Tilsynet gjennomførte først en omfattende “brevkontroll” med 93 kommuner og 5 fylkeskommuner. Dette innebærer at tilsynet sender en skriftlig forespørsel om informasjon angående håndteringen av personopplysninger. Av disse valgte så Datatilsynet å reise ut til 10 av kommunene for tilsyn på stedet. De stedlige tilsynene gjaldt de samme temaene som brevkontrollen, og hadde som mål å kontrollere den faktiske etterlevelsen og å gi dypere innsikt i behandlingen av personopplysninger.
Resultatene var noe varierte. Kommunenes forståelse og implementering av personvernprinsippene var hos noen svært solid, med robuste systemer og prosedyrer for å håndtere personopplysninger, mens noen fortsatt har et stykke igjen å gå. Tilsynet påpeker for eksempel at en “overraskende stor andel” mangler behandlingsprotokoll, noe som er et av de grunnleggende forutsetningene for å kunne etterleve forordningen.
Hva kan vi lære av rapporten?
Foruten å få et innblikk i kommunenes etterlevelse av reglene, får man også se hva Datatilsynet prioriterer å fokusere på under et slikt tilsyn. Ikke overraskende velger de å undersøke de grunnleggende kravene, altså oversikt over behandlinger, sikkerhet og ansvarsplassering. Alt dette er like relevant for det private næringsliv, og det er ikke usannsynlig at vi vil få se liknende tilsyn også der.
Brevkontrollen som Datatilsynet gjennomførte gir en god oversikt over hva man kan forvente ved et tilsyn som ikke kommer som følge av en sak eller tips. I forlengelsen av dette så er også denne listen en god sjekkliste for å se om man har den oversikten som skal til for å lovlig behandle personopplysninger. I brevkontrollen ba Datatilsynet om informasjon på følgende punkter:
- Oversendelse av behandlingsprotokoll.
- Oversikt over plassering av ansvar knyttet til etterlevelse av personvernregelverket.
- Beskrivelse av det overordnede styringssystemet (internkontroll) for etterlevelse av personvernregelverket.
- Beskrivelse av styrende retningslinjer for gjennomføring av risiko- og sårbarhetsanalyser.
- Oversendelse av eventuell overordnet sikkerhetsstrategi.
- Oversikt over eventuelle IKT-samarbeid med andre.
- Styrende retningslinjer for autentiseringsløsninger.
- Styrende retningslinjer for sikkerhetskopiering og gjenoppretting.
- Styrende retningslinjer for sikkerhetsrevisjoner.
- Lenke til virksomhetens personvernerklæring.
- Informasjon om personvernombud, inkludert kontaktopplysninger, link til nettside med informasjon om virksomhetens ombud, og en kort beskrivelse av organiseringen av rollen.
Skulle man se at man ikke er i stand til å svare godt på disse punktene i egen virksomhet så er det et faresignal, og man har sannsynligvis en viktig jobb som må gjøres.
I tillegg til dette gir Datatilsynet noen generelle anbefalinger i rapporten:
- Sørg for gode internkontrollsystemer og regelmessige risiko- og sårbarhetsanalyser. Dette vil hjelpe til med å identifisere og dempe potensiell personvernrisiko.
- Øk bevisstheten om personvern gjennom regelmessig opplæring.
- Etablering av klare rutiner for behandling av personopplysninger bør være en prioritet. Dette inkluderer prosedyrer for innsyn, retting, og sletting av data.
- Ha tydelig ansvarsfordeling når det kommer til personopplysninger, med definerte roller og ansvarsområder.
- En åpen og gjennomsiktig tilnærming til personopplysninger styrker tilliten til virksomheten. Det er viktig å dokumentere alle prosesser og beslutninger som involverer personopplysninger, og sørge for at informasjon om behandling når de registrerte.
Rapporten fra Datatilsynet gir god inspirasjon til å forbedre sin egen personvernpraksis, og for å kontrollere hvordan man etterlever forordningen. For mer støtte eller kunnskap kan du utforske Sticos Oppslag eller delta i et av våre kurs på området. Kurset “Slik lykkes du med personvernarbeidet" er et godt sted å starte.
