FR 2025: Digital sikkerhetskultur og personvern i Stange kommune

Formålet med forvaltningsrevisjonen har vært å undersøke om Stange kommune har en etablert digital sikkerhetskultur som ivaretar internkontroll og avvikshåndtering på en tilfredsstillende måte, samt undersøke i hvilken grad kommunen har rutiner og etablert praksis som sikrer at kommunen oppfyller sine plikter i henhold til personvernregelverket.

Forvaltningsrevisjonen har hatt følgende problemstillinger:

  1. Har Stange kommune etablert en god sikkerhetskultur i organisasjonen, herunder internkontroll og avvikshåndtering?
  2. Har Stange kommune etablerte rutiner og praksis som sikrer et tilfredsstillende vern av fysiske personer i forbindelse med behandling av personopplysninger?

I forbindelse med forvaltningsrevisjonen ble det gjennomført dokumentanalyse, intervjuer med ledere og nøkkelpersonell i kommunen, samt en spørreundersøkelse blant alle ansatte med minst 50 % stilling. Datainnsamlingen ble gjennomført i perioden januar til juni 2025.

Digital sikkerhetskultur og internkontroll på informasjonssikkerhetsområdet

Undersøkelsen viser at Stange kommune alt overveiende har etablert en god sikkerhetskultur i organisasjonen, herunder internkontroll og avvikshåndtering. Kommunen har en tilfredsstillende overordnet informasjonssikkerhetsstrategi samt en sikkerhetsorganisasjon med klare beskrivelser av roller og ansvar i informasjonssikkerhetsarbeidet. Kommunens internkontroll omfatter informasjonssikkerhet, og internkontrollsystemet for informasjonssikkerhet og personvern gjennomgås årlig for å sikre at det fungerer etter hensikten og blir videreutviklet. Kommunen har videre et tilfredsstillende avvikssystem og prosedyrer for håndtering og oppfølging av avvik på informasjonssikkerhetsområdet.

Undersøkelsen viser samtidig at kommunen har prosedyrer for å gi ansatte relevant opplæring i informasjonssikkerhet og personvern, men har likevel et forbedringspotensial med hensyn til å få ansatte til å gjennomføre slik opplæring. Resultatene fra spørreundersøkelsen indikerer at mange vurderer risikoen som lav, på områder det er knyttet høy risiko til. Samtidig er det en betydelig andel av de ansatte som ikke er kjent med virksomhetens regler for digital sikkerhet. Revisjonen vurderer at kommunen ikke fullt ut har etablert en god nok sikkerhetsatferd blant de ansatte i organisasjonen.

Revisjonen konkluderer at Stange kommune har etablert et rammeverk som tilrettelegger for god sikkerhetskultur, men at det er et forbedringspotensial knyttet til sikkerhetsatferden til de ansatte.

Overholdelse av personvernlovverket

Undersøkelsen viser at Stange kommune har etablert rutiner og praksis som sørger for at kommunen har tilgang på riktig kompetanse på personvernområdet og sikrer at enkeltpersoner får informasjon om kommunens behandling av personopplysninger. Kommunen ivaretar lovpålagte personvernombudstjenester og sørger for å involvere personvernombudet der det er relevant, og har utarbeidet en omfattende personvernerklæring som tilrettelegger for at den registrerte kan utøve sine rettigheter etter personvernlovgivningen.

Undersøkelsen viser også at kommunen ikke i tilstrekkelig grad har etablert praksis som sørger for tilfredsstillende gjennomføring av risikovurderinger på personvernområdet (DPIA), og når det gjelder å tydelig kommunisere hva som forventes av den enkelte ansatte med hensyn til digital sikkerhet.

Videre har ikke Stange kommune vært i stand til å legge frem gjeldende databehandleravtaler for alle sine systemer innen revisjonens frister, og dermed heller ikke behandlingsprotokoll knyttet til de samme systemene. Per august 2025 har revisjonen fått dokumentert at dette er kommet på plass, men for enkelte systemer er det usikkert om det har vært noen gjeldende databehandleravtaler før august 2025.

Informasjon vi har mottatt underveis i prosjektet tyder imidlertid på at det er flere prosesser i gang som vil svare ut forbedringspunktene og avvikene. De planlagte endringene i Indigo-samarbeidet vil blant annet innebære at Indigo-kommunene får et felles GDPR-system i forbindelse med innføring kvalitets- og internkontrollsystemet Samsvar. I Samsvar vil Indigo-kommunene blant annet kunne gjennomføre DPIA, samt samle alle databehandleravtaler på ett sted som vil kunne bidra til å gjøre arbeidet med databehandleravtaler mer oversiktlig.

Revisjonen konkluderer med at Stange kommune ikke i tilstrekkelig grad har etablerte rutiner og praksis som sikrer et tilfredsstillende personvern gjennom databehandleravtaler for alle systemer i undersøkelsesperioden.

Anbefalinger

På bakgrunn av den gjennomførte undersøkelsen har revisjonen følgende anbefalinger:

  • Kommunedirektøren bør sikre at ansatte i større grad gjennomfører kommunens opplæringstiltak på informasjonssikkerhetsområdet.
  • Kommunedirektøren må sørge for at risikovurderinger av personvernkonsekvenser (DPIA) gjennomføres i henhold til kommunens egne prosedyrer.
  • Kommunedirektøren må sørge for at kommunen og kommunens databehandlere systematisk fører protokoll over alle behandlingsaktiviteter.
  • Kommunedirektøren må sørge at kommunen har systematiske rutiner for å sikre at det foreligger gjeldende databehandleravtaler knyttet til alle kommunens systemer.
  • Kommunedirektøren må sikre at alle ansatte vet hva som forventes av dem med hensyn til digital sikkerhet.