Tilsynene har vist at mange virksomheter bare har internkontroll i forbindelse informasjonssikkerhet. Ikke glem at internkontrollen også skal sikre den registrertes rettigheter og en ryddig behandling! Plikten til å ha et internkontrollsystem går frem i personopplysningsloven (§§ 13 og 14) og personopplysningsforskriftens kapittel 3.
Regelverket stiller ikke formelle strukturkrav til internkontroll, men det er krav om at tiltakene skal dokumenteres. Internkontrollsystemet må tuftes på hovedprinsippene i avsnittene under. Listen er ikke uttømmende, og punktene må ses på som eksempler som kun skal tas med dersom de er aktuelle for virksomheten.
Styrende dokumenter
Juridiske forhold
- Stadfesting av behandlingsansvarlig
- Kartleggig av behandlinger
- Identifisere formål med behandlingene
- Hjemmelsgrunnlag for behandlingene
- Vurdere om formålet med behandlingen er i samsvar med hjemmelsgrunnlaget
- Identifisering av krav/plikter
- Mål/policy – eller overordnede rammer for behandling av personopplysninger
- Om egenkontroll og avviksbehandling
Informasjonssikkerhet
- Sikkerhetsmål
- Sikkerhetsstrategi
- Sikkerhetsorganisasjonen
- Overordnet om konfigurasjonskontroll
- Egenkontroll og avviksbehandling
Gjennomførende aktiviteter
Juridiske forhold
Rutiner for:
- Innsyn, retting, supplering
- Oppfyllelse av plikt til informasjon
- Innhenting og kontroll av samtykke
- Vurdering av opplysningens kvalitet
- Sletting av personopplysninger
- Ivaretakelse av eventuell reservasjonsrett
- Melde- og konsesjonsplikt
- Prosedyre for iverksettelse eller opphør av behandling
Informasjonssikkerhet
Stadfesting av:
- Organisering av sikkerhetsarbeidet
- Informasjonssystem - beskrivelse
- Sikkerhetskopiering
- Tilgang til informasjonssystemet
- Konformitetserklæring fra den ansatte
Rutiner for:
- Bruk av Internett
- Bruk av elektronisk post
- Utskrift og kopiering
- Makulering av dokumenter
- Sikkerhet og orden på eget kontor
- Adgangskontroll
- Innleid teknisk personell og håndverkere
- Bruk av hjemmekontor
- Bruk av bærbar datamaskin
Kontrollerende aktiviteter
Juridiske forhold
- Prosedyre for periodisk kontroll
- Håndtering av avvik
- Rapport fra periodisk kontroll og forslag til tiltak
Informasjonssikkerhet
- Prosedyre for periodisk kontroll
- Prosedyre for kontroll av fysisk sikkerhet
- Prosedyre for kontroll av logisk sikkerhet
- Håndtering av avvik
- Rapport fra periodisk kontroll og forslag til tiltak
Se også:
Kommunenes internkontroll - verktøy for rådmenn