Overordnet styringsdokument om informasjonssikkerhet og personvern

Nok et dokument kommunen produserer og legger i en skuff, tenker du kanskje. Det er selvfølgelig opp til rådmann og lederne som har ansvaret for informasjonssikkerhet og personvern. Men dokumentet er utformet slik at alle som behandler personopplysninger i kommunen, skal kunne bruke det som et oppslagsverk.

Tema: Personvern

Styringsdokumentet vil gjøre det lettere å finne svar på mange av bestemmelsene i den nye personvernloven (og personvernforordningen/GDPR), men den vil selvfølgelig ikke være like utfyllende. Under beskrives kort noen av kapitlene i styringsdokumentet.

Sikkerhetsmål

Vi har beskrevet ulike modningsgrader i vår sikkerhetsstyring og satt oss mål for 2019. Vi har sagt at vi skal være på nivå Systematisert. Det betyr at kompetanse om informasjonssikkerhet og personvern er på plass i hele kommunen. Vi er i forkant, og med det mener vi at vi har innført risikostyring og har et bevisst forhold til risiko og vi fanger opp endringer i risikobildet.

Strategi

Kommunen vil prioritere å bruke digitale løsninger innenfor akseptabel risiko. For å sikre dette er det viktig med god oversikt, tilstrekkelig kompetanse, en utviklet internkontroll i hele organisasjonen og en bevisst utvikling av en sikkerhetskultur. Lederne skal være pådriverne i denne strategien.

Organisering

Foruten ledernes klare ansvar for informasjonssikkerhet og personvern, er det ulike roller med ulike oppgaver og ansvar. Den eneste rollen som er ny etter nye regler, er personvernombudet.

Behandling av personopplysninger

Det viktigste for oss når vi behandler personopplysninger, er at vi følger prinsippene i personvernreglene, sjekker at vi har et lovlig grunnlag for behandlingene, og oppfyller de registrertes rettigheter. De registrerte skal få god og forståelig informasjon, slik at de kan ivareta sine rettigheter og sikre en rettferdig og åpen behandling. Dersom kommunen må bruke en databehandler (en virksomhet som behandler opplysninger på vegne av kommunen), skal behandlingen være avklart skriftlig i en databehandleravtale.

Risikovurdering og risikohåndtering

Vedlegg: Informasjonssikkerhet og personvern, overordnet styringsdokumentBehandling av personopplysninger vil som regel medføre en risiko for den opplysningene gjelder. Person- opplysningsloven beskriver det som en risiko for den registrertes «rettigheter og friheter».

Det er her naturlig å referere til FNs verdenserklæring om menneskerettigheter. Rett til privatliv, frihet og uavhengighet, rett til personlig sikkerhet og rettsikkerhet, for å nevne noe fra FNs 30 artikler.

Den registrertes, allmennhetens og kommunens interesse av å behandle person-opplysningene, skal veies opp mot risiko. Dersom det er en akseptabel risiko skal denne håndteres. Det betyr blant annet at vi skal ha klart beredskapstiltak ved sikkerhetsbrudd.