VERDAL KOMMUNE Kontrollutvalget

Like dokumenter
Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Endelig Kontrollrapport

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Foreløpig kontrollrapport

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

VERDAL KOMMUNE Kontrollutvalget

Endelig kontrollrapport

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

VERDAL KOMMUNE Kontrollutvalget

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Endelig kontrollrapport

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

MERÅKER KOMMUNE Kontrollutvalget. Møteinnkalling. Dato: Onsdag 17. september 2014 Tid: Kl. 10:00 Sted: Meråker rådhus, Møterom Fjergen

INNHERRED SAMKOMMUNE Kontrollutvalget

INNHERRED SAMKOMMUNE Kontrollutvalget

VERDAL KOMMUNE Kontrollutvalget

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

INNHERRED SAMKOMMUNE Kontrollutvalget

Endelig kontrollrapport

INNHERRED SAMKOMMUNE Kontrollutvalget

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

INNHERRED SAMKOMMUNE Kontrollutvalget. Møteinnkalling. Dato: Onsdag 22. april 2009 Tid: Kl. 11:00 Sted: Møterom 3. etg.

INNHERRED SAMKOMMUNE Kontrollutvalget. Møteinnkalling. Dato: Tirsdag 28. februar 2012 Tid: Kl. 11:00 Sted: Levanger rådhus, Møterom 1064

OVERSENDELSE AV DOKUMENTER ETTER KONTROLLUTVALGETS MØTE. I tillegg følger saksprotokoll for sak 20/12 «Kontrollutvalgets årsplan/møteplan for 2013»

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

OVERSENDELSE AV DOKUMENTER ETTER KONTROLLUTVALGETS MØTE. I tillegg følger saksprotokoll for sak 19/13 Kontrollutvalgets årsplan / møteplan for 2014.

STJØRDAL KOMMUNE Kontrollkomiteen

Orienteringer fra revisor gis i lukket møte, jf. kontrollutvalget den sak 1/10.

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

VERDAL KOMMUNE Kontrollutvalget

MERÅKER KOMMUNE Kontrollutvalget. Møteinnkalling. Dato: Fredag 17. desember 2010 Tid: Kl. 10:00 Sted: Møterom Fjergen

Varamedlemmer møter bare etter nærmere avtale eller innkalling. SAKLISTE Sak nr. Sakstittel

VERDAL KOMMUNE Kontrollutvalget

LEVANGER KOMMUNE Kontrollutvalget. Møteinnkalling. Dato: Mandag 19. september 2011 Tid: Kl. 10:00 Sted: Levanger rådhus, formannskapssalen

INNHERRED SAMKOMMUNE Kontrollutvalget

INNHERRED SAMKOMMUNE Kontrollutvalget. Møteinnkalling. Dato: Torsdag 21. oktober 2010 Tid: Kl. 11:00 Sted: Verdal rådhus, møterom 2. etg.

MØTEINNKALLING. Kontrollutvalget. Møtedato: Møtetid: Kl Møtested: Namdalshagen - Kamme Greiff

MERÅKER KOMMUNE Kontrollutvalget. Møteinnkalling. Dato: Onsdag 15. februar 2012 Tid: Kl. 10:00 Sted: Meråker rådhus, Møterom Funnsjøen

VERDAL KOMMUNE Kontrollutvalget

LEVANGER KOMMUNE Kontrollutvalget. Møteinnkalling. Dato: Mandag 14. november 2011 Tid: Kl. 14:30 Sted: Levanger rådhus, formannskapssalen

Endelig kontrollrapport

FOSNES KOMMUNE Kontrollutvalget MØTEINNKALLING. Svein-Arne Myrvold

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

SAKLISTE Sak nr. Sakstittel

Varamedlemmer møter bare etter nærmere avtale eller innkalling.

SAKLISTE. Orientering fra revisor - sak 023/14 vil bli behandlet i lukket møte jf. koml. 31.2, fvl. 13. Kontrollsekretær

INNHERRED SAMKOMMUNE Kontrollutvalget

Foreløpig kontrollrapport

Endelig kontrollrapport

INNHERRED SAMKOMMUNE Kontrollutvalget

Deres ref.: Vår ref.: Arkiv: Dato: Saksbehandler: 16/ Paul Stenstuen OVERSENDELSE AV DOKUMENTER ETTER KONTROLLUTVALGETS MØTE

INNHERRED SAMKOMMUNE Kontrollutvalget

INNHERRED SAMKOMMUNE Kontrollutvalget

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vår referanse (bes oppgitt ved svar)

STJØRDAL KOMMUNE Kontrollkomiteen

MERÅKER KOMMUNE Kontrollutvalget. Møteinnkalling. Møtedato: Onsdag 4. mai 2016 Tid: Kl. 10:00 Sted: Meråker rådhus, Møterom Fjergen

Møtedato: 15. september 2008 Møtetid: Kl Møtested: Høylandet kommune, møterom helsesenter.

INNHERRED SAMKOMMUNE Kontrollutvalget

Kontrollutvalget MØTEINNKALLING. Møtedato: Møtetid: Kl Møtested: Namsos - Namdalshagen

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Transkript:

VERDAL KOMMUNE Kontrollutvalget MØTEINNKALLING Møtedato: Torsdag 23. juni 2016 Møtetid: Kl. 11:30 STED: Levanger rådhus møterom 1019. NB! Merk tid og sted De faste medlemmene innkalles med dette til møtet. Den som har lovlig forfall, eller er inhabil i noen av sakene, må melde fra så snart som mulig til KomSek Trøndelag IKS. Varamedlemmer møter bare etter nærmere avtale eller innkalling. SAKLISTE Sak nr. Sakstittel 012/16 Referatsaker 013/16 Orientering fra rådmannen vedrørende rådmannens oppfølging av rapporten "Forvaltningsrevisjon - økonomisk internkontroll" 014/16 Orientering fra rådmannen vedrørende arbeidsmiljø og sykefravær 015/16 Rapport etter gjennomført forvaltningsrevisjon 016/16 Plan for forvaltningsrevisjon 017/16 Plan for selskapskontroll Eventuelt De av medlemmene som ikke er faste medlemmer i kontrollutvalget i ISK inviteres inn i ISK møtet som settes kl. 09:00. Det inviteres også til felles lunsj fra møtet i ISK avsluttes og til møtene i deltakerkommunenes kontrollutvalg settes. Steinkjer, 20.06.16 John Hermann Leder Paul Stenstuen kontrollsekretær Dir.tlf. 74 11 14 78 / 90 95 04 40 E-post: paul.stenstuen@komsek.no KomSek Trøndelag IKS, Postboks 2564, 7735 STEINKJER, tlf: 74 11 14 76, e-post: post@komsek.no,

VERDAL KOMMUNE Kontrollutvalget SAK 012/16 REFERATSAKER Saksgang Møtedato Saksbehandler Saksnr. Arkiv Kontrollutvalget 23.06.16 Paul Stenstuen 012/16 418-1721-5.3 Saksbehandlers forslag til vedtak Referatene tas til orientering. Referater Nr Fra/Til Tittel på dokumentet Vedlagt/Ikke vedlagt 1 Datatilsynet Vedtak om pålegg - Endelig Vedlagt kontrollrapport - Verdal kommune 2 Datatilsynet Kontrollrapport Vedlagt Steinkjer 16.06.16 Paul Stenstuen Kontrollsekretær

Verdal kommune Johannes Bruns gt 2 7650 VERDAL Deres referanse Vår referanse Dato 16/00327-1/KBK 13.04.2016 Vedtak om pålegg - Endelig kontrollrapport - Verdal kommune Vi viser til vår kontroll hos dere 9. november 2015, og vårt varsel om vedtak 19. november 2015. Datatilsynet har ikke mottatt tilbakemelding på varselet, og fatter vedtak om pålegg i samsvar med varselet. Kontrollrapporten er laget som en felles rapport knyttet opp mot Innherred samkommune. Hvorfor dette er skjedd framgår innledningsvis av kontrollrapporten. Vedtakene er imidlertid rettet mot den enkelte kommune; Verdal og Levanger. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Verdal kommune pålegges i medhold av 46, fjerde ledd, jf. 14, jf. forskriften 3-1 å etablere, dokumentere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven (internkontroll): a. rutiner for ivaretakelse av enhvers krav om innsyn i kommunens behandlinger av personopplysninger og den registrertes rett til innsyn i egne opplysninger etter 18, første og andre ledd, jf. forskriften 3-1, tredje.ledd bokstav d). Det vises til kontrollrapportens pkt. 6.1.4.1 b. rutiner for ivaretakelse av den registrertes krav på informasjon etter 19 og 20, jf. 14 jf. forskriften 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt. 6.1.4.2. c. rutiner for ivaretakelse av personopplysningenes kvalitet etter 27 og 28, jf. 14 jf. forskriften 3-1, tredje ledd bokstav c). Det vises til kontrollrapportens pkt. 6.1.4.3. 2. Verdal kommune pålegges i medhold av 46, fjerde ledd, jf. 13, jf. forskriften 2-4, første ledd å utarbeide en oversikt over behandlinger av personopplysninger som viser hvilke personopplysninger som behandles, formålet med behandlingen og lovgrunnlaget. Det vises til kontrollrapportens pkt. 6.1.3. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

