Tilsynsvirksomheten
Gjennomføring av tilsyn/kontroll er en viktig aktivitet for å nå Datatilsynets mål. Vi skal gjennomføre tilsyn i prioriterte sektorer basert på risikoanalyse, systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg.
Vi bruker planlagte tilsyn strategisk for å avklare praksis og for å skape oppmerksomhet om kravene i regelverket. Formålet med de fleste tilsynene går utover det å bare kontrollere regelverksetterlevelse hos den ene virksomheten. Vi arbeider for at tilsynsaktiviteten vår skal bidra til bedre regelverksetterlevelse hos et større antall virksomheter. Her er bruk av kontroller i kombinasjon med andre virkemidler, spesielt kommunikasjon, sentralt.
Tilsyn gjennomføres i hovedsak innen våre prioriterte områder. De er nærmere beskrevet under kapittelet «Årets viktigste aktiviteter».
Hvilke virksomheter vi faktisk velger å kontrollere, faller normalt i to kategorier; virksomheter hvor det antas å være en særskilt risiko, og representative virksomheter for å avdekke status i en sektor eller et tematisk område. I 2014 gjennomførte vi totalt 68 tilsyn. I tillegg kommer bruk av kontrollhjemlene våre i annen saksbehandling enn tilsynsvirksomheten, til sammen 246 saker.
I løpet av 2014 gjennomførte vi generelle kontroller hos en rekke virksomheter innen skole- og utdanningssektoren for å skaffe oss et godt grunnlag for påfølgende bruk av andre virkemidler. Videre gjennomførte vi noen mer spissede tematiske tilsyn innen helse og velferd (slik som tilsyn hos tiltaksarrangører for NAV), samt justissektoren. Det ble også gjennomført tilsyn med internkontroll og informasjonssikkerhet i offentlig sektor for å påvirke sektoren til en bedre etterlevelse.
Generelle kommentarer
Det vi her regner som tilsyn, er våre kontroller med om regelverket er fulgt, og der det normalt blir utarbeidet en rapport i etterkant. Et tilsyn eller en kontroll blir vanligvis gjennomført ved at to eller tre medarbeidere fra Datatilsynet besøker en virksomhet.
I noen tilfeller gjennomføres planlagte kontroller som en skriftlig prosess, uten at vi er på fysisk besøk hos virksomheten. Dette er i tilfeller hvor det vi ønsker å undersøke er egnet å få avklart uten stedlig oppmøte. I 2014 ble 55 av tilsynene gjennomført hos virksomhetene (stedlig tilsyn), mens 13 ble gjennomført via brev (brevlig tilsyn).
De brevlige tilsynene skiller seg fra bruk av de samme kontrollhjemlene i øvrig saksbehandling ved at de er en planlagt undersøkelse av konkrete forhold i virksomhetene. I 2014 ble brevlige tilsyn vurdert som hensiktsmessig for den oppfølgingen vi gjorde overfor banker og noen av skolene.
Oversikt over kontrollene Datatilsynet gjennomførte i 2014, fordelt på stedlige og brevlige tilsyn:
Bransje/sektor/område | Stedlig | Brevlig | Totalt |
Justis- og politisektoren | 4 | 0 | 4 |
Helse og velferd | 14 | 0 | 14 |
Skole og utdanning | 11 | 9 | 20 |
Offentlig sektor | 18 | 0 | 18 |
Bank og finans | 0 | 3 | 3 |
Kameraovervåking | 6 | 0 | 6 |
Andre | 2 | 1 | 3 |
Sum | 55 | 13 | 68 |
Vi har brukt kontrollhjemler i 246 øvrige saker. Dette tallet er hentet ut fra arkivsystemet ved hjelp av søk på sakstype og dokumentenes tittel. På grunn av måten disse dataen er hentet ut på kan vi ikke legge til grunn at tallet er fullstendig presist, men vi anser det som et representativt mål. Selv om det er gjentatt bruk av kontrollhjemler i en enkelt sak, er saken bare talt én gang.
