FR 2026: Digital sikkerhetskultur og personvern i Sør-Odal kommune

Formålet med forvaltningsrevisjonen har vært å undersøke om Sør-Odal kommune har en etablert digital sikkerhetskultur som ivaretar internkontroll og avvikshåndtering på informasjonssikkerhetsområdet. Formålet har også vært å undersøke om kommunen har rutiner og etablert praksis som sikrer oppfyllelsen av plikten i henhold til personvernregelverket.

Formålet er undersøkt gjennom å besvare følgende problemstillinger:

1. Har Sør-Odal kommune etablert en god sikkerhetskultur i organisasjonen, herunder internkontroll og avvikshåndtering?
2. Har Sør-Odal kommune etablerte rutiner og praksis som sikrer et tilfredsstillende vern av fysiske personer i forbindelse med behandling av personopplysninger?

I forbindelse med forvaltningsrevisjonen er det gjennomført dokumentanalyse, intervjuer med ledere og nøkkelpersonell i kommunen, samt en spørreundersøkelse blant alle ansatte med minst 20 % stilling. Datainnsamlingen ble gjennomført i perioden oktober 2025 til februar 2026.

Digital sikkerhetskultur og internkontroll på informasjonssikkerhetsområdet

Forvaltningsrevisjonen viser at Sør-Odal kommune har et godt rammeverk av prosedyrer og rutiner som tilrettelegger for god sikkerhetskultur i organisasjonen, men at det fortsatt er et forbedringspotensial med hensyn til hvordan kommunens informasjonssikkerhetsarbeid fungerer i praksis. Kommunen har en sikkerhetsorganisasjon med klare beskrivelser av roller og ansvar i informasjonssikkerhetsarbeidet. Videre har kommunen et tilfredsstillende avvikssystem og prosedyrer for håndtering og oppfølging av avvik på informasjonssikkerhets- og personvernområdet.

Forvaltningsrevisjonen viser samtidig at kommunen har en vei å gå med hensyn til å tilpasse og implementere Indigo-samarbeidets policyer lokalt i egen organisasjon. Herunder har kommunen behov for å; operasjonalisere en overordnet sikkerhetsstrategi som er kjent for de ansatte, utarbeide en oversikt over sine sentrale informasjonsverdier, innarbeide internkontroll på informasjonssikkerhetsområdet i organisasjonen og sørge for årlig gjennomgang av denne. Kommunene har ellers behov for å sikre at ansatte gjennomfører opplæring i informasjonssikkerhet og personvern for å bedre deres sikkerhetsatferd.

Revisjonen konkluderer med at Sør-Odal kommune, gjennom felles policyer og lokale rutiner, har gode forutsetninger for å skape en god sikkerhetskultur i organisasjonen, men at det er et forbedringspotensial med hensyn til å implementere Indigo-samarbeidets policyer og prosedyrer lokalt i kommunen.

Overholdelse av personvernlovverket

Forvaltningsrevisjonen viser at Sør-Odal kommune på noen områder har etablert rutiner og praksis som sikrer tilfredsstillende krav av fysiske personer i forbindelse med behandling av personopplysninger. Kommunen har en oversiktlig personvernerklæring som sørger for at enkeltpersoner får informasjon om kommunens behandling av personopplysninger, og tilrettelegger for at de registrerte kan utøve sine rettigheter etter personvernlovgivningen. Videre ivaretar kommunen lovpålagte personvernombudstjenester gjennom et regionalt kommunesamarbeid, og revisjonens kontroll viser at denne ordningen fungerer godt.

Forvaltningsrevisjonen viser også at kommunen ikke i tilfredsstillende grad har etablert god nok praksis for å overholde personvernlovverket på andre områder. Revisjonen finner at kommunens gjennomføring av DPIA, praksis rundt databehandleravtaler, og utarbeidelse av behandlingsprotokoller er noe mangelfull. Likevel mener revisjonen at kommunen kan ivareta alle disse tingene, ved å sørge for at rutinene og verktøyene som er tilgjengelige for dem blir brukt etter hensikten.

Revisjonen konkluderer at Sør-Odal kommune totalt sett har etablerte rutiner og praksis som sikrer et tilfredsstillende personvern.

Anbefalinger

På bakgrunn av våre vurderinger og konklusjoner anbefaler vi at kommunedirektøren med hensyn til digital sikkerhetskultur og internkontroll må:

• Sikre at kommunen har en overordnet sikkerhetsstrategi som er kjent for de ansatte.
• Sørge for at kommunen har oversikt over sine sentrale informasjonsverdier og hvor kritiske disse er for kommunens drift og tjenesteproduksjon.
• Sørge for at alle aktørene i informasjonssikkerhetsarbeidet ivaretar sine ansvarsoppgaver.
• Sikre at ansatte i større grad gjennomfører kommunens opplæringstiltak på informasjonssikkerhetsområdet.

Vi anbefaler også at kommunedirektøren bør:

• Sørge for at internkontrollsystemet for informasjonssikkerhet og personvern gjennomgås årlig.

Når det gjelder etterlevelse av personvernlovverket anbefaler vi at kommunedirektøren må:

• Sørge for at vurderinger av personvernkonsekvenser (DPIA) gjennomføres i henhold til kommunens prosedyrer og verktøy.
• Sikre at kommunen fører protokoller over alle behandlingsaktiviteter.

Vi anbefaler også at kommunedirektøren bør:

• Sørge for at kommunen konsekvent bruker egne maler ved inngåelse av databehandleravtaler.