INNKALLING TIL MØTE I KONTROLLUTVALGET · 2019. 8. 22. · eller fylkeskommunen. Kontrollutvalgets forlag til budsjettramme for kontroll- og revisjonsarbeidet skal følge formannskapets

Kontrollutvalget Sekretariatet

Adresse: Kontrollutvalgstjenester Kjetil Solbrækken Studievegen 7, 2815 Gjøvik Tel. 995 77 903, e-post: [email protected]

Gjøvik, 21. august 2019. J.nr./referanse: 12-19/VT/ks

KONTROLLUTVALGET I VESTRE TOTEN KOMMUNE Asgeir Sveen, leder (H) Odd-Harry Haugen, nestleder (Frp) Kjersti Diesen Løken (Sp) Stein Knutsen (Ap) Reidun Gravdahl (Ap)

Kopi til orientering: Ordfører og rådmann Innlandet Revisjon IKS

INNKALLING TIL MØTE I KONTROLLUTVALGET

Det innkalles herved til møte i kontrollutvalget:

Dato: Onsdag 28. august 2019 Tid: Kl. 0830 – ca. 1430 Sted: Formannskapssalen, rådhuset Vedlagt følger saksliste og saksdokumenter. Eventuelt forfall bes meddelt snarest til undertegnede på telefon/SMS til 995 77 903, eller e-post [email protected] Deltakelse fra andre i møtet:

Rådmannen/administrasjonen orienterer i f.m. følgende saker (fra kl. 0900):

Sak 35 – Interkontroll og informasjonssikkerhet Sak 36 – Bruk av mulighetene i digitalisering for å hindre uetisk atferd og

korrupsjon Innlandet Revisjon IKS orienterer i f.m. følgende sak (fra kl. 1200):

Sak 38 – Oppdragsavtale med Innlandet Revisjon IKS for 2020

Sekretariatet ved Ole Kristian Rogndokken orienterer i f.m. følgende sak (ca. 1230). Sak 39 - Kommunebarometeret 2019

Med hilsen For leder i kontrollutvalget

Kjetil Solbrækken utvalgssekretær

KONTROLLUTVALGET I

VESTRE TOTEN KOMMUNE

SAKSLISTE

FOR MØTE I RÅDHUSET

Onsdag 28. august 2019 kl. 0830

SAK NR. 33/2019 GODKJENNING AV PROTOKOLL FRA MØTE 17.06.2019

SAK NR. 34/2019 KONTROLLUTVALGETS BUDSJETT FOR 2020

SAK NR. 35/2019 INTERNKONTROLL OG INFORMASJONSSIKKERHET

SAK NR. 36/2019 BRUK AV MULIGHETENE I DIGITALISERING FOR Å

HINDRE UETISK ATFERD OG KORRUPSJON

SAK NR. 37/2019 DIGITALISERINGSSTRATEGI 2019-2022 FOR VESTRE

TOTEN KOMMUNE

SAK NR. 38/2019 OPPDRAGSAVTALE MED INNLANDET REVISJON IKS

FOR 2020

SAK NR. 39/2019 KOMMUNEBAROMETERET 2019 – VESTRE TOTEN

KOMMUNE

SAK NR. 40/2019 REFERATSAKER

Raufoss, 20. august 2019.

For utvalgsleder

Kjetil Solbrækken

sekretær

Kopi til orientering:

- Vestre Toten kommune v/ordfører, rådmann, ass. rådmann og vararepresentanter til kontrollutvalget - Innlandet Revisjon IKS

1

SAK NR. 34/2019

Vestre Toten kommune

GODKJENNING AV PROTOKOLL FRA MØTE 17.06.2019 Sluttbehandles i: Kontrollutvalget

Behandling Møtedato Saksbehandler Unntatt off. Kontrollutvalget 28.08.2019 Kjetil Solbrækken Nei Saksdokumenter: Vedlagt: 1. Møteprotokoll fra møte 17.06.2019

Vedlegg 1

FORSLAG TIL VEDTAK: Protokoll fra kontrollutvalgets møte den 17.06.2019 godkjennes.

SAKSOPPLYSNINGER: Møteprotokollen fra forrige møte legges herved frem til formell godkjenning.

1

MØTEPROTOKOLL

KONTROLLUTVALGET I VESTRE TOTEN KOMMUNE

Mandag 17. juni 2019 holdt kontrollutvalget møte i Vestre Toten rådhus kl. 0830 – 1330. Som medlemmer møtte: Asgeir Sveen (H), leder Reidun Gravdahl (Ap) Stein Knutsen (Ap) Odd Harry Haugen, nestleder (Frp) Kjersti Diesen Løken (Sp) Følgende medlem hadde meldt forfall: Ingen Ellers møtte: Fra administrasjon: Rådmann Bjørn Fauchald og helsesjef Bjørnar Eidsvik (begge møtte under sak 30). Fra Innlandet Revisjon IKS: Oppdragsansvarlig revisor Reidun Grefsrud og forvaltningsrevisor/jurist Birgitte Ulimoen Bue (begge møtte under sak 27). Sekretær: Kjetil Solbrækken. Møteprotokollen er sendt til: Kommunestyret, ordfører, kontrollutvalgets medlemmer og varamedlemmer, rådmannen, Innlandet Revisjon IKS og Oppland Arbeiderblad. Utvalgsmøtet ble satt kl. 0830 med leder Asgeir Sveen som møteleder. Innkalling og saksliste ble enstemmig godkjent.

Til behandling: SAK NR. 26/2019 GODKJENNING AV PROTOKOLL FRA MØTE 03.05.2019 Vedtak, enstemmig:

Protokoll fra kontrollutvalgets møte den 03.05.2019 godkjennes.

SAK NR. 27/2019 REVISJONSRAPPORT: ETTERLEVELSE AV HABILITETSBESTEMMELSER OG ETISKE RETNINGSLINJER

Fra behandlingen: Innlandet Revisjon IKS ved oppdragsansvarlig revisor Reidun Grefsrud og forvaltningsrevisor/jurist Birgitte Ulimoen Bue presenterte rapporten og svarte på spørsmål.

2

Vedtak, enstemmig:

INNSTILLING TIL KOMMUNESTYRET: 1. Kommunestyret har merket seg at det i den ene av de to

kontrollerte sakene (Sillongenvegen som ble behandlet av utvalget 20.06.2016) forelå omstendigheter som utad var egnet til å svekke tilliten til utvalg for teknisk drift og plansaker og deres saksbehandling. Kommunestyret vil beklage at leder av utvalget ikke meldte fra slik at utvalget kunne ha tatt stilling til hans habilitet før saken ble behandlet.

2. Kommunestyret registrerer at det ikke foreligger indikasjoner på at feil som er avdekket mht. habilitet er gjort i vinnings hensikt, eller at feilen er av en slik art at det vil føre til ugyldighet av vedtak.

3. Med bakgrunn i saken vil kommunestyret understreke

følgende:

Medlemmer av kollegiale organer har plikt til å vurdere sin egen habilitet, og de skal i god tid før møter melde fra om forhold som har betydning for egen habilitet (jf. forvaltningslovens § 8).

Ved vurdering av egen habilitet etter forvaltningslovens § 6 annet ledd («andresæregneforholdsomeregnettilåsvekketillitentil[tjenestemannens]upartiskhet»), skal tilliten vurderes utenfra. Den folkevalgte kan anses inhabil på grunn av innbyggernes alminnelige forventning til og oppfatning av omstendighetene. At den folkevalgte selv mener at han ikke lar seg påvirke, er derfor ikke avgjørende. Det er tilstrekkelig at omstendighetene i saken er egnettil å svekke tilliten.

4. Etterlevelse av forvaltningslovens habilitetsbestemmelser er svært viktig for kommunens omdømme, og svikt kan få alvorlige konsekvenser for innbyggernes tillit til forvaltningen. Forholdet må derfor tas på største alvor. Med bakgrunn i saken ber kommunestyret ordfører og rådmann om å følge opp følgende: Ved valg/oppnevning av representanter til lederverv i

politiske utvalg bør det nøye vurderes om personer med næringsinteresser bør inneha verv der man lett kan komme i habilitetskonflikter, eller om det sett utenfra foreligger forhold som er et egnet til å svekke tilliten til personen.

Folkevalgtopplæringen bør styrkes når det gjelder opplæring i habilitetsreglene.

3

SAK NR. 28/2019 TERTIALRAPPORT 1/2019 FRA INNLANDET REVISJON

IKS Vedtak, enstemmig:

Tertialrapport 1/2019 fra Innlandet Revisjon IKS tas til orientering.

SAK NR. 29/2019 KONTROLLUTVALGSKONFERANSEN 2019 – DEL 2

Fra behandlingen: Utvalgssekretær presenterte hovedpunktene fra dag 2 på Kontrollutvalgskonferansen 2019 med fokus på:

Boligbygg-saken i Oslo kommune Medias rolle i den kommunale egenkontrollen

Vedtak, enstemmig:

Presentasjon av hovedpunktene fra andre dag på Kontrollutvalgskonferansen 2019 tas til orientering.

SAK NR. 30/2019 STATUS FOR BARNEVERNSTJENESTEN I VESTRE

TOTEN

Fra behandlingen: Helsesjef Bjørnar Eidsvik orienterte innenfor følgende hovedtema:

Meldinger, undersøkelser og tiltak:

- Ingen fristoverskridelser på vurdering meldinger. - I 30 % av undersøkelsene har det blitt brukt lenger tid enn det

loven legger opp til. - Oppfyller ikke lovkrav til antall årlige.

oppfølgingsbesøk/tilsynsbesøk fosterhjem. - Færre omsorgsovertakelser. - Noe reduksjon i antall meldinger. - Tiltak: Tilsetting av 3 (kanskje 4) vikarer for å dekke opp

fravær, 3 nye tiltaksstillinger, 1 stilling fosterhjem. Sykefravær:

- Pr. 1. kvartal 2019: 25,1 % - Flere tiltak iverksatt

Økonomi: - Merforbruk pr. 1. tertial 2019, men balanse etter

budsjettjustering. Utviklingsprosesser:

Gjennomgang og kartlegging av tjenester. Gjennomgang av barnevernet i Østre og Vestre Toten ved

eksternt firma. Faglig veiledning via statlig satsning. Pilot for programfinansiering i arbeidet med utsatte barn og

unge 0-24 år (12 kommuner).

4

Fylkesmannen pr. juni – krav om rapportering Kostnadsfordeling pr. tjeneste pr. juni i barnevernet

På spørsmål fra kontrollutvalget ble det informert om at den planlagte brukerundersøkelsen innenfor tjenesten (planlagt gjennomført i 2018) ikke er gjennomført pga. interne prioriteringer/ressursmangel.

Vedtak, enstemmig:

1. Rådmannens/helsesjefens orientering om status for barnevernstjenesten tas til orientering.

2. Kontrollutvalget vil uttrykke bekymring for det svært høye

sykefraværet i barnevernstjenesten pr. 1. tertial 2019 – 25,1%. Kontrollutvalget tar til orientering at rådmannen har iverksatt en rekke tiltak for å bedre situasjonen.

