Slaktar informasjonstryggleiken i Fitjar kommune

Ein revisjon frå Deloitte syner at Fitjar kommune har store manglar i måten dei handsamar sensitive personopplysningar på.

Deloitte har på oppdrag frå kontrollutvalet i Fitjar kommune gjennomført ein revisjon av IKT-tenesta i Fitjar kommune.

Gjennom intervju, gjennomgang av dokument og spørjeundersøking av eit utval tilsette, konkluderer selskapet med at Fitjar kommune bryt ei rekkje reglar og forskriftar knytt til handsaming av sensitive personopplysningar.

Veit ikkje om ansvaret sitt

Dei fleste Deloitte har intervjua i samband med revisjonen fortel at dei handsamar eller kjem i kontakt med sensitive personopplysningar eller anna fortruleg informasjon.

Likevel  svara over halvparten av respondentane at dei ikkje eller berre delvis veit kva oppgåver og ansvar dei har med omsyn til informasjonstryggleik.

– Det er revisjonen si vurdering at dei tilsette i Fitjar kommune ikkje har tilstrekkeleg kjennskap til retningsliner og rutinar for informasjonstryggleik, skriv Deloitte.

Manglande system

Fitjar kommune har nokre styrande dokument for informasjonstryggleik, men Deloitte meiner desse ikkje er fullstendige og ikkje oppdaterte, og blir i liten grad nytta.

Kommunen har heller ikkje noko system som sikrar at oversikta over personopplysningar kommunen handsamar er oppdatert og fullstendig. Det er difor risiko for at kommunen handsamar personopplysningar utanfor oversikta.

Fitjar kommune har heller ikkje noko system for å halde oversikt over kva databehandlaravtalar dei har inngått.

– Kommunen kan difor ikkje vite om dei har oversikt over kven som handsamar personopplysningar på vegner av kommunen, skriv Deloitte.

På bakgrunn av desse funna meiner selskapet at Fitjar kommune bryt med ei rekkje forskriftar knytt til personvernet.

– Kommunen bryt slik med forskriftskrav om opplæring av tilsette, og det er risiko for at kommunen som eit resultat av manglande kompetanse blant dei tilsette også bryt med andre krav i regelverket knytt til handsaming av personopplysningar, og for informasjonstryggleiken i kommunen generelt.

Avtroppande rådmann i Fitjar kommune, Atle Tornes. Foto: Fitjarposten

Skuldar på dårleg tidspunkt

I sitt svar til revisjonen skriv Fitjar kommune at dei meiner revisjonen i hovudtrekk gir eit godt bilete på status av IKT-tenestene i kommunen, men forklarar alle manglane med at revisjonen vart gjort på eit dårleg tidspunkt.

– Deler av rapporten ber diverre preg av å vere gjennomført på eit mindre gunstig tidspunkt, omlag samstundes med byte av IKT-leiar og før kommunen har fullført arbeidet med å innfri krava i ny personvernlovgiving, skriv rådmann Atle Tornes.

Rådmannen skriv at kommunen tek sikte på å rette opp i avvika utan ekstra ressursar, men at det vil ta tid.