persONverN menlignes med den mengden persondata som stat, fylke og kommune sitter på. Det offentlige er storforbrukere av personopplysninger, og har et spesielt ansvar for å ha orden i sysakene. Noe som forsterkes av at det ikke er en frivillig sak å gi fra seg disse opplysningene. Men Datatilsynet har over flere år gjennomført et stort antall tilsyn i kommunesektoren. Kontrollene har vist at mange kommuner sliter med å beskytte innbyggernes rettigheter når det kommer til personvern. – De har en lang vei å gå. Ikke minst når det gjelder å få oversikt over hvilke opplysninger de behandler, og systematisere dette. Noen kommuner har også utfordringer med å forstå hva en risikovurdering er og hvordan den skal brukes, sier Husand. Hjelper ikke å være stor Andre hovedfunn fra tilsyn hos kommunene var for dårlig internkontroll, mangel på rutiner for innsyn og mangelfull informasjon til innbyggerne om hvordan opplysningene blir behandlet. Datatilsynet har i løpet av det siste året utstedt flere overtredelsesgebyr til kommuner som har publiserte sensitive personopplysninger som følge av manglende risikovurderinger. Flere av funnene betegnes som overraskende. Ett Fagdirektør i Datatilsynet, Hallstein Husand, håper at mange setter seg sammen for å finne gode løsninger på hvordan de skal verne om personopplysninger. Men det begynner å haste, 25. mai 2018 trer den nye forordningen i kraft. av dem er at det ikke er størrelsen som teller. Mens små kommuner kunne ha alle rutiner og systemer i orden, kunne en bykommune et steinkast unna være en av storsynder innen personvernarbeid. – Man kan jo tro at en stor kommune har mer kapasitet og kompetanse til å følge regelverket. Men det er overraskende lite forskjell på de store og små. Det var heller ikke noen regionale forskjeller. Naboen til en veldig god kommune kunne ha alvorlige mangler, sier Husand. Han tipser derfor kommuner med utfordringer om å ta et møte med nabokommunen for å få innspill om hvordan de løser personvernproblematikken. Også interkommunale foretak, hvor nabokommuner slår sammen ressursene i visse felt, har vist gode resultater. Og det begynner å haste. Etter at forordningen er iverksatt, vil sanksjonene bli betydelig høyere enn det Datatilsynet operer med i dag, uten at det har blitt fastsatt noen satser for ulike overtredelser. – Ikke uoverkommelig Datatilsynet har det siste året jobbet intensivt med å informere og veilede kommuner og andre offent lige virksomheter om personvernforordningen. Der har de fått alt fra veldig begeistrede tilbakemeldinger, til de som er svært negative til forordningen. personvernprinsippene Bygger på grunnleggende prinsipper i europarådskonvensjonen, retningslinjer fra OECD og EUs personverndirektiv og er i samsvar med EUs personvernforordning. Behandlingen av personopplysninger skal være lovlig (rettslig grunnlag), rettferdig (i respekt for de registrertes interesser) og gjennomsiktig (bruken skal være oversiktelig og forutsigbar). Opplysningenes integritet, konfidensialitet og tilgjengelighet skal beskyttes. Behandlingsansvarlig skal dermed sørge for at personopplysninger ikke blir ødelagt, tapt eller endret. Bruken skal formålsbegrenses: man kun samle inn opplysninger man har bruk for. Videre skal opplysningene være riktige og de skal slettes når man ikke lenger har bruk for dem. Alle virksomheter som behandler personvernforordningen, har ansvar for å følge prinsippene og skal kunne dokumentere at de følger personvernforordningen. Kilde: Datatilsynet temahefte-48