3. Verdal kommune pålegges i medhold av 46, fjerde ledd, jf. 13, jf. forskriften 2-3 å utarbeide og dokumentere kommunens sikkerhetsmål og sikkerhetsstrategi. Det vises til kontrollrapportens pkt. 6.2.1 4. Verdal kommune pålegges i medhold av 46, fjerde ledd, jf 13, jf forskriften 2-4 andre ledd å gjennomføre og dokumentere risikovurderinger knyttet til sine behandlinger av personopplysninger. Det vises til kontrollrapportens pkt. 6.2.2 5. Verdal kommune pålegges i medhold av 46, fjerde ledd, jf. 13, jf. forskriften 2-5 å utarbeide og dokumentere rutiner for sikkerhetsrevisjoner og å jevnlig gjennomføre og dokumenter resultatene fra sikkerhetsrevisjonene.. Det vises til kontrollrapportens pkt. 6.2.3 6. Verdal kommune pålegges i medhold av 46, fjerde ledd, jf. 13, jf. forskriften 2-8 å utarbeide og dokumentere rutiner for rutiner for å sikre at medarbeiderne har tilstrekkelig kunnskap for bruk av informasjonssystemene. Det vises til kontrollrapportens pkt. 6.2.6 7. Verdal kommune pålegges i medhold av 46, fjerde ledd, jf 2 nr 5, 13 og 15, jf forskriften 2-15 å inngå databehandleravtaler med sine databehandlere. Det vises til kontrollrapportens pkt. 6.3. Datatilsynet gir frist for gjennomføring av påleggene til 1. september 2016. Kommunen må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at påleggene er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Hallstein Husand fagdirektør Knut Kaspersen fagdirektør Vedlegg: Kontrollrapport 2

3

Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen 1 Innledning Datatilsynet gjennomførte kontroll hos Innherred Samkommune 9. november 2015. Kontrollen ble varslet til Verdal og Levanger kommune, men da dette er kommuner som har dannet landets eneste samkommune (Innherred Samkommune) valgte vi å avholde kontrollen på et felles sted; her Levanger. Dette fordi dokumentasjonen var lik, og at vi ville ha møtt de samme personene både ved kontrollen i Verdal og Levanger. Ordføreren i Verdal og i Levanger alternerer om å være leder i Innherred Samkommune. Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet i henhold til personopplysningsloven og personopplysningsforskriften. Kontrollen ble gjennomført på virksomhetens faste besøksadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. Alle henvisninger til lovhjemler i kontrollrapporten er knyttet til personopplysningsloven og dens forskrifter. Andre henvisninger til lovhjemler er nevnt særskilt. 2 Til stede under kontrollen 2.1 Fra virksomheten: - Jostein Grimstad, rådmann i Verdal kommune og administrasjonssjef i Innherred Samkommune - Ola Stene, rådmann i Levanger kommune, og ass. administrasjonssjef i Innherred Samkommune - Kristian Styrvoll, IKT sjef i Innherred Samkommune - Eva Kristin Lian, enhetsleder dokumentsenteret Innherred Samkommune og Personvernombud 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Hallstein Husand, fagdirektør - Gullik Gundersen, rådgiver 1 av 9

3 Generelt Verdal kommune har ca. 15.000 innbyggere, hvorav 1100 årsverk i Samkommunen. Levanger kommune har. Ca. 20.000 innbyggere, hvorav 1400 1500 årsverk i Samkommunen. Innherred Samkommune har knyttet 115 årsverk til seg. Samkommunen skal oppløses i 2020. 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 6. oktober 2015 om at virksomheten oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. 13 og 14, og forskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. forskriften 2-4, f) avviksrutiner, jf. forskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Datatilsynet fikk oversendt noe overordnet dokumentasjon med systemkart pog organisasjonskart. I tillegg ble en helhetlig ROS-analyse for Levanger kommune oversendt En detaljert agenda ble oversendt virksomheten før kontrollen. 5 Nærmere om kontrollen Under kontrollen ble virksomhetens internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Tilsynet hadde fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll 6.1.1 Generelt om 14 Rettslig grunnlag Virksomheten har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i forskriften kapittel 3. 2 av 9

Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6.2. Datatilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak virksomheten hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. Faktiske forhold og vurdering Samkommunen har ikke etablert et tilfredsstillende internkontrollsystem etter 14. Dokumentasjonen er mangelfull på flere punkter, og et betydelig arbeid må settes i gang for å få dette på plass. Konklusjon Det konstateres ikke noe avvik, men plikten til å holde internkontrollen etter personopplysningsloven påpekes. 6.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Rettslig grunnlag Behandlingsansvar defineres i 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Forskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel 6.2. Forskriften 2-7 understreker at det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Faktiske forhold Behandlingsansvaret etter personopplysningloven er ikke tydeliggjort. Dette er nødvendig da det bl.a. i forhold til fellestjenester i Innherred Samkommune vil kunne reises spørsmål om delegasjonsfullmakten gjelder. I så fall må dette dokumenteres. Konklusjon Det konstateres ikke noe avvik, men plikten til å dokumentere dette påpekes. 6.1.3 Oversikt over behandlinger og behandlingsgrunnlag Rettslig grunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og 3 av 9

hvilke opplysninger som inngår i disse. Dette er en nødvendig del av virksomhetenes internkontroll etter 14. Oversikten er nødvendig for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte behandlingsgrunnlag ( 8 og 9) for den enkelte behandling, samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Faktiske forhold og vurdering Det er utferdiget en oversikt over personopplysninger som behandles i Samkommunen. Denne er imidlertid for grovmasket og systemstyrt. Samkommunen bekrefter å ha slik kunnskap, men den er ikke systematisert skriftlig. Datatilsynet at man måtte ta utgangspunkt i den enkelte behandling når oversikten ble laget. Det ble opplyst fra Datatilsynets side hvilke konkrete utbedringer som burde gjøres, og at man med fordel kunne ta inn i en matrisen de krav som 18 første ledd legger for borgerens innsynskrav. Konklusjon Det konstateres ikke noe avvik, men oversikten må suppleres etter de råd Datatilsynet ga. 6.1.4 Øvrige plikter etter 14 jf. forskriften 3-1 Behandlingsansvarlige må i henhold til 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt vurdering av personopplysningenes kvalitet etter 27 og 28. Oversikten over plikter inngår i den styrende delen av internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende delen av internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett. 6.1.4.1 Rett til innsyn Rettslig grunnlag Det følger av 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av personopplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter forskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. 4 av 9

Faktiske forhold og vurdering: Samkommunen har ikke utferdiget dokumenterte rutiner for innsynsretten etter 18, 1. ledd (enhvers krav på innsyn). Samkommunen har heller ikke dokumenterte rutiner for den registrertes krav på innsyn etter 18, 2. ledd. Konklusjon Manglede dokumenterte rutiner for ivaretakelse av 18, 1. og 2. ledd er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav d). 6.1.4.2 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Rettslig grunnlag Det følger av 19, 1.ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter forskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd, 20 andre og tredje ledd og 23. Faktiske forhold Samkommunen har ikke utferdiget dokumenterte rutiner for ivaretakelse av den registrertes krav på informasjon etter 19 og 20. Det ble påpekt at selv om Samkommunen arbeider etter lovpålagte oppgaver, og således ikke er forpliktet til å gi informasjon (se 20 andre ledd bokstav a), er også dette en del av rutinen. Konklusjon Manglende dokumenterte rutiner for ivaretakelse av informasjonsplikten etter 19 og 20 er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav d). 5 av 9

6.1.4.3 Retting og sletting Rettslig grunnlag I henhold til 11 bokstav e), jf. 27 og 28, skal personopplysninger være korrekte og oppdaterte, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. 1 Se for øvrig forskriften 3-1, 3. ledd bokstav c). Faktiske forhold og vurdering Virksomheten har ikke utferdiget rutiner for ivaretakelse av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av personopplysningene. Samkommunen har etablert arkivplan, med dertil hørende kassasjonsbestemmelser. Samkommunen må etablere rutiner for personopplysningenes kvalitet etter 27 og 28. Disse kan lett gjøres som et supplement til eksisterende arkivplan. Konklusjon Manglende dokumenterte rutiner for vurdering av personopplysningenes kvalitet er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav c). 6.2 Krav om informasjonssikkerhet I henhold til 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i forskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no og veiledningsmateriale som ble overrakt under kontrollen. 6.2.1 Sikkerhetsledelse Rettslig grunnlag I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Forskriften 2-7 stiller krav om at det skal etableres klare ansvars- og myndighetsforhold (sikkerhetsorganisasjon). 1 Personopplysningsloven 11 bokstav e) krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 (1998-1999) side 114. 6 av 9

Sikkerhetsmål og sikkerhetsstrategi Faktiske forhold og vurdering Samkommunen har ikke utarbeidet og dokumentert sikkerhetsmål eller sikkerhetsstrategi. Konklusjon Mangelen på utarbeidede og dokumenterte sikkerhetsmål- og strategier er et avvik etter 13, jf. forskriften 2-3. Sikkerhetsorganisasjon Faktiske forhold og vurdering Samkommunen har dokumentert sin sikkerhetsorganisering i eget organisasjonskart for samkommunen og bekreftet i kontrollen at dette også er besluttet benyttet som sikkerhetsorganisering. Konklusjon Ingen avvik konstatert. 6.2.2 Risikovurdering Rettslig grunnlag I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Faktiske forhold og vurdering Samkommunen har ikke dokumentert noen risikovurdering, knyttet til sine behandlinger av personopplysninger. Imidlertid har man fått laget et godt malverk og bygget kompetanse for risikoanalyser og risikovurderinger og det er laget en risikovurdering for mange typer hendelser, men dette relaterer seg ikke til behandlinger av personopplysninger. Konklusjon Mangelen på dokumenterte risikovurderinger er et avvik etter 13 jf forskriften 2-4. 6.2.3 Sikkerhetsrevisjon Rettslig grunnlag Virksomheten plikter i henhold til forskriften 2-5 å gjennomføre sikkerhetsrevisjoner jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. forskriften 2-3. 7 av 9

Faktiske forhold Samkommunen kunne ikke dokumentere at man hadde rutiner for sikkerhetsrevisjoner eller at dette var gjennomført. Konklusjon Mangelen på rutiner for sikkerhetsrevisjoner og på gjennomføring av slike er et avvik etter 13, jf. forskriften 2-5. 6.2.4 Avvikshåndtering/sikkerhetsbrudd Rettslig grunnlag Det følger av forskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriften 2-8, 2. ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Faktiske forhold og vurdering Samkommunen informerte om at de hadde rutiner for avvik. Dette er dokumentet Samkommunens i «Kompilo», som er et internt nettbasert system for rutiner knyttet til bl.a. informasjonssikkerhet. Konklusjon Ingen avvik konstatert. 6.2.5 Sikkerhetstiltak Rettslig grunnlag Forskriften 2-11, 2-12 og 2-13 stiller om at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8, 3. ledd og 2-14 annet ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Faktiske forhold og vurdering Samkommunen har en tosone-modell med saksbehandling i sikker sone. Hjemmekontor kjøres med to-faktor autentisering, men uten mulighet til å saksbehandlingsløsningen. Det er rutiner for hvem som har fysisk tilgang til serverrom. Det er ikke mulig å hente ut informasjon fra sikker sone til minnepinner, eller å kopiere til e-post. Alle skrivere har såkalt «Follow me». Rutiner for melding ved fratreden finnes, og dette er koblet sammen med lønnsystemet. Det er etablert rutiner for innsyn i e-post og dette er 8 av 9

dokumentert i «Kompilo». Serverrom har kun adgang for autorisert IT-personell. Det er installert adgangskontrollsystemer for alle offentlige bygg, men det er ikke nødvendigvis samme system overalt i samkommunen. Konklusjon Ingen avvik konstatert. 6.2.6 Opplæring Rettslig grunnlag I henhold til forskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Faktiske forhold og vurdering Samkommunen har ingen dokumenterte rutiner for opplæring av ansatte, heller ingen tydelige rutiner på intranett eller i «Kompilo». Konklusjon Mangelen på rutiner for å sikre og dokumentere at medarbeiderne har tilstrekkelig kunnskap for bruk av informasjonssystemene er et avvik etter 13, jf. forskriften 2-8. 6.3 Databehandlere Rettslig grunnlag En databehandler er i 2 nr. 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av Samkommunen må det inngås en skriftlig databehandleravtale med virksomheten, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler kan bare behandle opplysninger slik som det er avtalt med den behandlingsansvarlige. Faktiske forhold og vurdering Samkommunen har ikke dokumentert databehandleravtaler med sine databehandlere. Konklusjon Manglende databehandleravtaler er et avvik etter 2 nr 5 og 15 og forskriften 2-15. 9 av 9

VERDAL KOMMUNE Kontrollutvalget SAK 013/16 ORIENTERING FRA RÅDMANNEN VEDRØRENDE RÅDMANNENS OPPFØLGING AV RAPPORTEN "FORVALTNINGSREVISJON - ØKONOMISK INTERNKONTROLL" Saksgang Møtedato Saksbehandler Saksnr. Arkiv Kontrollutvalget 23.06.16 Paul Stenstuen 013/16 418-1721-5.3 Saksbehandlers forslag til vedtak Kontrollutvalget tar den gitte informasjon til orientering Vedlegg Ingen Ikke trykte vedlegg 1. Kontrollutvalgets møteplan for 2016 2. Kommunestyrets sak 23/15 3. Kontrollutvalgets sak 6/15 4. Lov om kommuner og fylkeskommuner (kommuneloven) 5. Forskrift om kontrollutvalg i kommuner og fylkeskommuner 6. Forskrift om revisjon i kommuner og fylkeskommuner Saksopplysninger I kontrollutvalgets møteplan for 2016 er det satt av tid til en orientering fra rådmannen av rapporten "Forvaltningsrevisjon - økonomisk internkontroll". Kontrollutvalget behandlet rapporten i møte den 24.02.15, sak 6/15. Kontrollutvalget sluttet seg til rapporten og videresendte den til kommunestyret med slik innstilling: «Kommunestyret tar rapporten til etterretning og ber rådmannen følge opp revisors anbefalinger.» Kommunestyret behandlet rapporten i møte den 23.03.15, sak 20/15. Kommunestyret fattet slikt vedtak i saken: «Kommunestyret tar rapporten til etterretning og ber rådmannen følge opp revisors anbefalinger.» Kontrollutvalget har anmodet rådmannen om en orientering om hvorledes rapporten er fulgt opp. Rådmannen vil som anmodet gi en orientering i møte.

Vurdering Orienteringer fra rådmannen etter en på forhånd fastsatt plan gir rådmannen gode muligheter til å legge opp sin tid og til å forberede seg. Samtidig er det også lagt opp til at bredden i kommunens virksomhet blir dekket. Dette gir kontrollutvalget gode muligheter til å holde seg orientert om de viktigste sidene ved kommunens virksomhet. Steinkjer 16.06.16 Paul Stenstuen Kontrollsekretær 2

VERDAL KOMMUNE Kontrollutvalget SAK 014/16 ORIENTERING FRA RÅDMANNEN VEDRØRENDE ARBEIDSMILJØ OG SYKEFRAVÆR Saksgang Møtedato Saksbehandler Saksnr. Arkiv Kontrollutvalget 23.06.16 Paul Stenstuen 014/16 418-1721-5.3 Saksbehandlers forslag til vedtak Kontrollutvalget tar den gitte informasjon til orientering Vedlegg Ingen Ikke trykte vedlegg 1. Kontrollutvalgets møteplan for 2016 2. Lov om kommuner og fylkeskommuner (kommuneloven) 3. Forskrift om kontrollutvalg i kommuner og fylkeskommuner 4. Forskrift om revisjon i kommuner og fylkeskommuner Saksopplysninger I kontrollutvalgets møteplan for 2016 er det satt av tid til en orientering fra rådmannen vedrørende arbeidsmiljø og sykefravær. Orienteringen vil bli gitt i møte. Vurdering Orienteringer fra rådmannen etter en på forhånd fastsatt plan gir rådmannen gode muligheter til å legge opp sin tid og til å forberede seg. Samtidig er det også lagt opp til at bredden i kommunens virksomhet blir dekket. Dette gir kontrollutvalget gode muligheter til å holde seg orientert om de viktigste sidene ved kommunens virksomhet. Steinkjer 16.06.16 Paul Stenstuen Kontrollsekretær

VERDAL KOMMUNE Kontrollutvalget SAK 015/16 RAPPORT ETTER GJENNOMFØRT FORVALTNINGSREVISJON Saksgang Møtedato Saksbehandler Saksnr. Arkiv Kontrollutvalget 23.06.16 Paul Stenstuen 015/16 412-1721-5.3 Saksbehandlers forslag til vedtak Kontrollutvalget slutter seg til rapporten «Forvaltningsrevisjon kommunen som arbeidsgiver» og videresender den til kommunestyret for videre behandling. Saksbehandlers forslag til innstilling til kommunestyret Kommunestyret tar rapporten «Forvaltningsrevisjon kommunen som arbeidsgiver» til etterretning, og ber rådmannen arbeide videre med de omhandlede temaer. Vedlegg Forvaltningsrevisjon kommunen som arbeidsgiver, KomRev Trøndelag IKS Ikke trykte vedlegg 1. Kontrollutvalgets sak 36/15 2. Kontrollutvalgets sak 25/15 3. Kontrollutvalgets sak 19/15 4. Kommunestyrets sak 70/12 5. Kontrollutvalgets sak 19/12 6. Kontrollutvalgets sak 6/12 7. Kontrollutvalgets sak 25/11 8. Forskrift om revisjon 9. Forskrift om kontrollutvalg i kommuner og fylkeskommuner 10. Kommuneloven Saksopplysninger Kontrollutvalget behandlet sak 19/15 «Prioritering vedrørende forvaltningsrevisjonsressursen» den 03.06.15. Kontrollutvalget fattet bl.a. slikt vedtak: 1. «Kontrollutvalget ber revisor utarbeide prosjektplan for forvaltningsrevisjon med Personal og organisasjonstjenesten med følgende problemstillinger a. Hva har kommunen av dokumenter relatert til arbeidsgiverpolitikk/personalpolitikk? b. I hvor stor grad brukes vedtatte retningslinjer for å nå personalpolitikkens hovedmål? 2. Prosjektplan legges frem for kontrollutvalget i neste møte.» Kontrollutvalget behandlet bestilling av forvaltningsrevisjon i møte den 23.09.15, sak 25/15.

Kontrollutvalget fattet slikt vedtak i saken: 1. «Kontrollutvalget ber revisor igangsette prosjektet uten avgrensningen mot sykefravær. 2. Kontrollutvalget ber revisor om en underveis orientering i november møte.» Kontrollutvalget behandlet statusrapport fra revisor i møte den 06.11.16, sak 36/15. Kontrollutvalget fattet slikt vedtak i saken: «Kontrollutvalget tar den gitte informasjon til orientering.» Revisor har nå avsluttet prosjektet og har avlevert sin rapport, se vedlegg. Revisor har tatt utgangspunkt i og besvart følgende problemstillinger: 1. «Hva har kommunen av dokumenter relatert til arbeidsgiverpolitikk? 2. I hvilken grad brukes vedtatte retningslinjer for å nå personalpolitikkens hovedmål; herunder målene om IA i kommunen? For å besvare problemstillingen har vi utarbeidet følgende delproblemstillinger: Gjennomføres personalplanlegging og rekrutteringsarbeid i et helhetlig perspektiv? Utvikles arbeidstakernes kompetanse i henhold til kommunens og de ansattes behov? Brukes vedtatte tiltak for å sikre ivaretakelse av arbeidstakerne? Herunder målene i IA-avtalen» Revisor gir i sin konklusjon og anbefalinger uttrykk for følgende: «Revisors hovedkonklusjon er at de vedtatte retningslinjene til en viss grad brukes for å nå målene kommunen har om å fremme og utvikle kreativitet og energi, skape myndiggjorte, selvstendige og tilfredse medarbeidere. Vi mener at retningslinjene ikke er brukt like godt når det gjelder at kommunen skal være en attraktiv arbeidsgiver for alle medarbeidere. Kommunen har mange dokumenter relatert til arbeidsgiverpolitikk. Noen av disse er gamle dokumenter. De bærer preg av å være fra da Innherred samkommune ble opprettet, og deler av innholdet i dokumentene er utdatert. En gjennomgang med tanke på oppdatering i forhold til nødvendige endringer anbefales gjort. Satsingen på lederutvikling og bevissthet om ny lederfilosofi ser ut til i stor grad å være vellykket. Rådmannen har jobbet godt med ledernes kompetanse på området, og har ledere som formidler lederfilosofien videre i organisasjonen. Personalplanlegging og rekrutteringsarbeid gjennomføres i en viss grad innenfor et helhetlig perspektiv. Varierende bruk av kompetanseplan gjør det vanskelig å fastslå om den samlede kompetansen Verdal kommune har per i dag dekker kommunens og de ansattes behov. Samtidig har vi inntrykk av at lederne har oversikt på sitt område. Dersom det er slik at kommunen mener at det skal utarbeides kompetanseplaner bør dette få sterkere fokus framover.» 2

