Etterlyser tydelegare forankring i leiinga

Hausten 2012 kontrollerte Datatilsynet fem statlege verksemder. Resultatet viser eit behov for tydelegare forankring i leiinga når det gjeld internkontroll og informasjonstryggleik.

Datatilsynet har erfart at forankring i leiinga er svært viktig for at ei verksemd skal ha ein velfungerande internkontroll og dermed god informasjonstryggleik. Denne kunnskapen har vist seg både gjennom tilsynsverksemda og i rettleiingsmøter med ulike verksemder.

Dersom ei slik forankring ikkje er på plass, vil det ofte være krevjande å få gjennomslag for informasjonstryggingstiltak.

Manglar dokumentasjon og gode rutinar

Kontrollane viste at det er stor variasjon i kunnskapen om personopplysningslova hos dei kontrollerte etatane. Det er også stor skilnad på behovet for og bruken av personopplysningar. Nokre av verksemdene, som for eksempel Utlendingsnemnda, har store databasar med personopplysningar, mens Havarikommisjonen registrerer særs få personopplysningar.

Berre to av dei kontrollerte verksemdene hadde gode og dokumenterte rutinar for internkontroll og informasjonstryggleik. Dei andre har fått pålegg om å rette opp i mangelfulle rutinar.

Mangelfulle tryggingstiltak

Eit anna funn var mangelfulle tryggingstiltak. Verksemdene nytta for eksempel usikre kommunikasjonskanalar slik som e-post for oversending av personopplysningar. Fleire var også dårlege på etablering av databehandleravtalar, og hadde heller ikkje gjennomført eller følgt opp eigne risikovurderingar. Dette har dei fått pålegg om å rette opp. 

Satsing på offentleg sektor

Offentleg sektor er eit av Datatilsynets prioriterte område i 2013. Det gjeld spesielt tema knytte til digitaliseringsprogrammet regjeringa har lagt fram. Det er planlagt kontrollar med statlege etatar også i det kommande året, først og fremst for å samle kunnskap om sektoren. Funna vil deretter leggjast til grunn for andre tiltak mot sektoren. Målet med satsinga er at sektoren, i større grad enn i dag, skal etterleve krava i personopplysningslova til internkontroll og informasjonstryggleik.

Last ned kontrollrapportane: