Som del av Totalforsvarsåret 2026 har Datatilsynet satt i gang et omfattende tilsyn med hvordan norske kommuner sikrer personopplysninger. Alle landets 357 kommuner er pålagt å svare på spørsmål om personopplysningssikkerhet innen 20. februar 2026.
Bakgrunnen er at tidligere tilsyn og avviksmeldinger viser stor variasjon i modenheten hos norske kommuner. Datatilsynet peker særlig på to risikoområder: svake autentiseringsløsninger som ofte er årsaken til sikkerhetsbrudd, og mangelfulle rutiner for back-up og gjenoppretting som gjør konsekvensene av digitale angrep unødvendig store.
Tilsynet gjennomføres i tre faser i løpet av 2026: Kartlegging, dokumentasjon og stedlige tilsyn.
Spørreskjemaet er offentlig tilgjengelig og gir et godt bilde av hva Datatilsynet forventer. Det dekker fire områder som er relevante for alle virksomheter, ikke bare kommuner:
- Styringssystem: Er det etablert system for informasjonssikkerhet og personvern?
- Autentisering og tilgangsstyring: Brukes det multifaktor-autentisering, og er det rutiner for tildeling og avslutning av tilganger?
- Gjenoppretting: Foreligger det retningslinjer og øvelser for gjenoppretting av data og systemer etter angrep?
- Beredskap: Foreligger det en beredskapsplan med klare ansvarsforhold, aktiviteter og varslingsrutiner?