Personvernforordningen artikkel 24 - Den behandlingsansvarliges ansvar (utdrag): Skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning.

• Kommunedirektøren har det overordnete ansvar for at informasjonssikkerheten i kommunen ligger på et forsvarlig nivå
• Rådmannen er som behandlingsansvarlig ansvarlig for at det etableres en sikkerhetsorganisasjon som koordinerer og gjennomfører informasjonssikkerhetsarbeidet
• Behandlingsansvarlig kan delegere operativt ansvar for daglige arbeidsoppgaver, men ikke ansvaret i forhold til loven
• Utøvelsen av sikkerhetsansvaret og -arbeidet vil skje på ulike nivå i organisasjonen. Organiseringen og innholdet i oppgaver og roller vil være dynamisk

Ansvarsområde

• Fastsette krav til sikkerhetsmål og -strategi for informasjonsbehandling i organisasjonen
• Oppnevne sikkerhetsleder og medlemmer til et sikkerhetsutvalg (dersom dette benyttes)
• Oppnevne personvernombud og blant annet:
  • stille til rådighet de ressurser som er nødvendig for å utføre lovpålagte oppgaver og opprettholde sin dybdekunnskap
  • sikre at personombudet på riktig måte og i rett tid involveres i alle spørsmål som gjelder personopplysnigner
  • gi tilgang til personopplysninger og behandlingsaktiviteter
  • sikre at personombudet er uavhengig og ikke mottar instrukser om utførelsen av sine oppgaver
  • sikre at personvernombudet ikke avsettes eller straffes for å utføre sine oppgaver
  • sørge for at personvernombudet er bundet av taushetsplikt
  • at personvernombudets kontaktopplysninger gjøres kjent for ansatte/de registrerte og tilsynsmyndigheten (Datatilsynet)
• Sørge for at organisasjonen gjennomfører nødvendige sikkerhetstiltak i samsvar med overordnede krav og retningslinjer
• Sørge for at informasjonen er klart og entydig definert og at forholdene er lagt tilrette for gjennomføring
• Lage mål og strategiplaner for informasjonssikkerhet
• Initiere ledelsens gjennomgang av informasjonssikkerheten minimum en gang i året
  • Sikkerhetsrevisjon
  • Kartlegging av risikoområder knyttet til personvern
  • Revisjon av prosedyrer under GDPR
• Sikre at informasjonssikkerhet drøftes i eget fora

Myndighet

Øverste ansvarlige i organisasjonen. Organiserer ansvar, roller og oppgaver innenfor arbeidet med informasjonssikkerhet. 

Sikkerhetsutvalg/kvalitetsutval (leder eller ansvar for å delegere videre).

Ansvarsområde

• Sikre at daglig ansvarlig gjennomfører pålagte oppgaver knyttet til informasjonssikkerhet
• Sørge for overholdelse av sikkerhetsmål og -strategi for informasjonssikkerhet
• Sørge for at system for internkontroll oppfyller kravene i Personopplysningsloven
• Rapportere alvorlige brudd på regler om behandling av personopplysninger til kommunedirektør og evt. til Datatilsynet
• Sørge for at det foretas revisjoner av sikkerhetsarbeidet
• Utarbeide rapport til ledelsens årlige gjennomgang
• Gjennomføre ledelsens årlige gjennomgang
• Ansvar for å revidere prosedyrer under GDPR kontrollerende prosedyrer
• Sørge for at:
  • Opplæring i informasjonssikkerhet og fagsystem gjennomføres i egen organisasjon

Myndighet

Operativt ansvar. Medlem av sikkerhetsutvalget/kvalitetsutvalget.

Kan pålegge ledere ansvarsoppgaver iht. deres avdelings sikkerhetsbehov.

Rapporterer direkte til øverste leder.

Ansvarsområde

• Er daglig ansvarlig for sikker behandling av personopplysninger i egen organisasjon.
• Informere ansatte om sikkerhetsprosedyrer og sørge for at disse følges.
• Sørge for:
  • Opplæring i informasjonssikkerhet og fagsystem i egen organisasjon.
  • At internkontrollsystemet blir brukt i egen organisasjon.
  • At lokalene er sikret på en forsvarlig måte slik at uvedkommende ikke får tilgang til personopplysninger.
  • At risikovurderinger blir gjennomført.
  • Gjennomføring og dokumentasjon av egenkontroll.
• Behandle meldte avvik i tråd med gjeldende prosedyrer.
• Sikre at alle ansatte har riktige tilganger.
  • Ha oversikt over, og ta avgjørelser om autorisert bruk.
  • Bestemme tilganger til systemer/nivå/funksjoner.
• Leder sikrer personopplysninger ved:
  • At personopplysningene blir delt med medarbeidere som har bruk for informasjonen i arbeidet sitt.
  • At den enkelte medarbeider får forholdene tilrettelagt slik at hun/han kan ivareta sitt personlige sikkerhetsansvar.

Ansvarsområde

• Utarbeide en beredskapsplan for å sikre at driftstekniske datasystem er operative dersom det skulle oppstå uforutsette hendelser (eks strømbrudd, flom, brann, hærverk, sabotasje mm).
• Ved ekstern driftspartner på it-drift reguleres forholdet gjennom databehandleravtale  og driftsavtale.
• Avslutte brukerkontoer ved opphør av arbeidsforhold.
• Sørge for oppdatert kunnskap om trusselbildet og at det iverksettes tiltak ved behov.
• Utvikle, dokumentere og forvalte sikkerhetsarkitekturen.
• Utarbeide et styringssystem og driftsdokumentasjon for it-drift av organisasjonens lokale løsninger.
• Følge opp avvik knyttet til IT-sikkerhetshendelser.
• Gjennomføre og fasilitere  risikovurderinger ved behov, på forespørsel eller ved endringer i sikkerhetsarkitekturen.
• Sørge for tilstrekkelige budsjettmidler til tekniske sikkerhetstiltak.
• Veilede systemeiere og systemansvarlige (administratorer) i forhold til sikkerhetstiltak og -krav.
• Sørge for at kontrakter med interne og eksterne leverandører ivaretar vedtatt teknisk sikkerhetsarkitektur gjennom kravspesifisering.
• Utarbeide rapport til ledelsens gjennomgang sammen ed informasjonssikkerhetsansvarlig i kommunen.
• Vedlikeholde og oppdatere relevante kapitler i styringssystemet for informasjonssikkerhet.
• Drive med holdningsskapende arbeid.

Myndighet

Delegert ansvar.

Ansvarsområde

• Informere og gi råd til den behandlingsansvarlige, ansatte og databehandler om plikter de har etter regelverket om personopplysninger.
• Kontrollere overholdelse av regelverket, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som utfører behandlingsaktiviteter og revisjon.
• På anmodning gi råd om vurdering av personvernkonsekvenser og kontrollere gjennomføring der dette er påkrevd.
• Samarbeide med og være kontaktpunktet for tilsynsmyndighet (Datatilsynet).
• Være kontaktpunktet for de registrerte angående alle spørsmål som omhandler behandling av deres personopplysninger.
• Bundet av taushetsplikt eller en plikt til konfidensiell behandlinga av opplysninger.
• Personvernombudet kan i tillegg til dette ha andre oppgaver, så lenge det ikke fører til interessekonflikter.

Ansvarsområde

• Sørge for at:
  • Opplæring i informasjonssikkerhet og fagsystem gjennomføres i egen organisasjon
  • Risikovurderinger for arkiv blir gjennomført
  • Arkivplan/dokumentasjonsstrategi blir oppdatert
  • Data og dokumenter blir klassifisert og lagret etter gjeldende retningslinjer
  • Egenkontroll blir gjennomført og dokumentert
     
• Bistå i avklaringer omkring arkivformålet, allmenhetens interesse, forskning, vitenskapelig, historisk og statistikk (PVF art 89 nr1) - annet (personopplysninger som fortjener sterkere vern)
• Bistå etter behov ved alle henvendelser når det gjelder den registrertes rettigheter

Myndighet

Overordnet faglig myndighet for den samlede dokumentasjonsvirksomheten i kommunen.

Ansvarsområde

• Systemeier er øverste leder for den/de enhetene/avdelingene som buker systemet, og tjenestemottaker har ansvar for å bruke alle fagsystem de blir satt opp med.
• Systemeier er ansvarlig for:
  • at systemet har tilfredsstillende informasjonssikkerhet og skal sørge for at systemet er med på å oppfylle kommunens aktivitetsmål
  • at det blir gjennomført årlige risikoanalyser og vurderinger av systemet
  • at det blir utarbeidet veileder for tildeling av bruker etter tjenestlig behov
  • at det blir gjennomført opplæring i bruk av systemet
• Dersom systemet kommuniserer med andre system er det systemeier sitt ansvar å ivareta tistrekkelig sikkehet i denne kommunikasjonen og sørge for at sikkerheten alltid er ivaretatt.

Systemansvarlig  har faglig ansvar for buk og administrasjon av systemet og blir valgt av tjenestemottakeren som systemeier. Systemansvarlig har det daglige forvaltningsansvaret for systemet og skal gjennom systemeiers retningslinjer sikre at systemet er levedyktig og oppdatert, og har tilfredsstillenede informasjonssikkerhet. Systemansvarlig skal også sørge for at lover og forskrifter etterleves i praksis.

Systemansvarlig skal:

• Etablere og dokumentere rutiner for vedlikehold og utlevering av brukertilganger
• Etablere og dokumentere rutiner som er nødvendige i forhold til bruk av systemet
• Etablere og dokumentere rutiner for sikker tjenesteyting ved midlertidig systembortfall

Med ansatte menes fast og midlertidig ansatt, samt innleid personell (for eks. konsulent eller håndverker), studenter, praktikanter, mv. Informasjonssikkerhet er hver enkelt medarbeiders ansvar.

- Forstå betydningen av sikker behandling av informasjon i forbindelse med eget arbeid

- Være kjent med og følge gjeldende aktuelle lovverk, instrukser og rutiner innen informasjonssikkerhet og personvern

- Rapportere avvik innen informasjonssikkerhet og personvern

- Delta i opplæring innen informasjonssikkerhet og personvern

- Foreslå tiltak til forbedringer