Innledningsvis finner kommunen grunn til å understreke at det ikke er konstatert personopplysninger på avveie eller sviktende ikt-sikkerhet. Dette dreier seg om kritkk av manglende rutiner og internkontroll, samt holdninger og organisasjonskultur knyttet til rutiner og internkontroll. Det er også grunn til å understreke at en del av rutinene finnes i praksis, men de finnes ikke som dokumenterte skriftelige rutiner.

Rådmannen har tatt denne situasjonen på største alvor, og satte umiddelbart i gang tiltak for å starte prosessen med å lukke de avvikene i etterkant av tilsynet. For å understreke at rådmannen tok situasjonen på største alvor, ble både formannskap og kontrollutvalget ved første mulighet varslet om tilsynet, og det som antagelig ville komme som resultat i rapporten fra Datatilsynet. Videre ble det gjennomført orientering til de tillitsvalgte og alle ledere i kommunen, slik at disse også er med i "loopen". På dette tidspunkt var kommunen for øvrig ikke klar over at det ville komme et overtredelsegebyr fra Datatilsynet.

Administrasjonen er nå i en prosess med å gjennomgå den foreløpige rapporten fra Datatilsynet, men ser ingen grunn til å bestride de faktiske forholdene som fremkommer i rapporten. Vår vurdering av Datatilsynets tilsyn er at det er en kraftig - og ut i fra rapportens innhold - åpenbart nødvendig vekker. Rådmannnen vil nå se til at dette resulterer i at personvern og internkontroll får den nødvendige prioritet. Dette for i neste omgang å sikre at kommunens politikere, innbyggere og samarbeidspartnere har tillit til at personvern, informasjonssikkerhet og personvern blir tatt på største alvor i Eigersund kommune.

Bla som resultat av ulike tilsyn har administrasjonen blitt klar over at vår formelle internkontroll på flere felt ikke har vært tilfredsstillende, og dette var bla årsaken til at administrasjonen tidligere har blitt styrket med en stilling innenfor bla internkontroll. Det er imidlertid et meget krevende og tungt arbeid som det tidvis kan være vanskelig å få prioritert høyt nok i en situasjonen der det er stor mangel på administrative ressurser. 

I tiden etter tilsynet har det vært mest fokus på å få på plass overordnede strukturer og rutiner for internkontroll, formell sikkerhetsorganisasjon og grunnleggende instrukser som f.eks Instruks for håndtering av sensitive personopplysninger og taushetsbelagte informasjon (Gradert informasjon). Samtidig har det har blitt innført mange innstramminger og tøffere oppfølging av gjeldende og allerede eksisterende rutiner som f.eks kommunens arkivreglement. Det er også foretatt en innskjerping når det gjelder av bruk av e-post, som ikke skal brukes til å sende sensitive personopplysninger. Videre har også blitt gjennomført orienteringer og gjennomgang for et større antall ansatte om personvern, sikkerhet og internkontroll. Eigersund kommune har også vært på besøk i Sandnes kommune for å lære av dem. Dette da de er kjent for å ha svært god kontroll og rutiner på dette feltet.

Kommunen er pålagt å inngå en formell databehandleravtale i de tilfellene der andre bedrifter behandler alle typer personopplysninger (ikke bare sensitive personopplysninger) på vegne av kommunen. Det er satt i gang et arbeid med å få på plass slike databehandleravtaler med alle våre samarbeidspartnere, noe som tidvis har vist seg å være litt utfordrende da flere store data leverandør til kommunesektoren, stiller seg uforstående til at dette er nødvendig og hevder at problemstillingen er helt ukjent for dem.

Rådmannen har ellers bestemt at personvern, informasjonssikkerhet og internkontroll skal være et sentralt kriterie i de årlige ledervurderingene som det arbeides med å få på plass. Samtidig har rådmannen varslet internt i organisasjonen om at manglende oppfølging av gjeldende rutiner og tiltak vil kunne få personlige konsekvenser for akturelle ledere.

Av andre tiltak som er iverksatt, kan det bla  nevnes at det i høst 2014 ble satt av ekstra midler til bedring av informasjonssikkerhet. De økte budsjettmidlene har bla gått til innkjøp av godkjente makuleringsmaskiner, innkjøp av 350 krypterte LOK-IT minnepinner som skal kvitteres ut av alle ansatte som har behov for å lagre sensitiv informasjon, ytterligere 100 slike minnepinner skal bestilles i løpet av januar. Disse vil bli fordelt i organisasjonen i løpet av januar-februar.

I årets budsjett som er preget av innsparinger og reduksjon på driftstiltak, ble også IKT-kontoret styrket med en stilling. Informasjonssikkerheten er samtidig også styrket i økonomiplanen for kommende perioder.

Samtidig har rådmannens ledergruppe i desember bestemt at det skal settes ned en prosjektgruppe som skal gå i gjennom eksisterende rutiner, og foreslå nye elektroniske rutiner for individuell plan (IP) og individuell opplæringsplan (IOP). Denne arbeidsgruppen vil starte sitt arbeid i løpet av januar. Når vi får på plass elektroniske rutiner for IP og IOP, vil dette bla gi langt bedre og sikrere dokumentflyt innenfor bla skole, samtidig som det vil kunne gi langt bedre innsyn og medvirkning for brukerne og deres pårørende. I tillegg vil det være en betraktelig rasjonaliseringsgevinst fordi tid- og ressurskrevende manuelle rutiner erstattes med elektroniske rutiner.

Administrasjonen er nå i gang med å gjennomgå Datatilsynets foreløpige rapport, og vil i løpet av januar oversende et svar til Datatilsynet sammen med en tidsplan for å lukke avviket. Det er ikke tatt stilling til det varslede overtredelsegebyrets størrelse på kr. 250 000,-. Dette vil bli vurdert og rådmannens innstilling vil antagelig bli lagt frem i en politisk sak om dette til kommunestyret. "Antagelig" fordi det er avhengig av at vi får utsettelse på å vedta forelegget da neste møte i kommunestyret er i mars. Rådmannen legger også opp til at både formannskap og kontrollutvalg vil bli holdt orientert om status for å lukke avvikene frem til alle avvikene er lukket.

I tilleggg har rådmanen bestemt at personvern, informasjonssikkerhet og internkontroll skal være et fast punkt i kommunens årsmelding. Dermed vil det blir foretatt en årlig rapportering til kommunens innbyggere og politikere for dette området.

Dokumenter i saken: