-
Kontrollutvalget Sekretariatet
Adresse: Kontrollutvalgstjenester Kjetil Solbrækken Studievegen
7, 2815 Gjøvik Tel. 995 77 903, e-post:
[email protected]
Gjøvik, 21. august 2019. J.nr./referanse: 12-19/VT/ks
KONTROLLUTVALGET I VESTRE TOTEN KOMMUNE Asgeir Sveen, leder (H)
Odd-Harry Haugen, nestleder (Frp) Kjersti Diesen Løken (Sp) Stein
Knutsen (Ap) Reidun Gravdahl (Ap)
Kopi til orientering: Ordfører og rådmann Innlandet Revisjon
IKS
INNKALLING TIL MØTE I KONTROLLUTVALGET
Det innkalles herved til møte i kontrollutvalget:
Dato: Onsdag 28. august 2019 Tid: Kl. 0830 – ca. 1430 Sted:
Formannskapssalen, rådhuset Vedlagt følger saksliste og
saksdokumenter. Eventuelt forfall bes meddelt snarest til
undertegnede på telefon/SMS til 995 77 903, eller e-post
[email protected] Deltakelse fra andre i møtet:
Rådmannen/administrasjonen orienterer i f.m. følgende saker (fra
kl. 0900):
Sak 35 – Interkontroll og informasjonssikkerhet Sak 36 – Bruk av
mulighetene i digitalisering for å hindre uetisk atferd og
korrupsjon Innlandet Revisjon IKS orienterer i f.m. følgende sak
(fra kl. 1200):
Sak 38 – Oppdragsavtale med Innlandet Revisjon IKS for 2020
Sekretariatet ved Ole Kristian Rogndokken orienterer i f.m.
følgende sak (ca. 1230). Sak 39 - Kommunebarometeret 2019
Med hilsen For leder i kontrollutvalget
Kjetil Solbrækken utvalgssekretær
-
KONTROLLUTVALGET I
VESTRE TOTEN KOMMUNE
SAKSLISTE
FOR MØTE I RÅDHUSET
Onsdag 28. august 2019 kl. 0830
SAK NR. 33/2019 GODKJENNING AV PROTOKOLL FRA MØTE 17.06.2019
SAK NR. 34/2019 KONTROLLUTVALGETS BUDSJETT FOR 2020
SAK NR. 35/2019 INTERNKONTROLL OG INFORMASJONSSIKKERHET
SAK NR. 36/2019 BRUK AV MULIGHETENE I DIGITALISERING FOR Å
HINDRE UETISK ATFERD OG KORRUPSJON
SAK NR. 37/2019 DIGITALISERINGSSTRATEGI 2019-2022 FOR VESTRE
TOTEN KOMMUNE
SAK NR. 38/2019 OPPDRAGSAVTALE MED INNLANDET REVISJON IKS
FOR 2020
SAK NR. 39/2019 KOMMUNEBAROMETERET 2019 – VESTRE TOTEN
KOMMUNE
SAK NR. 40/2019 REFERATSAKER
Raufoss, 20. august 2019.
For utvalgsleder
Kjetil Solbrækken
sekretær
Kopi til orientering:
- Vestre Toten kommune v/ordfører, rådmann, ass. rådmann og
vararepresentanter til kontrollutvalget - Innlandet Revisjon
IKS
-
1
SAK NR. 34/2019
Vestre Toten kommune
GODKJENNING AV PROTOKOLL FRA MØTE 17.06.2019 Sluttbehandles i:
Kontrollutvalget
Behandling Møtedato Saksbehandler Unntatt off. Kontrollutvalget
28.08.2019 Kjetil Solbrækken Nei Saksdokumenter: Vedlagt: 1.
Møteprotokoll fra møte 17.06.2019
Vedlegg 1
FORSLAG TIL VEDTAK: Protokoll fra kontrollutvalgets møte den
17.06.2019 godkjennes.
SAKSOPPLYSNINGER: Møteprotokollen fra forrige møte legges herved
frem til formell godkjenning.
-
1
MØTEPROTOKOLL
KONTROLLUTVALGET I VESTRE TOTEN KOMMUNE
Mandag 17. juni 2019 holdt kontrollutvalget møte i Vestre Toten
rådhus kl. 0830 – 1330. Som medlemmer møtte: Asgeir Sveen (H),
leder Reidun Gravdahl (Ap) Stein Knutsen (Ap) Odd Harry Haugen,
nestleder (Frp) Kjersti Diesen Løken (Sp) Følgende medlem hadde
meldt forfall: Ingen Ellers møtte: Fra administrasjon: Rådmann
Bjørn Fauchald og helsesjef Bjørnar Eidsvik (begge møtte under sak
30). Fra Innlandet Revisjon IKS: Oppdragsansvarlig revisor Reidun
Grefsrud og forvaltningsrevisor/jurist Birgitte Ulimoen Bue (begge
møtte under sak 27). Sekretær: Kjetil Solbrækken. Møteprotokollen
er sendt til: Kommunestyret, ordfører, kontrollutvalgets medlemmer
og varamedlemmer, rådmannen, Innlandet Revisjon IKS og Oppland
Arbeiderblad. Utvalgsmøtet ble satt kl. 0830 med leder Asgeir Sveen
som møteleder. Innkalling og saksliste ble enstemmig godkjent.
Til behandling: SAK NR. 26/2019 GODKJENNING AV PROTOKOLL FRA
MØTE 03.05.2019 Vedtak, enstemmig:
Protokoll fra kontrollutvalgets møte den 03.05.2019
godkjennes.
SAK NR. 27/2019 REVISJONSRAPPORT: ETTERLEVELSE AV
HABILITETSBESTEMMELSER OG ETISKE RETNINGSLINJER
Fra behandlingen: Innlandet Revisjon IKS ved oppdragsansvarlig
revisor Reidun Grefsrud og forvaltningsrevisor/jurist Birgitte
Ulimoen Bue presenterte rapporten og svarte på spørsmål.
-
2
Vedtak, enstemmig:
INNSTILLING TIL KOMMUNESTYRET: 1. Kommunestyret har merket seg
at det i den ene av de to
kontrollerte sakene (Sillongenvegen som ble behandlet av
utvalget 20.06.2016) forelå omstendigheter som utad var egnet til å
svekke tilliten til utvalg for teknisk drift og plansaker og deres
saksbehandling. Kommunestyret vil beklage at leder av utvalget ikke
meldte fra slik at utvalget kunne ha tatt stilling til hans
habilitet før saken ble behandlet.
2. Kommunestyret registrerer at det ikke foreligger indikasjoner
på at feil som er avdekket mht. habilitet er gjort i vinnings
hensikt, eller at feilen er av en slik art at det vil føre til
ugyldighet av vedtak.
3. Med bakgrunn i saken vil kommunestyret understreke
følgende:
Medlemmer av kollegiale organer har plikt til å vurdere sin egen
habilitet, og de skal i god tid før møter melde fra om forhold som
har betydning for egen habilitet (jf. forvaltningslovens § 8).
Ved vurdering av egen habilitet etter forvaltningslovens § 6
annet ledd
(«andresæregneforholdsomeregnettilåsvekketillitentil[tjenestemannens]upartiskhet»),
skal tilliten vurderes utenfra. Den folkevalgte kan anses inhabil
på grunn av innbyggernes alminnelige forventning til og oppfatning
av omstendighetene. At den folkevalgte selv mener at han ikke lar
seg påvirke, er derfor ikke avgjørende. Det er tilstrekkelig at
omstendighetene i saken er egnettil å svekke tilliten.
4. Etterlevelse av forvaltningslovens habilitetsbestemmelser er
svært viktig for kommunens omdømme, og svikt kan få alvorlige
konsekvenser for innbyggernes tillit til forvaltningen. Forholdet
må derfor tas på største alvor. Med bakgrunn i saken ber
kommunestyret ordfører og rådmann om å følge opp følgende: Ved
valg/oppnevning av representanter til lederverv i
politiske utvalg bør det nøye vurderes om personer med
næringsinteresser bør inneha verv der man lett kan komme i
habilitetskonflikter, eller om det sett utenfra foreligger forhold
som er et egnet til å svekke tilliten til personen.
Folkevalgtopplæringen bør styrkes når det gjelder opplæring i
habilitetsreglene.
-
3
SAK NR. 28/2019 TERTIALRAPPORT 1/2019 FRA INNLANDET REVISJON
IKS Vedtak, enstemmig:
Tertialrapport 1/2019 fra Innlandet Revisjon IKS tas til
orientering.
SAK NR. 29/2019 KONTROLLUTVALGSKONFERANSEN 2019 – DEL 2
Fra behandlingen: Utvalgssekretær presenterte hovedpunktene fra
dag 2 på Kontrollutvalgskonferansen 2019 med fokus på:
Boligbygg-saken i Oslo kommune Medias rolle i den kommunale
egenkontrollen
Vedtak, enstemmig:
Presentasjon av hovedpunktene fra andre dag på
Kontrollutvalgskonferansen 2019 tas til orientering.
SAK NR. 30/2019 STATUS FOR BARNEVERNSTJENESTEN I VESTRE
TOTEN
Fra behandlingen: Helsesjef Bjørnar Eidsvik orienterte innenfor
følgende hovedtema:
Meldinger, undersøkelser og tiltak:
- Ingen fristoverskridelser på vurdering meldinger. - I 30 % av
undersøkelsene har det blitt brukt lenger tid enn det
loven legger opp til. - Oppfyller ikke lovkrav til antall
årlige.
oppfølgingsbesøk/tilsynsbesøk fosterhjem. - Færre
omsorgsovertakelser. - Noe reduksjon i antall meldinger. - Tiltak:
Tilsetting av 3 (kanskje 4) vikarer for å dekke opp
fravær, 3 nye tiltaksstillinger, 1 stilling fosterhjem.
Sykefravær:
- Pr. 1. kvartal 2019: 25,1 % - Flere tiltak iverksatt
Økonomi: - Merforbruk pr. 1. tertial 2019, men balanse etter
budsjettjustering. Utviklingsprosesser:
Gjennomgang og kartlegging av tjenester. Gjennomgang av
barnevernet i Østre og Vestre Toten ved
eksternt firma. Faglig veiledning via statlig satsning. Pilot
for programfinansiering i arbeidet med utsatte barn og
unge 0-24 år (12 kommuner).
-
4
Fylkesmannen pr. juni – krav om rapportering Kostnadsfordeling
pr. tjeneste pr. juni i barnevernet
På spørsmål fra kontrollutvalget ble det informert om at den
planlagte brukerundersøkelsen innenfor tjenesten (planlagt
gjennomført i 2018) ikke er gjennomført pga. interne
prioriteringer/ressursmangel.
Vedtak, enstemmig:
1. Rådmannens/helsesjefens orientering om status for
barnevernstjenesten tas til orientering.
2. Kontrollutvalget vil uttrykke bekymring for det svært
høye
sykefraværet i barnevernstjenesten pr. 1. tertial 2019 – 25,1%.
Kontrollutvalget tar til orientering at rådmannen har iverksatt en
rekke tiltak for å bedre situasjonen.
3. Kontrollutvalget ønsker å følge med på utviklingen
innenfor
tjenesten, og vil be om en ny orientering om status i løpet av
andre halvår 2019. I tillegg til en generell orientering om status,
bes det særskilt informasjon om den økonomiske utviklingen og
sykefraværsutviklingen.
4. Kontrollutvalget har merket seg at det er igangsatt to
utredningsarbeid som berører barnevernet. Det bes om at rapport
fra utredningene refereres for kontrollutvalget når de
foreligger:
Rapport fra ekstern gjennomgang av barnevernet i Østre og Vestre
Toten.
Rapport fra internt prosjekt rettet mot det tverrsektorielle
arbeidet i kommunen.
