Denne strategien er utviklet med bakgrunn i min erfaring som personvernombud og rådgiver innen digitalisering, informasjonssikkerhet og personvern. Erfaringen viser at kommuner lykkes best når de kan konsentrere seg om tjenesteproduksjon, mens komplekse faglige vurderinger og dokumentasjonsprosesser utføres av fagpersoner med riktig kompetanse.
Kommunens tjenester er avhengige av moderne og sikre digitale løsninger. Strategien jeg foreslår fokuserer på at kommunen skal arbeide med IKT-sikkerhet og personvern på en måte som både ivaretar innbyggernes rettigheter og samtidig legger til rette for en effektiv og trygg tjenesteproduksjon. Arbeidet med sikkerhet og personvern skal ikke være en hindring, men en støtte for de tjenestene kommunen leverer.
1. Tjenesteproduksjonen er viktigst
Strategien legger til grunn at kommunen skal bruke mest mulig tid og ressurser på tjenesteproduksjon, og minst mulig tid på å utarbeide kompliserte dokumenter som krever juridisk, organisatorisk og teknisk ekspertise. Erfaring viser at slike dokumenter ofte blir mangelfulle når de utarbeides lokalt, og at kommunen får langt bedre kvalitet og lavere risiko når dokumentasjonen leveres av fagpersoner som jobber med dette til daglig.
Derfor skal behandlingsprotokoller, DPIA-er, instrukser, rutiner, retningslinjer og risikovurderinger leveres ferdig utarbeidet av eksterne fagressurser. Kommunens rolle blir å ta dokumentene i bruk, forankre dem i lokale roller og sørge for etterlevelse.
2. IT-avdelingens rolle
Basert på lang erfaring fra kommunesektoren er det tydelig at IT-avdelingen bør ha et fokusert og tydelig ansvar for teknisk sikkerhet, autentisering og drift, og ikke involveres i juridisk eller organisatorisk dokumentproduksjon. Dette sikrer både høyere kvalitet og mindre ressursbruk.
IT-avdelingen skal derfor arbeide med tekniske sikkerhetstiltak som sikring av nettverk, autentiseringsløsninger, tilgangsstyring, patching, hendelseshåndtering, sikkerhetskopiering, gjenoppretting og overvåkning. De skal sørge for en stabil, sikker og brukervennlig drift som gjør det mulig for ansatte å levere gode tjenester uten unødig friksjon.
Erfaring viser at god teknisk sikkerhet fungerer best når den er mest mulig usynlig for brukerne. Tiltakene skal derfor være robuste, men også smidige, slik at de støtter arbeidsprosessene i stedet for å vanskeliggjøre dem.
3. Lederes ansvar
Lederes ansvar i kommunal sektor er først og fremst å sikre gode tjenester. Basert på erfaring er det urealistisk og lite hensiktsmessig at ledere skal skrive egne rutiner, gjøre juridiske vurderinger eller lage risikovurderinger. Strategien tar derfor utgangspunkt i at ledernes ansvar er å sikre etterlevelse av ferdig utarbeidede rutiner og retningslinjer.
Ledere skal sørge for at ansatte kjenner gjeldende rutiner, at disse gjennomgås jevnlig, at nyansatte får opplæring og at avvik og hendelser meldes og følges opp. Dette gir ledere en tydelig rolle som er fullt ut gjennomførbar, forutsigbar og i tråd med kommunens behov.
4. Ansattes ansvar
Erfaring viser at ansatte trenger klare, konkrete og enkle rutiner for å etterleve sikkerhet og personvern i praksis. Ansatte skal derfor ikke måtte tolke lovverk eller ta komplekse vurderinger. De skal kun følge de rutiner og instrukser som kommunen gjør tilgjengelige.
Ansatte skal behandle informasjon sikkert, bruke systemer på riktig måte, melde avvik og delta i opplæring. Når rutinene er tydelige og oppgavene er realistiske, øker etterlevelsen betydelig.
5. Dokumentasjon og faglige vurderinger – levert av eksterne
En av de viktigste erfaringene som ligger til grunn for denne strategien, er at kommuner får langt bedre kvalitet og lavere risiko når all kompleks dokumentasjon leveres av eksterne fagpersoner. Dette inkluderer blant annet DPIA-er, risikovurderinger, behandlingsprotokoller, rutiner, instrukser, KI-retningslinjer, leverandørkontroller og vurdering av behandlingsgrunnlag. Dette er en oppnåelig strategi kontra at hver kommune skal utarbeide og gjøre alt selv. En slik stramei sikrer en faglig kvalitet som er vanskelig å oppnå lokalt, samtidig som kommunen kan konsentrere seg om å bruke dokumentene i praksis.
6. Leverandøroppfølging og databehandleravtaler
Oppfølging av leverandører, gjennomgang av databehandleravtaler og risikovurderinger av tredjepartsleverandører er arbeidsoppgaver som krever både juridisk og teknisk kompetanse. Basert på erfaring anbefales det sterkt at kommunen setter ut dette arbeidet til eksterne fagressurser. Kommunen beholder styringen, men overlater selve analysene og vurderingene til profesjonelle aktører, noe som gir mer presise vurderinger og bedre beskyttelse mot leverandørrelaterte risikoer.
7. Sikkerhet og personvern skal støtte tjenesteproduksjonen
Strategien bygger på erkjennelsen av at sikkerhet og personvern ikke skal være en barriere for tjenestene, men en støtte. Erfaring fra kommuner viser at når sikkerhets- og personverntiltak er praktiske, fornuftige, forståelige og risikobaserte, fungerer de langt bedre og skaper mindre frustrasjon. Tiltak skal derfor være proporsjonale, brukervennlige og tilpasset kommunens faktiske risikobilde. Målet er å skape trygghet uten å svekke tjenestetilbudet.
Oppsummering
Strategiforslaget ovenfor bygger på erfaring fra kommunal sektor og tar utgangspunkt i hva som faktisk fungerer i praksis. Den legger opp til en organisering der kommunen kan konsentrere seg om sitt samfunnsoppdrag – å levere gode tjenester – mens faglig kompliserte oppgaver håndteres av spesialister. Slik får kommunen bedre kvalitet, lavere risiko og høyere etterlevelse, samtidig som sikkerhet og personvern blir en naturlig del av tjenesteproduksjonen.
Denne strategien er utviklet med bakgrunn i min erfaring som personvernombud og rådgiver innen digitalisering, informasjonssikkerhet og personvern. Erfaringen viser at kommuner lykkes best når de kan konsentrere seg om tjenesteproduksjon, mens komplekse faglige vurderinger og dokumentasjonsprosesser utføres av fagpersoner med riktig kompetanse.
Kommunens tjenester er avhengige av moderne og sikre digitale løsninger. Strategien jeg foreslår fokuserer på at kommunen skal arbeide med IKT-sikkerhet og personvern på en måte som både ivaretar innbyggernes rettigheter og samtidig legger til rette for en effektiv og trygg tjenesteproduksjon. Arbeidet med sikkerhet og personvern skal ikke være en hindring, men en støtte for de tjenestene kommunen leverer.
1. Tjenesteproduksjonen er viktigst
Strategien legger til grunn at kommunen skal bruke mest mulig tid og ressurser på tjenesteproduksjon, og minst mulig tid på å utarbeide kompliserte dokumenter som krever juridisk, organisatorisk og teknisk ekspertise. Erfaring viser at slike dokumenter ofte blir mangelfulle når de utarbeides lokalt, og at kommunen får langt bedre kvalitet og lavere risiko når dokumentasjonen leveres av fagpersoner som jobber med dette til daglig.
Derfor skal behandlingsprotokoller, DPIA-er, instrukser, rutiner, retningslinjer og risikovurderinger leveres ferdig utarbeidet av eksterne fagressurser. Kommunens rolle blir å ta dokumentene i bruk, forankre dem i lokale roller og sørge for etterlevelse.
2. IT-avdelingens rolle
Basert på lang erfaring fra kommunesektoren er det tydelig at IT-avdelingen bør ha et fokusert og tydelig ansvar for teknisk sikkerhet, autentisering og drift, og ikke involveres i juridisk eller organisatorisk dokumentproduksjon. Dette sikrer både høyere kvalitet og mindre ressursbruk.
