Et felles sett med krav
Alle norske kommuner står overfor de samme kravene når det gjelder leverandøroppfølging. Regelverkene er omfattende og detaljerte – enten vi snakker om GDPR, NSMs grunnprinsipper, Normen for informasjonssikkerhet i helse- og velferdssektoren, NIS2 eller den kommende AI Act. Hver av disse regelverkene stiller krav til at kommunen både vurderer, dokumenterer og følger opp sine leverandører.
Med NIS2 strammes dette inn ytterligere: Kommunene må ikke bare se på egne leverandører, men også på underleverandørkjeden. Leverandørenes leverandører blir dermed en del av kommunens ansvar for sikkerhet og etterlevelse.
Omfanget – langt over 100 systemer
En gjennomsnittlig kommune har ofte langt over 100 ulike systemer når man inkluderer tekniske plattformer, fagsystemer og digitale læringsverktøy. Hvert av disse skal følges opp. En eneste oppfølging kan kreve mange timer og involverer både juridisk, teknisk og organisatorisk kompetanse. Når dette multipliseres med hele systemporteføljen, blir det raskt en nesten umulig oppgave.
Mange kommuner ender derfor med å signere det de får fra leverandørene, uten å gå ordentlig inn i vurderingene. Dermed overføres mye av ansvaret fra leverandørene til kommunene selv.
Ansvarsoverføring gjennom DPIA
Et annet eksempel på hvordan ansvaret skyves over, er knyttet til Data Protection Impact Assessments (DPIA). Ofte sender leverandørene en ferdig mal eller et forslag til DPIA, som kommunen så blir bedt om å fylle ut og signere. Dette kan gi inntrykk av at leverandøren har gjort jobben, men i praksis flytter det ansvaret for vurderingen – og risikoen – over til kommunen.
Erfaring fra innsiden
Som personvernombud opplever jeg dette på nært hold hver dag. Jeg får jevnlig i oppdrag å evaluere databehandlere og DPIA-er for systemer som kommunene ønsker å ta i bruk. På mange måter har kommunene nå endelig fått et verktøy de kan bruke for å håndtere dette – et område som tidligere var et stort savn.
Gjennom dette arbeidet har jeg opparbeidet meg betydelig erfaring, og jeg ser tydelig at dette er et meget stort problem: Oppfølgingen er ressurskrevende, krever bred kompetanse, og altfor ofte blir ansvaret skjøvet over på kommunen. Hvis vi ikke finner en bedre løsning, vil vi oftere oppleve at ting går galt – med både sikkerhet, personvern og tillit som taperne.
Alle gjør det samme – men hver for seg
Det mest paradoksale er at alle kommuner gjør nøyaktig det samme arbeidet – men hver for seg. Alle stiller de samme spørsmålene til de samme leverandørene. Alle lager de samme sjekklistene, tolker de samme lovene og produserer den samme typen dokumentasjon.
Resultatet blir et enormt ressursforbruk nasjonalt, samtidig som kvaliteten varierer kraftig. En liten kommune kan bruke ukesvis på en vurdering som en større kommune har ferdige maler for – uten at sluttresultatet nødvendigvis blir bedre.
Profesjonell leverandøroppfølging som løsning
Når alle kommuner står overfor de samme kravene, men gjør det samme arbeidet parallelt, blir det både kostbart og lite effektivt. I stedet for at hver kommune bygger opp spisskompetanse på GDPR, NSM, Normen, NIS2 og AI Act internt, bør leverandøroppfølgingen i større grad settes ut til profesjonelle aktører som har dette som kjerneoppgave.
Et slikt miljø kan:
Utføre systematiske vurderinger på tvers av kommuner.
Bygge opp ekspertise og standardiserte metoder.
Følge opp både leverandører og underleverandører etter NIS2-krav.
Gjennomføre DPIA-er på en måte som ikke velter ansvaret over på kommunen.
Gi bedre kvalitet på oppfølgingen til en lavere samlet kostnad.
Rapportere tydelig og forståelig tilbake til kommunene, slik at de kan dokumentere etterlevelse og ta gode beslutninger.
Med en slik modell kan kommunene frigjøre tid og ressurser, samtidig som kvaliteten og etterlevelsen styrkes. Det gir en vinn–vinn-situasjon: Leverandørene møter profesjonelle krav, kommunene slipper å duplisere arbeidet, og innbyggerne får tryggere og mer pålitelige tjenester.
