Skriftlig spørsmål fra Silje Hjemdal (FrP) til kommunal- og moderniseringsministeren

Dokument nr. 15:62 (2019-2020)
Innlevert: 11.10.2019
Sendt: 11.10.2019
Rette vedkommende: Digitaliseringsministeren
Besvart: 16.10.2019 av digitaliseringsminister Nikolai Astrup

Silje Hjemdal (FrP)

Spørsmål

Silje Hjemdal (FrP): Vil statsråden vurdere å ta et initiativ ovenfor kommunene for å sikre barn på hemmelig adresse?

Begrunnelse

Denne uken kunne vi lese i Bergens Tidene at Bergen kommune ga tilgang til opplysninger om barn på hemmelig adresse i en skoleapp. Personvern og datasikkerhet er en særdeles viktig oppgave å ivareta generelt, men spesielt ovenfor sårbare barn.
Alle barn har rett til trygghet i hverdagen, på skolen, og ikke minst i eget hjem. Samfunnet har et enormt ansvar for at barn som må leve på hemmelig adresse ivaretas på en sikker og god måte.
Denne gangen var det Bergen kommune som sviktet, men vi må forsikre oss om at andre kommuner ikke begår samme feil i den digitale hverdagen. Slike svikt kan få fatale konsekvenser for barn og deres familier.
Dette er riktignok først og fremst et kommunalt ansvar, men en viktig bevisstgjøring for resten av samfunnet. Alle gode krefter bør gå sammen for at slikt aldri skjer igjen.

Nikolai Astrup (H)

Svar

Nikolai Astrup: Ivaretakelse av personvern og informasjonssikkerhet er meget viktig. Dette gjelder særlig når de registrerte er barn eller andre i en særlig sårbar posisjon. Alle som behandler personopplysninger, har et lovpålagt ansvar for å ivareta personopplysningssikkerheten. Det er derfor viktig for meg å understreke at det er den enkelte etat/virksomhet som bærer ansvaret for at de tekniske løsningene som velges, tilfredsstiller personvernregelverkets krav til behandling av personopplysninger. Dette gjelder på alle forvaltningsnivåer. Det er kommunene, sektorene og virksomhetene selv som må foreta en risikovurdering, og iverksette nødvendige sikkerhetstiltak før nye systemer som behandler personopplysninger, tas i bruk.
Datatilsynet har i mange år vært opptatt av kommunenes etterlevelse av personopplysningsregelverkets krav til informasjonssikkerhet. De har drevet omfattende tilsyns-, informasjons- og veiledningsarbeid for å heve kunnskapen om personvern og informasjonssikkerhet i kommunene. I sine årsmeldinger har tilsynet over flere år gitt uttrykk for bekymring for informasjonssikkerheten i norske kommuner, og på denne måten bidratt til å rette oppmerksomhet mot utfordringene. Så sent som i mars i år arrangerte Datatilsynet en rundebordskonferanse om personvern og informasjonssikkerhet i norsk skole. Dette er et viktig arbeid, som jeg støtter. Det er likevel i den enkelte virksomhet det konkrete arbeidet med ivaretakelse av kravene må foregå. Arbeidet må også ta hensyn til om det foreligger særskilte sikkerhetskrav for enkelte sektorer, slik tilfellet er f.eks. i helsesektoren.
Direktoratet for forvaltning og IKT (Difi) er forvaltningens miljø for styrket og samordnet oppfølging av informasjonssikkerhet i statlige virksomheter. I den nye Nasjonale strategien for digital sikkerhet fra JD gis Difi mandat til også å sette fokus på arbeidet med informasjonssikkerhet i kommunene. Difis omfattende veiledningsmateriell på området informasjonssikkerhet og intern kontroll kan med fordel benyttes av kommunene når de skal etterleve krav til informasjonssikkerhet og personvern. God etterlevelse betyr at kommunene skal ha et styringssystem for informasjonssikkerhet, de skal også ha internkontroll for å følge opp at dette systemet fungerer i praksis. Dette omfatter også god styring av leverandører som kommunene har avtaler med om å levere tjenester som behandler personopplysninger. Kommunen må i denne sammenheng gjennomføre en konsekvensvurdering for personvernet av slik tjenesteutsetting.
Alle som behandler personopplysninger om barn, må kjenne personvernregelverket og hvilken plikt de har til å ivareta regelverket og dets sikkerhetskrav. Jeg kan bidra med veiledning og støtte fra mine underliggende virksomheter, men ansvaret ligger i kommunene.