Datatilsynet har gjennomført tilsyn av norske kommuners håndtering av personvernet. Rapporten fra Datatilsynet beskriver hvordan norske kommuner håndterer personvernet. Samtidig får vi også et innblikk i Datatilsynets arbeid og hvordan de har valgt å gjennomføre kontroller.
Tilsynet gjennomførte først en omfattende “brevkontroll” med 93 kommuner og 5 fylkeskommuner. Dette innebærer at tilsynet sender en skriftlig forespørsel om informasjon angående håndteringen av personopplysninger. Av disse valgte så Datatilsynet å reise ut til 10 av kommunene for tilsyn på stedet. De stedlige tilsynene gjaldt de samme temaene som brevkontrollen, og hadde som mål å kontrollere den faktiske etterlevelsen og å gi dypere innsikt i behandlingen av personopplysninger.
Resultatene var noe varierte. Kommunenes forståelse og implementering av personvernprinsippene var hos noen svært solid, med robuste systemer og prosedyrer for å håndtere personopplysninger, mens noen fortsatt har et stykke igjen å gå. Tilsynet påpeker for eksempel at en “overraskende stor andel” mangler behandlingsprotokoll, noe som er et av de grunnleggende forutsetningene for å kunne etterleve forordningen.
Foruten å få et innblikk i kommunenes etterlevelse av reglene, får man også se hva Datatilsynet prioriterer å fokusere på under et slikt tilsyn. Ikke overraskende velger de å undersøke de grunnleggende kravene, altså oversikt over behandlinger, sikkerhet og ansvarsplassering. Alt dette er like relevant for det private næringsliv, og det er ikke usannsynlig at vi vil få se liknende tilsyn også der.
Brevkontrollen som Datatilsynet gjennomførte gir en god oversikt over hva man kan forvente ved et tilsyn som ikke kommer som følge av en sak eller tips. I forlengelsen av dette så er også denne listen en god sjekkliste for å se om man har den oversikten som skal til for å lovlig behandle personopplysninger. I brevkontrollen ba Datatilsynet om informasjon på følgende punkter:
Skulle man se at man ikke er i stand til å svare godt på disse punktene i egen virksomhet så er det et faresignal, og man har sannsynligvis en viktig jobb som må gjøres.
I tillegg til dette gir Datatilsynet noen generelle anbefalinger i rapporten:
Rapporten fra Datatilsynet gir god inspirasjon til å forbedre sin egen personvernpraksis, og for å kontrollere hvordan man etterlever forordningen. For mer støtte eller kunnskap kan du utforske Sticos Oppslag eller delta i et av våre kurs på området. Kurset “Slik lykkes du med personvernarbeidet" er et godt sted å starte.