Internkontroll og informasjonssikkerhet
Hovedinnhold
Hva er internkontroll?
Internkontroll er systematisk tilnærmelse for å sikre at virksomheten etterlever regelverk som virksomheten er pålagt å følge.
Noen bestemmelser har spesiell relevans for ledelsen i virksomhetene, mens andre er ment å påvirke hvordan de ansatte kan utføre sitt arbeid. Det kan også være bestemmelser som gir andre personer eller grupper rettigheter og som virksomheten har plikt til å oppfylle.
For å ivareta krav om en systematisk tilnærming er det iverksatt et internkontrollsystem bestående av tre hovedelementer:
- Styrende elementer, som i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer de legger for internkontroll
- Gjennomførende elementer, som i hovedsak retter seg mot ansatte. Den gjennomførende del består av rutiner som er tilpasset det enkelte område og den enkeltes arbeidssituasjon
- Kontrollerende elementer, som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger
Internkontroll kalles i ulike sammenhenger et kvalitetssystem, styringssystem eller ledelsessystem for etterlevelse av regelverk.
Internkontroll etter personvernregelverket
Behandlingsansvarlig må sikre en forsvarlig behandling av personopplysninger ved at man ivaretar den registrertes rettigheter og friheter, samtidig som man ivaretar virksomhetens formål ved behandlingen. Internkontroll skal være ledelsens verktøy for å ivareta sitt ansvar og demonstrere etterlevelse etter personvernregelverket, og de ansattes verktøy for å utføre oppgaver på en forsvarlig og sikker måte. Tiltakene skal dokumenteres og oppdateres ved behov.
Internkontroll for å etterleve personvernregelverket skal være integrert med internkontrolloppgavene på andre områder.
Om informasjonssikkerhet
Personvernregelverket krever at personopplysninger skal beskyttes tilfredsstillende mot uberettiget innsyn og endringer. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene, når de har behov for dem.
Informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende.
Dersom risikovurderingen avdekker manglende tiltak må det vurderes om nye tiltak skal iverksettes for å oppnå tilfredsstillende sikkerhetsnivå for personopplysningene. Kontrollrutiner må utarbeides og jevnlig følges, for å kontrollere at tiltakene blir fulgt opp og virker etter hensikten.
Risikovurderinger satt i system, sammen med tilhørende rutiner, utgjøre styringssystemet for informasjonssikkerhet. Dette systemet for informasjonssikkerhet er en sentral del av virksomhetens internkontroll.