynets direktør, Bjørn Erik Thon. 

Andre sentrale mangler

  • Mangler dokumenterte rutiner for hvordan innsynsretten (§18) skal ivaretas.
  • Manglende rutiner for oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt
  • Manglende sikkerhetsstrategi
  • Manglende risikovurderinger
  • Det er ikke gjennomført sikkerhetsrevisjoner
  • Manglende dokumentasjon av sikkerhetstiltak
  • Manglende oversikt over databehandlere som behandler personopplysninger på vegne av Hovedredningssentralen Nord-Norge.

Endelig kontrollrapport (pdf)

Vedtak fra Datatilsynet (pdf)