SAK NR. 31/2019 BUDSJETT- OG AKTIVITETSOPPFØLGING 1. KVARTAL
2019 - VESTRE TOTEN KOMMUNE Vedtak, enstemmig:
1. Budsjett- og aktivitetsrapport pr. 1. kvartal 2019 tas til
orientering.
2. Kontrollutvalget deler rådmannens bekymring for den
økonomiske utviklingen pr. 1. kvartal 2019, og registrerer at det
synes som om det blir vanskelig å unngå underskudd i 2019. Dette
underbygger viktigheten av kommunens langsiktige arbeid med
omstilling i virksomheten.
-
5
SAK NR. 32/2019 REFERATSAKER
Følgende saker ble referert: 1. Skifte av oppdragsansvarlig
revisor (brev av 31.05.2019 fra
Innlandet Revisjon IKS) 2. Sakslister kommunestyrets møte den
23.05.2019 3. Møtegodtgjørelse 1. halvår 2019 - Kontrollutvalget 4.
Diverse avisartikler 5. Finansrapport for 2018 – Vestre Toten
kommune 6. Neste møte: Tidspunkt/saksliste
Vedtak, enstemmig:
Referatsakene tas til orientering.
Raufoss, 17. juni 2019. _________________________ Asgeir Sveen
Leder
RETT UTSKRIFT: Raufoss, 17. juni 2019.
Kjetil Solbrækken utvalgssekretær
-
6
NESTE MØTE Dato: ONSDAG 28. AUGUST 2019 Tidspunkt: KL. 0900
Aktuelle saker:
Kommunebarometeret 2019 Kontrollutvalgets budsjett 2020
Oppdragsavtale 2020 mellom kontrollutvalget og Innlandet
Revisjon
IKS Informasjonssikkerhet og etterlevelse av
personopplysningsloven
(KU-sak 49/17)
Andre saker til oppfølging: Barneverntjenesten: Orientering om
status mv. (sak 30/19) – høsten
2019 Digitaliseringsstrategi og etikk (KU-sak 04/19) Status for
gjennomgang av kommunens styringssystem (KU-sak 06/19) Misligheter
og korrupsjon: Risikovurderinger (KU-sak 02/19) Oppfølging av råd
om etablering av tipsmottak (KU-sak 04/19) Orientering om tilbudet
til funksjonshemmede (KU-sak 05/18) Orientering om tilbudet til
rusmisbrukere – oppfølging av
tilsynsrapport fra 2015 (KU-sak 51/17) Omstillingsprogrammet og
videreføring (KU-sak 39/18) Vurdering av forundersøkelse: Bosetting
og integrering av flyktninger
(KU-sak 07/18, KU-sak 42/17 og KU-sak 50/16) Tilstandsrapport
grunnskolen 2018 + vurdering av undersøkelser
rettet mot mobbing i skolen (KU-sak 23/18, følges opp juni
2019). Årsrapport LEAN 2018 (KU-sak 38/18, sommer/høst 2019)
TBU-rapport, analyse av Pleie og omsorg 33 % potensial (KU-sak
58/18) Sykefravær og sykefraværsoppfølging (KU-sak 16/19, oppf.
2020)
Aktuelle orienteringssaker: Ny kommunelov – orientering om
endringer (utsatt sak 24/10-18) Ny veileder for
kontrollutvalgssekretariater
Årlige saker: Oppfølging av politiske vedtak – årlig sak (KU-sak
22/17) Eksterne tilsynsrapporter – årlig sak (KU-sak 51/17, muntlig
avtale) Prissammenligning (benchmarking) av revisjonskostnader
Kommunebarometeret / kostra-analyse
Bestillinger (Innlandet Revisjon IKS): Revisjonsprosjekt:
Horisont Miljøpark IKS (KU-sak 02/19)
Møteplan for 2019 – kontrollutvalget:
Onsdag 13.02.2019 kl. 0830 Onsdag 20.03.2019 kl. 0830 Fredag
03.05.2019 kl. 0830 Mandag 17.06.2019 kl. 0830 Onsdag 28.08.2019
kl. 0830 Onsdag 09.10.2019 kl. 0830 Onsdag 11.12.2019 kl. 0830
-
1
SAK NR. 34/2019
Vestre Toten kommune
KONTROLLUTVALGETS BUDSJETT FOR 2020 Sluttbehandles i:
Kontrollutvalget
Behandling Møtedato Saksbehandler Unntatt off. Kontrollutvalget
28.08.2019 Kjetil Solbrækken Nei
Saksdokumenter:
1. Oppdragsavtale med Innlandet Revisjon IKS
Ikke vedlagt
FORSLAG TIL VEDTAK: INNSTILLING TIL KOMMUNESTYRET:
Kontrollutvalgets budsjett for 2020 (ansvar 12000, tjeneste
1101/1102) fastsettes med en økonomisk ramme på kr. 1 470 000, med
utgangspunkt i følgende fordeling:
Kto Kontonavn Budsjett 10800 Fast godtgjørelse til folkevalgte
57 000 10801 Møtegodtgjørelse 20 000 10802 Tapt arbeidsfortjeneste
10 000 10990 Arbeidsgiveravgift 11 000 11001 Aviser, tidsskrifter,
faglitteratur 14 000 11151 Bevertning møter 4 000 11205
Tjenestefrikjøp 0 11500 Kurs / opplæring 22 000 11600
Kjøregodtgjørelse og diett 1 000 11704 Ikke oppg.pliktige
reiseutgifter 0 12002 IT, programvare, medieutstyr 10 000 12700
Kjøp av tjenester fra andre/sekretærtjenester (eks. mva) 250 000
13750 Kjøp av tjenester fra Innlandet Revisjon IKS 1 071 000 14290
Moms (utgift) 63 000 17290 Momskompensasjon (inntekt) - 63 000
Totalt (kontrollutvalg og revisjon) 1 470 000
-
2
SAKSOPPLYSNINGER: Spesielle regler om budsjettbehandlingen i
kontrollutvalget:
Bakgrunn for saken er særbestemmelser om behandlingen av
kontrollutvalgets budsjett, jf. § 18 i Forskrift om
kontrollutvalg:
”Kontrollutvalget utarbeider forslag til budsjett for kontroll-
og tilsynsarbeidet i kommunen eller fylkeskommunen.
Kontrollutvalgets forlag til budsjettramme for kontroll- og
revisjonsarbeidet skal følge formannskapets innstilling til
kommunestyret eller fylkestinget.”
Med bakgrunn i lovverket utformes kontrollutvalgets vedtak som
en innstilling til kommunestyret. Innstillingen kan behandles
videre på følgende måter:
1. Egen sak til kommunestyret der kommunestyret tar eksplisitt
stilling til kontrollutvalgets budsjettramme forut for behandlingen
av nytt budsjett for hele kommunen.
2. Rådmannen innarbeider innstillingen i sitt forslag til samlet
budsjett for kommunen som legges frem for formannskapet senere i
høst. Kontrollutvalgets budsjettforslag blir da en del av
formannskapets innstilling til kommunestyret. Informasjon om
kontrollutvalgets forslag til egen budsjettramme skal videre legges
ved formannskapets innstilling til kommunestyret, jf. forskrift om
kontrollutvalg. God praksis tilsier at kommunestyret får
kontrollutvalgets budsjett til særskilt behandling dersom
formannskapet foreslår en lavere budsjettramme for kontrollutvalget
enn kontrollutvalgets eget forslag. Bakgrunnen for dette er at en
eventuell reduksjon av kontrollutvalgets budsjett, foretatt av
rådmannen og/eller formannskapet (som begge er underlagt tilsyn av
kontrollutvalget), skal bli realitetsbehandlet av
kommunestyret.
Budsjettforslag: Nedenfor følger budsjettforslag for neste år.
For sammenligningens skyld er årets budsjett og regnskapstall fra
foregående år tatt med i oppstillingen.
Kto Kontonavn BUDSJETT-FORSLAG
2020
Budsjett 2019
Regnskap 2018
Regnskap 2017
10800 Fast godtgjørelse til folkevalgte 57 000 55 000 56 383 54
91610801 Møtegodtgjørelse 20 000 18 000 21 000 10 00010802 Tapt
arbeidsfortjeneste 10 000 15 000 3 253 12 47010990
Arbeidsgiveravgift 11 000 12 000 11 370 10 91111001 Aviser,
tidsskrifter, faglitteratur 14 000 14 000 26 735 11 35611151
Bevertning møter 4 000 4 000 8 069 3 97311205 Tjenestefrikjøp 0 0 0
1 72611500 Kurs / opplæring 22 000 21 000 0 011600
Kjøregodtgjørelse og diett 1 000 1 000 0 011704 Ikke oppg.pliktige
reiseutgifter 0 0 0 10 13912002 IT, programvare, medieutstyr 10 000
0 0 012700 Kjøp av tjenester fra
andre/sekretærtjenester (eks. mva)250 000 230 000 280 444 279
312
13750 Kjøp av tjenester fra Innlandet Revisjon IKS
1 071 000 1 033 000 795 368 771 270
14290 Moms (utgift) 63 000 57 000 72 353 72 99017290
Momskompensasjon (inntekt) - 63 000 - 57 000 - 72 353 - 72 990
Totalt (kontrollutvalg og revisjon) 1 470 000 1 403 000 1 202
622 1 166 074
-
3
Kommentar til regnskap 2018: Kto. 11001 Aviser, tidsskrifter…:
Den store økningen i utgifter på denne posten skyldes
feil periodisering av abonnement for 2019 (ført på 2018). For
mye belastet i 2018-regnskapet utgjør kr. 12 000. Korrekt utgift i
2018 er ca. kr 14 500.
Budsjettet er økt med ca 4,7 % fra 2019 til 2020. Det er i
forslag til budsjettet tatt hensyn til varslet prisøkning på ca.
3,5 % på tjenester fra Innlandet Revisjon IKS. KOMMENTARER TIL
BUDSJETTPOSTENE:
Fast gjodtgjørelse / møtegodtgjørelse:
Reglement for folkevalgtes arbeidsvilkår 2016-2019 er lagt til
grunn. Fast godtgjøring for leder: 6% av ordførers lønn, dvs. ca.
57 000 på årsbasis. Ordinær møtegodtgjørelse (alle) – 500 pr. møte
pr. medlem, dvs 2500 pr møte. Det budsjetteres med 7 møter – totalt
ca. 18 000 i møtegodtgjørelse.
Tapt arb.fortjeneste: Regnskapsført utgift og erfaringer fra
tidligere år er lagt til grunn for
budsjetteringen. Usikkerhet mht. nye utvalgsmedlemmer, jf. ny
valgperiode.
Arbeidsgiveravgift: 14,1 % av møtegodtgjørelse.
Bevertning: Enkel møteservering på hvert møte. Ca. 600 pr. møte
* 7 møter.
Faglitteratur / abonnement: Abonnement på fagtidsskriftet
”Kommunerevisoren” ( 5* 350,-) og 4 stk. abonnement på ukeavisen
Kommunal Rapport (4 * ca 2 750,-), er lagt til grunn for
budsjettet. Ett av medlemmene får avisen gjennom sitt medlemskap i
kommunestyret.
Opplæring/kurs: Det tas høyde for at inntil tre personer kan
delta på den årlige kontrollutvalgskonferansen i regi av Norges
kommunerevisorforbund. Pris pr. pers. er ca. 7500, dvs. totalt ca.
22 000.
Kjøregodtgjørelse: Dette gjelder kjøregodtgjørelse til/fra møter
for kontrollutvalgets medlemmer. I tillegg kommer kjøregodtgjørelse
i forbindelse med eventuelle kurs. IT, programvare, medieutstyr
Kostnader i f.m. kjøp av Ipad til nye utvalgsmedlemmer i f.m. ny
valgperiode.