3. Kontrollutvalget ønsker å følge med på utviklingen innenfor

tjenesten, og vil be om en ny orientering om status i løpet av andre halvår 2019. I tillegg til en generell orientering om status, bes det særskilt informasjon om den økonomiske utviklingen og sykefraværsutviklingen.

4. Kontrollutvalget har merket seg at det er igangsatt to

utredningsarbeid som berører barnevernet. Det bes om at rapport fra utredningene refereres for kontrollutvalget når de foreligger:

Rapport fra ekstern gjennomgang av barnevernet i Østre og Vestre Toten.

Rapport fra internt prosjekt rettet mot det tverrsektorielle arbeidet i kommunen.

SAK NR. 31/2019 BUDSJETT- OG AKTIVITETSOPPFØLGING 1. KVARTAL

2019 - VESTRE TOTEN KOMMUNE Vedtak, enstemmig:

1. Budsjett- og aktivitetsrapport pr. 1. kvartal 2019 tas til orientering.

2. Kontrollutvalget deler rådmannens bekymring for den økonomiske utviklingen pr. 1. kvartal 2019, og registrerer at det synes som om det blir vanskelig å unngå underskudd i 2019. Dette underbygger viktigheten av kommunens langsiktige arbeid med omstilling i virksomheten.

5

SAK NR. 32/2019 REFERATSAKER

Følgende saker ble referert: 1. Skifte av oppdragsansvarlig revisor (brev av 31.05.2019 fra

Innlandet Revisjon IKS) 2. Sakslister kommunestyrets møte den 23.05.2019 3. Møtegodtgjørelse 1. halvår 2019 - Kontrollutvalget 4. Diverse avisartikler 5. Finansrapport for 2018 – Vestre Toten kommune 6. Neste møte: Tidspunkt/saksliste

Vedtak, enstemmig:

Referatsakene tas til orientering.

Raufoss, 17. juni 2019. _________________________ Asgeir Sveen Leder

RETT UTSKRIFT: Raufoss, 17. juni 2019.

Kjetil Solbrækken utvalgssekretær

6

NESTE MØTE Dato: ONSDAG 28. AUGUST 2019 Tidspunkt: KL. 0900 Aktuelle saker:

Kommunebarometeret 2019 Kontrollutvalgets budsjett 2020 Oppdragsavtale 2020 mellom kontrollutvalget og Innlandet Revisjon

IKS Informasjonssikkerhet og etterlevelse av personopplysningsloven

(KU-sak 49/17)

Andre saker til oppfølging: Barneverntjenesten: Orientering om status mv. (sak 30/19) – høsten

2019 Digitaliseringsstrategi og etikk (KU-sak 04/19) Status for gjennomgang av kommunens styringssystem (KU-sak 06/19) Misligheter og korrupsjon: Risikovurderinger (KU-sak 02/19) Oppfølging av råd om etablering av tipsmottak (KU-sak 04/19) Orientering om tilbudet til funksjonshemmede (KU-sak 05/18) Orientering om tilbudet til rusmisbrukere – oppfølging av

tilsynsrapport fra 2015 (KU-sak 51/17) Omstillingsprogrammet og videreføring (KU-sak 39/18) Vurdering av forundersøkelse: Bosetting og integrering av flyktninger

(KU-sak 07/18, KU-sak 42/17 og KU-sak 50/16) Tilstandsrapport grunnskolen 2018 + vurdering av undersøkelser

rettet mot mobbing i skolen (KU-sak 23/18, følges opp juni 2019). Årsrapport LEAN 2018 (KU-sak 38/18, sommer/høst 2019) TBU-rapport, analyse av Pleie og omsorg 33 % potensial (KU-sak

58/18) Sykefravær og sykefraværsoppfølging (KU-sak 16/19, oppf. 2020)

Aktuelle orienteringssaker: Ny kommunelov – orientering om endringer (utsatt sak 24/10-18) Ny veileder for kontrollutvalgssekretariater

Årlige saker: Oppfølging av politiske vedtak – årlig sak (KU-sak 22/17) Eksterne tilsynsrapporter – årlig sak (KU-sak 51/17, muntlig avtale) Prissammenligning (benchmarking) av revisjonskostnader Kommunebarometeret / kostra-analyse

Bestillinger (Innlandet Revisjon IKS): Revisjonsprosjekt: Horisont Miljøpark IKS (KU-sak 02/19)

Møteplan for 2019 – kontrollutvalget:

Onsdag 13.02.2019 kl. 0830 Onsdag 20.03.2019 kl. 0830 Fredag 03.05.2019 kl. 0830 Mandag 17.06.2019 kl. 0830 Onsdag 28.08.2019 kl. 0830 Onsdag 09.10.2019 kl. 0830 Onsdag 11.12.2019 kl. 0830

1

SAK NR. 34/2019


KONTROLLUTVALGETS BUDSJETT FOR 2020 Sluttbehandles i: Kontrollutvalget

Behandling Møtedato Saksbehandler Unntatt off. Kontrollutvalget 28.08.2019 Kjetil Solbrækken Nei

Saksdokumenter:

1. Oppdragsavtale med Innlandet Revisjon IKS

Ikke vedlagt

FORSLAG TIL VEDTAK: INNSTILLING TIL KOMMUNESTYRET: Kontrollutvalgets budsjett for 2020 (ansvar 12000, tjeneste 1101/1102) fastsettes med en økonomisk ramme på kr. 1 470 000, med utgangspunkt i følgende fordeling:

Kto Kontonavn Budsjett 10800 Fast godtgjørelse til folkevalgte 57 000 10801 Møtegodtgjørelse 20 000 10802 Tapt arbeidsfortjeneste 10 000 10990 Arbeidsgiveravgift 11 000 11001 Aviser, tidsskrifter, faglitteratur 14 000 11151 Bevertning møter 4 000 11205 Tjenestefrikjøp 0 11500 Kurs / opplæring 22 000 11600 Kjøregodtgjørelse og diett 1 000 11704 Ikke oppg.pliktige reiseutgifter 0 12002 IT, programvare, medieutstyr 10 000 12700 Kjøp av tjenester fra andre/sekretærtjenester (eks. mva) 250 000 13750 Kjøp av tjenester fra Innlandet Revisjon IKS 1 071 000 14290 Moms (utgift) 63 000 17290 Momskompensasjon (inntekt) - 63 000

Totalt (kontrollutvalg og revisjon) 1 470 000

2

SAKSOPPLYSNINGER: Spesielle regler om budsjettbehandlingen i kontrollutvalget:

Bakgrunn for saken er særbestemmelser om behandlingen av kontrollutvalgets budsjett, jf. § 18 i Forskrift om kontrollutvalg:

”Kontrollutvalget utarbeider forslag til budsjett for kontroll- og tilsynsarbeidet i kommunen eller fylkeskommunen. Kontrollutvalgets forlag til budsjettramme for kontroll- og revisjonsarbeidet skal følge formannskapets innstilling til kommunestyret eller fylkestinget.”

Med bakgrunn i lovverket utformes kontrollutvalgets vedtak som en innstilling til kommunestyret. Innstillingen kan behandles videre på følgende måter:

1. Egen sak til kommunestyret der kommunestyret tar eksplisitt stilling til kontrollutvalgets budsjettramme forut for behandlingen av nytt budsjett for hele kommunen.

2. Rådmannen innarbeider innstillingen i sitt forslag til samlet budsjett for kommunen som legges frem for formannskapet senere i høst. Kontrollutvalgets budsjettforslag blir da en del av formannskapets innstilling til kommunestyret. Informasjon om kontrollutvalgets forslag til egen budsjettramme skal videre legges ved formannskapets innstilling til kommunestyret, jf. forskrift om kontrollutvalg. God praksis tilsier at kommunestyret får kontrollutvalgets budsjett til særskilt behandling dersom formannskapet foreslår en lavere budsjettramme for kontrollutvalget enn kontrollutvalgets eget forslag. Bakgrunnen for dette er at en eventuell reduksjon av kontrollutvalgets budsjett, foretatt av rådmannen og/eller formannskapet (som begge er underlagt tilsyn av kontrollutvalget), skal bli realitetsbehandlet av kommunestyret.

Budsjettforslag: Nedenfor følger budsjettforslag for neste år. For sammenligningens skyld er årets budsjett og regnskapstall fra foregående år tatt med i oppstillingen.

Kto Kontonavn BUDSJETT-FORSLAG

2020

Budsjett 2019

Regnskap 2018

Regnskap 2017

10800 Fast godtgjørelse til folkevalgte 57 000 55 000 56 383 54 91610801 Møtegodtgjørelse 20 000 18 000 21 000 10 00010802 Tapt arbeidsfortjeneste 10 000 15 000 3 253 12 47010990 Arbeidsgiveravgift 11 000 12 000 11 370 10 91111001 Aviser, tidsskrifter, faglitteratur 14 000 14 000 26 735 11 35611151 Bevertning møter 4 000 4 000 8 069 3 97311205 Tjenestefrikjøp 0 0 0 1 72611500 Kurs / opplæring 22 000 21 000 0 011600 Kjøregodtgjørelse og diett 1 000 1 000 0 011704 Ikke oppg.pliktige reiseutgifter 0 0 0 10 13912002 IT, programvare, medieutstyr 10 000 0 0 012700 Kjøp av tjenester fra

andre/sekretærtjenester (eks. mva)250 000 230 000 280 444 279 312

13750 Kjøp av tjenester fra Innlandet Revisjon IKS

1 071 000 1 033 000 795 368 771 270

14290 Moms (utgift) 63 000 57 000 72 353 72 99017290 Momskompensasjon (inntekt) - 63 000 - 57 000 - 72 353 - 72 990

Totalt (kontrollutvalg og revisjon) 1 470 000 1 403 000 1 202 622 1 166 074

3

Kommentar til regnskap 2018: Kto. 11001 Aviser, tidsskrifter…: Den store økningen i utgifter på denne posten skyldes

feil periodisering av abonnement for 2019 (ført på 2018). For mye belastet i 2018-regnskapet utgjør kr. 12 000. Korrekt utgift i 2018 er ca. kr 14 500.

Budsjettet er økt med ca 4,7 % fra 2019 til 2020. Det er i forslag til budsjettet tatt hensyn til varslet prisøkning på ca. 3,5 % på tjenester fra Innlandet Revisjon IKS. KOMMENTARER TIL BUDSJETTPOSTENE:

Fast gjodtgjørelse / møtegodtgjørelse:

Reglement for folkevalgtes arbeidsvilkår 2016-2019 er lagt til grunn. Fast godtgjøring for leder: 6% av ordførers lønn, dvs. ca. 57 000 på årsbasis. Ordinær møtegodtgjørelse (alle) – 500 pr. møte pr. medlem, dvs 2500 pr møte. Det budsjetteres med 7 møter – totalt ca. 18 000 i møtegodtgjørelse.

Tapt arb.fortjeneste: Regnskapsført utgift og erfaringer fra tidligere år er lagt til grunn for

budsjetteringen. Usikkerhet mht. nye utvalgsmedlemmer, jf. ny valgperiode.

Arbeidsgiveravgift: 14,1 % av møtegodtgjørelse.

Bevertning: Enkel møteservering på hvert møte. Ca. 600 pr. møte * 7 møter.

Faglitteratur / abonnement: Abonnement på fagtidsskriftet ”Kommunerevisoren” ( 5* 350,-) og 4 stk. abonnement på ukeavisen Kommunal Rapport (4 * ca 2 750,-), er lagt til grunn for budsjettet. Ett av medlemmene får avisen gjennom sitt medlemskap i kommunestyret.

Opplæring/kurs: Det tas høyde for at inntil tre personer kan delta på den årlige kontrollutvalgskonferansen i regi av Norges kommunerevisorforbund. Pris pr. pers. er ca. 7500, dvs. totalt ca. 22 000.

Kjøregodtgjørelse: Dette gjelder kjøregodtgjørelse til/fra møter for kontrollutvalgets medlemmer. I tillegg kommer kjøregodtgjørelse i forbindelse med eventuelle kurs. IT, programvare, medieutstyr

Kostnader i f.m. kjøp av Ipad til nye utvalgsmedlemmer i f.m. ny valgperiode.

Kjøp av tjenester fra andre (sekretærtjenester): Kommunene i Gjøvik- og Hadelandsregionen (8 kommuner) har inngått en felles avtale om kjøp av skretærtjenester for perioden 2017-2020 (4 år) med opsjon ytterligere to år. Omfanget/antall timer til sekretærbistand er i stor grad knyttet opp til utvalgets aktivitet (antall møter, antall saker) og behov for saksbehandling. Budsjettert beløp er basert på erfaringer tidligere år og et påslag for prisstigning.

Kjøp av tjenster fra interkommunalt selskap (Innlandet Revisjon IKS): Kontrollutvalget er delegert myndighet fra kommunestyret til å inngå avtale om kjøp av tjenester fra Innlandet Revisjon IKS. Fra selskapets side er det signalisert en prisøkning på

4

selskapets tjenester med ca. 3,5 %, noe som er innarbeidet i kontrollutvalgets budsjett. Prisøkningen/økningen vil bli endelig besluttet i selskapets representantskap senere i høst. Budsjettposten siste to år: Budsjett 2019: 1 033 000 (økning ca. 3 %) Budsjett 2020: 1 071 000 (økning ca. 3,7 %) Av samlet antall timer til kjøp av revisjonstjenester er 260 timer øremerket til bestilling av bl.a. forvaltningsrevisjon. Dette utgjør ca. kr. 282 000. Nærmere spesifikasjon av budsjettert tjenestekjøp på Innlandet Revisjon IKS ser slik ut:

Tjeneste Timer Timepris Kroner Regnskapsrevisjon Revisjon av kommunens årsregnskap 590 995 587 050 Attestasjoner og revisjonsuttalelser 160 995 159 200 Totenbadet KF - 995 - Veiledning/bistand 20 995 19 900 SUM 1-5 770 995 766 150 Bestilte revisjonstjenester Bestilte andre tjenester 20 1 088 21 760 Forvaltningsrevisjon 240 1 088 261 120 Selskapskontroll - 1 088 - SUM 260 1 088 282 880 Annet

Møter i kontrollutvalg og kommunestyre 20 1 088 21 760

SUM 1 050 1 070 790 Totenbadet KF, faktureres særskilt 60 995 59 700

Totenbadet KF ligger inne i oppdragsavtalen mht. avtalt tjensteyting. Revisjon av dette oppdraget faktureres særskilt til foretaket og holdes utenfor kontrollutvalgets budsjett. Dette er årsaken til at det er differanse mellom oppdragsavtalens totalramme og sum revisjonsutgifter som skal henføres kommunen.

Merverdiavgift: Merverdiavgift regnskapsføres både som en utgift og en inntekt og får derfor ingen virkning. Mva-pliktig tjeneste (kjøp av sekretærtjenester) er derfor budsjettert ekslusiv mva. Fakturering fra Innlandet Revisjon IKS utløser ikke beregning av mv

1

SAK NR. 35/2019


INTERNKONTROLL OG INFORMASJONSSIKKERHET Sluttbehandles i: Kontrollutvalget


Saksdokumenter: 1. Internkontroll og informasjonssikkerhet – Veileder fra Datatilsynet

Vedlegg 1

FORSLAG TIL VEDTAK: SAKSOPPLYSNINGER: Bakgrunnen for saken er vedtak i kontrollutvalget 13.12.2017 i f.m. saken «NY PERSONOPPLYSNINGSLOV I 2018 – HVA BETYR DET FOR KOMMUNEN?». I vedtaket fremgår det bl.a. at

Saken følges opp overfor rådmannen og kommunes personvernombud etter at nytt lovverk er trådt i kraft. Rådmannen inviteres til en ny orientering høsten 2018 om status for etterlevelse av ny personvernlov.

Oppfølgingen av saken setter søkelys på informasjonssikkerhet i et internkontrollperspektiv. Gjennom å ha god internkontroll og god informasjonssikkerhet sikrer kommunen at man behandler personopplysninger lovlig, sikkert og forsvarlig. Veilederen «Internkontroll og informasjonssikkerhet» fra Datatilsynet gir god innføring i hvordan man kan etablere og følge opp internkontroll på området (se vedlegg 1). Med bakgrunn i kontrollutvalgets vedtak den 13.12.2017 og veilederen fra Datatilsynet, er rådmannen/administrasjonen invitert til å orientere om hvordan man har etablert og følger opp internkontroll på området i Vestre Toten kommune.

2

I kontrollutvalgets vedtak i møte den 13.12.2017 fremkommer noen konkrete oppfølgingspunkter:

1. Kontrollutvalget ber om rådmannens vurdering situasjonen i Vestre Toten kommune med bakgrunn i Datatilsynets erfaringer fra norske kommuner, der det gis følgende generelle beskrivelse av situasjonen: - Manglende oversikt over hvilke personopplysninger kommunen har om innbyggerne og

beskrivelse av formål. - Mangelfulle risikovurderinger. - Mangelfull internkontroll. - Mangelfulle rutiner for innsyn og mangelfull informasjon til innbyggerne om hvordan

kommunen behandler personopplysninger. 2. Kontrollutvalget har merket seg at det stilles krav om personvernombudet skal sikres

uavhengighet fra rådmannen i sin utførelse av oppgaver. Da oppnevnt personvernombud i Vestre Toten kommune er ansatt i kommunen, og dermed underlagt rådmannen, oppstår det en utfordring knyttet til personvernombudets uavhengighet. Kontrollutvalget har gjennom samtale med både rådmannen og oppnevnt personombud (leder for stab/støtte) fått inntrykk av man er bevisst sine roller. Kontrollutvalget har tillit til at utfordringen knyttet til uavhengighet vil bli løst på tilfredsstillende måte. Kontrollutvalget vil følge opp dette i planlagt møte med rådmann og personvernombud høsten 2018.

3. Kontrollutvalget er overrasket over at kommunene i regionen ikke samarbeider tettere innenfor fagområdet informasjonssikkerhet og personvern. Kontrollutvalget oppfordrer rådmannen til å se på mulighetene for samarbeid mellom kommunene og med lokale miljøer som arbeider innenfor området (eks. skolemiljøet på Kallerud/Gjøvik og NorSIS).

Kontrollutvalgets vedtak 13.12.2017 – sak: Ny personopplysningslov… Nedenfor følger utdrag fra møteprotokollen fra saken den 13.12.2017.

SAK NR. 49/2017 NY PERSONOPPLYSNINGSLOV I 2018 – HVA BETYR DET FOR KOMMUNEN?

Fra behandlingen: Leder for stab/støtte og personvernombud Geir Steinar Loeng orienterte og svarte på spørsmål:

Hva er informasjonssikkerhet? Hva er personvern? Oppnevning av personombud i Vestre Toten kommune

(frivillig etter dagens lovverk, pålagt i ny lov fra mai 2018). Personvernombudets oppgaver og rolle og

personvernombudets uavhengighet. Hva er en personopplysning? Nye personvernregler i 2018 – nye krav. Viktige personvernprinsipper. Datatilsynets erfaringer fra norske kommuner, jf. brev fra

Datatilsynet 08.03.2017. Hva er gjort så langt?

Kvalitets/internkontrollsystem med avviksmeldingsfunksjon er innført.

3

Lederopplæring (31/8 og 14/11-17). Oppnevning av personvernombud. Kursing hos Datatilsynet for personvernombudet. E-læringskurs «alle ansatte» Dialog Datatilsynet – potensiell rollekonflikt mellom

rådmann og personvernombudet. Hva planlegges videre?

Behov for ytterligere presentasjon av personvernombudet – internt/eksternt.

Kartlegging av systemer med personopplysninger. Personvern som e-læringskurs 2018. Kursing personvernombud og rådmann – KS/KINS.

Kommunens arbeid med digitaliseringsstrategi (informasjonssikkerhet, personvern og dokumentforvaltning en del av dette arbeidet).

Rådmann Bjørn Fauchald og assisterende rådmann/ informasjonssikkerhetsansvarlig i Vestre Toten kommune Odd Arnvid Bollingmo supplerte presentasjonen.

Vedtak, enstemmig: 4. Rådmannens informasjon om ny personvernlov fra mai 2018

og kommunens arbeid med å møte de nye kravene i loven tas til orientering.

5. Kontrollutvalget mener rådmannen har kommet godt gang med arbeidet med å tilpasse seg kravene i nytt lovverk og forventer at arbeidet videreføres fram til endringen trer i kraft i mai 2018.

6. Saken følges opp overfor rådmannen og kommunes

personvernombud etter at nytt lovverk er trådt i kraft. Rådmannen inviteres til en ny orientering høsten 2018 om status for etterlevelse av ny personvernlov. Kontrollutvalget ber også om rådmannens vurdering situasjonen i Vestre Toten kommune med bakgrunn i Datatilsynets erfaringer fra norske kommuner, der det gis følgende generelle beskrivelse av situasjonen: - Manglende oversikt over hvilke personopplysninger

kommunen har om innbyggerne og beskrivelse av formål.

- Mangelfulle risikovurderinger. - Mangelfull internkontroll. - Mangelfulle rutiner for innsyn og mangelfull

informasjon til innbyggerne om hvordan kommunen behandler personopplysninger.

7. Kontrollutvalget har merket seg at det stilles krav om

personvernombudet skal sikres uavhengighet fra rådmannen i sin utførelse av oppgaver. Da oppnevnt personvernombud i Vestre Toten kommune er ansatt i kommunen, og dermed underlagt rådmannen, oppstår det en utfordring knyttet til personvernombudets uavhengighet. Kontrollutvalget har gjennom samtale med både rådmannen og oppnevnt personombud (leder for stab/støtte) fått inntrykk av man er

4

bevisst sine roller. Kontrollutvalget har tillit til at utfordringen knyttet til uavhengighet vil bli løst på tilfredsstillende måte. Kontrollutvalget vil følge opp dette i planlagt møte med rådmann og personvernombud høsten 2018.