Avvik fra planer
Vi planla å gjennomføre 77 tilsyn i 2014. Årsresultatet er noe under dette. Det er flere grunner til dette:
- Omorganiseringen (se «Organisasjon og budsjett») kostet oss noe kapasitet på kort sikt, selv om målet er bedre og mer effektiv oppgaveløsning.
- Vi kuttet ut to kontroller med granskningsvirksomheter. Dette fordi gjennomføringen av de to første kontrollene krevde mye ressurser (overtredelsesgebyrsaker og klagesaker), og at vi anser at målet med kontrollene på kort sikt blir nådd ved å gjennomføre to og ikke fire tilsyn.
- Vi kuttet tilsyn etter politiregisterloven, da bruk av andre virkemidler ble vurdert som mer egnet.
- Prosjekttilsyn om internkontroll og informasjonssikkerhet i reiselivsbransjen ble utsatt. Disse ble varslet i 2014 og gjennomføres i januar og februar 2015.
- Tre planlagte kontroller med kommuner ble ikke varslet på grunn av en flom på Vestlandet som to av de aktuelle tilsynsobjektene var berørt av. Tilsyn ble i stedet varslet på slutten av året og gjennomføres i februar 2015.
- Etterkontroll med Narvik kommune om bruk av skytjenester ble utsatt og kontrollbrev ble sendt ut sent i 2014, med svarfrist i 2015.
Funn fra tilsynene – avdekkede avvik
Funn som blir gjort under tilsyn kategoriseres som avvik. Det vi si at vi har vurdert praksisen hos den kontrollerte virksomheten til å være et avvik fra krav i regelverket.
Hvilke avvik som avdekkes vil naturligvis avhenge av hva som er tema for den aktuelle kontrollen. For eksempel er kontrollene med finanssektoren brevkontroller på et spesifikt tema, og vi undersøker da ikke internkontroll generelt eller bruk av avtaler.
Saker med særlig interesse er omtalt under de respektive fagområdene under «Årets viktigste aktiviteter». Det er likevel grunn til å fremheve at vi ser systematiske avvik i offentlig sektor og utdanningssektoren knyttet til internkontroll, informasjonssikkerhet og etablering av databehandleravtaler. For tilsyn gjennomført i 2014 er det varslet overtredelsesgebyr overfor fem av atten offentlige virksomheter.
Ett av tilsynene som ble gjennomført i 2014 er ikke kommet tilstrekkelig langt i saksbehandlingen til at avvikene lar seg klassifisere. Derfor avviker antallet tilsyn i tabellen under fra det totale antallet tilsyn gjennomført i 2014.
Oversikt over hvilke typer avvik vi har avdekket under kontrollene i 2014:
Område
|
Totalt ant. tilsyn | Antall tilsyn hvor det ble avdekket avvik av en gitt kategori | |||||||
Ingen avvik | Fravær av intern-kontroll1 | Utilstr. enkelt-rutiner i intern-kontroll1 | Utilstr. sikkerhets-tiltak2 | Manglende rettslig gr.lag3 | Utilstr. avtaler4 | Brudd på mld. plikt | Annet avvik | ||
Justis- og politisektoren | 4 | 0 | 0 | 0 | 3 | 1 | 4 | 0 | 0 |
Helse og velferd | 13 | 1 | 0 | 5 | 4 | 0 | 5 | 1 | 3 |
Skole og utdanning | 20 | 0 | 0 | 20 | 20 | 2 | 19 | 0 | 0 |
Offentlig sektor | 18 | 0 | 5 | 13 | 14 | 0 | 11 | 8 | 0 |
Bank og finans | 3 | 3 | - | 0 | - | 0 | - | - | - |
Kameraovervåking | 6 | 0 | - | 4 | 1 | 4 | 0 | 2 | 5 |
Andre | 3 | 0 | 1 | 1 | 1 | 0 | 2 | 1 | 0 |
Sum | 67 | 4 | 6 | 43 | 43 | 7 | 41 | 12 | 8 |