Kjøp av tjenester fra andre (sekretærtjenester): Kommunene i
Gjøvik- og Hadelandsregionen (8 kommuner) har inngått en felles
avtale om kjøp av skretærtjenester for perioden 2017-2020 (4 år)
med opsjon ytterligere to år. Omfanget/antall timer til
sekretærbistand er i stor grad knyttet opp til utvalgets aktivitet
(antall møter, antall saker) og behov for saksbehandling.
Budsjettert beløp er basert på erfaringer tidligere år og et påslag
for prisstigning.
Kjøp av tjenster fra interkommunalt selskap (Innlandet Revisjon
IKS): Kontrollutvalget er delegert myndighet fra kommunestyret til
å inngå avtale om kjøp av tjenester fra Innlandet Revisjon IKS. Fra
selskapets side er det signalisert en prisøkning på
-
4
selskapets tjenester med ca. 3,5 %, noe som er innarbeidet i
kontrollutvalgets budsjett. Prisøkningen/økningen vil bli endelig
besluttet i selskapets representantskap senere i høst.
Budsjettposten siste to år: Budsjett 2019: 1 033 000 (økning ca. 3
%) Budsjett 2020: 1 071 000 (økning ca. 3,7 %) Av samlet antall
timer til kjøp av revisjonstjenester er 260 timer øremerket til
bestilling av bl.a. forvaltningsrevisjon. Dette utgjør ca. kr. 282
000. Nærmere spesifikasjon av budsjettert tjenestekjøp på Innlandet
Revisjon IKS ser slik ut:
Tjeneste Timer Timepris Kroner Regnskapsrevisjon Revisjon av
kommunens årsregnskap 590 995 587 050 Attestasjoner og
revisjonsuttalelser 160 995 159 200 Totenbadet KF - 995 -
Veiledning/bistand 20 995 19 900 SUM 1-5 770 995 766 150 Bestilte
revisjonstjenester Bestilte andre tjenester 20 1 088 21 760
Forvaltningsrevisjon 240 1 088 261 120 Selskapskontroll - 1 088 -
SUM 260 1 088 282 880 Annet
Møter i kontrollutvalg og kommunestyre 20 1 088 21 760
SUM 1 050 1 070 790 Totenbadet KF, faktureres særskilt 60 995 59
700
Totenbadet KF ligger inne i oppdragsavtalen mht. avtalt
tjensteyting. Revisjon av dette oppdraget faktureres særskilt til
foretaket og holdes utenfor kontrollutvalgets budsjett. Dette er
årsaken til at det er differanse mellom oppdragsavtalens totalramme
og sum revisjonsutgifter som skal henføres kommunen.
Merverdiavgift: Merverdiavgift regnskapsføres både som en utgift
og en inntekt og får derfor ingen virkning. Mva-pliktig tjeneste
(kjøp av sekretærtjenester) er derfor budsjettert ekslusiv mva.
Fakturering fra Innlandet Revisjon IKS utløser ikke beregning av
mv
-
1
SAK NR. 35/2019
Vestre Toten kommune
INTERNKONTROLL OG INFORMASJONSSIKKERHET Sluttbehandles i:
Kontrollutvalget
Behandling Møtedato Saksbehandler Unntatt off. Kontrollutvalget
28.08.2019 Kjetil Solbrækken Nei
Saksdokumenter: 1. Internkontroll og informasjonssikkerhet –
Veileder fra Datatilsynet
Vedlegg 1
FORSLAG TIL VEDTAK: SAKSOPPLYSNINGER: Bakgrunnen for saken er
vedtak i kontrollutvalget 13.12.2017 i f.m. saken «NY
PERSONOPPLYSNINGSLOV I 2018 – HVA BETYR DET FOR KOMMUNEN?». I
vedtaket fremgår det bl.a. at
Saken følges opp overfor rådmannen og kommunes personvernombud
etter at nytt lovverk er trådt i kraft. Rådmannen inviteres til en
ny orientering høsten 2018 om status for etterlevelse av ny
personvernlov.
Oppfølgingen av saken setter søkelys på informasjonssikkerhet i
et internkontrollperspektiv. Gjennom å ha god internkontroll og god
informasjonssikkerhet sikrer kommunen at man behandler
personopplysninger lovlig, sikkert og forsvarlig. Veilederen
«Internkontroll og informasjonssikkerhet» fra Datatilsynet gir god
innføring i hvordan man kan etablere og følge opp internkontroll på
området (se vedlegg 1). Med bakgrunn i kontrollutvalgets vedtak den
13.12.2017 og veilederen fra Datatilsynet, er
rådmannen/administrasjonen invitert til å orientere om hvordan man
har etablert og følger opp internkontroll på området i Vestre Toten
kommune.
-
2
I kontrollutvalgets vedtak i møte den 13.12.2017 fremkommer noen
konkrete oppfølgingspunkter:
1. Kontrollutvalget ber om rådmannens vurdering situasjonen i
Vestre Toten kommune med bakgrunn i Datatilsynets erfaringer fra
norske kommuner, der det gis følgende generelle beskrivelse av
situasjonen: - Manglende oversikt over hvilke personopplysninger
kommunen har om innbyggerne og
beskrivelse av formål. - Mangelfulle risikovurderinger. -
Mangelfull internkontroll. - Mangelfulle rutiner for innsyn og
mangelfull informasjon til innbyggerne om hvordan
kommunen behandler personopplysninger. 2. Kontrollutvalget har
merket seg at det stilles krav om personvernombudet skal sikres
uavhengighet fra rådmannen i sin utførelse av oppgaver. Da
oppnevnt personvernombud i Vestre Toten kommune er ansatt i
kommunen, og dermed underlagt rådmannen, oppstår det en utfordring
knyttet til personvernombudets uavhengighet. Kontrollutvalget har
gjennom samtale med både rådmannen og oppnevnt personombud (leder
for stab/støtte) fått inntrykk av man er bevisst sine roller.
Kontrollutvalget har tillit til at utfordringen knyttet til
uavhengighet vil bli løst på tilfredsstillende måte.
Kontrollutvalget vil følge opp dette i planlagt møte med rådmann og
personvernombud høsten 2018.
3. Kontrollutvalget er overrasket over at kommunene i regionen
ikke samarbeider tettere innenfor fagområdet informasjonssikkerhet
og personvern. Kontrollutvalget oppfordrer rådmannen til å se på
mulighetene for samarbeid mellom kommunene og med lokale miljøer
som arbeider innenfor området (eks. skolemiljøet på Kallerud/Gjøvik
og NorSIS).
Kontrollutvalgets vedtak 13.12.2017 – sak: Ny
personopplysningslov… Nedenfor følger utdrag fra møteprotokollen
fra saken den 13.12.2017.
SAK NR. 49/2017 NY PERSONOPPLYSNINGSLOV I 2018 – HVA BETYR DET
FOR KOMMUNEN?
Fra behandlingen: Leder for stab/støtte og personvernombud Geir
Steinar Loeng orienterte og svarte på spørsmål:
Hva er informasjonssikkerhet? Hva er personvern? Oppnevning av
personombud i Vestre Toten kommune
(frivillig etter dagens lovverk, pålagt i ny lov fra mai 2018).
Personvernombudets oppgaver og rolle og
personvernombudets uavhengighet. Hva er en personopplysning? Nye
personvernregler i 2018 – nye krav. Viktige personvernprinsipper.
Datatilsynets erfaringer fra norske kommuner, jf. brev fra
Datatilsynet 08.03.2017. Hva er gjort så langt?
Kvalitets/internkontrollsystem med avviksmeldingsfunksjon er
innført.
-
3
Lederopplæring (31/8 og 14/11-17). Oppnevning av
personvernombud. Kursing hos Datatilsynet for personvernombudet.
E-læringskurs «alle ansatte» Dialog Datatilsynet – potensiell
rollekonflikt mellom
rådmann og personvernombudet. Hva planlegges videre?
Behov for ytterligere presentasjon av personvernombudet –
internt/eksternt.
Kartlegging av systemer med personopplysninger. Personvern som
e-læringskurs 2018. Kursing personvernombud og rådmann –
KS/KINS.
Kommunens arbeid med digitaliseringsstrategi
(informasjonssikkerhet, personvern og dokumentforvaltning en del av
dette arbeidet).
Rådmann Bjørn Fauchald og assisterende rådmann/
informasjonssikkerhetsansvarlig i Vestre Toten kommune Odd Arnvid
Bollingmo supplerte presentasjonen.
Vedtak, enstemmig: 4. Rådmannens informasjon om ny personvernlov
fra mai 2018
og kommunens arbeid med å møte de nye kravene i loven tas til
orientering.
5. Kontrollutvalget mener rådmannen har kommet godt gang med
arbeidet med å tilpasse seg kravene i nytt lovverk og forventer at
arbeidet videreføres fram til endringen trer i kraft i mai
2018.
6. Saken følges opp overfor rådmannen og kommunes
personvernombud etter at nytt lovverk er trådt i kraft.
Rådmannen inviteres til en ny orientering høsten 2018 om status for
etterlevelse av ny personvernlov. Kontrollutvalget ber også om
rådmannens vurdering situasjonen i Vestre Toten kommune med
bakgrunn i Datatilsynets erfaringer fra norske kommuner, der det
gis følgende generelle beskrivelse av situasjonen: - Manglende
oversikt over hvilke personopplysninger
kommunen har om innbyggerne og beskrivelse av formål.
- Mangelfulle risikovurderinger. - Mangelfull internkontroll. -
Mangelfulle rutiner for innsyn og mangelfull
informasjon til innbyggerne om hvordan kommunen behandler
personopplysninger.
7. Kontrollutvalget har merket seg at det stilles krav om
personvernombudet skal sikres uavhengighet fra rådmannen i sin
utførelse av oppgaver. Da oppnevnt personvernombud i Vestre Toten
kommune er ansatt i kommunen, og dermed underlagt rådmannen,
oppstår det en utfordring knyttet til personvernombudets
uavhengighet. Kontrollutvalget har gjennom samtale med både
rådmannen og oppnevnt personombud (leder for stab/støtte) fått
inntrykk av man er
-
4
bevisst sine roller. Kontrollutvalget har tillit til at
utfordringen knyttet til uavhengighet vil bli løst på
tilfredsstillende måte. Kontrollutvalget vil følge opp dette i
planlagt møte med rådmann og personvernombud høsten 2018.
8. Kontrollutvalget er overrasket over at kommunene i
regionen ikke samarbeider tettere innenfor fagområdet
informasjonssikkerhet og personvern. Kontrollutvalget oppfordrer
rådmannen til å se på mulighetene for samarbeid mellom kommunene og
med lokale miljøer som arbeider innenfor området (eks. skolemiljøet
på Kallerud/Gjøvik og NorSIS).
-
English
Veileder
Internkontroll og informasjonssikkerhetGjennom å ha god
internkontroll og god informasjonssikkerhet sikrer virksomheten at
den behandler personopplysninger lovlig, sikkert og forsvarlig.
Denne veilederen gir en innføring i hva internkontrollhandler om,
og hvordan man kan etablere og følge den opp.
Page 1 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
Innhold1. Forside2. Ansvarlighet, internkontroll og
informasjonssikkerhet3. Hvordan gjennomføre internkontroll i
praksis4. Iverksette styringssystem for informasjonssikkerhet5.
Oppfølging og opplæring6. Internkontrollens struktur7. Vedlegg –
maler og støtteverktøy
Page 2 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
Ansvarlighet, internkontroll og
informasjonssikkerhetPersonvernforordningen stiller krav til den
behandlingsansvarliges ansvar. Det innebærer å sette i verk egnede
tiltak, både tekniske og organisatoriske, for å sikre og påvise at
personopplysninger behandles i samsvar med regelverket.