8. Kontrollutvalget er overrasket over at kommunene i

regionen ikke samarbeider tettere innenfor fagområdet informasjonssikkerhet og personvern. Kontrollutvalget oppfordrer rådmannen til å se på mulighetene for samarbeid mellom kommunene og med lokale miljøer som arbeider innenfor området (eks. skolemiljøet på Kallerud/Gjøvik og NorSIS).

English

Veileder

Internkontroll og informasjonssikkerhetGjennom å ha god internkontroll og god informasjonssikkerhet sikrer virksomheten at den behandler personopplysninger lovlig, sikkert og forsvarlig. Denne veilederen gir en innføring i hva internkontrollhandler om, og hvordan man kan etablere og følge den opp.

Page 1 of 18Internkontroll og informasjonssikkerhet | Datatilsynet

02.07.2019https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/internkontroll-og-i...

Innhold1. Forside2. Ansvarlighet, internkontroll og informasjonssikkerhet3. Hvordan gjennomføre internkontroll i praksis4. Iverksette styringssystem for informasjonssikkerhet5. Oppfølging og opplæring6. Internkontrollens struktur7. Vedlegg – maler og støtteverktøy



Ansvarlighet, internkontroll og informasjonssikkerhetPersonvernforordningen stiller krav til den behandlingsansvarliges ansvar. Det innebærer å sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre og påvise at personopplysninger behandles i samsvar med regelverket.

Dersom det blir behov for det, skal de tiltakene man har valgt endres og oppdateres. Dette kan oppsummeres som rutiner for oppfyllelse av virksomhetens plikter [/rettigheter-og-plikter/virksomhetenes-plikter/]og de registrertes rettigheter[/rettigheter-og-plikter/den-registrertes-rettigheter/], og rutiner og tekniske tiltak for informasjonssikkerhet.

Hva er internkontroll?En virksomhet må forholde seg til og etterleve flere ulike regelverk. Disse kan for eksempel omhandle helse, miljø, sikkerhet, regnskap eller avgifter. Tilsvarende finnes det regelverk for hvordan personopplysninger skal behandles[/regelverk-og-verktoy/lover-og-regler/]. De som fastsetter regelverk, forventer at virksomhetene har en systematisk tilnærming i etterlevelsen.

Først og fremst må man sette seg inn i de ulike bestemmelsene for å avgjøre hvilke som er relevante i egen virksomhet. Noen bestemmelser har spesiell relevans for ledelsen i virksomhetene, mens andre er ment å påvirke hvordan de ansatte kan utføre sitt arbeid. Det kan også være bestemmelser som gir andre personer eller grupper rettigheter og som virksomheten har plikt til å oppfylle.

For å ivareta krav om en systematisk tilnærming oppretter virksomhetene en internkontroll. Denne består gjerne av tre hovedelementer:

1. Styrende elementer, som i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer de legger for internkontroll.2. Gjennomførende elementer, som i hovedsak retter seg mot ansatte. Her finner man beskrivelse av rutiner som er tilpasset den enkeltes arbeidssituasjon.3. Kontrollerende elementer, som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger.

Internkontroll kalles i ulike sammenhenger et kvalitetssystem, styringssystem eller ledelsessystem for etterlevelse av regelverk.

Hva er internkontroll etter personvernregelverketVirksomheten må sikre en forsvarlig behandling av personopplysninger ved at man ivaretar den registrertes rettigheter og friheter, samtidig som man ivaretar virksomhetens mål ved behandlingen. Etter personvernforordningen (artikkel 24) innebærer det en forholdsmessighet hvor man ser på behandlingens art, omfang, formål og sammenheng, samt risikoene for fysiske personers rettigheter og friheter, og ut fra det gjennomfører egnede tekniske og organisatoriske tiltak. Internkontroll skal være ledelsens verktøy for å ivareta sitt ansvar og demonstrere etterlevelse etter personvernregelverket, og de ansattes verktøy for å utføre oppgaver på en forsvarlig og sikker måte. Tiltakene skal dokumenteres og oppdateres ved behov.

Det er ikke nødvendig eller hensiktsmessig å etablere en egen internkontroll for personvernregelverket dersom dere allerede har en internkontroll for andre regelverk eller for andre formål. Dere bør heller sørge for å utvide det eksisterende systemet med det som er påkrevd etter personvernregelverket.

Om informasjonssikkerhetPersonvernregelverket krever at personopplysninger skal beskyttes tilfredsstillende mot uberettiget innsyn og endringer. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene, når de har behov for dem.

Informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere



hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende.

Dersom risikovurderingen avdekker manglende tiltak må det vurderes om nye tiltak skal iverksettes for å oppnå tilfredsstillende sikkerhetsnivå for personopplysningene. Kontrollrutiner må utarbeides og jevnlig følges, for å kontrollere at tiltakene blir fulgt opp og virker etter hensikten.

En slik fremgangsmåte som skissert ovenfor vil sammen med tilhørende rutiner kunne utgjøre virksomhetens styringssystem for informasjonssikkerhet. Dette systemet for informasjonssikkerhet vil være en sentral del av virksomhetens internkontroll. Det er utviklet standarder som beskriver hvordan styringssystem for informasjonssikkerhet skal etableres.

Publisert: 19.06.2018



Hvordan gjennomføre internkontroll i praksisDenne delen beskriver prosessen for å etablere internkontroll. Den beskriver hvilke oppgaver som må løses, hvilke plikter en virksomhet har, hvilke rutiner som må dokumenteres og aktiviteter som må gjennomføres.

Dette kapittelet inneholder følgende:• Skaff kunnskap

[#kunnskap]• Ledelsen har ansvaret

[#ledelsesansvar]• Formålet med internkontrollen

[#formal]• Få oversikt og vurder lovlighet, nødvendighet og proporsjonalitet

[#Oversikt]• Beskrive overordnede rammer

[#beskrive-rammer]• Identifisere plikter

[#identifisere-plikter]• Utarbeide rutiner

[#utarbeide-rutiner]

[]Skaff kunnskapVirksomheten må selv ha et minimum av kunnskap, og sørge for å ha tilgang til nødvendig kunnskap om personopplysningsloven og personvernforordningen. Slik kunnskap er nødvendig for å kunne starte arbeidet med å etablere en internkontroll og tilfredsstillende informasjonssikkerhet. Virksomheten må videre identifisere de lovpålagte pliktene den skal overholde.

På våre nettsider finner du oppdatert og relevant informasjon som kan benyttes i arbeidet med internkontroll og informasjonssikkerhet. Få oversikt over alle pliktene virksomheten har på vår samleside [/rettigheter-og-plikter/virksomhetenes-plikter/]

[]Ledelsen har ansvaretLedelsen er ansvarlig for at det settes i gang aktiviteter for å etablere internkontroll i virksomheten. Den har et spesielt ansvar for å utarbeide policy, målsetning, identifisere forpliktelser, klarlegge intern organisering og ikke minst tydelig identifisere ansvar og myndighet.

Ledelsen har også ansvar for at det etableres rutiner og instrukser basert på vurderinger for risiko for rettigheter og friheter. Det må tas stilling til hvilke rutiner som er påkrevd for å sikre samsvar mellom den etablerte systematikken og aktivitetene som faktisk utføres i virksomheten.

Dokumentasjon over systemet for internkontroll skal være tilgjengelig for de ansatte i virksomheten og for Datatilsynet ved eventuell kontroll.

[]Formålet med internkontrollenVed å etablere internkontroll bør virksomheten oppnå:

1. bedre ivaretakelse av de registrertes rettigheter2. bedre informasjonssikkerhet, informasjonskvalitet og effektiviseringsgevinst3. system for kvalitetssikring av at offentlig regelverk følges4. forsvarlig drift innenfor lovverket5. fastsatte rutiner og instrukser som bidrar til at ledelsen sikrer at de ansatte arbeider i samsvar med virksomhetens mål og policy6. at avvik blir oppdaget og håndtert



7. reduksjon i sjansen for alvorlige feil som skyldes manglende oppfølging av lovverket

[]Få oversikt, og vurder lovlighet, nødvendighet og proporsjonalitetVirksomheten skal etablere og vedlikeholde en oversikt over alle behandlingene av personopplysninger. For å få en fullstendig oversikt, må man se på karakteristikker ved behandlingen og gjøre en vurdering proporsjonalitet og nødvendighet for å sikre at behandlingen er lovlig og at man ivaretar de registrertes rettigheter.

Internkontrollens struktur

Det er nyttig å etablere en struktur for internkontrollsystemet. I kapittelet "Internkontrollens struktur"[/regelverk-og-verktoy/veiledere/internkontroll-og-informasjonssikkerhet/internkontrollens-struktur/] finner dere forslag til struktur og dokumenter som kan opprettes i de ulike fasene - styrende dokumentasjon, gjennomførende dokumentasjon og kontrollerende dokumentasjon - og som vi vil vise til i den påfølgende teksten.

Beskrivelser, vurderinger og valg kan føres inn i styringsdokument for internkontroll. Disse beskrivelsene vil videre være grunnlag for å føre protokoll over behandlinger[/rettigheter-og-plikter/virksomhetenes-plikter/protokoll-over-behandlingsaktiviteter/]. Protokollen inkluderer blant annet oversikt over type behandlingsaktiviteter, kategorier av personopplysninger og registrerte, rettslig grunnlag og formål med behandlingene. Protokollen kan også inngå i styringsdokument for internkontroll. Dokumentasjonen bør oppdateres og gjennomgås jevnlig.

Oversikt over behandlingen er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Oversikten danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger. For å få en fullstendig oversikt over behandlingen, vurdere lovlighet, nødvendighet og proporsjonalitet, må man gå systematisk til verks og sørge for at beskrivelsene er tydelige:

Behandlingens art, omfang, formål og sammenheng

Beskriv behandlingens art, det vil si behandlingens iboende karakteristikk. Dette kan innebære beskrivelser av hva dere gjør eller planlegger å gjøre med personopplysningene, for eksempel hvordan personopplysningene skal samles inn, lagres og brukes, og hvem det skal behandles personopplysninger om.

Beskriv behandlingens omfang. Det omfatter blant annet kategorier av personopplysninger, antall registrerte involvert, volum av data, hvor hyppig er behandlingen, lagringstid og geografisk omfang.

Beskriv behandlingens formål, det vil si å beskrive tydelig hva personopplysningene skal brukes til.

Beskriv hvilken sammenheng eller kontekst behandlingen utføres i. Dette innebærer å se behandlingen i et større bilde, og beskrive alle interne og eksterne faktorer som kan påvirke forventninger eller konsekvenser. Beskriv for eksempel hvilke kilder som brukes for innhenting av personopplysninger, hvilken relasjon virksomheten har til de registrerte, hvilke forventninger de registrerte har til behandlingen og i hvilken grad de registrerte har kontroll over sine personopplysninger.

Kilder, mottakere og ansvarsforhold

Identifiser, avklar og dokumenter ansvarsforhold. Dette innebærer blant annet å klargjøre egen virksomhets rolle og ansvar knyttet til verdikjedene for behandling av personopplysninger i virksomheten. Dokumenter når virksomheten er behandlingsansvarlig eller databehandler.

