Formålet med prosjektet er å bedre kommunenes etterlevelse av personopplysningsloven og personopplysningsforskriftens bestemmelser iht. internkontroll og informasjonssikkerhet. Prosjektet startet i februar 2009 og vil pågå ut 2010.

Kommunene ble blant annet valgt fordi de har en omfattende behandling av personopplysninger og personopplysningenes sensitivitet og omfang varierer i de ulike ansvarsområdene og på ulike lokasjoner til kommunen.

Det ble gjennomført kontroll hos fem kommuner i Vestfold, med en blanding av større bykommuner og mindre kommuner. Kommuner som ble gjenstand for kontroll var Hof, Andebu, Larvik, Tønsberg og Sandefjord. Hovedtema for kontrollene var kommunenes plikt til å sørge for å etablere og etterleve regelverkets krav til internkontroll, samt sørge for tilfredstillende informasjonssikkerhet for kommunenes behandling av person

Kontrollene hadde spesielt fokus på behandlingsansvarliges plikter. I tillegg til å kontrollere internkontroll og informasjonssikkerhet på overordnet nivå i kommunene, undersøkte tilsynet hvordan internkontrollbestemmelsene var implementert i en underliggende sektor, ved søknad om opptak i barnehage.

 Oppsummering av funn

Noen av avvikene fra kontrollene i 2003 går igjen i de nye kontrollene for 2009. Det ble fattet vedtak i alle kontrollene. Dette gjelder blant annet manglende:

·         Etablering, implementering og etterlevelse av internkontroll i form av:

• manglende oversikt over deler av behandlingen som skjer i kommunen

§ mangelfulle rutiner for innsyn, retting og sletting

§ manglende rutiner for publisering av personopplysninger på Internett

§ gjennomgang av innhold i skjema for opptak i barnehage slik at kommunen ikke ber om opplyninger som ikke er relevante for formålet. 

·         Etablering, implementering og etterlevelse av informasjonssikkerhet i form av:

§ gjennomføre og følge opp tiltak i henhold til risikovurdering

(både på overordnet nivå og ved avdelinger/seksjoner)

§ gjennomføre og følge opp tiltak i henhold til sikkerhetsrevisjoner

§ gjennomføre og håndtere avvik

§ manglede tilgangsstyring (særlig ved ansettelse og fratredelse)

§ mangelfulle databehandleravtaler med leverandører

Spesielle problemstillinger for sektoren

Datatilsynet observerer at kommunene ikke fullt ut har etablert internkontroll. Det er særlig behov for en gjennomgang av hvilke behandlinger av personopplysninger som foretas og dokumentasjon av disse som må etableres og kvalitetssikres. Datatilsynet har anbefalt kommunene å samarbeide med juridisk kompetanse for gjennomføring. 

En felles utfordring for kommunene var at dokumentasjon av kommunens internkontroll og informasjonssikkerhet ikke var tilgjengelig for ansatte og dermed også lite kjent. Under kontrollene anbefalte Datatilsynet å ta i bruk kommunenes intranett for publisering av denne informasjon. Utfordringen er at ikke alle kommuner har etablert et intranett. Opplæring av ansatte er også et tiltak som må etterleves av ansvarlige i kommunen.

For kommunene generelt må utforming av søknadsskjema ved opptak i barnehage gjennomgås - særlig med hensyn til hvilke personopplysninger de samler inn og om disse er relevante for formålet. Åpne felt benyttes i skjema.

Kommuneprosjektet skal i prosjektperiodensamarbeider aktivt med KINS, KS og NorSIS. Målet er også å inkludere den ekstra satsingen på personvernombudsordningen, skape bevissthet og interesse for ordningen, og selvsagt få flere personvernombud i kommunene. Dette innebærer at det legges opp til lokale og regionale seminarer og kurs om internkontroll og informasjonssikkerhet overfor kommunesektoren.