Mellom juni og november 2010 ba Datatilsynet alle norske kommuner og fylkeskommuner å redegjøre for hvordan de ivaretar kravene til internkontroll og informasjonssikkerhet. 429 av 449 kommuner og fylkeskommuner har svart på redegjørelsen.

Bare 52 % av disse oppgir at de har et dokumentert system for internkontroll, og i flere tilfeller er Datatilsynet usikker på om dette faktisk er korrekt. Det betyr at minst halvparten av landets kommuner og fylkeskommuner mangler dokumenterbare rutiner slik det kreves i personopplysningsloven. 

 

Rapporten viser at det er behov for en ny strategi for å nå frem til kommunene. Datatilsynet skriver at de er avhengig av å samarbeide med andre aktører for bidra til et løft i kommunenes informasjonsikkerhet. I rapporten, som du kan lese her (pdf-dokument), angis (på side 10) at aktuelle samarbeidspartnere i første omgang kan være Regional- og Kommunaldepartementet, KS og KINS.

 

Datatilsynet mener det svake resultatet kan skyldes kommunenes rammebetingelser og eller muligheter for etterlevelse av personopplysningsloven. Dette innebærer at det må vurderes om kravene er rimelige, om de bør forenkles og om det bør legges inn mer konkrete anvisninger av hva som kreves for å oppfylle regelverket.

Datatilsynet mener mulighetene for å utvikle en bransjenorm, etter modellen fra helsevesenet, bør drøftes med samarbeidspartnere. For å kunne måle effekten av tidligere og nye initiativ overfor kommunene bør kommuneundersøkelsen gjentas i 2012 eller 2013.

 

Les mer om dette på Datatilsynets sider her. Se også artikkel i Kommunal Rapport her.

 

KINS ser fram til å fortsette og videreutvikle det gode samarbeidet med Datatilsynet, og vil sette fokus på Internkontroll også på KINS-konferansen i Drammen i mai.