- Internkontroll her er både knyttet til informasjonssikkerhet (pol § 13 og tilsvarende) og ivaretakelse av lovens øvrige krav (pol § 14 og tilsv.). "Fravær av internkontroll" benyttes dersom virksomheten har store mangler i det systematiske arbeidet. For øvrig benyttes "Utilstrekkelige enkeltrutiner"
- Herunder manglende risikovurderinger
- Herunder brudd på konsesjonsplikten
- Databehandleravtaler (pol § 15 og tilsv.), avtale med sikkerhetsparter (pof § 2-15 og tilsv.), samt andre forhold som skal reguleres i avtale
- "-" brukes der hvor kategorien ikke ble kontrollert
Kommunikasjon av funn fra kontrollene
Funn fra våre tilsyn blir først samlet og systematisert i kontrollrapporter. Foreløpige rapporter blir så sendt til tilsynsobjektet, tilbakemeldinger blir vurdert og det utformes til slutt en endelig rapport.Alle endelige rapporter publiseres på Datatilsynets nettsted slik at andre aktører i tilsvarende bransje kan lese om funn og hva vi er opptatt av. Videre stadfester rapportene vår forvaltningspraksis innen de aktuelle feltene.
Utover dette brukes funnene i dialog med bransjeforeninger, sektormyndigheter og andre sentrale aktører som tar utfordringene videre. Funn fra tilsyn presenteres også på relevante foredrag.
Noen gjennomførte og planlagte aktiviteter for å følge opp tilsynene i 2014:
- Etter tilsynene med skoler og barnehager, oppsummerte vi arbeidet i en samlerapport. Denne ble lansert i juli 2014 på en pressekonferanse sammen med Kommunal- og moderniseringsdepartementet (KMD) og Kunnskapsdepartementet (KD). Videre dialog med sektoren er påbegynt med mål om påvirke sektoren til å etablere nødvendig veiledning, for eksempel en bransjenorm. Dette omtales nærmere i kapittelet om «Barn, unge og utdanning».
- Etter tilsynene med private etterforsknings- og granskningsvirksomheter, har vi møtt bransjeorganisasjoner i arbeidet med å etablere felles retningslinjer (bransjenorm) for sektoren. Vi har i den forbindelse deltatt i Finansnæringens fellesorganisasjon (FNO) sitt arbeid med en bransjenorm for forsikringsbransjen.
- Vi har over tid konstatert at kommunene har utfordringer med å etterleve systempliktene i regelverket. Vi intensiverer nå dialogen med Kommunesektorens organisasjon (KS) om dette temaet. Vi legger til grunn at bruken av overtredelsesgebyr etter tilsynene i 2014 vil bidra til at budskapet mottas bedre i sektoren.
- Vi har også startet opp et prosjekt hvor vi først vil gjennomføre et fåtall tilsyn i en bransje hvor vi ikke har vurdert risikoen som høy (reisebyrå), for deretter ta initiativ til dialog med aktuelle bransjeforeninger for å sørge for at det utarbeides veiledningsmateriell for bransjen. Bred etterlevelse av regelverket får vi først når sektorer selv arbeider for etterlevelse. Prosjektet har som mål å initiere slike prosesser med en begrenset ressursbruk fra Datatilsynets side.
Etterkontroller
I 2014 gjennomførte Datatilsynet etterkontroll med en skole. Tre øvrige etterkontroller som var planlagt ble utsatt som beskrevet over (to kommuner og skytjenester). Disse ble varslet på slutten av 2014, og gjennomføres i 2015.
I tillegg ble det gjennomført tre tilsyn med kommuner som hadde negative svar om etterlevelse av internkontrollplikten i kommuneundersøkelsen vår i 2010/2011. For to av disse resulterte tilsynene med at det ble varslet om overtredelsesgebyr på grunn av store mangler ved kommunenes internkontroll.