Dersom det blir behov for det, skal de tiltakene man har valgt
endres og oppdateres. Dette kan oppsummeres som rutiner for
oppfyllelse av virksomhetens plikter
[/rettigheter-og-plikter/virksomhetenes-plikter/]og de registrertes
rettigheter[/rettigheter-og-plikter/den-registrertes-rettigheter/],
og rutiner og tekniske tiltak for informasjonssikkerhet.
Hva er internkontroll?En virksomhet må forholde seg til og
etterleve flere ulike regelverk. Disse kan for eksempel omhandle
helse, miljø, sikkerhet, regnskap eller avgifter. Tilsvarende
finnes det regelverk for hvordan personopplysninger skal
behandles[/regelverk-og-verktoy/lover-og-regler/]. De som
fastsetter regelverk, forventer at virksomhetene har en systematisk
tilnærming i etterlevelsen.
Først og fremst må man sette seg inn i de ulike bestemmelsene
for å avgjøre hvilke som er relevante i egen virksomhet. Noen
bestemmelser har spesiell relevans for ledelsen i virksomhetene,
mens andre er ment å påvirke hvordan de ansatte kan utføre sitt
arbeid. Det kan også være bestemmelser som gir andre personer eller
grupper rettigheter og som virksomheten har plikt til å
oppfylle.
For å ivareta krav om en systematisk tilnærming oppretter
virksomhetene en internkontroll. Denne består gjerne av tre
hovedelementer:
1. Styrende elementer, som i hovedsak retter seg mot ledelsen,
herunder hvilke beslutninger og føringer de legger for
internkontroll.2. Gjennomførende elementer, som i hovedsak retter
seg mot ansatte. Her finner man beskrivelse av rutiner som er
tilpasset den enkeltes arbeidssituasjon.3. Kontrollerende
elementer, som bidrar til å fange opp avvik fra systemet og til at
det gjennomføres periodiske gjennomganger.
Internkontroll kalles i ulike sammenhenger et kvalitetssystem,
styringssystem eller ledelsessystem for etterlevelse av
regelverk.
Hva er internkontroll etter personvernregelverketVirksomheten må
sikre en forsvarlig behandling av personopplysninger ved at man
ivaretar den registrertes rettigheter og friheter, samtidig som man
ivaretar virksomhetens mål ved behandlingen. Etter
personvernforordningen (artikkel 24) innebærer det en
forholdsmessighet hvor man ser på behandlingens art, omfang, formål
og sammenheng, samt risikoene for fysiske personers rettigheter og
friheter, og ut fra det gjennomfører egnede tekniske og
organisatoriske tiltak. Internkontroll skal være ledelsens verktøy
for å ivareta sitt ansvar og demonstrere etterlevelse etter
personvernregelverket, og de ansattes verktøy for å utføre oppgaver
på en forsvarlig og sikker måte. Tiltakene skal dokumenteres og
oppdateres ved behov.
Det er ikke nødvendig eller hensiktsmessig å etablere en egen
internkontroll for personvernregelverket dersom dere allerede har
en internkontroll for andre regelverk eller for andre formål. Dere
bør heller sørge for å utvide det eksisterende systemet med det som
er påkrevd etter personvernregelverket.
Om informasjonssikkerhetPersonvernregelverket krever at
personopplysninger skal beskyttes tilfredsstillende mot uberettiget
innsyn og endringer. Samtidig skal opplysningene være tilgjengelige
for de som trenger opplysningene, når de har behov for dem.
Informasjonssikkerhet dreier seg om å håndtere risikoen for at
personopplysninger og andre informasjonsverdier blir ivaretatt på
en tilfredsstillende måte. Dette gjøres ved først å
identifisere
Page 3 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
hvilke personopplysninger virksomheten har. Deretter
gjennomføres en risikovurdering for å avklare om eksisterende
sikkerhetstiltak er tilfredsstillende.
Dersom risikovurderingen avdekker manglende tiltak må det
vurderes om nye tiltak skal iverksettes for å oppnå
tilfredsstillende sikkerhetsnivå for personopplysningene.
Kontrollrutiner må utarbeides og jevnlig følges, for å kontrollere
at tiltakene blir fulgt opp og virker etter hensikten.
En slik fremgangsmåte som skissert ovenfor vil sammen med
tilhørende rutiner kunne utgjøre virksomhetens styringssystem for
informasjonssikkerhet. Dette systemet for informasjonssikkerhet vil
være en sentral del av virksomhetens internkontroll. Det er
utviklet standarder som beskriver hvordan styringssystem for
informasjonssikkerhet skal etableres.
Publisert: 19.06.2018
Page 4 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
Hvordan gjennomføre internkontroll i praksisDenne delen
beskriver prosessen for å etablere internkontroll. Den beskriver
hvilke oppgaver som må løses, hvilke plikter en virksomhet har,
hvilke rutiner som må dokumenteres og aktiviteter som må
gjennomføres.
Dette kapittelet inneholder følgende:• Skaff kunnskap
[#kunnskap]• Ledelsen har ansvaret
[#ledelsesansvar]• Formålet med internkontrollen
[#formal]• Få oversikt og vurder lovlighet, nødvendighet og
proporsjonalitet
[#Oversikt]• Beskrive overordnede rammer
[#beskrive-rammer]• Identifisere plikter
[#identifisere-plikter]• Utarbeide rutiner
[#utarbeide-rutiner]
[]Skaff kunnskapVirksomheten må selv ha et minimum av kunnskap,
og sørge for å ha tilgang til nødvendig kunnskap om
personopplysningsloven og personvernforordningen. Slik kunnskap er
nødvendig for å kunne starte arbeidet med å etablere en
internkontroll og tilfredsstillende informasjonssikkerhet.
Virksomheten må videre identifisere de lovpålagte pliktene den skal
overholde.
På våre nettsider finner du oppdatert og relevant informasjon
som kan benyttes i arbeidet med internkontroll og
informasjonssikkerhet. Få oversikt over alle pliktene virksomheten
har på vår samleside
[/rettigheter-og-plikter/virksomhetenes-plikter/]
[]Ledelsen har ansvaretLedelsen er ansvarlig for at det settes i
gang aktiviteter for å etablere internkontroll i virksomheten. Den
har et spesielt ansvar for å utarbeide policy, målsetning,
identifisere forpliktelser, klarlegge intern organisering og ikke
minst tydelig identifisere ansvar og myndighet.
Ledelsen har også ansvar for at det etableres rutiner og
instrukser basert på vurderinger for risiko for rettigheter og
friheter. Det må tas stilling til hvilke rutiner som er påkrevd for
å sikre samsvar mellom den etablerte systematikken og aktivitetene
som faktisk utføres i virksomheten.
Dokumentasjon over systemet for internkontroll skal være
tilgjengelig for de ansatte i virksomheten og for Datatilsynet ved
eventuell kontroll.
[]Formålet med internkontrollenVed å etablere internkontroll bør
virksomheten oppnå:
1. bedre ivaretakelse av de registrertes rettigheter2. bedre
informasjonssikkerhet, informasjonskvalitet og
effektiviseringsgevinst3. system for kvalitetssikring av at
offentlig regelverk følges4. forsvarlig drift innenfor lovverket5.
fastsatte rutiner og instrukser som bidrar til at ledelsen sikrer
at de ansatte arbeider i samsvar med virksomhetens mål og policy6.
at avvik blir oppdaget og håndtert
Page 5 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
7. reduksjon i sjansen for alvorlige feil som skyldes manglende
oppfølging av lovverket
[]Få oversikt, og vurder lovlighet, nødvendighet og
proporsjonalitetVirksomheten skal etablere og vedlikeholde en
oversikt over alle behandlingene av personopplysninger. For å få en
fullstendig oversikt, må man se på karakteristikker ved
behandlingen og gjøre en vurdering proporsjonalitet og nødvendighet
for å sikre at behandlingen er lovlig og at man ivaretar de
registrertes rettigheter.
Internkontrollens struktur
Det er nyttig å etablere en struktur for internkontrollsystemet.
I kapittelet "Internkontrollens
struktur"[/regelverk-og-verktoy/veiledere/internkontroll-og-informasjonssikkerhet/internkontrollens-struktur/]
finner dere forslag til struktur og dokumenter som kan opprettes i
de ulike fasene - styrende dokumentasjon, gjennomførende
dokumentasjon og kontrollerende dokumentasjon - og som vi vil vise
til i den påfølgende teksten.
Beskrivelser, vurderinger og valg kan føres inn i
styringsdokument for internkontroll. Disse beskrivelsene vil videre
være grunnlag for å føre protokoll over
behandlinger[/rettigheter-og-plikter/virksomhetenes-plikter/protokoll-over-behandlingsaktiviteter/].
Protokollen inkluderer blant annet oversikt over type
behandlingsaktiviteter, kategorier av personopplysninger og
registrerte, rettslig grunnlag og formål med behandlingene.
Protokollen kan også inngå i styringsdokument for internkontroll.
Dokumentasjonen bør oppdateres og gjennomgås jevnlig.
Oversikt over behandlingen er nødvendig for at virksomheten skal
kunne ivareta pliktene sine. Oversikten danner også grunnlag for
utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi,
og vil være underlag ved risikovurderinger. For å få en fullstendig
oversikt over behandlingen, vurdere lovlighet, nødvendighet og
proporsjonalitet, må man gå systematisk til verks og sørge for at
beskrivelsene er tydelige:
Behandlingens art, omfang, formål og sammenheng
Beskriv behandlingens art, det vil si behandlingens iboende
karakteristikk. Dette kan innebære beskrivelser av hva dere gjør
eller planlegger å gjøre med personopplysningene, for eksempel
hvordan personopplysningene skal samles inn, lagres og brukes, og
hvem det skal behandles personopplysninger om.
Beskriv behandlingens omfang. Det omfatter blant annet
kategorier av personopplysninger, antall registrerte involvert,
volum av data, hvor hyppig er behandlingen, lagringstid og
geografisk omfang.
Beskriv behandlingens formål, det vil si å beskrive tydelig hva
personopplysningene skal brukes til.
Beskriv hvilken sammenheng eller kontekst behandlingen utføres
i. Dette innebærer å se behandlingen i et større bilde, og beskrive
alle interne og eksterne faktorer som kan påvirke forventninger
eller konsekvenser. Beskriv for eksempel hvilke kilder som brukes
for innhenting av personopplysninger, hvilken relasjon virksomheten
har til de registrerte, hvilke forventninger de registrerte har til
behandlingen og i hvilken grad de registrerte har kontroll over
sine personopplysninger.
Kilder, mottakere og ansvarsforhold
Identifiser, avklar og dokumenter ansvarsforhold. Dette
innebærer blant annet å klargjøre egen virksomhets rolle og ansvar
knyttet til verdikjedene for behandling av personopplysninger i
virksomheten. Dokumenter når virksomheten er behandlingsansvarlig
eller databehandler.
Identifiser og dokumenter alle mottakere av personopplysninger.
Dette omfatter deling internt i virksomheten, databehandlere,
tredjeparter, eksterne virksomheter (private og offentlige
myndigheter) og så videre. Gjennomgå formål, rettslig grunnlag og
hvilke forhåndsregler som tas for å beskytte personopplysningene
(taushetserklæringer, databehandleravtale, atferdsnormer,
sikkerhetstiltak og så videre). Dersom personopplysninger overføres
eller lagres i land utenfor EU/EØS, må det sikres at det foreligger
mekanismer som tillater slik overføring (se artikkel 44-49 i
personvernforordningen).
Dersom det tas i bruk tjenesteutsetting eller skytjenester, bør
man se på Nasjonal sikkerhetsmyndighets temahefte
«Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
Page 6 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
[https://nsm.stat.no/globalassets/dokumenter/temahefter/tjenesteutsetting2018v1.1_enkelstsider.pdf]»
(pdf).
Vurdering av lovlighet, nødvendighet og proporsjonalitet
Virksomheten må undersøke om behandlingene er lovlige, at de
valgene man tar er nødvendige og står i et rimelig forhold til
formålene. Dere må ta utgangspunkt i prinsippene for behandling av
personopplysninger[/rettigheter-og-plikter/personvernprinsippene/].
Beskrivelser, vurderinger og valg kan føres i styringsdokumentet
for internkontroll.
Fastsette behandlingsgrunnlag: Det er ikke tillatt å behandle
personopplysninger uten et rettslig grunnlag. Behandlingen skal
være basert på lovlighet, rettferdighet og åpenhet (artikkel 5.1
bokstav a og artikkel 6 og 9).
Et rettslig grunnlag/behandlingsgrunnlag
[/rettigheter-og-plikter/virksomhetenes-plikter/behandlingsgrunnlag/]kan
være samtykke, at det er nødvendig for avtale/kontrakt, en rettslig
forpliktelse, vitale interesser, utøvelse av myndighet eller en
berettiget interesse. Undersøk om det rettslige grunnlaget omfatter
både egne formål og utlevering.
Vurder og kontroller behandlingsgrunnlagets gyldighet og
rimelighet. Er det et tydelig skille mellom hvilke
personopplysninger som er nødvendig for avtale og hva som skal
baseres på samtykke? Hva er de forventede fordelene ved
behandlingen for virksomheten, den registrerte og samfunnet for
øvrig?
Vurder hvordan åpenhet ivaretas i behandlingen.
Identifiser formål: Det er ikke tillatt å behandle
personopplysninger uten at det er definert et formål
[/rettigheter-og-plikter/virksomhetenes-plikter/fastsette-formal/]med
behandlingen. Formål(ene) skal være spesifikt, uttrykkelig angitt
og berettiget (artikkel 5.1 bokstav b). Det innebærer at formålet
skal være klart definert og i samsvar med forventningene til de
registrerte. Kan formålet oppnås med en mindre inngripende
behandling og med anonyme eller pseudonyme alternativer?
Dataminimering: Personopplysninger skal være adekvate, relevante
og begrenset til det som er nødvendig for formålene (artikkel 5.1
bokstav c). Identifiser og vurder personopplysningene som skal
behandles. Kan formålet oppnås ved å begrense innsamlingen av
personopplysninger, med mindre detaljerte personopplysninger, uten
fortrolige eller sensitive personopplysninger, med aggregerte eller
pseudonyme personopplysninger?
Riktighet: Personopplysninger skal være korrekte og oppdaterte
(artikkel 5.1 bokstav d). Vurder hvordan personopplysninger skal
holdes korrekte og oppdaterte, med og uten den registrertes
involvering. Har dere nødvendig funksjonalitet for å rette og
slette uriktige personopplysninger? Har dere rutiner for å oppdage
feil ved personopplysninger? Har dere rutiner for hvordan
registrertes anmodning om retting og sletting av personopplysninger
skal håndteres?
Lagringsbegrensning: Personopplysninger skal slettes eller
anonymiseres når formålet er oppnådd (artikkel 5.1 bokstav e).
Avklar lovlig oppbevaringstid og slettefrister for alle typer
personopplysninger som virksomheten behandler. Det innebærer å ta
stilling til avveiinger som omfatter formålet med behandlingen,
virksomhetens behov og andre rettslige krav som regulerer
oppbevaringsrett og oppbevaringsplikt. Utarbeid nødvendige rutiner
og tekniske løsninger for nødvendig sletting, anonymisering eller
pseudonymisering.
Integritet og konfidensialitet: Virksomheten skal sørge for
tilstrekkelig sikkerhet for personopplysningene ved bruk av
tekniske og organisatoriske tiltak (artikkel 5.1 bokstav f). Det
innebærer å sikre opplysningene mot uautorisert eller ulovlig
behandling, og mot utilsiktet tap, ødeleggelse eller skade.
Ansvar: Den behandlingsansvarlige er ansvarlig for og skal kunne
påvise at prinsippene overholdes (artikkel 5.2).
[]Beskrive overordnede rammerDenne delen omfatter ledelsens
begrunnelse for behandling av personopplysninger og overordnede
føringer for bruk av informasjonsteknologi i virksomheten.
Begrunnelsen og de overordnede føringene kan beskrives i
styringsdokumentet for internkontroll. Begrunnelsene omhandler
virksomhetens behov for å behandle personopplysningene slik at den
kan ivareta sine forpliktelser, herunder levere sine tjenester
eller følge opp sine ansatte. De overordnede føringene er krav og
plikter som virksomheten
Page 7 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
blir underlagt fordi den behandler personopplysninger. Slike
krav og plikter kan blant annet følge av personvernlovgivningen, av
pålegg fra Datatilsynet eller av annen lovgivning.
Andre føringer er sikkerhetsmål og sikkerhetsstrategier. Disse
legger begrensninger på bruken av IKT for å sikre tilfredsstillende
sikkerhet for personopplysningene. Samme dokument kan også
inneholde føringer som krav til hendelseshåndtering, egenkontroll,
avviksbehandling og ledelsens gjennomgang.
[]Identifisere plikterBehandling av personopplysninger medfører
plikter for virksomheten. Ulike opplysninger og ulike formål gjør
at ingen virksomheter er like. Hver virksomhet må derfor
identifisere plikter og tilpasse internkontroll og
informasjonssikkerhetstiltak til sin organisasjon. Dette gjøres med
utgangspunkt i behandlingens art, omfang, formål og sammenhengen
den utføres i, samt risikoen for de registrertes rettigheter og
friheter.
Prinsippene for behandling av personopplysninger
[/rettigheter-og-plikter/personvernprinsippene/]legger føringer for
hvordan personopplysninger skal behandles. Virksomheten må
identifisere hvilke plikter den har
[/rettigheter-og-plikter/virksomhetenes-plikter/]og gjennomføre
egnede tekniske og organisatoriske tiltak for å sikre og påvise at
behandlingen utføres i samsvar med forordningen (artikkel 24).
De ulike pliktene for behandlingsansvarlig og databehandlere er
beskrevet i kapittel IV i personvernforordningen. Nedenfor nevner
vi noen av disse pliktene med lenker til mer informasjon.
1. Innebygd personvern og personvern som standardinnstilling
(artikkel 25) – Veileder om programvareutvikling med innebygd
personvern[/regelverk-og-verktoy/veiledere/programvareutvikling-med-innebygd-personvern/]2.
Databehandler (artikkel 28) – Veileder om
databehandleravtaler[/rettigheter-og-plikter/virksomhetenes-plikter/behandlingsgrunnlag/]3.
Protokoller over behandlingsaktiviteter (artikkel 30) – Veiledning
og mal for
protokoll[/rettigheter-og-plikter/virksomhetenes-plikter/protokoll-over-behandlingsaktiviteter/]4.
Sikkerhet ved behandlingen (artikkel 32)5. Melding til
tilsynsmyndigheten om brudd på personopplysningssikkerheten
(artikkel 33) og informasjon til den registrerte om brudd på
personopplysningssikkerheten (artikkel 34) –
Avvikshåndtering[/rettigheter-og-plikter/virksomhetenes-plikter/avvikshandtering/]6.
Vurdering av personvernkonsekvenser (DPIA) (artikkel 35) – Veileder
om vurdering av
personvernkonsekvenser[/regelverk-og-verktoy/veiledere/vurdering-av-personvernkonsekvenser/]7.
Forhåndsdrøftinger (artikkel 36)8. Personvernombud
[/rettigheter-og-plikter/virksomhetenes-plikter/personvernombud/](artikkel
37-39)9. Atferdsnormer/bransjenormer
[/regelverk-og-verktoy/atferdsnorm/](artikkel 40)10. Sertifisering
(artikkel 42)11. Overføringer av personopplysninger til
tredjestater og internasjonale organisasjoner
[/rettigheter-og-plikter/virksomhetenes-plikter/overfore/](artiklene
44-49)
Virksomheten må identifisere hvilke rettigheter og friheter for
de registrerte som gjør seg gjeldende på grunn av virksomhetens
behandling av personopplysninger. Virksomheten har plikt til å
oppfylle disse rettighetene (beskrevet i artiklene 12-22) Vi har
laget en samleside med oversikt over
rettighetene[/rettigheter-og-plikter/den-registrertes-rettigheter/].
Med de registrertes friheter mener vi blant annet friheter etter
Den europeiske menneskerettskonvensjonen (EMK), slik som retten til
privatliv og kommunikasjonsvern, retten til ikke å bli
diskriminert, tanke-, tros- og religionsfrihet, ytrings- og
informasjonsfrihet. Vurder hvordan de registrertes rettigheter og
friheter skal ivaretas.
Det finnes også nasjonale bestemmelser i personopplysningsloven
som er presiseringer og unntak fra hovedregler i
personvernforordningen.
Page 8 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
[]Utarbeide rutinerPersonvernforordningen stiller krav til
internkontroll i form av egnede tekniske og organisatoriske tiltak
for å sikre og påvise at behandlingen utføres i samsvar med
personvernforordningen. Tiltakene skal gjennomgås på nytt og skal
oppdateres ved behov.
Utarbeid rutiner som er nødvendige for oppfyllelse av
virksomhetens plikter og de registrertes rettigheter. Her nevnes
noen nødvendige rutiner, samt hvordan rutinene kan utformes. Alle
rutiner vil imidlertid ikke være relevante for alle virksomheter.
En risikovurdering kan dessuten vise at virksomheten har behov for
andre rutiner enn dem som er listet opp.
Eksempler på rutiner for håndtering av personopplysninger:
• Iverksettelse og opphør av behandling• Informasjon
[/rettigheter-og-plikter/virksomhetenes-plikter/gi-informasjon/](rettferdig
og gjennomsiktig behandling, artikkel 12, 13 og 14)
• Innhenting og kontroll av samtykke
[/regelverk-og-verktoy/veiledere/veileder-om-behandlingsgrunnlag/samtykke/](artikkel
7 og 8)
• Innsyn
[/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-innsyn/](artikkel
15)
• Dataportabilitet
[/regelverk-og-verktoy/veiledere/retten-til-dataportabilitet/](artikkel
20)
• Retting
[/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-retting/]og
sletting
[/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-sletting/](artikkel
16, 17 og 19)
• Begrensning
[/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-begrensning/](artikkel
18 og 19)
• Protestere
[/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-a-protestere/](artikkel
21)
• Særskilte regler for automatiserte avgjørelser
[/rettigheter-og-plikter/den-registrertes-rettigheter/rettar-ved-automatiserte-avgjerder/](artikkel
22)
• Utlevering av personopplysninger til andre• Overføring til
tredjestater
[/rettigheter-og-plikter/virksomhetenes-plikter/overfore/](artikkel
44-49)
Rutinene bør utformes etter en felles mal. Rutinene blir da
enklere å bruke, og det blir lettere å vurdere om de er
fullstendige.
Følgende mal kan benyttes for utforming av rutiner:
• Hvorfor skal rutinen utarbeides, hva er hensikten med den?•
Hvem er ansvarlig for å utføre de ulike aktivitetene?• Hva skal
utføres av de ulike ansvarlige?• Hvordan skal aktivitetene
utføres?• Når skal de ulike aktivitetene utføres, eller under
hvilke betingelser?• Hva er forventet resultat ved utførelse av
rutinen?
Publisert: 19.06.2018
Page 9 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
Iverksette styringssystem for
informasjonssikkerhetInformasjonssikkerhet dreier seg om å håndtere
risiko relatert til virksomhetens informasjonsverdier og behandling
av personopplysninger. Personopplysninger kommer i mange former. De
kan trykkes eller skrives på papir, lagres elektronisk, overføres
via post eller elektroniske media, eller formidles muntlig. Uansett
hvordan informasjonen formidles og lagres, skal den alltid
beskyttes på en tilfredsstillende måte.
Informasjonssikkerhet omfatter her beskyttelse av:
• Konfidensialitet – at informasjonen ikke blir kjent for
uvedkommende• Integritet – at informasjonen ikke blir endret
utilsiktet eller av uvedkommende• Tilgjengelighet – at
informasjonen er tilgjengelig for autoriserte ved behov• Robusthet
– at organisasjonen og systemene er motstandsdyktige, og evner å
gjenopprette
normaltilstand ved hendelser
Organisasjoner og deres informasjonssystemer står overfor en
stadig lengre rekke av sikkerhetstrusler, for eksempel datasvindel,
spionasje, sabotasje og hærverk. Trusselaktører tar kontinuerlig i
bruk nye verktøy og metoder som krever at alle virksomheter jevnlig
holder seg oppdatert, kjenner til nye trusler og sårbarheter, og
vurderer om man har etablert tilstrekkelig sikring.
I personvernregelverket understrekes det at arbeidet med
informasjonssikkerhet er en kontinuerlig prosess. Det stilles blant
annet krav til å sikre vedvarende robusthet i tillegg til
konfidensialitet, integritet og tilgjengelighet. Det betyr blant
annet at virksomheten plikter å ta hensyn til den tekniske
utviklingen, altså hvilken teknologi som er tilgjengelig på
markedet til enhver tid. Det betyr at den teknologien som var
akseptabel for å sikre virksomhetens behandlinger i fjor, ikke
nødvendigvis er akseptabel i år.
For å sørge for tilstrekkelig sikkerhet står det i artikkel 32
at virksomheten må ta hensyn til behandlingens art, formål, omfang
og sammenheng, hva som finnes av tilgjengelig teknologi, kostnader
ved gjennomføring, og hva sannsynligheten og konsekvensen er for at
uønskede eller ulovlige hendelser skal inntreffe.
Informasjonssikkerhet oppnås ved hjelp av tekniske og
organisatoriske tiltak. Sikkerhetstiltakene og informasjonssystemet
skal dokumenteres og inngå som en del av internkontrollen i
virksomheten.
Ved innføring av internkontroll må virksomheten først
identifisere hvilke personopplysninger som behandles. Deretter må
det utarbeides en risikovurdering.
Dokumentasjon og oppbygging av styringssystem for
informasjonssikkerhetPersonvernforordningen stiller krav til
tilstrekkelig informasjonssikkerhet ved innføring av egnede
tekniske og organisatoriske tiltak. Vi anbefaler at man følger
anerkjente standarder som beskriver styringssystem for
informasjonssikkerhet, for eksempel "ISO/IEC 27001– Ledelsessystem
for informasjonssikkerhet". Man kan også bruke rammeverk og
veiledere som er utviklet av andre organisasjoner, slik som
Direktoratet for forvaltning og IKT (Difi) og Nasjonal
sikkerhetsmyndighet (NSM).
Nedenfor går vi gjennom noen viktige elementer som bør være med
i et styringssystem for informasjonssikkerhet.
Sikkerhetsmål
Sikkerhetsmålene omfatter ledelsens beslutninger om hva IKT skal
brukes til i virksomheten og hvordan den skal benyttes for å nå
virksomhetens øvrige mål. Konkrete sikkerhetsmål vil slik utgjøre
en del av virksomhetens beskrivelse av sin totale målsetning.
Sikkerhetsmålene bør i størst mulig grad være målbare, men dette er
ikke alltid enkelt. Uansett skal de være retningsgivende for
strategien.
Sikkerhetsstrategi
Sikkerhetsstrategien skal omfatte grunnleggende beslutninger om
organisering og gjennomføring av sikkerhetsarbeidet. Dette går på
fordeling av arbeidsoppgaver mellom ledelse og driftspersonell, og
beslutning om eventuelt å ta i bruk eksterne leverandører i
sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell,
sikkerhetspersonell og den enkelte bruker må avklares her.
Sikkerhetsstrategien skal gjøre rede for organisatoriske og
tekniske strategiske valg, og må være utformet på en måte som gjør
at de ansatte forstår hva ledelsen har bestemt. Strategien
beskriver
Page 10 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
hvilke virkemidler virksomheten velger å bruke for å nå målene.
Det kan velges ulike strategier for å tilfredsstille samme mål.
Ledelsens gjennomgang
Ledelsen skal årlig gjennomgå sikkerhetsmål, sikkerhetsstrategi
og organisering av informasjonssystemene. Ledelsen skal kontrollere
at disse er i samsvar med virksomhetens behov og eventuelt
oppdatere mål, strategi og organisering. Gjennomgangen utføres
etter rutine beskrevet i ledelsens gjennomgang.
I ledelsens gjennomgang av informasjonssystemet kan blant annet
følgende vurderes:
• Resultater fra sikkerhetsrevisjoner og kontroller utført av
offentlig myndighet• Endringer med betydning for drift av
informasjonssystemet eller for informasjonssikkerheten,
herunder endringer i offentlige sikkerhetskrav, endringer i
personopplysninger som virksomheten skal behandle, endringer i
trusselbildet som blant annet beskrevet i rapport fra utførte
risikovurderinger
• Om informasjonssystemet bør endres, eksempelvis som følge av
ønske om ny funksjonalitet• Overordnet behandling av alvorlige
avvik og hendelser
Organisering
Det må klargjøres roller og ansvar knyttet til personvern og
sikkerhet internt i virksomheten. Det inkluderer for eksempel hva
som ligger i linjeansvar og hva som ligger i nøkkelroller som
personvernombud, personvernrådgiver, sikkerhetsleder,
IKT-ansvarlig, HR-ansvarlig, prosjektledere, produkteiere,
systemeiere, systemforvaltere mv. Klare ansvars- og
myndighetsforhold etableres med utgangspunkt i beslutninger tatt av
virksomhetens ledelse. Rolle- og ansvarsfordeling skal være
dokumentert.
I mindre organisasjoner kan det være samme person som ivaretar
ulike oppgaver. For større organisasjoner lages et
organisasjonskart som viser de nevnte funksjonene og deres
plassering i forhold til ledelsen og virksomheten for øvrig.
Akseptabelt risikonivå / toleransenivå for sikkerhet
Risikovurdering handler om å identifisere konsekvenser ved ulike
hendelser eller scenarier, og å vurdere hvor sannsynlig eller lett
en uønsket hendelse kan inntreffe. Det er virksomhetens ledelse som
avgjør hvor stor risiko (risikoappetitt) virksomheten skal ta ved
ulike scenarier. Dette kalles toleransenivå for sikkerhet.
Toleransenivå gir føringer for hvilke tiltak og ressurser som må
settes inn for at behandlingen ikke skal overskride det definerte
toleransenivået.
Beslutning om akseptabelt risikonivå skal blant annet uttrykkes
i virksomhetens sikkerhetsmål. Sikkerhetsmålet skal, på et
overordnet nivå, beskrive formålet med bruken av IKT og angi
sikkerhetsbehov med hensyn til konfidensialitet, integritet,
tilgjengelighet og robusthet. Det er også nødvendig med en
detaljert beskrivelse av akseptabelt risikonivå. Denne beskrivelsen
bør angi hvilke personopplysninger og behandlinger som berøres,
hendelser med betydning for personvernet og akseptable nivåer for
sannsynlighet og konsekvens. Beskrivelsen må angi prioritering
mellom forskjellige sikkerhetsbehov og, på overordnet nivå,
beskrive risikoreduserende tiltak.
Noen scenarier vil ha nulltoleranse for risiko, mens for andre
kan virksomheten bestemme seg for å ta en viss risiko. Detaljert
beskrivelse av akseptabelt risikonivå skal inngå i underlag for
gjennomføring av risikovurdering.
Risikovurderinger og sikkerhetstiltak
Risikovurderinger
[/rettigheter-og-plikter/virksomhetenes-plikter/informasjonssikkerhet/risikovurdering/]og
etablering av tekniske og organisatoriske tiltak for å oppnå et
tilfredsstillende sikkerhetsnivå er grunnleggende krav til
virksomhetens informasjonssikkerhet. Risikovurderingen må ta høyde
for hvilke risikoer som er forbundet med behandlingen, særlig som
følge av utilsiktet eller ulovlig tilintetgj��ring, tap, endring
eller uautorisert utlevering av eller tilgang til
personopplysninger som er overført, lagret eller på annen måte
behandlet.
En risikovurdering begynner med en kartlegging av verdier som
bør sikres. Personvernregelverket definerer personopplysninger som
en verdi. Det bør gjøres en trusselvurdering av hvilke aktører som
kan være interessert i verdiene og hvilke angrepsvektorer de ulike
trusselaktørene benytter. Deretter gjøres en vurdering av om
verdiene er sårbare for de gitte truslene. Standarder for
informasjonssikkerhet kan bidra til å avdekke sårbarheter og dermed
også krav som må stilles til sikkerhet.
Page 11 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
Resultatet av risikovurderingen vurderes opp mot toleransenivå
for sikkerhet. Dersom risikonivået er høyere enn fastlagt nivå for
akseptabel risiko, skal det iverksettes tiltak for å redusere
risikoen. Det må også fastsettes hvem som er ansvarlig for tiltaket
og settes en frist for implementering. I artikkel 32 i
personvernforordningen nevnes noen tiltak:
1. Pseudonymisering og kryptering av personopplysninger2. Evne
til å sikre vedvarende konfidensialitet, integritet,
tilgjengelighet og robusthet i system og tjenester som behandler
personopplysninger3. Evne til å gjenopprette tilgjengelighet og
tilgang til personopplysninger i rett tid dersom det oppstår en
fysisk eller teknisk hendelse4. En prosess for regelmessig testing,
analysering og vurdering av hvor effektive de tekniske og
organisatoriske sikkerhetstiltakene er.
Både den behandlingsansvarlige og databehandleren skal treffe
tiltak for å sikre at de som behandler personopplysninger i, eller
på vegne av, virksomheten, kun behandler personopplysninger på
instruks fra den behandlingsansvarlige. Dette innebærer blant annet
at man sørger for å ha tilgangsstyringbasert på tjenstlig behov,
taushetserklæringer, sikkerhetsinstrukser, opplæring i rutiner og
bruk, og databehandleravtaler. Dette er for å sikre at den
behandlingsansvarlige har kontroll over behandlingen og dermed kan
forsikre seg om at virksomheten etterlever
personvernregelverket.
Rutiner for informasjonssikkerhet
Virksomheten skal konfigurere informasjonssystemet
(infrastruktur, nettverk, servere, programvare mv.) slik at
tilfredsstillende informasjonssikkerhet oppnås etter
risikovurdering og beslutninger om sikkerhetstiltak. Lag en
beskrivelse av informasjonssystemet.
Det er i tillegg viktig at man tar hensyn til brukersikkerhet,
lager instrukser for ulike typer roller og gir opplæring i disse.
Instruksene dokumenteres og kan deles opp i sikkerhetsinstrukser
for bruker, leder og sikkerhetsansvarlig.
For å sørge for sporbarhet er det viktig å logge autorisert bruk
og forsøk på uautorisert bruk. Det er imidlertid viktig å være klar
over at personopplysninger som fremkommer som følge av logging for
drifts- og sikkerhetsformål ikke senere kan benyttes for å overvåke
eller kontrollere enkeltpersoner. Hensikten med logging av
autorisert bruk er å i ettertid kunne spore hvem som gjorde hva med
hvilke personopplysninger, og på hvilket tidspunkt. Rutine for
logging beskrives i driftsrutiner. Loggfiler og formater beskrives
i dokumentasjonen av informasjonssystemet.
