Datatilsynets vurdering. Personvernregelverket oppstiller ingen formkrav for hvordan en protokoll må se ut eller hvordan den organiseres, utover at det stilles krav til hva den må inneholde. Datatilsynet vurderer derfor at alle de forskjellige måtene og løsningene for behandlingsprotokoll vi har mottatt kan være tilstrekkelige for å etterleve personvernforordningen artikkel 30. Datatilsynet ønsker imidlertid å påpeke at personvernforordningen artikkel 30 nr. 4 sier at protokollen på forespørsel fra tilsynsmyndigheten skal gjøres tilgjengelig. Kommunene og fylkeskommunene må derfor vurdere om deres løsning for protokoll er egnet for slik tilgjengeliggjøring. Datatilsynet har ikke etterspurt rutinene for håndteringen av protokollen, og kan derfor ikke vurdere om kommunene og fylkeskommunene har slike ut fra brevkontrollen. Datatilsynet ser av besvarelsene at kommunene har høy bevissthet om plikten til å føre protokoll. Flere har pågående prosesser med å utbedre eller fullføre utfylling av behandlingsprotkoller som tilfredsstiller personvernforordningens krav. Det er likevel varierende grad av modenhet, og for Datatilsynet, overraskende stor andel som ikke var der de burde. Vi har anslått at det er omtrent 25-30 % av kommunene som ut fra besvarelsene ikke har tilfredsstillende protokoller. Datatilsynet anser at personvernforordningen selv gir klare anvisninger om krav til innhold i artikkel
Datatilsynets vurdering. Datatilsynet vurderer at kommunene har høy grad av bevissthet om kravene til oversiktlige og klare ansvarsforhold. Dette kan ha sammenheng med måten kommunen for øvrig har delegert myndighet og oppgaver innenfor sine tjenesteområder. Det er likevel mange kommuner som bør gjennomgå dokumentasjonen de har og vurdere om de har nødvendig oversikt, beskrivelser og rutiner for å sikre etterlevelse på dette området.
Datatilsynets vurdering. Tatt i betraktning at Datatilsynet kun har bedt om en overordnet beskrivelse av kommunenes styringssystem, er det vanskelig å gjøre kvalitative vurderinger av besvarelsene. Vi finner det derfor mest hensiktsmessig å fokusere på veiledning knyttet til dette temaet.
Datatilsynets vurdering. Vi observerer at majoriteten av kommunene mangler en tilstrekkelig overordnet retningslinje for arbeidet med vurdering av risiko. Mange kommuner har derimot rutiner og skjemaer for hvordan en risiko- og sårbarhetsanalyse praktisk skal gjennomføres. Vi ser positivt på at kommunene har utarbeidet slike malverk, men understreker likevel nødvendigheten av en overordnet retningslinje som sikrer en helhetlig systematikk i arbeidet med vurdering av risiko.
Datatilsynets vurdering. Datatilsynet ser at det er fragmenter av sikkerhetsstrategien i mange ulike dokumenter. Dette gjør arbeidet med å identifisere strategipunktene krevende, og antagelig også vanskelig å jobbe etter i praksis. Mange besvarelser styrkes av at kommunen har vedlagt eksempler på sikkerhetsinstrukser, sikkerhetstiltak, tiltakskort for å sikre beredskap og annen dokumentasjon som gir inntrykk av at kommunen har et aktivt forhold til arbeidet med å styrke informasjonssikkerheten. Flere kommuner skriver at de nå har startet arbeidet med å utarbeide en helhetlig sikkerhetsstrategi og har sendt oss sine påbegynte og uferdige utkast. Dette synes vi er veldig positivt.
Datatilsynets vurdering. Vi ser eksempler på at vertskommuner (jf. kommuneloven kapittel 20) har sendt oss dokumentasjon som i større grad enn andre kommuner blir vurdert til å være tilstrekkelig. Vi kan dog ikke konkludere med at dette er en klar tendens. Flere kommuner sender likelydende dokumenter som andre kommuner de er i samarbeid med. Enkelte kommuner viser til dokumentasjonen til vertskommunen. Vi ser en svak tendens til at deltakende kommuner i slike samarbeid i for stor grad hviler seg på vertskommunen, og vi er usikre på graden av etterlevelse i disse kommunene. Der vertskommunen har levert med høy kvalitet er det heller ikke noen indikasjon på at de deltakende kommunene i samarbeidet leverer samme kvalitet. Kvaliteten er svært varierende og skiller seg ikke fra kommuner som ikke inngår i noe IKT-samarbeid.
Datatilsynets vurdering. Datatilsynet vurdere at kommunene samlet sett i liten grad har tilfredsstillende dokumentasjon tilknyttet sikkerhetsrevisjoner. Det er gjentakende at eksisterende dokumentasjon på dette kontrollområdet er fragmentert. Det mangler konkret og helhetlig dokumentasjon, både styrende og gjennomførende. Videre ser vi at det ofte er mangler tidfesting for revisjon, rutiner, og at det kun vises til eksterne databehandlere og/eller leverandører. Mange besvarelser styrkes likevel av at kommunen har vedlagt eksempler på sikkerhetsinstrukser, sikkerhetstiltak, tiltakskort for å sikre beredskap og annen dokumentasjon som gir inntrykk av at kommunen har et aktivt forhold til arbeidet med å styrke informasjonssikkerheten. Det som kjennetegner kommunene som har tilstrekkelig dokumentasjon er at de har tydelige styrende dokumentasjon og klare føringer på gjennomføring. Sikkerhetsrevisjonen i disse kommunene virker å være godt forankret i ledelsen, og det er konkretisert hvordan revisjonen skal gjøres og hvor ofte. Videre kan vi se tendenser på at flere av disse kommunene er del av kommunale samarbeid innenfor informasjonssikkerhet og personvern, eksempelvis interkommunale selskaper. Blant flere av kommunene som har levert tilstrekkelig dokumentasjon, observerer vi at dokumentasjonen har blitt opprettet svært nylig og i forbindelse med denne brevkontrollen. Dette gir positive signaler med tanke på brevkontrollens effekt. Videre skriver flere kommuner at de nå har startet arbeidet med å utarbeide en helhetlig sikkerhetsstrategi og har sendt oss sine påbegynte og uferdige utkast. Dette synes vi er positivt.
Datatilsynets vurdering. Datatilsynets inntrykk er at kommunene generelt har høy grad modenhet når det gjelder informasjon til sine borgere om behandling av personopplysninger. Vi anbefaler at alle kommunene gjennomgår informasjonen de har gitt til sine innbyggere for å sikre at de etterlever kravene i regelverket.
Datatilsynets vurdering. Kommunene har gjennom tilsynene vist at de har implementert personvernombudsordningen, selv om det er forskjellige løsninger for hvordan den er organisert. Temaet for tilsynene var å få en oversikt over i hvor stor utstrekning ombudsordningen var implementert i kommunene. Vi har ikke gjort en kvalitativ vurdering av innholdet i kommunenes personvernombudsordninger. Informasjon om ombudet og hvordan man kan komme i kontakt er en sentral forutsetning for at ordningen skal virke etter sin hensikt, og det fremstår som om kommunene i stor grad er bevisste på dette.
Datatilsynets vurdering