Gebyr for avvik hos kommuner

Datatilsynet reagerer kraftig på manglende internkontroll og informasjonssikkerhet i kommune-Norge, og har ilagt overtredelsesgebyrer til de tre kontrollerte kommunene.

Datatilsynet gjennomførte kontroller hos Vardø, Eigersund og Flekkefjord kommune i 2014. Tema for kontrollene var kommunenes behandling av personopplysninger, med et spesielt fokus på internkontroll og tilfredsstillende informasjonssikkerhet.

Strengere overtredelsesgebyrer

Det ble funnet avvik i internkontrollen og informasjonssikkerheten hos alle kommunene. Avvikene er så alvorlige at vi valgte å ilegge strenge overtredelsesgebyrer til alle tre. Overtredelsesgebyr for brudd på personopplysningsloven ble tatt i bruk som sanksjonsmiddel av Datatilsynet i 2009.

- Vi har bevist valgt å gradvis øke bruken av dette sanksjonsmiddelet i kommunesektoren. Tidligere vedtak har ikke hatt den allmennpreventive effekten vi har ønsket oss, og derfor er vi nå nødt til å bruke overtredelsesgebyr i økende grad for å sørge for at personopplysningsloven følges, sier Bjørn Erik Thon, direktør i Datatilsynet.

Vedtak om pålegg for Vardø kommune

Vardø kommune fikk i utgangspunktet et overtredelsesgebyr på 200 000 kroner, men etter en ny vurdering kom vi fram til at dette var noe høyt. Gebyret er derfor satt ned til 50 000 kroner. (Personvernnemnda har senere opphevet vedtaket om overtredelsesgebyr). Vardø kommune ble pålagt følgende etter kontrollen:

  • Å etablere, dokumentere og oppdatere tiltak for internkontroll
  • Å utarbeide en oversikt over hvilke personopplysninger som behandles, formålet for behandlinger og lovgrunnlaget for dette
  • Å gjennomføre risikovurderinger av informasjonssystemet
  • Å etablere sikkerhetsmål og sikkerhetsstrategi
  • Å dokumentere sikkerhetsorganisasjonen
  • Å etablere rutiner for og gjennomføre opplæring av ansatte for sikker bruk av informasjonssystemet

Vedtak om pålegg for Eigersund kommune

Eigersund kommune fikk først et gebyr på 250 000 kroner, som nå er satt ned til 150 000. Kommunen har valgt å ta følgende pålegg fra Datatilsynet til etterretning:

  • Å etablere, dokumentere og oppdatere tiltak for internkontroll
  • Å utarbeide en oversikt over hvilke personopplysninger som behandles, formålet for behandlinger og lovgrunnlaget for dette
  • Å etablere sikkerhetsmål- og strategi
  • Å etablere et behandlingsansvar som er synlig i organisasjonen
  • Å dokumentere sikkerhetsorganisasjonen
  • Å gjennomføre risikovurdering for all behandling av personopplysninger
  • Å etablere rutiner for sikkerhetsrevisjon
  • Å innføre og dokumentere sikkerhetstiltak
  • Å etablere rutiner for og gjennomføre opplæring av ansatte for sikker bruk av informasjonssystemet
  • Å etablere og oppdatere avtaler med databehandlere slik at de oppfyller kravene til en databehandleravtale

Vedtak om pålegg for Flekkefjord kommune

Flekkefjord kommune har også fått et overtredelsesgebyr, som er satt ned fra 150 000 kroner til 50 000. Kommunen ble pålagt følgende etter kontrollen:

  • Å utarbeide en oversikt over hvilke personopplysninger som behandles, formålet for behandlingen og lovgrunnlaget for dette
  • Å dokumentere sikkerhetsorganisasjonen
  • Å gjennomføre risikovurdering for all behandling av personopplysninger
  • Å etablere og oppdatere avtaler med alle databehandlere slik at de oppfyller kravene til en databehandleravtale

Les vedtak og endelige kontrollrapporter her:

Brev om vedtak Vardø kommune (pdf)

Endelig kontrollrapport Vardø kommune (pdf)

Brev om vedtak Eigersund kommune (pdf)

Endelig kontrollrapport Eigersund kommune (pdf)

Brev om vedtak Flekkefjord kommune (pdf)

Endelig kontrollrapport Flekkefjord kommune (pdf)