– De som har gjort det de skal gjøre etter det gjeldene lovverket, har fortsatt en sjanse til å rekke å få alt på plass og være compliant når direktivet trer i kraft den 25. mai 2018. Kommuner som ikke har foretatt risikoanalyser eller laget behandlingsoversikter med lovhjemler og formål vil nok slite med å rekke tidsfristen, sier Steinar Nørstebø som er styreleder i Kommunal Informasjonssikkerhet (KiNS).

Viktig for renommeet

Kommunene er de aktørene i det norske samfunnet som behandler aller flest personopplysninger. I en undersøkelse som KiNS foretok i 2015 svarte mer enn 100 rådmenn at det mest skremmende scenariet var å gjøre skade på sine borgere og å komme på forsidene av lokalavisene fordi personopplysninger og sensitive data var kommet på avveie.

– Kommunene må foreta risiko- og sårbarhetsanalyser for konfidensialitet, integritet og tilgjengelighet. Mens konfidensialitet går på å holde informasjon hemmelig, går integritet på at man til enhver tid har korrekte opplysninger. Tilgjengelighet betyr med få ord: Oppetid på datasystemene for de som har berettiget tilgang. Noen ganger er det saksbehandler og bruker, andre ganger er det hele offentligheten, fortsetter Nørstebø.

Holder kurs

Det er rådmannen og ordføreren som er de øverste ansvarlige for at kommunene forholder seg til GDPR på riktig måte. Kommunene må også sørge for ha et personvernombud som skal gi råd internt i kommunen, men også være kommunens ombud i forholdet til innbyggerne.

– Nå reiser vi rundt i ni forskjellige byer og holder gratis to-dagers-kurs for rådmenn og inntil tusen kommuneansatte. Vi har med oss Datatilsynet, Senter for IKT i utdanningen, direktoratet for e-helse, Difi og KS som alle er med på å finansiere prosjektet. Den første dagen går Datatilsynet gjennom GDPR-regelverket. Den andre dagen er mer rettet mot hvordan dette kan gjøres i praksis og hva som finnes av hjelpemidler. Kommunene må gjøre jobben selv, men vi bidrar med kunnskap og kompetanse slik at det blir lettere for dem å komme i gang, avslutter Nørstebø.