IT-avdelingen skal derfor arbeide med tekniske sikkerhetstiltak som sikring av nettverk, autentiseringsløsninger, tilgangsstyring, patching, hendelseshåndtering, sikkerhetskopiering, gjenoppretting og overvåkning. De skal sørge for en stabil, sikker og brukervennlig drift som gjør det mulig for ansatte å levere gode tjenester uten unødig friksjon.
Erfaring viser at god teknisk sikkerhet fungerer best når den er mest mulig usynlig for brukerne. Tiltakene skal derfor være robuste, men også smidige, slik at de støtter arbeidsprosessene i stedet for å vanskeliggjøre dem.
3. Lederes ansvar
Lederes ansvar i kommunal sektor er først og fremst å sikre gode tjenester. Basert på erfaring er det urealistisk og lite hensiktsmessig at ledere skal skrive egne rutiner, gjøre juridiske vurderinger eller lage risikovurderinger. Strategien tar derfor utgangspunkt i at ledernes ansvar er å sikre etterlevelse av ferdig utarbeidede rutiner og retningslinjer.
Ledere skal sørge for at ansatte kjenner gjeldende rutiner, at disse gjennomgås jevnlig, at nyansatte får opplæring og at avvik og hendelser meldes og følges opp. Dette gir ledere en tydelig rolle som er fullt ut gjennomførbar, forutsigbar og i tråd med kommunens behov.
4. Ansattes ansvar
Erfaring viser at ansatte trenger klare, konkrete og enkle rutiner for å etterleve sikkerhet og personvern i praksis. Ansatte skal derfor ikke måtte tolke lovverk eller ta komplekse vurderinger. De skal kun følge de rutiner og instrukser som kommunen gjør tilgjengelige.
Ansatte skal behandle informasjon sikkert, bruke systemer på riktig måte, melde avvik og delta i opplæring. Når rutinene er tydelige og oppgavene er realistiske, øker etterlevelsen betydelig.
5. Dokumentasjon og faglige vurderinger – levert av eksterne
En av de viktigste erfaringene som ligger til grunn for denne strategien, er at kommuner får langt bedre kvalitet og lavere risiko når all kompleks dokumentasjon leveres av eksterne fagpersoner. Dette inkluderer blant annet DPIA-er, risikovurderinger, behandlingsprotokoller, rutiner, instrukser, KI-retningslinjer, leverandørkontroller og vurdering av behandlingsgrunnlag. Dette er en oppnåelig strategi kontra at hver kommune skal utarbeide og gjøre alt selv. En slik stramei sikrer en faglig kvalitet som er vanskelig å oppnå lokalt, samtidig som kommunen kan konsentrere seg om å bruke dokumentene i praksis.
6. Leverandøroppfølging og databehandleravtaler
Oppfølging av leverandører, gjennomgang av databehandleravtaler og risikovurderinger av tredjepartsleverandører er arbeidsoppgaver som krever både juridisk og teknisk kompetanse. Basert på erfaring anbefales det sterkt at kommunen setter ut dette arbeidet til eksterne fagressurser. Kommunen beholder styringen, men overlater selve analysene og vurderingene til profesjonelle aktører, noe som gir mer presise vurderinger og bedre beskyttelse mot leverandørrelaterte risikoer.
7. Sikkerhet og personvern skal støtte tjenesteproduksjonen
Strategien bygger på erkjennelsen av at sikkerhet og personvern ikke skal være en barriere for tjenestene, men en støtte. Erfaring fra kommuner viser at når sikkerhets- og personverntiltak er praktiske, fornuftige, forståelige og risikobaserte, fungerer de langt bedre og skaper mindre frustrasjon. Tiltak skal derfor være proporsjonale, brukervennlige og tilpasset kommunens faktiske risikobilde. Målet er å skape trygghet uten å svekke tjenestetilbudet.
Oppsummering
Strategiforslaget ovenfor bygger på erfaring fra kommunal sektor og tar utgangspunkt i hva som faktisk fungerer i praksis. Den legger opp til en organisering der kommunen kan konsentrere seg om sitt samfunnsoppdrag – å levere gode tjenester – mens faglig kompliserte oppgaver håndteres av spesialister. Slik får kommunen bedre kvalitet, lavere risiko og høyere etterlevelse, samtidig som sikkerhet og personvern blir en naturlig del av tjenesteproduksjonen.
