Kommunenes internkontroll

I perioden 2013 til 2015 har Datatilsynet gjennomført nærmere 40 kontroller hos norske kommuner og fylkeskommuner, for å kontrollere hvordan de ivaretar kravene til internkontroll og informasjonssikkerhet.

Bakgrunnen for å gjennomføre en så pass omfattende kartlegging av tilstanden hos kommunesektoren var blant annet at bare 52 prosent av kommunene i en undersøkelse Datatilsynet gjennomførte i 2010 oppga at de har et dokumentert system for internkontroll og informasjonssikkerhet. Dette indikerte at halvparten av landets kommuner og fylkeskommuner manglet dokumenterte rutiner, slik det kreves i personopplysningsloven.

For Datatilsynet var dette meget betenkelig, særlig siden de fleste svarte at de var kjent med personopplysningslovens regler om internkontroll og informasjonssikkerhet. Et annet viktig moment er at en stadig økende digitalisering av kommunale tjenester øker nødvendigheten av en tilfredsstillende internkontroll og informasjonssikkerhet.

Hva fant vi?

Selv om bildet er nyansert, så har kontrollene bekreftet det vi fikk av svar gjennom undersøkelsen i 2010. Kommunene sliter med å ha tilstrekkelig oversikt over sine behandlinger av personopplysninger og med å dokumentere reelle risikovurderinger til disse. Det er også ganske vanlig at man ikke har oversikt over plikter knyttet til informasjon og innsyn etter personopplysningsloven. Det er kanskje noe overraskende mindre forskjeller på store og små kommuner enn man skulle forvente, det er heller ingen tydelige geografiske forskjeller.

Dere finner en fullstendig oversikt over kontrollrapportene og vedtakene på denne samlesiden.

Hvorfor brytes regelverket?

Kontrollene bekrefter det som kom fram i undersøkelsen fra 2010: Mange av kommunene mener det er arbeidskrevende å etablere internkontroll og informasjonssikkerhet. Mange oppgir også at kunnskap om etablering av internkontroll og informasjonssikkerhet som årsak til at regelverket ikke blir fulgt. Datatilsynet mener det er tydelig at problemet med etterlevelse av regelverket skyldes prioriteringer og mangel på kompetanse heller enn manglende kjennskap til regelverket. Problemet skyldes derfor ikke mangel på informasjon.

Ledelsesforankring

Datatilsynet mener å kunne påvise gjennom kontrollene at de kommunene som løfter problemstillingene omkring internkontroll og informasjonssikkerhet opp på ledernivå har mer velfungerende systemer enn de uten ledelsesforankring. Flere kommuner har gode erfaringer fra å løse denne typen utfordringer i samarbeid med andre kommuner, enten i interkommunale nettverk eller andre fora.

Datatilsynet mener ledelsesforankring er viktig også på grunn av at det signaliserer at dette tas på alvor. Samtidig øker det sannsynligheten for at det avsettes tid og ressurser til arbeidet med å få på plass et internkontroll- og informasjonssikkerhetssystem.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll