Høsten 2022 fikk kommunen en irettesettelse av Datatilsynet. Bakgrunnen var manglende internkontroll, sikkerhet og ansvarlighet.

«En velfungerende systematikk i organisatoriske og tekniske tiltak er et nødvendig verktøy for den behandlingsansvarlige for å sikre at personregelverket er ivaretatt», påpeker Datatilsynet i sin siste tilsynsrapport etter kontrollen 9. mars.

Agderposten fortalte om rapporten først.

Pågående arbeid

Datatilsynet skriver at kommunen gjennomførte et stort arbeid med gjennomgang, revidering og utbedring av rutiner og retningslinjer for informasjonssikkerhet og personvern høsten 2022.

«Kommunens systematiske internkontroll på overordnet nivå består for en stor del av nyetablerte rutiner», skriver Datatilsynet, og viser til at dette er et pågående arbeid.

Derfor mener tilsynet at det ikke er hensiktsmessig å fatte vedtak om forbedring av de konkrete tiltakene. Men det vil be om rapportering på frem og iverksettelse av rutinene.

– Noe mangelfulle

Opplæring er vesentlig for korrekt behandling av personvernopplysninger. Datatilsynet ser at det eksisterer en del dokumentasjon og videre planer om forbedring. Men konkluderer likevel med at «styringsrutiner fra direktør og ned til underliggende avdelinger er noe mangelfulle».

Hovedansvaret for å følge opp de ansatte ligger på den enkelte leder, uten at dette er regulert i klare rutiner eller retningslinjer, ifølge Datatilsynet.

«Dette kan potensielt bli en flaskehals, og ordningen har manglende kontrollfunksjoner».

Ganske fornøyd: Kommunedirektør Magnus Mathisen mener rapporten er omtrent som forventet. Foto: Beate H. Mikkelsen

Personvernet

Datatilsynet er fornøyd med kommunens personvernerklæring. Men «kommunen mangler overordnede rutiner for å håndtere innsynsforespørsler når det gjelder vurdering av hva som kan unntas fra innsyn, håndtering av innsyn i logg, hvordan krav om retting og sletting av opplysninger skal håndteres».

Datatilsynet skriver også at «basert på innsendt dokumentasjon og det som kom frem i tilsynet, finner Datatilsynet ingen brudd på personvernregelverket tilknyttet avvikshåndtering på et overordnet nivå».

Vil følge opp

Datatilsynet vil følge opp kommunens innføring av rutiner, og kommunen må hvert kvartal rapportere om fremdriften og status for arbeidet.

Første rapport skal sendes innen 30. juni. Sluttrapporten vil Datatilsynet ha innen 15. januar 2024.

– På god vei

Kommunedirektør Magnus Mathisen sier til Agderposten at «vi er på god vei til å få på plass en praksis i våre tjenester som er i tråd med regelverket».

– Dette er en foreløpig rapport, men jeg tenker den er omtrent som forventet. Den anerkjenner at vi har gjort en viktig jobb, men at de også ønsker å følge oss for å sikre at våre nye rutiner og retningslinjer blir implementert i praksis, sier Mathisen til avisen.