Organisatoriske tiltak vil kunne beskrives i ulike dokumenter,
slik som informasjonshåndteringsrutine, sjekkliste nyansatt /
ansatte som slutter, og taushetserklæring. Tekniske tiltak vil
kunne skildres i dokumentasjon av informasjonssystemet,
driftsrutiner, beredskapsplan og fysisk sikkerhet.
Våre nettsider inneholder noe informasjon om sikring av
personopplysninger, slik som
kryptering[/rettigheter-og-plikter/virksomhetenes-plikter/informasjonssikkerhet/kryptering/],
bruk av sterk autentisering
[/rettigheter-og-plikter/virksomhetenes-plikter/informasjonssikkerhet/sterk-autentisering/]og
anonymisering[/rettigheter-og-plikter/virksomhetenes-plikter/informasjonssikkerhet/hvordan-anonymisere-personopplysninger/].
Vi vil i tillegg anbefale et par eksterne sider for god
veiledning om sikring av henholdsvis IKT-systemer og
personopplysninger:
• Nasjonal sikkerhetsmyndighets (NSM) grunnprinsipper for
IKT-sikkerhet[https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/].
Disse grunnprinsippene definerer hvordan IKT-systemer bør sikres
for å beskytte verdier og leveranser. Grunnprinsippene beskriver
hva en virksomhet bør gjøre for å sikre et IKT-system. De beskriver
også hvorfor det bør gjøres, men ikke hvordan.
• Den franske datatilsynsmyndigheten (CNIL) sin veileder
«Security of Personal
Data».[https://www.cnil.fr/en/new-guide-regarding-security-personal-data]
Publisert: 23.06.2018
Page 12 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
Oppfølging og opplæringArbeidet med internkontroll er en
kontinuerlig prosess. Virksomheten må sørge for å kunne håndtere
avvik, kontrollere at rutiner og tiltak brukes og fungerer etter
hensikten. Etter at internkontrollen er etablert og forankret, må
man sørge for at den gjøres kjent og etterleves blant de ansatte i
virksomheten.
AvvikshåndteringDersom personopplysninger håndteres i strid med
fastlagte rutiner, eller det er mistanke om eller dokumentert brudd
på informasjonssikkerheten, skal virksomheten iverksette
avviksbehandling. Formålet med avviksbehandling er å lukke avviket
så raskt som mulig, gjenopprette normaltilstand og hindre
gjentakelse. Dersom det ikke er samsvar mellom fastlagte rutiner og
hvordan personopplysninger håndteres eller informasjonssystemet
benyttes, skal resultatet fra avviksbehandlingen brukes som
grunnlag ved gjennomgang og endring av aktuelle rutiner.
Avviksbehandling består av:
• Å oppdage avviket.• Kartlegge årsaken til og omfanget av
avviket så langt det er mulig.• Rapportering utføres normalt av den
medarbeideren som oppdager avviket. Avviket rapporteres
til virksomhetens sikkerhetsansvarlig eller etter annen intern
organisering.• Iverksettelse av strakstiltak, blant annet med det
formål å avgrense eventuelle følgeskader.• Vurdere om det er et
brudd på personopplysningssikkerheten og vurdere risikoen for
de
registrertes rettigheter og friheter.• Iverksettelse av
korrigerende tiltak for permanent å gjenopprette
normaltilstand.Vurdering av
hvorvidt korrigerende tiltak fungerer etter sin hensikt.
Avviksbehandling skal dokumenteres i en rapport som inneholder
opplysninger om selve avviket, gjennomførte strakstiltak,
iverksatte korrigerende tiltak, resultater fra evaluering av det
korrigerende tiltakets effekt over tid, samt opplysninger om hvilke
medarbeidere som har vært involvert i behandling av avviket.
Dersom det har vært et brudd på personopplysningssikkerheten og
det er en risiko for fysiske personers rettigheter og friheter,
skal Datatilsynet varsles.
Dersom det har vært et brudd på personopplysningssikkerheten og
det er en høy risiko for fysiske personers rettigheter og friheter,
skal også de registrerte varsles.
Les mer om
avvikshåndtering[/rettigheter-og-plikter/virksomhetenes-plikter/avvikshandtering/]
Sikkerhetsrevisjon og egenkontrollVirksomheten skal kontrollere
at rutinene for håndtering av personopplysninger brukes og fungerer
etter hensikten. Virksomheten må jevnlig teste, vurdere og evaluere
hvor effektive sikkerhetstiltakene er. En sikkerhetsrevisjon skal
omfatte vurdering av organisering, sikkerhetstiltak, og bruk av
sikkerhetsparter og databehandlere.
Sikkerhetsrevisjon består vanligvis av egenkontroller,
internrevisjon og revisjon av eksterne parter. Dersom
sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke
er forutsatt, skal dette behandles som avvik. Resultatet fra
sikkerhetsrevisjon skal dokumenteres og være en del av ledelsens
gjennomgang.
Rutiner for rapportering og forslag til tiltakDet er viktig å
innføre faste rutiner for å forbedre internkontrollen. Det bør
derfor innføres rutiner for å lære av uønskede hendelser,
dokumentere erfaring og forbedre arbeidsprosessene slik at færrest
mulig hendelser oppstår i fremtiden.
Virksomheten skal ha rutine for rapportering og mal for rapport
til ledere og ansvarlige fra sikkerhetshendelser, avvikshåndtering
og egenkontroll. Rapporten skal også omfatte erfaringer som er
gjort og forslag til forbedringer, både tekniske tiltak og
prosessforbedringer.
Page 13 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
OpplæringMålet med brukeropplæring er å sørge for at brukerne er
oppmerksomme på trusler mot personvernet og informasjonssikkerheten
generelt, og at de er gitt mulighet til å etterleve dette i sitt
daglige arbeid. Opplæring bør være tilpasset ulike målgruppers
behov for opplæring og fordeles over tid. Brukerne bør få opplæring
i rutiner, sikkerhetsprosedyrer og riktig bruk av
informasjonssystemer for å redusere potensielle risikoer.
Opplæring i internkontroll og informasjonssikkerhet
Før ansatte i organisasjonen og eventuelle tredjepartsbrukere
får tilgang til informasjon eller tjenester, bør de få
hensiktsmessig opplæring. Dette omfatter krav til internkontroll og
informasjonssikkerhet, juridisk ansvar og interne sikringstiltak,
så vel som opplæring i riktig bruk av informasjonssystemer. Dette
inkluderer for eksempel innloggingsprosedyrer, bruk av programvare,
sikkerhetsinstruks, og rapportering av avvik. I tillegg bør de får
regelmessig oppdatering i organisasjonens policy og rutiner.
Taushetserklæring
Taushetserklæringer brukes for å gjøre oppmerksom på at det
forekommer konfidensiell informasjon i virksomheten. De ansatte
skal undertegne en slik erklæring samtidig med
ansettelseskontrakten. Taushetserklæringen oppbevares i den
ansattes personalmappe under hele ansettelsesforholdet.
Midlertidig ansatte og tredjepartsbrukere som ikke allerede er
dekket av eksisterende kontrakt med taushetserklæring, bør
undertegne en tilsvarende erklæring før de får tilgang til
informasjonssystemer. Betingelsene og ansettelsesvilkårene bør
opplyse om den ansattes ansvar for informasjonssikkerhet. Der det
er relevant bør dette ansvaret også gjelde i en nærmere spesifisert
periode etter at ansettelsesforholdet er avsluttet.
Taushetserklæringer bør gjennomgås på nytt når
ansettelsesforholdet endres, særlig når ansatte skal forlate
organisasjonen, eller kontrakter utløper.
Personvernombud
For virksomheten kan det være en stor fordel å ha en bestemt
person å henvende seg til med spørsmål rundt behandling av
personopplysninger knyttet til sin virksomhet.
Personvernforordningen styrker ordningen med personvernombud.
Regelverket lovfester hvilken rolle og hvilke oppgaver ombudet skal
ha, og gjør ordningen obligatorisk for mange virksomheter.
Les mer om
personvernombud[/rettigheter-og-plikter/virksomhetenes-plikter/personvernombud/]
Publisert: 23.06.2018
Page 14 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
Internkontrollens strukturDet er nyttig å etablere en struktur
for internkontrollsystemet. Dette gjør det lettere for aktørene som
skal bidra i prosessen til å forstå hvilken funksjon systemet skal
ha. Dokumentasjon av internkontrollsystemet skal vise den reelle
situasjonen i virksomheten. Berørte parter bør derfor delta i
utformingen.
Noen ganger medfører innføring av nytt regelverk at rutiner og
instrukser må endres. Det er viktig at dette faktisk skjer i
virksomheten og ikke bare i systembeskrivelsen.
I neste kapittel finner dere maler og eksempler som kan lastes
ned og benyttes i arbeidet med dokumenteringen av
internkontrollsystemet.
Styrende dokumentasjonStyrende dokumentasjon gir en
systembeskrivelse som inneholder policy og målsetning,
identifiserte krav og plikter, intern organisering, ansvar og
myndighet. Styrende dokumentasjon er overordnet i sin form og er
spesielt ledelsesorientert.
Styrende dokumentasjon bør inneholde:
1. virksomhetens mål og retningslinjer for vern av
personopplysninger. Se spesielt personvernforordningen artikkel
1.2. identifisering av at tiltenkt lagring og behandling av
personopplysninger samsvarer med lovens grunnkrav, se artikkel 5 og
6 i personvernforordningen. Det legges spesielt vekt på saklig
behov og konkret definering av formål, herunder at opplysningene
som lagres samsvarer med formålet.3. identifisering av hvilke
generelle forpliktelser som er relevant for virksomheten, se
artikkel 24-43 i personvernforordningen4. organisering av
virksomheten der intern delegering av ansvar og myndighet skal være
entydig definert, se spesielt artikkel 24, 26, 28, 32, 37-39.5.
beskrivelse av hvordan virksomheten ivaretar
informasjonssikkerheten. Se artikkel 32-34.6. beskrivelse av
hvordan ledelsen vil sørge for at virksomhetens aktiviteter er i
samsvar med kravene i regelverket. En slik beskrivelse vil normalt
ende opp i behov for gjennomførende dokumentasjon og kontrollerende
dokumentasjon.
Eksempler på dokumentasjon:
• Styringsdokument internkontroll• Sikkerhetsmål og
sikkerhetsstrategi• Rutine for ledelsens gjennomgang•
Organisering
Gjennomførende dokumentasjonGjennomførende dokumentasjon
beskriver de organisatoriske og tekniske tiltak som er foreslått
som følge av at virksomheten har vurdert risiko for rettigheter og
friheter, for eksempel tiltak for å ivareta ulike rettigheter for
de registrerte, tiltak for innebygd personvern, og tiltak for å
oppnå tilstrekkelig informasjonssikkerhet.
Det er spesielt viktig å entydig definere hvem som har ansvaret
for hva. Gjennomførende dokumentasjon vil i volum ofte utgjøre den
største delen av internkontrollsystemet.
Gjennomførende dokumentasjon bør inneholde:
1. rutiner og prosedyrer2. arbeidsinstrukser
Gjennomførende dokumentasjon er et knippe av mekanismer som skal
sikre at aktiviteten i virksomheten samsvarer med virksomhetens
definerte mål og retningslinjer for personvern og reglene for
øvrig. I forhold til ansatte i virksomheten kan gjennomførende
dokumentasjon være et sett med interne kjøreregler som sikrer at
virksomheten ikke begår lovbrudd med noen av sine aktiviteter.
