Etablering av internkontroll

Personopplysningsloven stiller krav om at den som behandler personopplysninger skal etablere et system for internkontroll.

Det betyr at virksomheter som omfattes av loven må iverksette systematiske tiltak for å sørge for at loven og tilhørende regelverk blir fulgt. I tillegg til gjeldende regelverk, må virksomheten ta hensyn til de vilkårene som eventuelt er gitt i konsesjon fra Datatilsynet.

For noen sektorer som for eksempel offentlig forvaltning, helsesektoren, politi- og domstoler, kan særlover, forskrifter og rundskriv komme til anvendelse.

Ledelsen har ansvar

Ledelsen er ansvarlig for at det settes i gang aktiviteter for å etablere internkontroll i virksomheten. Ledelsen har et spesielt ansvar for å utarbeide policy, målsetning, identifisere forpliktelser, klarlegge intern organisering og ikke minst tydelig identifisere ansvar og myndighet. Ledelsen har også ha ansvar for at det etableres prosedyrer og instrukser basert på en risikovurdering i forhold til personvern. Ledelsen må ta stilling til hvilke rutiner som er påkrevd for å sikre samsvar mellom den etablerte systematikken og aktivitetene som faktisk utføres i virksomheten.

Dokumentasjonen over systemet for internkontroll skal være tilgjengelig for de ansatte i virksomheten og Datatilsynet.

Formålet med internkontrollen

Ved å etablere internkontroll bør virksomheten oppnå:

 1. bedre informasjonssikkerhet, informasjonskvalitet og effektiviseringsgevinst
 2. system for kvalitetsikring av at offentlig regleverk følges
 3. forsvarlig drift innenfor lovverket
 4. fastsatte prosedyrer og instrukser som bidrar til at ledelsen sikrer at de ansatte arbeider i samsvar med virksomhetens mål/policy
 5. at avvik blir oppdaget og korrigert
 6. reduksjon i sjansen for alvorlige feil som skyldes manglende oppfølging av lovverket

Internkontrollens struktur

Det er nyttig å etablere en struktur for internkontrollsystemet. Dette gjør det lettere for aktørene som skal bidra i prosessen til å forstå hvilken funksjon systemet skal ha. Dokumentasjon av internkontrollsystemet skal vise den reelle situasjonen i virksomheten. Berørte parter bør derfor delta i utformingen. Noen ganger medfører innføring av nytt regelverk at prosedyrer og instrukser må endres. Det er viktig at dette faktisk skjer i virksomheten og ikke bare i systembeskrivelsen.

Internkontrollens struktur består av en styrende, gjennomførende og kontrollerende del Et internkontrollsystem består gjerne av

 • styrende dokumentasjon
 • gjennomførende dokumentasjon
 • kontrollerende dokumentasjon

Styrende dokumentasjon

Styrende dokumentasjon gir en systembeskrivelse som inneholder policy og målsetning, identifiserte krav og plikter, intern organisering, ansvar og myndighet. Styrende dokumentasjon er overordnet i sin form og er spesielt ledelsesorientert.

Styrende dokumentasjon bør inneholde

 1. virksomhetens mål og policy i forhold til personopplysningsloven (pol). Se spesielt pol §1
 2. identifisering av at tiltenkt lagring og behandling av personopplysninger samsvarer med lovens grunnkrav, se § 11. Det legges spesielt vekt på saklig behov og konkret definering av formål, herunder at opplysningene som lagres samsvarer med formålet
 3. identifisering av hvilke plikter som er relevant for vedkommende virksomhet
 4. organisering av virksomheten der intern delegering av ansvar og myndighet skal være entydig definert
 5. beskrivelse av hvordan virksomheten ivaretar informasjonssikkerheten. Se pol § 13, forskriften kap. 2. Virksomhetens sikkerhetsmål skal beskrive bruk av informasjonsteknologi.
 6. beskrivelse av hvordan ledelsen vil sørge for at virksomhetenes aktiviteter er i samsvar med kravene i regelverket. En slik beskrivelse vil normalt ende opp i behov for gjennomførende dokumentasjon og kontrollerende dokumentasjon.

Gjennomførende dokumentasjon

Tiltak som er foreslått som følge av en risikovurdering i virksomheten, for eksempel tiltak for å oppnå tilstrekkelig informasjonssikkerhet. Konfidensialitet,  integritet og tilgjengelighet (avhengig av behov) skal sikres. Det legges vekt på at konfigurasjon i systemer hvor personopplysninger lagres eller bearbeides må kunne dokumenteres og at det gjennom denne dokumentasjon kan verifiseres at virksomhetens mål og policy for informasjonssikkerhet er implementert.

Vær oppmerksom på personopplysningslovens bestemmelser vedrørende konfidensialitet, integritet og tilgjengelighet, jf pol § 13 og forskriftens kapittel 2.

Det er spesielt viktig å entydig definere hvem som har ansvaret for hva. Gjennomførende dokumentasjon vil i volum ofte utgjøre den største delen av internkontrollsystemet.

Gjennomførende dokumentasjon bør inneholde:

 1. prosedyrer
 2. arbeidsinstrukser

Eksempel

En prosedyre kan for eksempel være ”prosedyre for utlevering av informasjon, der den registrerte har bedt om innsyn” eller ”prosedyre ved etablering av kameraovervåking”. En prosedyre kan bestå av flere arbeidsinstrukser. Følgende rutiner/instrukser kan pekes ut:

 • Instruks for vurdering av formål og saklighet ved tv-overvåking
 • Instruks for å sikre arbeidstakers medbestemmelse ved etablering av tv-overvåking. (Denne instruksen kan komme som følge av annet lovverk, for eksempel arbeidsmiljøloven)
 • Instruks for å sikre varsling av tv-overvåkning til publikum
 • Instruks om utlevering av opptak
 • Instruks om sletting av opptak

Gjennomførende dokumentasjon er et knippe av mekanismer som skal sikre at aktiviteten i virksomheten samsvarer med virksomhetens definerte mål og policy for personvern og reglene for øvrig. I forhold til ansatte i virksomheten kan gjennomførende dokumentasjon være et sett med interne kjøreregler som sikrer at virksomheten ikke begår lovbrudd med noen av sine aktiviteter.

Kontrollerende dokumentasjon

Kontrollerende dokumentasjon er dokumenter som har til formål å verifisere at aktivitetene har foregått i samsvar med fastsatte prosedyrer og instrukser. Eksempler er rapporter, sjekklister, logg mv. Kontrollerende dokumentasjon kan betraktes som et ”sikkerhetsnett” som bidrar til at styringsdokumentene følges og at eventuelle avvik lettere oppdages. Dokumentene skal ikke være statiske, men endre seg i tråd med virksomhetens utvikling og den rettslige utvikling.

Kontrollerende dokumentasjon bør inneholde:

 1. sjekklister
 2. skjema for avviksrapportering
 3. rapporter
 4. logg

Kontrollerende dokumentasjon består ofte av to deler: En del som brukes under interne revisjoner og en del som brukes i det daglige arbeidet. Skjema for avviksrapportering er for eksempel ment til bruk dersom det oppdages aktiviteter som ikke samsvarer med fastlagte prosedyrer og/eller instrukser.

Det er et klart skille mellom gjennomførende og kontrollerende dokumentasjon. Det første skal sikre at aktivitetene er i samsvar med mål og policy. Det siste skal bidra til at avvik fra mål og policy oppdages og rettes.

Avviksrapportering

Ledelsen kan gjennom sitt aktive engasjement bidra til at de ansatte forstår hvor viktig det er at avvik oppdages og at dette vil forhindre tilsvarende hendelser i framtiden. Det er viktig at ledelsen viser at avviksrapportering tas på alvor.

Eksempel 1

En ansatt oppdager at det ikke er satt opp skilt i området som tv-overvåkes, eller at skiltene er så godt skjult at de ikke kan sees. Han rapporterer dette gjennom skjema for avviksrapportering. Dette skal utløse korrigerende tiltak fra ledelsens side. Korrigerende tiltak kan være:

 • Nye skilt anskaffes og monteres opp
 • Det kartlegges årsak til avvike og vurderes om prosedyren elle instruksen er manglefull. Eventuelle justeringer foretas.
 • Hvis det ikke er mangler ved prosedyre/instruks tas saken opp med rette vedkommende
 • Ledelsen gir tilbakemelding til rapportør om at avviket er lukket

Eksempel 2

Som et ledd i virksomhetens årlige internrevisjon oppdages det at det ikke er satt opp skilt i området som tv-overvåkes, eller at skiltene er så godt skjult at de ikke sees. Avviket identifiseres i rapporten ,også antatt årsak til avviket. Forslag til korrigerende tiltak forslås overfor ledelsen.

 • Nye skilt anskaffes og monteres opp
 • Kartlegging av årsak til avviket foretas, og ledelsen vurderer om prosedyren eller instruksen er manglefull. Hvis det ikke er mangler ved prosedyre/instruks, anbefales det at saken tas opp med rette vedkommende.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll

Relevant informasjon

Personopplysningsloven stiller krav om å etablere internkontroll. Vi har laget noen støtteskjema for dette arbeidet. 

Veilederen er for virksomheter som kun håndterer opplysninger om egne ansatte, eller ikke-sensitive kundeopplysninger. Veilederen er lagt opp slik at den kan redigeres til å bli virksomhetens internkontroll.