Personvernrapporten 2004 - Datatilsynet
Personvernrapporten 2004 - Datatilsynet
Personvernrapporten 2004 - Datatilsynet
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
30 KOMMUNENE PERSONVERNRAPPORTEN<br />
Mangelfulle rutiner<br />
i Kommune-Norge<br />
Den teknologiske utviklingen og døgnåpen<br />
forvaltning har gjort at flere kommuner legger<br />
de elektroniske journalene og dokumentene<br />
sine på nettet.<br />
Kommunene legger opp til selvbetjening via<br />
nettet, samlokalisering av etater og regionale<br />
samarbeidsløsninger. Mangelfulle rutiner<br />
innebærer store personverntrusler.<br />
<strong>Datatilsynet</strong> gransket 31 kommuner over<br />
hele landet i 2003, og peker på flere viktige<br />
utfordringer og forbedringspunkter:<br />
• Kommunene har i liten grad en systematisk<br />
oversikt over hvilke personopplysninger<br />
som blir behandlet. Rådmannen som<br />
behandlingsansvarlig har dermed liten reell<br />
kontroll med hvilke behandlinger hun eller<br />
han kan stilles rettslig ansvarlig for.<br />
• Den formelle strukturen i forhold til ansvar<br />
og myndighet er for slapp. Rådmannen<br />
er kommunens øverste administrator<br />
– men tar ofte ikke ansvaret for å sette<br />
rammene når han overlater personvernet<br />
til andre.<br />
• Mange kommuner har ikke kommet i<br />
gang med å etablere et internkontrollsystem.<br />
Selv om saksbehandlerne ofte er<br />
flinke til å behandle personopplysninger<br />
på en ansvarlig og skikkelig måte, innebærer<br />
et manglende internkontrollsystem at<br />
kommunen dokumenterer dårlig hva som<br />
faktisk gjøres. Slik oppstår det lett misforståelser<br />
og feil.<br />
• Mange kommuner setter bort deler av behandlingen<br />
av personopplysninger til<br />
underleverandører, i personopplysningsloven<br />
kalt databehandler. Det innebærer<br />
imidlertid ikke at kommunen samtidig<br />
setter bort ansvaret for å følge personopplysningsloven.<br />
De gjennomførte tilsynene<br />
viste at ansvarsforholdene ofte ikke er<br />
avklart mellom behandlingsansvarlig og<br />
databehandler. Det skal gjøres gjennom en<br />
skriftlig avtale.<br />
Kommunene har flere utfordringer å ta tak<br />
i. <strong>Datatilsynet</strong> vil på sin side bistå kommunene<br />
med å utarbeide veiledningsmateriell<br />
om internkontroll og informasjonssikkerhet.<br />
Egen sikkerhetsforening<br />
<strong>Datatilsynet</strong> ser også svært positivt på at<br />
noen aktive kommuner i 2003 gikk sammen<br />
og etablerte Foreningen kommunal informasjonssikkerhet<br />
(www.kins.no). På den<br />
måten har de skapt en felles arena for de<br />
utfordringene kommunene står overfor når<br />
det gjelder å ivareta et godt personvern.