Bergen kommune mangler oversikt over hvilke personopplysninger de behandler, mens mange av de spurte kommuneansatte ikke vet hvordan de varsler om avvik.

Det kommer frem i en internrevisjon av kommunens informasjonssikkerhet knyttet til personopplysninger.

Sensitiv info

Etter å ha gjennomgått skriftlige rutiner og gjennomført intervju med sentrale aktører, mener revisjonen at kommunen på flere områder ikke fyller kravene i personopplysningsforskriften.

Revisjonen peker på totalt seks konkrete punkter. Blant annet har ikke Bergen en systematisk analyse av risiko. Hva som er et akseptabelt risikonivå er heller ikke klart definert.

Ansatte som jobber i PPT, skole og barnevern i kommunen er også spurt i en spørreundersøkelse. Dette er svarene fra ansatte som behandler noen av de mest sensitive opplysningene kommunen har:

***** Nær hver tiende ansatt sier at de har lånt ut sitt brukernavn og passord til andre.

  • 68 prosent sier at de ikke vet hvem de skal kontakte dersom de har spørsmål knyttet til informasjonssikkerhet og behandling av personopplysninger.
  • Hver fjerde leder som er spurt i undersøkelsen vet heller ikke hvem de skal kontakte om slike tema.
  • 30 prosent svarer at opplæringen i hvordan de skal bruke IT-systemene ikke har vært god nok.

Stamping

— Storbykommunene i Norge startet arbeidet med informasjonssikkerhet og IKT for cirka 20-25 år siden. Da ble pc-er og lokalnett innført i administrasjonene. Det er overraskende at man ser ut til å stampe i de samme problemene fortsatt, sier professor Stig Frode Mjølsnes ved NTNU.

Han var konsulent gjennom SINTEF på en del evalueringsprosjekter som kommunene samarbeidet om i startfasen.

Mjølsnes advarer likevel mot at dokumentasjon av rutiner og prosedyrer er nok til bringe kommunene i havn.

— Det er ikke nødvendigvis en slik sammenheng, at god dokumentasjon medfører god praksis. Det er viktigere med praktisk opplæringog personlig ansvar, enn perfekt utfylte skjemaer, sier professoren.

I Bergen kommune er de klar over problematikken.

  • Det viktigste er å bedre sikkerhetskulturen og bevissthetsnivået blant alle de ansatte, sier Gøran Breivik.

**Les også:

Ser ikke sikkerhetsbedring**

Web gir nye hull

Breivik er IKT-sikkerhetsansvarlig i Bergen kommune, en arbeidsplass med en langt fra ensartet gruppe ansatte.

Han mener det er store forskjeller fra administrasjon til de ulike tjenestestedene.

— Ut fra hva du jobber med, er det ulikt fokus på hva som er sikkerhetsrisikoer. Det er en del områder der rutinene ikke er godt nok kjent. Det tar vi på alvor, sier Breivik.

Kommunen planlegger nå egne opplæringsprosjekter for å bedre IKT-sikkerheten.

Rask utvikling fører også med seg nye utfordringer. Med flere nettbaserte tjenester for innbyggerne, åpnes det for nye potensielle sikkerhetshull.

  • Bergen kommune er blant dem som virkelig har vært frempå for å tilby elektroniske tjenester. Men det er en rivende utvikling. Det betyr at systematisering og rapportering kan bli hengende etter i utviklingen. Dette jobber vi for fullt med for å sikre, sier Breivik.