Eksempler på dokumentasjon:
Page 15 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
• Rutiner for innhenting av samtykke, å gi informasjon og
innsyn, å sørge for retting, sletting, begrenset behandling, gi
adgang til å protestere, dataportabilitet, at automatiserte
avgjørelser er lovlig og ivaretagelse av særskilte rettigheter for
beskyttelse av barns personvern.
• Risikovurdering• Beskrivelse av informasjonssystem•
Sikkerhetstiltak, for eksempel tilgangskontroll, logging,
informasjonshåndteringsrutine, sjekkliste
for nyansatte, sjekkliste for ansatte som slutter,
taushetserklæring• Fysisk sikring• Driftsrutiner• Beredskapsplan•
Sikkerhetsinstrukser for brukere, ledere og sikkerhetsansvarlig
Kontrollerende dokumentasjonKontrollerende dokumentasjon er
dokumenter som har til formål å verifisere at aktivitetene har
foregått i samsvar med fastsatte rutiner og instrukser. Eksempler
er rapporter, sjekklister og logg. Kontrollerende dokumentasjon kan
betraktes som et «sikkerhetsnett» som bidrar til at
styringsdokumentene følges og at eventuelle avvik lettere oppdages.
Dokumentene skal ikke være statiske, men endre seg i tråd med
virksomhetens utvikling og den rettslige utvikling.
Kontrollerende dokumentasjon bør inneholde:
1. sjekklister2. skjema for avviksrapportering3. rapporter4.
logg
Kontrollerende dokumentasjon består ofte av to deler: En del som
brukes under interne revisjoner og en del som brukes i det daglige
arbeidet. Skjema for avviksrapportering er for eksempel ment til
bruk dersom det oppdages aktiviteter eller hendelser som ikke
samsvarer med fastlagte rutiner og/eller instrukser, og brudd på
personopplysningssikkerheten.
Det er et klart skille mellom gjennomførende og kontrollerende
dokumentasjon. Det første skal sikre at aktivitetene er i samsvar
med mål og retningslinjer. Det siste skal bidra til at avvik fra
mål og retningslinjer oppdages og rettes.
Eksempler på dokumentasjon:
• Ledelsens gjennomgang• Avvikshåndtering• Egenkontroll•
Sikkerhetsrevisjon• Oppfølging av databehandlere, inkludert
sikkerhetsrevisjon
Publisert: 23.06.2018
Page 16 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
Vedlegg – maler og støtteverktøyHer finner dere en oversikt over
maler, eksempler og støtteverktøy som kan benyttes i arbeidet med å
etablere internkontroll.
Maler og eksemplerVi har utformet noen nedlastbare wordmaler og
eksempler på hvordan dere kan utforme relevante dokumenter i
arbeidet.
NB! Det er å huske at disse malene kun er ment som en støtte i
arbeidet, og at innholdet i dokumentene må tilpasses deres egen
virksomhet. Det betyr at dere selv må fylle ut eventuell ekstra
informasjon og/eller slette ikke-relevant informasjon.
Styrende dokumentasjon
Styringsdokument – internkontroll
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/styringsdokument-internkontroll.docx]
Ledelsens gjennomgang
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/ledelsens-gjennomgang.docx]
Informasjonssikkerhetspolicy – sikkerhetsmål og
sikkerhetsstrategi
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/informasjonssikkerhetspolicy---sikkerhetsmal-og-strategi.docx]
Organisering
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/organisering.docx]
Risikostyring
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/risikostyring.docx]
Gjennomførende dokumentasjon
Rutiner for håndtering av personopplysninger
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/rutiner-for-handtering-av-personopplysninger.docx]
Risikovurdering
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/risikovurdering.docx]
Sikkerhetsinstruks – bruker
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/sikkerhetsinstruks-bruker.docx]
Informasjonshåndtering
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/informasjonshandtering.docx]
Sjekkliste nyansatte og ansatte som slutter
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/sjekkliste-nyansatt-og-ansatte-som-slutter.docx]
Taushetserklæring
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/taushetserklaring.docx]
Sikkerhetsinstruks – leder
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/sikkerhetsinstruks-leder.docx]
Sikkerhetsinstruks – sikkerhetsansvarlig
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/sikkerhetsinstruks-sikkerhetsansvarlig.docx]
Beskrivelse av informasjonssystemet
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/beskrivelse-av-informasjonssystemet.docx]
Driftsrutiner
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/driftsrutiner.docx]
Page 17 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
Overordnet beredskapsplan for informasjonssystemene
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/overordnet-beredskapsplan-for-informasjonssystemer.docx]
Fysisk sikkerhet
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/fysisk-sikkerhet.docx]
Kontrollerende dokumentasjon
Avvikshåndtering
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/avvikshandtering.docx]
Sikkerhetsrevisjon – egenkontroll
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/sikkerhetsrevisjon---egenkontroll.docx]
Avviksskjema – internt
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/avviksskjema-internt.docx]
Egenkontrollskjema
(docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/egenkontrollskjema.docx]
Relevant støtteverktøy• Direktoratet for forvaltning og IKT
(Difi) sin veileder for internkontroll for
informasjonssikkerhet
[http://internkontroll.infosikkerhet.difi.no/]som er basert på
standarden ISO/IEC 27001
• Standard for Ledelsessystem for informasjonssikkerhet ISO/IEC
27001:2013[http://www.standard.no/no/Nettbutikk/produktkatalogen/Produktpresentasjon/?ProductID=657700]
Publisert: 23.06.2018Sist endret: 30.10.2018
Page 18 of 18Internkontroll og informasjonssikkerhet |
Datatilsynet
02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...
-
1
SAK NR. 36/2019
Vestre Toten kommune
BRUK AV MULIGHETENE I DIGITALISERING FOR Å
HINDRE UETISK ATFERD OG KORRUPSJON Sluttbehandles i:
Kontrollutvalget
Behandling Møtedato Saksbehandler Unntatt off.
Kontrollutvalget 28.08.2019 Kjetil Solbrækken Nei
Saksdokumenter:
1. Råd for etikkarbeid i kommuner – Del av Oslo Economics
rapport 2017-61
Ikke vedlagt
FORSLAG TIL VEDTAK:
SAKSOPPLYSNINGER:
Bakgrunnen for saken er vedtak i kontrollutvalget 13.02.2019 i
f.m. saken «OPPFØLGING AV RÅD
FOR ETIKKARBEID I KOMMUNER (FOU-RAPPORT)». Her fikk
kontrollutvalget en orientering
fra rådmannen om etikkarbeidet i Vestre Toten kommune og hvordan
det jobbes med verdier,
holdninger og kultur. FoU-rapportens råd ble gjennomgått i sin
helhet med utgangspunkt i de ni
arbeidsområdene som fremgår av rapporten.
Saken er en oppfølging av pkt. 3 i kontrollutvalget vedtak i
saken (sak 04/2019):
1. Rådmannens gjennomgang av kommunens arbeid innenfor de ni
arbeidsområdene i rapporten Råd for etikkarbeid i kommuner, tas til
orientering.
2. Med bakgrunn i presentasjonen i møtet har kontrollutvalget
inntrykk av at det er skapt en god kultur i Vestre Toten kommune,
og at dagens praksis i all hovedsak er i tråd med rådene
i rapporten.
3. Kontrollutvalget ønsker å følge opp rådene under
arbeidsområde 9 - Bruke mulighetene i digitalisering for å hindre
uetisk atferd og korrupsjon. Saken følges opp i tilknytning til
orientering om kommunens digitaliseringsstrategi, etter at denne
er vedtatt av
kommunestyret senere i 2019.
-
2
Med bakgrunn i vedtakets pkt. 3 er rådmannen invitert til å
orientere om hvordan rådet om å «Bruke mulighetene i digitalisering
for å hindre uetisk atferd og korrupsjon» er tatt hensyn til i
Vestre Toten kommune. Saken legges frem uten forslag til vedtak.
Råd for etikkarbeid i kommuner – Del av Oslo Economics rapport
2017-61 Det er i kontrollutvalgets vedtak henvist til rapporten Råd
for etikkarbeid i kommuner og arbeidsområde 9 - Bruke mulighetene i
digitalisering for å hindre uetisk atferd og korrupsjon. Nedenfor
følger utdrag fra rapporten der arbeidsområde 9 er omtalt:
ARBEIDSOMRÅDE 9: BRUKE MULIGHETENE I DIGITALISERING FOR Å HINDRE
UETISK ATFERD OG KORRUPSJON Digitalisering gir nye muligheter for å
hindre uetisk atferd og korrupsjon. For eksempel kan digitale
løsninger sikre at vedtak ikke kan fattes uten at personer med
nødvendige fullmakter har godkjent saken. Videre kan digitalisering
gi nye muligheter til etterprøvbarhet av beslutningsprosesser og
brukes i opplæringsformål. Råd 1: Der det er mulig bør kommunens
medarbeidere bruke digitale saksbehandlingssystem som sikrer at
saksbehandlere kun har tilgang til egne saker, at spor lagres, og
at personer med rett fullmakt må godkjenne saker før endelige
vedtak Digitale saksbehandlingssystemer brukes i de fleste
tjeneste- og arbeidsområder i kommunen. Slike systemer kan
forhindre misbruk og uetisk atferd, for eksempel ved at fullmakter
til saksbehandlere er begrenset til egne saker og at tredjepersoner
med riktige fullmakter må godkjenne saker. De digitale systemene
bør innrettes slik at spor lagres og beslutningsprosesser kan
etterprøves. I en del systemer kan det i tillegg være aktuelt å
opprette systemvarsler til ledere ved mistenkelig atferd i
saksbehandlingen. Dette kan være nyttig i for eksempel plan- og
byggesakssystemer, samt digitale
anskaffelses/konkurransegjennomføringsverktøy. Råd 2: Kommunen bør
arbeide aktivt for at digitale løsninger innrettes på en måte som
hindrer uetisk atferd og korrupsjon Digitalisering er en pågående
prosess og foregår i høyt tempo i mange deler av kommunesektoren.
Når det investeres i nye digitale løsninger, er det viktig at
kommunen på relevante områder også tenker på hvordan løsningene kan
bidra til å hindre uetisk atferd og korrupsjon. Råd 3: Kommunen bør
bruke potensialet i digitale løsninger for å gi økt åpenhet og
innsyn i kommunenes arbeid Digitale løsninger kan hjelpe til å
samle informasjon om kommunenes aktivitet og gjøre den enklere
tilgjengelig. De vil gi økt åpenhet og lettere mulighet for innsyn,
som igjen kan forhindre uetisk atferd og korrupsjon. Et godt
eksempel på god digital informasjon er internettløsninger med kart
over pågående plan- og byggesaker. Eksempler på hvordan rådene kan
følges i praksis
• • Digitaliseringsstrategien i KS • • Planinnsyn -
internettløsning for kart over plan- og byggesaker i Oslo
kommune
-
1
SAK NR. 37/2019
Vestre Toten kommune
DIGITALISERINGSSTRATEGI 2019-2022 FOR VESTRE TOTEN KOMMUNE
Sluttbehandles i: Kontrollutvalget
Behandling Møtedato Saksbehandler Unntatt off. Kontrollutvalget
28.08.2019 Kjetil Solbrækken Nei
Saksdokumenter: 1. Digitaliseringsstrategi 2019-2022
Vedlegg 1
FORSLAG TIL VEDTAK: Digitaliseringsstrategi 2019-2022 for Vestre
Toten kommune tas til orientering.
SAKSOPPLYSNINGER: Digitaliseringsstrategien for Vestre Toten
kommune er et sentralt strategidokument kontrollutvalget bør være
kjent med. Kommunestyret vedtok i sitt møte den 25.04.2019
digitaliseringsstrategi for perioden 2019-2022 (k.sak 36/19).
Strategidokumentet legges frem for kontrollutvalget til
orientering.
-
DIGITALISERINGSSTRATEGI 2019 -2022
Rådma