Fann manglande internkontroll i Sogn og Fjordane

Vestlandskommunane fekk pålegg om å betre manglar i handsaminga av personopplysningar.

Det var i kommunane Leikanger og Sogndal vi var denne gongen. Vi var også på tilsyn i Sogn og fjordane fylkeskommune.

Hovedtema for slike kontrollar er å sikre at kommunane sørgjer for god informasjonstryggleik, og at dei har tilfredsstillande rutiner for internkontroll for å sikre at informasjonen er trygg. Regelverket skal sørgje for at dei sikrar personopplysningane dei får i hende på ein forsvarleg måte.

Kvar vi var og det vi fann

 

Sogn og fjordane fylkeskommune

  • Tilstrekkeleg dokumentasjon av behandlingsansvar.
  • Oversikta over kva opplysningar som vert handsama i fylkeskommunen er grovmaska, og kunne sagt meir om sensitive opplysningar. 
  • Manglande rutinar for innsyn.
  • Fylkeskommunen har ikkje dokumenterte rutinar for korleis dei skal gå fram for å rette seg etter informasjonsplikta. 

 Les vedtaket som vert fatta etter kontrollen og heile kontrollrapporten her:

Sogndal kommune

  • God oversikt over personopplysningar som vert handsama i kommunen.
  • Behandlingsansvaret kommunen har er gjort synleg og er godt dokumentert. 
  • Kommunen manglar dokumenterte rutinar for innsyn. Dette gjeld innsynet alle har rett til, i kva opplysningar kommunen handsamar. Det gjeld også innsynet kvar enkelt registrerte person har rett til, i opplysningar som gjeld dei sjølve. 
  • Enkelte manglar når det gjeld informasjonsplikta. Kommunen pliktar å informere personen det vert samla opplysningar om. 

Sogndal kommune har personvernombud. Kontrollen viste at ombudsordninga gir gevinst når det gjeld kontroll med personopplysningar.

Les vedtaket som vert fatta etter kontrollen og heile kontrollrapporten her:

Leikanger kommune

  • Kommunen hadde ei ufullstendig oversikt over personopplysningar som vert handsama i kommunen.
  • Behandlingsansvaret til kommunen var tilstrekkeleg dokumentert.
  • Det vart ikkje funne gode nok rutinar for å sikre informasjonsplikta. Kommunen pliktar å  gi den registrerte beskjed om kva for opplysningar dei samlar inn, kven som er ansvarlig for å handsame opplysningane, kva som er føremålet med innsamlinga (§19-1).
  • Manglar databehandlaravtaler.

Kommunen har i stor grad basert drifta på system som Sogn og Fjordane fylkeskommune har. Desse tenestene skal vere risikovurderte, men dette er ikkje dokumentert. Kommunen har sjølv risikovurdert berre nokre av tenestene.

Les vedtaket som vert fatta etter kontrollen og heile kontrollrapporten her:

Fellestrekk

Begge kommunane mangla dokumenterte rutinar for korleis alle skal få vite kva handsaming av opplysningar kommunen gjer, og for å sikre at den som er registrert får innsyn i opplysningar om han eller henne, slik personopplysningslova krev.