• Nummer: 43/24
• Dato innsendt: 14.05.2024
• Dato besvart: 21.05.2024 

I sak "Rapportering til fylkestinget om vedtak av prinsipiell betydning fra oktober - desember 2023 og januar - mars 2024" fremkommer det at fylkesrådet har behandlet styringssystem for informasjonssikkerhet og personvern.

Informasjonssikkerhets- og personvernbrudd kan ha alvorlige konsekvenser for fylkeskommunens brukere og ansatte. Avvik fra eksisterende lovverk kan bli straffet med svært høye gebyrer. Særlig er dette viktige spørsmål for fylkets videregående skoler hvor mange av elevene er under myndighetsalder og derfor etter personvernforordningen og anse som barn. 

Informasjonssikkerhet og personvern er heller ikke alltid komplementære, men ha fra tid til annen motstridende hensyn som må balanseres, for eksempel i relasjon til innsyn og kontroll av ansattes aktivitet i fylkeskommunens systemer. 

Det er til slutt fylkestinget som står ansvarlig som øverste myndighet i fylkeskommunen, og som arbeidsgiver i disse sakene. Jeg stiller meg derfor spørrende til hvilket vurderinger som er gjort når ikke styringssystemet innen temaet forankres i fylkestinget. Mener i så fall fylkesrådet at det er de som har øverste ansvar ved brudd eller avvik? 

Mitt spørmål er derfor “Hvilke vurderinger er gjort når sak om styringssystem for informasjonssikkerhet og personvern ikke er fremlagt for fylkestinget?”

Svar fra fylkesrådsleder, Anette Solli

Fylkesrådsleder takker for spørsmålet.

Fylkestinget vedtok 17. oktober 2023, sak 18/23 Reglement for delegering av myndighet fra fylkestinget i Akershus og tildeling av innstillingsrett, heretter omtalt som delegeringsreglementet. I samme møte, sak 2/23, valgte fylkestinget parlamentarisk styringsform i Akershus.

Kjernen i den fylkeskommunale parlamentarismen er at det øverste administrative ledelsesansvaret er lagt til et kollegialt organ; et fylkesråd som fungerer som en «fylkesregjering», med referanse til kommuneloven § 10-2 første avsnitt, første setning: Et kommuneråd eller fylkesråd leder henholdsvis den kommunale eller fylkeskommunale 
administrasjonen. Bestemmelser om kommunedirektøren gjelder på tilsvarende måte for kommunerådet og fylkesrådet hvis ikke noe annet er bestemt i lov.

I henhold til denne bestemmelsen er det dermed fylkesrådet, og ikke fylkestinget som er arbeidsgiver.

Delegeringsreglementet som er vedtatt av fylkestinget er innrettet ved at dersom myndigheten ikke ligger hos fylkestinget selv, jamfør punkt 3.1.2, eller fylkestinget ikke har valgt å delegere myndigheten, jamfør 3.1.3, så er myndigheten delegert til fylkesrådet, jamfør punkt 3.1.4.

Styringssystemet for informasjonssikkerhet og personvern gjelder for alle ansatte, eksterne brukere, herunder innleide konsulenter og leverandører som har tilgang til eller behandler fylkeskommunens informasjon, enten det er digitalt eller i fysisk form. 

Ved behandling av sak om styringssystem for informasjonssikkerhet og personvern i fylkesrådets møte 11. januar 2024, sak 1/2024, var det fylkesrådsleders vurdering at dette ansvaret ligger til fylkesrådet som organ med bakgrunn i at det er fylkesrådet som har arbeidsgiveransvaret. Styringssystem for informasjonssikkerhet og personvern eller andre forhold som gjelder fylkeskommunalt ansatte er verken nevnt i delegeringsreglementets pkt. 3.1.2 eller 3.1.3 og anses derfor å være delegert til fylkesrådet. 

Fylkesrådet ønsker å understreke at arbeidet med informasjonssikkerhet og personvern er viktig for fylkesrådet. Vi som fylkeskommune skal ha god og sikker informasjonsforvaltning, samt at vi skal sørge for at vi oppfyller alle gjeldende lovkrav.