Funn fra tilsyn i kommuner og fylkeskommuner

Datatilsynet har i 2023 gjennomført et stort antall kontroller med norske kommuner og fylkeskommuner der vi har sett på personopplysningssikkerheten. Vi har nå laget en samlerapport der vi oppsummerer funnene fra brevkontrollene og gir veiledning om kravene i personvernregleverket.

Kontrollene ble gjort i to faser:

  1. Vi har først gjennomført brevkontroller mot 93 kommuner og 5 fylkeskommuner. Vi ba da om informasjon og dokumentasjon innenfor nærmere angitte tema knyttet til personvern og personopplysningssikkerhet.
  2. Vi har deretter gjennomført stedlige tilsyn med 10 kommuner, med samme tema som brevkontrollen. Formålet med de stedlige tilsynene var å kontrollere faktisk etterlevelse på de forskjellige områdene.

Vi har nå skrevet en samlerapport for de 98 brevkontrollene. Rapporten inneholder beskrivelse av kravene i personvernregelverket, oppsummering av besvarelsene vi har mottatt og veiledning om de juridiske kravene og temaene vi har undersøkt. Noe av veiledningen har vi skrevet selv, men vi har også henvist til andre aktører.

Noen stikkord fra funnene:

  • Det gjøres mye godt personvernarbeid, til tross for begrensede ressurser.
  • Det er stor forståelse for at personvern og informasjonssikkerhet er viktige verdier som må ivaretas
  • De fleste har etablert gode verktøy for styringssystem/internkontroll og behandlingsprotokoller.
  • Det er innført tekniske tiltak for å ivareta informasjonssikkerheten.
  • Mange mangler overordnede retningslinjer og praktiske rutiner/prosedyrer innenfor de fleste temaene vi kontrollerte.
  • Det uttrykkes behov for mer, bedre og samlet veiledning, og det er ønske om tilgang på gode eksempler.

Last ned

Inviterer til seminar

Vi har også invitert til seminar torsdag 9. november der vi vil presentere noen av funnene fra kontrollene. På seminaret vil også noen av aktørene som har bidratt til rapporten, delta i en panelsamtale.

Les mer om seminaret