Identifiser og dokumenter alle mottakere av personopplysninger. Dette omfatter deling internt i virksomheten, databehandlere, tredjeparter, eksterne virksomheter (private og offentlige myndigheter) og så videre. Gjennomgå formål, rettslig grunnlag og hvilke forhåndsregler som tas for å beskytte personopplysningene (taushetserklæringer, databehandleravtale, atferdsnormer, sikkerhetstiltak og så videre). Dersom personopplysninger overføres eller lagres i land utenfor EU/EØS, må det sikres at det foreligger mekanismer som tillater slik overføring (se artikkel 44-49 i personvernforordningen).

Dersom det tas i bruk tjenesteutsetting eller skytjenester, bør man se på Nasjonal sikkerhetsmyndighets temahefte «Sikkerhetsfaglige anbefalinger ved tjenesteutsetting



[https://nsm.stat.no/globalassets/dokumenter/temahefter/tjenesteutsetting2018v1.1_enkelstsider.pdf]» (pdf).

Vurdering av lovlighet, nødvendighet og proporsjonalitet

Virksomheten må undersøke om behandlingene er lovlige, at de valgene man tar er nødvendige og står i et rimelig forhold til formålene. Dere må ta utgangspunkt i prinsippene for behandling av personopplysninger[/rettigheter-og-plikter/personvernprinsippene/]. Beskrivelser, vurderinger og valg kan føres i styringsdokumentet for internkontroll.

Fastsette behandlingsgrunnlag: Det er ikke tillatt å behandle personopplysninger uten et rettslig grunnlag. Behandlingen skal være basert på lovlighet, rettferdighet og åpenhet (artikkel 5.1 bokstav a og artikkel 6 og 9).

Et rettslig grunnlag/behandlingsgrunnlag [/rettigheter-og-plikter/virksomhetenes-plikter/behandlingsgrunnlag/]kan være samtykke, at det er nødvendig for avtale/kontrakt, en rettslig forpliktelse, vitale interesser, utøvelse av myndighet eller en berettiget interesse. Undersøk om det rettslige grunnlaget omfatter både egne formål og utlevering.

Vurder og kontroller behandlingsgrunnlagets gyldighet og rimelighet. Er det et tydelig skille mellom hvilke personopplysninger som er nødvendig for avtale og hva som skal baseres på samtykke? Hva er de forventede fordelene ved behandlingen for virksomheten, den registrerte og samfunnet for øvrig?

Vurder hvordan åpenhet ivaretas i behandlingen.

Identifiser formål: Det er ikke tillatt å behandle personopplysninger uten at det er definert et formål [/rettigheter-og-plikter/virksomhetenes-plikter/fastsette-formal/]med behandlingen. Formål(ene) skal være spesifikt, uttrykkelig angitt og berettiget (artikkel 5.1 bokstav b). Det innebærer at formålet skal være klart definert og i samsvar med forventningene til de registrerte. Kan formålet oppnås med en mindre inngripende behandling og med anonyme eller pseudonyme alternativer?

Dataminimering: Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene (artikkel 5.1 bokstav c). Identifiser og vurder personopplysningene som skal behandles. Kan formålet oppnås ved å begrense innsamlingen av personopplysninger, med mindre detaljerte personopplysninger, uten fortrolige eller sensitive personopplysninger, med aggregerte eller pseudonyme personopplysninger?

Riktighet: Personopplysninger skal være korrekte og oppdaterte (artikkel 5.1 bokstav d). Vurder hvordan personopplysninger skal holdes korrekte og oppdaterte, med og uten den registrertes involvering. Har dere nødvendig funksjonalitet for å rette og slette uriktige personopplysninger? Har dere rutiner for å oppdage feil ved personopplysninger? Har dere rutiner for hvordan registrertes anmodning om retting og sletting av personopplysninger skal håndteres?

Lagringsbegrensning: Personopplysninger skal slettes eller anonymiseres når formålet er oppnådd (artikkel 5.1 bokstav e). Avklar lovlig oppbevaringstid og slettefrister for alle typer personopplysninger som virksomheten behandler. Det innebærer å ta stilling til avveiinger som omfatter formålet med behandlingen, virksomhetens behov og andre rettslige krav som regulerer oppbevaringsrett og oppbevaringsplikt. Utarbeid nødvendige rutiner og tekniske løsninger for nødvendig sletting, anonymisering eller pseudonymisering.

Integritet og konfidensialitet: Virksomheten skal sørge for tilstrekkelig sikkerhet for personopplysningene ved bruk av tekniske og organisatoriske tiltak (artikkel 5.1 bokstav f). Det innebærer å sikre opplysningene mot uautorisert eller ulovlig behandling, og mot utilsiktet tap, ødeleggelse eller skade.

Ansvar: Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes (artikkel 5.2).

[]Beskrive overordnede rammerDenne delen omfatter ledelsens begrunnelse for behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi i virksomheten. Begrunnelsen og de overordnede føringene kan beskrives i styringsdokumentet for internkontroll. Begrunnelsene omhandler virksomhetens behov for å behandle personopplysningene slik at den kan ivareta sine forpliktelser, herunder levere sine tjenester eller følge opp sine ansatte. De overordnede føringene er krav og plikter som virksomheten



blir underlagt fordi den behandler personopplysninger. Slike krav og plikter kan blant annet følge av personvernlovgivningen, av pålegg fra Datatilsynet eller av annen lovgivning.

Andre føringer er sikkerhetsmål og sikkerhetsstrategier. Disse legger begrensninger på bruken av IKT for å sikre tilfredsstillende sikkerhet for personopplysningene. Samme dokument kan også inneholde føringer som krav til hendelseshåndtering, egenkontroll, avviksbehandling og ledelsens gjennomgang.

[]Identifisere plikterBehandling av personopplysninger medfører plikter for virksomheten. Ulike opplysninger og ulike formål gjør at ingen virksomheter er like. Hver virksomhet må derfor identifisere plikter og tilpasse internkontroll og informasjonssikkerhetstiltak til sin organisasjon. Dette gjøres med utgangspunkt i behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoen for de registrertes rettigheter og friheter.

Prinsippene for behandling av personopplysninger [/rettigheter-og-plikter/personvernprinsippene/]legger føringer for hvordan personopplysninger skal behandles. Virksomheten må identifisere hvilke plikter den har [/rettigheter-og-plikter/virksomhetenes-plikter/]og gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med forordningen (artikkel 24).

De ulike pliktene for behandlingsansvarlig og databehandlere er beskrevet i kapittel IV i personvernforordningen. Nedenfor nevner vi noen av disse pliktene med lenker til mer informasjon.

1. Innebygd personvern og personvern som standardinnstilling (artikkel 25) – Veileder om programvareutvikling med innebygd personvern[/regelverk-og-verktoy/veiledere/programvareutvikling-med-innebygd-personvern/]2. Databehandler (artikkel 28) – Veileder om databehandleravtaler[/rettigheter-og-plikter/virksomhetenes-plikter/behandlingsgrunnlag/]3. Protokoller over behandlingsaktiviteter (artikkel 30) – Veiledning og mal for protokoll[/rettigheter-og-plikter/virksomhetenes-plikter/protokoll-over-behandlingsaktiviteter/]4. Sikkerhet ved behandlingen (artikkel 32)5. Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten (artikkel 33) og informasjon til den registrerte om brudd på personopplysningssikkerheten (artikkel 34) – Avvikshåndtering[/rettigheter-og-plikter/virksomhetenes-plikter/avvikshandtering/]6. Vurdering av personvernkonsekvenser (DPIA) (artikkel 35) – Veileder om vurdering av personvernkonsekvenser[/regelverk-og-verktoy/veiledere/vurdering-av-personvernkonsekvenser/]7. Forhåndsdrøftinger (artikkel 36)8. Personvernombud [/rettigheter-og-plikter/virksomhetenes-plikter/personvernombud/](artikkel 37-39)9. Atferdsnormer/bransjenormer [/regelverk-og-verktoy/atferdsnorm/](artikkel 40)10. Sertifisering (artikkel 42)11. Overføringer av personopplysninger til tredjestater og internasjonale organisasjoner [/rettigheter-og-plikter/virksomhetenes-plikter/overfore/](artiklene 44-49)

Virksomheten må identifisere hvilke rettigheter og friheter for de registrerte som gjør seg gjeldende på grunn av virksomhetens behandling av personopplysninger. Virksomheten har plikt til å oppfylle disse rettighetene (beskrevet i artiklene 12-22) Vi har laget en samleside med oversikt over rettighetene[/rettigheter-og-plikter/den-registrertes-rettigheter/]. Med de registrertes friheter mener vi blant annet friheter etter Den europeiske menneskerettskonvensjonen (EMK), slik som retten til privatliv og kommunikasjonsvern, retten til ikke å bli diskriminert, tanke-, tros- og religionsfrihet, ytrings- og informasjonsfrihet. Vurder hvordan de registrertes rettigheter og friheter skal ivaretas.

Det finnes også nasjonale bestemmelser i personopplysningsloven som er presiseringer og unntak fra hovedregler i personvernforordningen.



[]Utarbeide rutinerPersonvernforordningen stiller krav til internkontroll i form av egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen. Tiltakene skal gjennomgås på nytt og skal oppdateres ved behov.

Utarbeid rutiner som er nødvendige for oppfyllelse av virksomhetens plikter og de registrertes rettigheter. Her nevnes noen nødvendige rutiner, samt hvordan rutinene kan utformes. Alle rutiner vil imidlertid ikke være relevante for alle virksomheter. En risikovurdering kan dessuten vise at virksomheten har behov for andre rutiner enn dem som er listet opp.

Eksempler på rutiner for håndtering av personopplysninger:

• Iverksettelse og opphør av behandling• Informasjon

[/rettigheter-og-plikter/virksomhetenes-plikter/gi-informasjon/](rettferdig og gjennomsiktig behandling, artikkel 12, 13 og 14)

• Innhenting og kontroll av samtykke [/regelverk-og-verktoy/veiledere/veileder-om-behandlingsgrunnlag/samtykke/](artikkel 7 og 8)

• Innsyn [/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-innsyn/](artikkel 15)

• Dataportabilitet [/regelverk-og-verktoy/veiledere/retten-til-dataportabilitet/](artikkel 20)

• Retting [/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-retting/]og sletting [/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-sletting/](artikkel 16, 17 og 19)

• Begrensning [/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-begrensning/](artikkel 18 og 19)

• Protestere [/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-a-protestere/](artikkel 21)

• Særskilte regler for automatiserte avgjørelser [/rettigheter-og-plikter/den-registrertes-rettigheter/rettar-ved-automatiserte-avgjerder/](artikkel 22)

• Utlevering av personopplysninger til andre• Overføring til tredjestater

[/rettigheter-og-plikter/virksomhetenes-plikter/overfore/](artikkel 44-49)

Rutinene bør utformes etter en felles mal. Rutinene blir da enklere å bruke, og det blir lettere å vurdere om de er fullstendige.