Et felles sett med krav
Alle norske kommuner står overfor de samme kravene når det gjelder leverandøroppfølging. Regelverkene er omfattende og detaljerte – enten vi snakker om GDPR, NSMs grunnprinsipper, Normen for informasjonssikkerhet i helse- og velferdssektoren, NIS2 eller den kommende AI Act. Hver av disse regelverkene stiller krav til at kommunen både vurderer, dokumenterer og følger opp sine leverandører.
Med NIS2 strammes dette inn ytterligere: Kommunene må ikke bare se på egne leverandører, men også på underleverandørkjeden. Leverandørenes leverandører blir dermed en del av kommunens ansvar for sikkerhet og etterlevelse.
Omfanget – langt over 100 systemer
En gjennomsnittlig kommune har ofte langt over 100 ulike systemer når man inkluderer tekniske plattformer, fagsystemer og digitale læringsverktøy. Hvert av disse skal følges opp. En eneste oppfølging kan kreve mange timer og involverer både juridisk, teknisk og organisatorisk kompetanse. Når dette multipliseres med hele systemporteføljen, blir det raskt en nesten umulig oppgave.
Mange kommuner ender derfor med å signere det de får fra leverandørene, uten å gå ordentlig inn i vurderingene. Dermed overføres mye av ansvaret fra leverandørene til kommunene selv.
Ansvarsoverføring gjennom DPIA
Et annet eksempel på hvordan ansvaret skyves over, er knyttet til Data Protection Impact Assessments (DPIA). Ofte sender leverandørene en ferdig mal eller et forslag til DPIA, som kommunen så blir bedt om å fylle ut og signere. Dette kan gi inntrykk av at leverandøren har gjort jobben, men i praksis flytter det ansvaret for vurderingen – og risikoen – over til kommunen.
Erfaring fra innsiden
Som personvernombud opplever jeg dette på nært hold hver dag. Jeg får jevnlig i oppdrag å evaluere databehandlere og DPIA-er for systemer som kommunene ønsker å ta i bruk. På mange måter har kommunene nå endelig fått et verktøy de kan bruke for å håndtere dette – et område som tidligere var et stort savn.
Gjennom dette arbeidet har jeg opparbeidet meg betydelig erfaring, og jeg ser tydelig at dette er et meget stort problem: Oppfølgingen er ressurskrevende, krever bred kompetanse, og altfor ofte blir ansvaret skjøvet over på kommunen. Hvis vi ikke finner en bedre løsning, vil vi oftere oppleve at ting går galt – med både sikkerhet, personvern og tillit som taperne.
Alle gjør det samme – men hver for seg
Det mest paradoksale er at alle kommuner gjør nøyaktig det samme arbeidet – men hver for seg. Alle stiller de samme spørsmålene til de samme leverandørene. Alle lager de samme sjekklistene, tolker de samme lovene og produserer den samme typen dokumentasjon.
Resultatet blir et enormt ressursforbruk nasjonalt, samtidig som kvaliteten varierer kraftig. En liten kommune kan bruke ukesvis på en vurdering som en større kommune har ferdige maler for – uten at sluttresultatet nødvendigvis blir bedre.
Profesjonell leverandøroppfølging som løsning
Når alle kommuner står overfor de samme kravene, men gjør det samme arbeidet parallelt, blir det både kostbart og lite effektivt. I stedet for at hver kommune bygger opp spisskompetanse på GDPR, NSM, Normen, NIS2 og AI Act internt, bør leverandøroppfølgingen i større grad settes ut til profesjonelle aktører som har dette som kjerneoppgave.
Et slikt miljø kan:
Utføre systematiske vurderinger på tvers av kommuner.
Bygge opp ekspertise og standardiserte metoder.
Følge opp både leverandører og underleverandører etter NIS2-krav.
Gjennomføre DPIA-er på en måte som ikke velter ansvaret over på kommunen.
Gi bedre kvalitet på oppfølgingen til en lavere samlet kostnad.
Rapportere tydelig og forståelig tilbake til kommunene, slik at de kan dokumentere etterlevelse og ta gode beslutninger.
Med en slik modell kan kommunene frigjøre tid og ressurser, samtidig som kvaliteten og etterlevelsen styrkes. Det gir en vinn–vinn-situasjon: Leverandørene møter profesjonelle krav, kommunene slipper å duplisere arbeidet, og innbyggerne får tryggere og mer pålitelige tjenester.
