Kontroll hos Hovedredningssentralen Nord-Norge

Datatilsynet fant klare mangler i HRS Nord-Norges behandling av personopplysninger.

Blant de alvorligste manglene var at vi ikke fant dokumentert at det var gjort risikovurderinger, slik loven krever. Avvikene var mange nok til at HRS Nord-Norge ble ilagt et overtredelsesgebyr på 50.000 kroner.

Manglet oversikt og rutiner

HRS Nord-Norge hadde ikke noen dokumentert oversikt over hvilke personopplysninger som behandles i virksomheten. Det var heller ikke dokumentert hvem som hadde behandlingsansvar for personopplysninger, selv om det var klart i organisasjonen at dette ansvaret lå hos Politimesteren i Salten. I tillegg var det ikke etablert noe fullgodt internkontrollsystem, altså et system for å ivareta at personopplysninger blir behandlet på en god måte. Et slikt system er et krav i personopplysningsloven.

- Mangelfull internkontroll gjør Hovedredningssentralen ute av stand til å forutse potensielle konsekvenser for personvernet, sier Datatilsynets direktør, Bjørn Erik Thon. 

Andre sentrale mangler

  • Mangler dokumenterte rutiner for hvordan innsynsretten (§18) skal ivaretas.
  • Manglende rutiner for oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt
  • Manglende sikkerhetsstrategi
  • Manglende risikovurderinger
  • Det er ikke gjennomført sikkerhetsrevisjoner
  • Manglende dokumentasjon av sikkerhetstiltak
  • Manglende oversikt over databehandlere som behandler personopplysninger på vegne av Hovedredningssentralen Nord-Norge.

Endelig kontrollrapport (pdf)

Vedtak fra Datatilsynet (pdf)