Følgende mal kan benyttes for utforming av rutiner:

• Hvorfor skal rutinen utarbeides, hva er hensikten med den?• Hvem er ansvarlig for å utføre de ulike aktivitetene?• Hva skal utføres av de ulike ansvarlige?• Hvordan skal aktivitetene utføres?• Når skal de ulike aktivitetene utføres, eller under hvilke betingelser?• Hva er forventet resultat ved utførelse av rutinen?




Iverksette styringssystem for informasjonssikkerhetInformasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Personopplysninger kommer i mange former. De kan trykkes eller skrives på papir, lagres elektronisk, overføres via post eller elektroniske media, eller formidles muntlig. Uansett hvordan informasjonen formidles og lagres, skal den alltid beskyttes på en tilfredsstillende måte.

Informasjonssikkerhet omfatter her beskyttelse av:

• Konfidensialitet – at informasjonen ikke blir kjent for uvedkommende• Integritet – at informasjonen ikke blir endret utilsiktet eller av uvedkommende• Tilgjengelighet – at informasjonen er tilgjengelig for autoriserte ved behov• Robusthet – at organisasjonen og systemene er motstandsdyktige, og evner å gjenopprette

normaltilstand ved hendelser

Organisasjoner og deres informasjonssystemer står overfor en stadig lengre rekke av sikkerhetstrusler, for eksempel datasvindel, spionasje, sabotasje og hærverk. Trusselaktører tar kontinuerlig i bruk nye verktøy og metoder som krever at alle virksomheter jevnlig holder seg oppdatert, kjenner til nye trusler og sårbarheter, og vurderer om man har etablert tilstrekkelig sikring.

I personvernregelverket understrekes det at arbeidet med informasjonssikkerhet er en kontinuerlig prosess. Det stilles blant annet krav til å sikre vedvarende robusthet i tillegg til konfidensialitet, integritet og tilgjengelighet. Det betyr blant annet at virksomheten plikter å ta hensyn til den tekniske utviklingen, altså hvilken teknologi som er tilgjengelig på markedet til enhver tid. Det betyr at den teknologien som var akseptabel for å sikre virksomhetens behandlinger i fjor, ikke nødvendigvis er akseptabel i år.

For å sørge for tilstrekkelig sikkerhet står det i artikkel 32 at virksomheten må ta hensyn til behandlingens art, formål, omfang og sammenheng, hva som finnes av tilgjengelig teknologi, kostnader ved gjennomføring, og hva sannsynligheten og konsekvensen er for at uønskede eller ulovlige hendelser skal inntreffe. Informasjonssikkerhet oppnås ved hjelp av tekniske og organisatoriske tiltak. Sikkerhetstiltakene og informasjonssystemet skal dokumenteres og inngå som en del av internkontrollen i virksomheten.

Ved innføring av internkontroll må virksomheten først identifisere hvilke personopplysninger som behandles. Deretter må det utarbeides en risikovurdering.

Dokumentasjon og oppbygging av styringssystem for informasjonssikkerhetPersonvernforordningen stiller krav til tilstrekkelig informasjonssikkerhet ved innføring av egnede tekniske og organisatoriske tiltak. Vi anbefaler at man følger anerkjente standarder som beskriver styringssystem for informasjonssikkerhet, for eksempel "ISO/IEC 27001– Ledelsessystem for informasjonssikkerhet". Man kan også bruke rammeverk og veiledere som er utviklet av andre organisasjoner, slik som Direktoratet for forvaltning og IKT (Difi) og Nasjonal sikkerhetsmyndighet (NSM).

Nedenfor går vi gjennom noen viktige elementer som bør være med i et styringssystem for informasjonssikkerhet.

Sikkerhetsmål

Sikkerhetsmålene omfatter ledelsens beslutninger om hva IKT skal brukes til i virksomheten og hvordan den skal benyttes for å nå virksomhetens øvrige mål. Konkrete sikkerhetsmål vil slik utgjøre en del av virksomhetens beskrivelse av sin totale målsetning. Sikkerhetsmålene bør i størst mulig grad være målbare, men dette er ikke alltid enkelt. Uansett skal de være retningsgivende for strategien.

Sikkerhetsstrategi

Sikkerhetsstrategien skal omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Dette går på fordeling av arbeidsoppgaver mellom ledelse og driftspersonell, og beslutning om eventuelt å ta i bruk eksterne leverandører i sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell, sikkerhetspersonell og den enkelte bruker må avklares her. Sikkerhetsstrategien skal gjøre rede for organisatoriske og tekniske strategiske valg, og må være utformet på en måte som gjør at de ansatte forstår hva ledelsen har bestemt. Strategien beskriver



hvilke virkemidler virksomheten velger å bruke for å nå målene. Det kan velges ulike strategier for å tilfredsstille samme mål.

Ledelsens gjennomgang

Ledelsen skal årlig gjennomgå sikkerhetsmål, sikkerhetsstrategi og organisering av informasjonssystemene. Ledelsen skal kontrollere at disse er i samsvar med virksomhetens behov og eventuelt oppdatere mål, strategi og organisering. Gjennomgangen utføres etter rutine beskrevet i ledelsens gjennomgang.

I ledelsens gjennomgang av informasjonssystemet kan blant annet følgende vurderes:

• Resultater fra sikkerhetsrevisjoner og kontroller utført av offentlig myndighet• Endringer med betydning for drift av informasjonssystemet eller for informasjonssikkerheten,

herunder endringer i offentlige sikkerhetskrav, endringer i personopplysninger som virksomheten skal behandle, endringer i trusselbildet som blant annet beskrevet i rapport fra utførte risikovurderinger

• Om informasjonssystemet bør endres, eksempelvis som følge av ønske om ny funksjonalitet• Overordnet behandling av alvorlige avvik og hendelser

Organisering

Det må klargjøres roller og ansvar knyttet til personvern og sikkerhet internt i virksomheten. Det inkluderer for eksempel hva som ligger i linjeansvar og hva som ligger i nøkkelroller som personvernombud, personvernrådgiver, sikkerhetsleder, IKT-ansvarlig, HR-ansvarlig, prosjektledere, produkteiere, systemeiere, systemforvaltere mv. Klare ansvars- og myndighetsforhold etableres med utgangspunkt i beslutninger tatt av virksomhetens ledelse. Rolle- og ansvarsfordeling skal være dokumentert.

I mindre organisasjoner kan det være samme person som ivaretar ulike oppgaver. For større organisasjoner lages et organisasjonskart som viser de nevnte funksjonene og deres plassering i forhold til ledelsen og virksomheten for øvrig.

Akseptabelt risikonivå / toleransenivå for sikkerhet

Risikovurdering handler om å identifisere konsekvenser ved ulike hendelser eller scenarier, og å vurdere hvor sannsynlig eller lett en uønsket hendelse kan inntreffe. Det er virksomhetens ledelse som avgjør hvor stor risiko (risikoappetitt) virksomheten skal ta ved ulike scenarier. Dette kalles toleransenivå for sikkerhet. Toleransenivå gir føringer for hvilke tiltak og ressurser som må settes inn for at behandlingen ikke skal overskride det definerte toleransenivået.

Beslutning om akseptabelt risikonivå skal blant annet uttrykkes i virksomhetens sikkerhetsmål. Sikkerhetsmålet skal, på et overordnet nivå, beskrive formålet med bruken av IKT og angi sikkerhetsbehov med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet. Det er også nødvendig med en detaljert beskrivelse av akseptabelt risikonivå. Denne beskrivelsen bør angi hvilke personopplysninger og behandlinger som berøres, hendelser med betydning for personvernet og akseptable nivåer for sannsynlighet og konsekvens. Beskrivelsen må angi prioritering mellom forskjellige sikkerhetsbehov og, på overordnet nivå, beskrive risikoreduserende tiltak.

Noen scenarier vil ha nulltoleranse for risiko, mens for andre kan virksomheten bestemme seg for å ta en viss risiko. Detaljert beskrivelse av akseptabelt risikonivå skal inngå i underlag for gjennomføring av risikovurdering.

Risikovurderinger og sikkerhetstiltak

Risikovurderinger [/rettigheter-og-plikter/virksomhetenes-plikter/informasjonssikkerhet/risikovurdering/]og etablering av tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå er grunnleggende krav til virksomhetens informasjonssikkerhet. Risikovurderingen må ta høyde for hvilke risikoer som er forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgj��ring, tap, endring eller uautorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

En risikovurdering begynner med en kartlegging av verdier som bør sikres. Personvernregelverket definerer personopplysninger som en verdi. Det bør gjøres en trusselvurdering av hvilke aktører som kan være interessert i verdiene og hvilke angrepsvektorer de ulike trusselaktørene benytter. Deretter gjøres en vurdering av om verdiene er sårbare for de gitte truslene. Standarder for informasjonssikkerhet kan bidra til å avdekke sårbarheter og dermed også krav som må stilles til sikkerhet.



Resultatet av risikovurderingen vurderes opp mot toleransenivå for sikkerhet. Dersom risikonivået er høyere enn fastlagt nivå for akseptabel risiko, skal det iverksettes tiltak for å redusere risikoen. Det må også fastsettes hvem som er ansvarlig for tiltaket og settes en frist for implementering. I artikkel 32 i personvernforordningen nevnes noen tiltak:

1. Pseudonymisering og kryptering av personopplysninger2. Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i system og tjenester som behandler personopplysninger3. Evne til å gjenopprette tilgjengelighet og tilgang til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse4. En prosess for regelmessig testing, analysering og vurdering av hvor effektive de tekniske og organisatoriske sikkerhetstiltakene er.

Både den behandlingsansvarlige og databehandleren skal treffe tiltak for å sikre at de som behandler personopplysninger i, eller på vegne av, virksomheten, kun behandler personopplysninger på instruks fra den behandlingsansvarlige. Dette innebærer blant annet at man sørger for å ha tilgangsstyringbasert på tjenstlig behov, taushetserklæringer, sikkerhetsinstrukser, opplæring i rutiner og bruk, og databehandleravtaler. Dette er for å sikre at den behandlingsansvarlige har kontroll over behandlingen og dermed kan forsikre seg om at virksomheten etterlever personvernregelverket.

Rutiner for informasjonssikkerhet

Virksomheten skal konfigurere informasjonssystemet (infrastruktur, nettverk, servere, programvare mv.) slik at tilfredsstillende informasjonssikkerhet oppnås etter risikovurdering og beslutninger om sikkerhetstiltak. Lag en beskrivelse av informasjonssystemet.

Det er i tillegg viktig at man tar hensyn til brukersikkerhet, lager instrukser for ulike typer roller og gir opplæring i disse. Instruksene dokumenteres og kan deles opp i sikkerhetsinstrukser for bruker, leder og sikkerhetsansvarlig.

For å sørge for sporbarhet er det viktig å logge autorisert bruk og forsøk på uautorisert bruk. Det er imidlertid viktig å være klar over at personopplysninger som fremkommer som følge av logging for drifts- og sikkerhetsformål ikke senere kan benyttes for å overvåke eller kontrollere enkeltpersoner. Hensikten med logging av autorisert bruk er å i ettertid kunne spore hvem som gjorde hva med hvilke personopplysninger, og på hvilket tidspunkt. Rutine for logging beskrives i driftsrutiner. Loggfiler og formater beskrives i dokumentasjonen av informasjonssystemet.

