Høringssvar fra Marker kommune

Hei,

jeg heter Torbjørn Sjølstad og er personvernombud for Marker kommune, Skiptvet kommune, Våler kommune i Østfold, Nordkapp kommune, Balsfjord kommune, Storfjord kommune., Lyngen kommune, Kåfjord kommune og Nordreisa kommune. Jeg har lest høringsnotatet fra dere - og det virker i og for seg greit.

Jeg vil anbefale at det ved alvorlige sikkerhetsbrudd ift personvernet, at det i tillegg til å sende melding om dette til den 'andre' behandlingsansvarlige instans - dvs enten NAV-kontoret i kommunen v/anscarlig leder eller kommunen selv v/kommunedirektøren, bør vurderes i det enkelte tilfelle om slik melding OGSÅ bør sendes Datatilsynet i Norge; det er 'fane' om dette ved oppslag på Datatilsynet.no. Jeg vil også anbefale at dersom det oppstår tvil eller uenighet mellom de 2 behandlingsansvarlige instanser, bør personvernombudet i kommunen innkalles til avklarende møte om dette. Jeg er noe i tvil, men etter det jeg forstår har ikke NAV-kontorene i de respektive kommuner EGNE personvernombud. Isåfall må selvsagt også NAV-ombudet innkalles til dette møtet.

Jeg vil også anbefale at det jevnlig - eks hvert annet eller hvert tredje år - foretas såkalte sikkerhetsrevisjoner i hver av kommunene inkl NAV-kontorene. Disse revisjoner vil omfatte både IT-/systemtekniske sikkerhetsforhold inkl datanettverk, bruker-rutiner/organisatoriske forhold for øvrig inkl internkontroll - og fysiske forhold f. eks. adgangskontroller, sikre soner, sikre print-rutiner/-skrivere, osv. Slike revisjoner var tidligere pålagt alle virksomheter - private som offentlige og som behandler personopplysninger og i spesiell grad sensitive personopplysninger, i de daværende forskrifter til Personopplysningsloven. Dette kravet ble dessverre noe 'uthulet' når GDPR ble integrert i Personopplysningsloven i 2018 (i praksis erstatter GDPR de tidligere forskriftene). Med 'uthuling' mener jeg at det i GDPR ikke er tydelig anbefalt jevnlige sikkerhetsrevisjoner - av eksterne, uavhengige revisorer - men istedet 'innbakt' i virksomhetenes internkontroll-rutiner. Dette forholdet bør strengt tatt vurderes på nytt, da bl.a. den tekniske utvikling spesielt på datanettverkssiden er blitt såpass 'avansert' og utfordrende for brukerne, at sikkerheten inkl personvernet i mine øyne er blitt svekket/dårligere de siste 5 årene. Dette inkluderer en i mine øyne svekket brukerkompetanse og -sikkerhetsbevissthet. Internkontroll-rutinene er også for uklare etter min vurdering. Trenger dere videre innspill her, kan dere gjerne kontakte meg - da jeg også arbeider som sikkerhetsrevisor for en rekke virksomheter - med hovedfokus på personvern og pasient-/brukersikkerhet.