Organisatoriske tiltak vil kunne beskrives i ulike dokumenter, slik som informasjonshåndteringsrutine, sjekkliste nyansatt / ansatte som slutter, og taushetserklæring. Tekniske tiltak vil kunne skildres i dokumentasjon av informasjonssystemet, driftsrutiner, beredskapsplan og fysisk sikkerhet.

Våre nettsider inneholder noe informasjon om sikring av personopplysninger, slik som kryptering[/rettigheter-og-plikter/virksomhetenes-plikter/informasjonssikkerhet/kryptering/], bruk av sterk autentisering [/rettigheter-og-plikter/virksomhetenes-plikter/informasjonssikkerhet/sterk-autentisering/]og anonymisering[/rettigheter-og-plikter/virksomhetenes-plikter/informasjonssikkerhet/hvordan-anonymisere-personopplysninger/].

Vi vil i tillegg anbefale et par eksterne sider for god veiledning om sikring av henholdsvis IKT-systemer og personopplysninger:

• Nasjonal sikkerhetsmyndighets (NSM) grunnprinsipper for IKT-sikkerhet[https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/]. Disse grunnprinsippene definerer hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser. Grunnprinsippene beskriver hva en virksomhet bør gjøre for å sikre et IKT-system. De beskriver også hvorfor det bør gjøres, men ikke hvordan.

• Den franske datatilsynsmyndigheten (CNIL) sin veileder «Security of Personal Data».[https://www.cnil.fr/en/new-guide-regarding-security-personal-data]




Oppfølging og opplæringArbeidet med internkontroll er en kontinuerlig prosess. Virksomheten må sørge for å kunne håndtere avvik, kontrollere at rutiner og tiltak brukes og fungerer etter hensikten. Etter at internkontrollen er etablert og forankret, må man sørge for at den gjøres kjent og etterleves blant de ansatte i virksomheten.

AvvikshåndteringDersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller dokumentert brudd på informasjonssikkerheten, skal virksomheten iverksette avviksbehandling. Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normaltilstand og hindre gjentakelse. Dersom det ikke er samsvar mellom fastlagte rutiner og hvordan personopplysninger håndteres eller informasjonssystemet benyttes, skal resultatet fra avviksbehandlingen brukes som grunnlag ved gjennomgang og endring av aktuelle rutiner.

Avviksbehandling består av:

• Å oppdage avviket.• Kartlegge årsaken til og omfanget av avviket så langt det er mulig.• Rapportering utføres normalt av den medarbeideren som oppdager avviket. Avviket rapporteres

til virksomhetens sikkerhetsansvarlig eller etter annen intern organisering.• Iverksettelse av strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader.• Vurdere om det er et brudd på personopplysningssikkerheten og vurdere risikoen for de

registrertes rettigheter og friheter.• Iverksettelse av korrigerende tiltak for permanent å gjenopprette normaltilstand.Vurdering av

hvorvidt korrigerende tiltak fungerer etter sin hensikt.

Avviksbehandling skal dokumenteres i en rapport som inneholder opplysninger om selve avviket, gjennomførte strakstiltak, iverksatte korrigerende tiltak, resultater fra evaluering av det korrigerende tiltakets effekt over tid, samt opplysninger om hvilke medarbeidere som har vært involvert i behandling av avviket.

Dersom det har vært et brudd på personopplysningssikkerheten og det er en risiko for fysiske personers rettigheter og friheter, skal Datatilsynet varsles.

Dersom det har vært et brudd på personopplysningssikkerheten og det er en høy risiko for fysiske personers rettigheter og friheter, skal også de registrerte varsles.

Les mer om avvikshåndtering[/rettigheter-og-plikter/virksomhetenes-plikter/avvikshandtering/]

Sikkerhetsrevisjon og egenkontrollVirksomheten skal kontrollere at rutinene for håndtering av personopplysninger brukes og fungerer etter hensikten. Virksomheten må jevnlig teste, vurdere og evaluere hvor effektive sikkerhetstiltakene er. En sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak, og bruk av sikkerhetsparter og databehandlere.

Sikkerhetsrevisjon består vanligvis av egenkontroller, internrevisjon og revisjon av eksterne parter. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik. Resultatet fra sikkerhetsrevisjon skal dokumenteres og være en del av ledelsens gjennomgang.

Rutiner for rapportering og forslag til tiltakDet er viktig å innføre faste rutiner for å forbedre internkontrollen. Det bør derfor innføres rutiner for å lære av uønskede hendelser, dokumentere erfaring og forbedre arbeidsprosessene slik at færrest mulig hendelser oppstår i fremtiden.

Virksomheten skal ha rutine for rapportering og mal for rapport til ledere og ansvarlige fra sikkerhetshendelser, avvikshåndtering og egenkontroll. Rapporten skal også omfatte erfaringer som er gjort og forslag til forbedringer, både tekniske tiltak og prosessforbedringer.



OpplæringMålet med brukeropplæring er å sørge for at brukerne er oppmerksomme på trusler mot personvernet og informasjonssikkerheten generelt, og at de er gitt mulighet til å etterleve dette i sitt daglige arbeid. Opplæring bør være tilpasset ulike målgruppers behov for opplæring og fordeles over tid. Brukerne bør få opplæring i rutiner, sikkerhetsprosedyrer og riktig bruk av informasjonssystemer for å redusere potensielle risikoer.

Opplæring i internkontroll og informasjonssikkerhet

Før ansatte i organisasjonen og eventuelle tredjepartsbrukere får tilgang til informasjon eller tjenester, bør de få hensiktsmessig opplæring. Dette omfatter krav til internkontroll og informasjonssikkerhet, juridisk ansvar og interne sikringstiltak, så vel som opplæring i riktig bruk av informasjonssystemer. Dette inkluderer for eksempel innloggingsprosedyrer, bruk av programvare, sikkerhetsinstruks, og rapportering av avvik. I tillegg bør de får regelmessig oppdatering i organisasjonens policy og rutiner.

Taushetserklæring

Taushetserklæringer brukes for å gjøre oppmerksom på at det forekommer konfidensiell informasjon i virksomheten. De ansatte skal undertegne en slik erklæring samtidig med ansettelseskontrakten. Taushetserklæringen oppbevares i den ansattes personalmappe under hele ansettelsesforholdet.

Midlertidig ansatte og tredjepartsbrukere som ikke allerede er dekket av eksisterende kontrakt med taushetserklæring, bør undertegne en tilsvarende erklæring før de får tilgang til informasjonssystemer. Betingelsene og ansettelsesvilkårene bør opplyse om den ansattes ansvar for informasjonssikkerhet. Der det er relevant bør dette ansvaret også gjelde i en nærmere spesifisert periode etter at ansettelsesforholdet er avsluttet.

Taushetserklæringer bør gjennomgås på nytt når ansettelsesforholdet endres, særlig når ansatte skal forlate organisasjonen, eller kontrakter utløper.

Personvernombud

For virksomheten kan det være en stor fordel å ha en bestemt person å henvende seg til med spørsmål rundt behandling av personopplysninger knyttet til sin virksomhet. Personvernforordningen styrker ordningen med personvernombud. Regelverket lovfester hvilken rolle og hvilke oppgaver ombudet skal ha, og gjør ordningen obligatorisk for mange virksomheter.

Les mer om personvernombud[/rettigheter-og-plikter/virksomhetenes-plikter/personvernombud/]




Internkontrollens strukturDet er nyttig å etablere en struktur for internkontrollsystemet. Dette gjør det lettere for aktørene som skal bidra i prosessen til å forstå hvilken funksjon systemet skal ha. Dokumentasjon av internkontrollsystemet skal vise den reelle situasjonen i virksomheten. Berørte parter bør derfor delta i utformingen.

Noen ganger medfører innføring av nytt regelverk at rutiner og instrukser må endres. Det er viktig at dette faktisk skjer i virksomheten og ikke bare i systembeskrivelsen.

I neste kapittel finner dere maler og eksempler som kan lastes ned og benyttes i arbeidet med dokumenteringen av internkontrollsystemet.

Styrende dokumentasjonStyrende dokumentasjon gir en systembeskrivelse som inneholder policy og målsetning, identifiserte krav og plikter, intern organisering, ansvar og myndighet. Styrende dokumentasjon er overordnet i sin form og er spesielt ledelsesorientert.

Styrende dokumentasjon bør inneholde:

1. virksomhetens mål og retningslinjer for vern av personopplysninger. Se spesielt personvernforordningen artikkel 1.2. identifisering av at tiltenkt lagring og behandling av personopplysninger samsvarer med lovens grunnkrav, se artikkel 5 og 6 i personvernforordningen. Det legges spesielt vekt på saklig behov og konkret definering av formål, herunder at opplysningene som lagres samsvarer med formålet.3. identifisering av hvilke generelle forpliktelser som er relevant for virksomheten, se artikkel 24-43 i personvernforordningen4. organisering av virksomheten der intern delegering av ansvar og myndighet skal være entydig definert, se spesielt artikkel 24, 26, 28, 32, 37-39.5. beskrivelse av hvordan virksomheten ivaretar informasjonssikkerheten. Se artikkel 32-34.6. beskrivelse av hvordan ledelsen vil sørge for at virksomhetens aktiviteter er i samsvar med kravene i regelverket. En slik beskrivelse vil normalt ende opp i behov for gjennomførende dokumentasjon og kontrollerende dokumentasjon.

Eksempler på dokumentasjon:

• Styringsdokument internkontroll• Sikkerhetsmål og sikkerhetsstrategi• Rutine for ledelsens gjennomgang• Organisering

Gjennomførende dokumentasjonGjennomførende dokumentasjon beskriver de organisatoriske og tekniske tiltak som er foreslått som følge av at virksomheten har vurdert risiko for rettigheter og friheter, for eksempel tiltak for å ivareta ulike rettigheter for de registrerte, tiltak for innebygd personvern, og tiltak for å oppnå tilstrekkelig informasjonssikkerhet.

Det er spesielt viktig å entydig definere hvem som har ansvaret for hva. Gjennomførende dokumentasjon vil i volum ofte utgjøre den største delen av internkontrollsystemet.

Gjennomførende dokumentasjon bør inneholde:

1. rutiner og prosedyrer2. arbeidsinstrukser

Gjennomførende dokumentasjon er et knippe av mekanismer som skal sikre at aktiviteten i virksomheten samsvarer med virksomhetens definerte mål og retningslinjer for personvern og reglene for øvrig. I forhold til ansatte i virksomheten kan gjennomførende dokumentasjon være et sett med interne kjøreregler som sikrer at virksomheten ikke begår lovbrudd med noen av sine aktiviteter.




• Rutiner for innhenting av samtykke, å gi informasjon og innsyn, å sørge for retting, sletting, begrenset behandling, gi adgang til å protestere, dataportabilitet, at automatiserte avgjørelser er lovlig og ivaretagelse av særskilte rettigheter for beskyttelse av barns personvern.

• Risikovurdering• Beskrivelse av informasjonssystem• Sikkerhetstiltak, for eksempel tilgangskontroll, logging, informasjonshåndteringsrutine, sjekkliste

for nyansatte, sjekkliste for ansatte som slutter, taushetserklæring• Fysisk sikring• Driftsrutiner• Beredskapsplan• Sikkerhetsinstrukser for brukere, ledere og sikkerhetsansvarlig

Kontrollerende dokumentasjonKontrollerende dokumentasjon er dokumenter som har til formål å verifisere at aktivitetene har foregått i samsvar med fastsatte rutiner og instrukser. Eksempler er rapporter, sjekklister og logg. Kontrollerende dokumentasjon kan betraktes som et «sikkerhetsnett» som bidrar til at styringsdokumentene følges og at eventuelle avvik lettere oppdages. Dokumentene skal ikke være statiske, men endre seg i tråd med virksomhetens utvikling og den rettslige utvikling.

Kontrollerende dokumentasjon bør inneholde:

1. sjekklister2. skjema for avviksrapportering3. rapporter4. logg

Kontrollerende dokumentasjon består ofte av to deler: En del som brukes under interne revisjoner og en del som brukes i det daglige arbeidet. Skjema for avviksrapportering er for eksempel ment til bruk dersom det oppdages aktiviteter eller hendelser som ikke samsvarer med fastlagte rutiner og/eller instrukser, og brudd på personopplysningssikkerheten.

Det er et klart skille mellom gjennomførende og kontrollerende dokumentasjon. Det første skal sikre at aktivitetene er i samsvar med mål og retningslinjer. Det siste skal bidra til at avvik fra mål og retningslinjer oppdages og rettes.


• Ledelsens gjennomgang• Avvikshåndtering• Egenkontroll• Sikkerhetsrevisjon• Oppfølging av databehandlere, inkludert sikkerhetsrevisjon




Vedlegg – maler og støtteverktøyHer finner dere en oversikt over maler, eksempler og støtteverktøy som kan benyttes i arbeidet med å etablere internkontroll.

Maler og eksemplerVi har utformet noen nedlastbare wordmaler og eksempler på hvordan dere kan utforme relevante dokumenter i arbeidet.

NB! Det er å huske at disse malene kun er ment som en støtte i arbeidet, og at innholdet i dokumentene må tilpasses deres egen virksomhet. Det betyr at dere selv må fylle ut eventuell ekstra informasjon og/eller slette ikke-relevant informasjon.

Styrende dokumentasjon

Styringsdokument – internkontroll (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/styringsdokument-internkontroll.docx]

Ledelsens gjennomgang (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/ledelsens-gjennomgang.docx]

Informasjonssikkerhetspolicy – sikkerhetsmål og sikkerhetsstrategi (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/informasjonssikkerhetspolicy---sikkerhetsmal-og-strategi.docx]

Organisering (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/organisering.docx]

Risikostyring (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/risikostyring.docx]

Gjennomførende dokumentasjon

Rutiner for håndtering av personopplysninger (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/rutiner-for-handtering-av-personopplysninger.docx]

Risikovurdering (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/risikovurdering.docx]

Sikkerhetsinstruks – bruker (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/sikkerhetsinstruks-bruker.docx]

Informasjonshåndtering (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/informasjonshandtering.docx]

Sjekkliste nyansatte og ansatte som slutter (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/sjekkliste-nyansatt-og-ansatte-som-slutter.docx]

Taushetserklæring (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/taushetserklaring.docx]

Sikkerhetsinstruks – leder (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/sikkerhetsinstruks-leder.docx]

Sikkerhetsinstruks – sikkerhetsansvarlig (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/sikkerhetsinstruks-sikkerhetsansvarlig.docx]

Beskrivelse av informasjonssystemet (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/beskrivelse-av-informasjonssystemet.docx]

Driftsrutiner (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/driftsrutiner.docx]



Overordnet beredskapsplan for informasjonssystemene (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/overordnet-beredskapsplan-for-informasjonssystemer.docx]

Fysisk sikkerhet (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/fysisk-sikkerhet.docx]

Kontrollerende dokumentasjon

Avvikshåndtering (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/avvikshandtering.docx]

Sikkerhetsrevisjon – egenkontroll (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/sikkerhetsrevisjon---egenkontroll.docx]

Avviksskjema – internt (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/avviksskjema-internt.docx]

Egenkontrollskjema (docx)[/contentassets/7d5ac15e767b4697aa983aff7b545651/egenkontrollskjema.docx]

Relevant støtteverktøy• Direktoratet for forvaltning og IKT (Difi) sin veileder for internkontroll for informasjonssikkerhet

[http://internkontroll.infosikkerhet.difi.no/]som er basert på standarden ISO/IEC 27001

• Standard for Ledelsessystem for informasjonssikkerhet ISO/IEC 27001:2013[http://www.standard.no/no/Nettbutikk/produktkatalogen/Produktpresentasjon/?ProductID=657700]

Publisert: 23.06.2018Sist endret: 30.10.2018



1

SAK NR. 36/2019


BRUK AV MULIGHETENE I DIGITALISERING FOR Å

HINDRE UETISK ATFERD OG KORRUPSJON Sluttbehandles i: Kontrollutvalget

Behandling Møtedato Saksbehandler Unntatt off.

Kontrollutvalget 28.08.2019 Kjetil Solbrækken Nei

Saksdokumenter:

1. Råd for etikkarbeid i kommuner – Del av Oslo Economics rapport 2017-61

Ikke vedlagt

FORSLAG TIL VEDTAK:

SAKSOPPLYSNINGER:

Bakgrunnen for saken er vedtak i kontrollutvalget 13.02.2019 i f.m. saken «OPPFØLGING AV RÅD

FOR ETIKKARBEID I KOMMUNER (FOU-RAPPORT)». Her fikk kontrollutvalget en orientering

fra rådmannen om etikkarbeidet i Vestre Toten kommune og hvordan det jobbes med verdier,

holdninger og kultur. FoU-rapportens råd ble gjennomgått i sin helhet med utgangspunkt i de ni

arbeidsområdene som fremgår av rapporten.

Saken er en oppfølging av pkt. 3 i kontrollutvalget vedtak i saken (sak 04/2019):

1. Rådmannens gjennomgang av kommunens arbeid innenfor de ni arbeidsområdene i rapporten Råd for etikkarbeid i kommuner, tas til orientering.

2. Med bakgrunn i presentasjonen i møtet har kontrollutvalget inntrykk av at det er skapt en god kultur i Vestre Toten kommune, og at dagens praksis i all hovedsak er i tråd med rådene

i rapporten.

3. Kontrollutvalget ønsker å følge opp rådene under arbeidsområde 9 - Bruke mulighetene i digitalisering for å hindre uetisk atferd og korrupsjon. Saken følges opp i tilknytning til

orientering om kommunens digitaliseringsstrategi, etter at denne er vedtatt av

kommunestyret senere i 2019.

2

Med bakgrunn i vedtakets pkt. 3 er rådmannen invitert til å orientere om hvordan rådet om å «Bruke mulighetene i digitalisering for å hindre uetisk atferd og korrupsjon» er tatt hensyn til i Vestre Toten kommune. Saken legges frem uten forslag til vedtak. Råd for etikkarbeid i kommuner – Del av Oslo Economics rapport 2017-61 Det er i kontrollutvalgets vedtak henvist til rapporten Råd for etikkarbeid i kommuner og arbeidsområde 9 - Bruke mulighetene i digitalisering for å hindre uetisk atferd og korrupsjon. Nedenfor følger utdrag fra rapporten der arbeidsområde 9 er omtalt:

ARBEIDSOMRÅDE 9: BRUKE MULIGHETENE I DIGITALISERING FOR Å HINDRE UETISK ATFERD OG KORRUPSJON Digitalisering gir nye muligheter for å hindre uetisk atferd og korrupsjon. For eksempel kan digitale løsninger sikre at vedtak ikke kan fattes uten at personer med nødvendige fullmakter har godkjent saken. Videre kan digitalisering gi nye muligheter til etterprøvbarhet av beslutningsprosesser og brukes i opplæringsformål. Råd 1: Der det er mulig bør kommunens medarbeidere bruke digitale saksbehandlingssystem som sikrer at saksbehandlere kun har tilgang til egne saker, at spor lagres, og at personer med rett fullmakt må godkjenne saker før endelige vedtak Digitale saksbehandlingssystemer brukes i de fleste tjeneste- og arbeidsområder i kommunen. Slike systemer kan forhindre misbruk og uetisk atferd, for eksempel ved at fullmakter til saksbehandlere er begrenset til egne saker og at tredjepersoner med riktige fullmakter må godkjenne saker. De digitale systemene bør innrettes slik at spor lagres og beslutningsprosesser kan etterprøves. I en del systemer kan det i tillegg være aktuelt å opprette systemvarsler til ledere ved mistenkelig atferd i saksbehandlingen. Dette kan være nyttig i for eksempel plan- og byggesakssystemer, samt digitale anskaffelses/konkurransegjennomføringsverktøy. Råd 2: Kommunen bør arbeide aktivt for at digitale løsninger innrettes på en måte som hindrer uetisk atferd og korrupsjon Digitalisering er en pågående prosess og foregår i høyt tempo i mange deler av kommunesektoren. Når det investeres i nye digitale løsninger, er det viktig at kommunen på relevante områder også tenker på hvordan løsningene kan bidra til å hindre uetisk atferd og korrupsjon. Råd 3: Kommunen bør bruke potensialet i digitale løsninger for å gi økt åpenhet og innsyn i kommunenes arbeid Digitale løsninger kan hjelpe til å samle informasjon om kommunenes aktivitet og gjøre den enklere tilgjengelig. De vil gi økt åpenhet og lettere mulighet for innsyn, som igjen kan forhindre uetisk atferd og korrupsjon. Et godt eksempel på god digital informasjon er internettløsninger med kart over pågående plan- og byggesaker. Eksempler på hvordan rådene kan følges i praksis

• • Digitaliseringsstrategien i KS • • Planinnsyn - internettløsning for kart over plan- og byggesaker i Oslo kommune

1

SAK NR. 37/2019


DIGITALISERINGSSTRATEGI 2019-2022 FOR VESTRE TOTEN KOMMUNE Sluttbehandles i: Kontrollutvalget


Saksdokumenter: 1. Digitaliseringsstrategi 2019-2022

Vedlegg 1

FORSLAG TIL VEDTAK: Digitaliseringsstrategi 2019-2022 for Vestre Toten kommune tas til orientering.

SAKSOPPLYSNINGER: Digitaliseringsstrategien for Vestre Toten kommune er et sentralt strategidokument kontrollutvalget bør være kjent med. Kommunestyret vedtok i sitt møte den 25.04.2019 digitaliseringsstrategi for perioden 2019-2022 (k.sak 36/19). Strategidokumentet legges frem for kontrollutvalget til orientering.

DIGITALISERINGSSTRATEGI 2019 -2022

Rådma

Documents

INNKALLING TIL MØTE I KONTROLLUTVALGET · 2019. 8. 22. · eller fylkeskommunen. Kontrollutvalgets forlag til budsjettramme for kontroll- og revisjonsarbeidet skal følge formannskapets