Arbeidsmiljøet blir systematisk kartlagt og i henhold til plan. Mulighet for medbestemmelse og samarbeid mellom arbeidsgiver og arbeidstaker er i hovedsak ivaretatt. Målene i IA-avtalen for perioden 2014-2016 er foreløpig ikke nådd. Perioden er ikke utløpt, men inntrykket er at med unntak av mål om lavere sykefravær så har de øvrige IAmålene ikke hatt like stort fokus. Vi anbefaler at IA kommer høyere opp på dagsorden eller at målene justeres i forhold til realitetene.» Vurdering Kontrollutvalget må ta stilling til om den fremlagte rapport besvarer de spørsmål kontrollutvalget ønsket besvart. En anbefaler at kontrollutvalget slutter seg til rapporten og videresender den til kommunestyret for videre behandling. Steinkjer 20.06.16 Paul Stenstuen Kontrollsekretær 3

FORVALTNINGSREVISJON KOMMUNEN SOM ARBEIDSGIVER VERDAL KOMMUNE Juni 2016

FORORD Denne forvaltningsrevisjonen er gjennomført av KomRev Trøndelag IKS på oppdrag fra kontrollutvalget i Verdal kommune i perioden oktober 2015 til juni 2016. Kontrollutvalget skal påse at forvaltningsrevisjon gjennomføres; jfr. lov om kommuner og fylkeskommuner (kommuneloven) 77 nr. 4. Forvaltningsrevisjon innebærer å gjøre systematiske vurderinger av økonomi, produktivitet, måloppnåelse og virkninger ut fra kommunestyrets eller fylkestingets vedtak og forutsetninger 1 Undersøkelsen er gjennomført i henhold til NKRFs standard for forvaltningsrevisjon, RSK 001. Revisjonen har vurdert egen uavhengighet overfor Verdal kommune, jfr. kommuneloven 79 og 6. Vi kjenner ikke til forhold som er egnet til å svekke tilliten til vår uavhengighet og objektivitet. Revisjonsteamet har bestått av prosjektleder Marit Ingunn Holmvik, prosjektmedarbeider Odd Lutnæs Sakshaug og kvalitetssikrer Unni Romstad. Vi takker alle som har bidratt med informasjon i prosjektet. En oversikt over tidligere gjennomførte prosjekter fra KomRev Trøndelag IKS finner du på vår hjemmeside www.krt.no. Namsos/Steinkjer 20.6.2016 Unni Romstad Oppdragsansvarlig revisor Marit Ingunn Holmvik Prosjektleder 1 Forskrift om revisjon i kommuner og fylkeskommuner mv (revisjonsforskriften) 7 Kommunen som arbeidsgiver 1

INNHOLDSFORTEGNELSE 0. Sammendrag... 4 Innledning... 7 1.1 Bestilling... 7 1.2 Bakgrunn... 7 1.3 Problemstillinger... 7 1.4 Revisjonskriterier... 8 1.5 Metodisk tilnærming og gjennomføring... 8 2. Arbeidsgiverpolitikk i Verdal kommune... 9 2.1 Hva er arbeidsgiverpolitikkpolitikk?... 9 2.2 Lokale arbeidsgiverpolitiske dokumenter... 10 2.2.1 Generelt om dokumentene og organiseringen... 10 2.2.2 Personalpolitisk handlingsplan... 10 2.2.3 Arbeidsreglement... 11 2.2.4 Ansettelsesreglement... 11 2.2.5 Introduksjonshefte nytilsatte... 11 2.2.6 IA- mål og aktiviteter... 12 2.2.7 Seniortiltak... 12 2.2.8 Etiske retningslinjer... 12 2.2.9 Lønnspolitisk plan... 13 2.3 Om organisering... 13 2.4 Oppsummering... 16 3. Oppfølging av arbeidsgiverpolitikkens hovedmål... 17 3.1 Revisjonskriterier... 17 3.2 Helhetlig perspektiv på personalplanlegging og rekruttering... 18 3.2.1 Rekruttering skal baseres på systematisk personalplanlegging.... 18 3.2.2 Alle ansatte skal kunne stå i stilling til pensjonsalder... 21 3.2.3 Det skal arbeides med å redusere uønsket deltid.... 21 3.2.4 Det skal søkes etter flere medarbeidere med flerkulturell bakgrunn... 22 3.2.5 Vurdering... 22 3.2.6 Konklusjon... 23 Kommunen som arbeidsgiver 2

3.3 Kompetanseutvikling sett opp mot kommunens og de ansattes behov... 24 3.3.1 Ledelse - fra styring og kontroll til mulighetsorientert og stimulerende. 24 3.3.2 Lederutvikling... 25 3.3.3 Kompetanseplaner... 26 3.3.4 Vurdering... 29 3.3.5 Konklusjon... 29 3.4 Om tiltak som skal sikre arbeidstakerne... 30 3.4.1 Kartlegging av arbeidsmiljøet... 30 3.4.2 Medbestemmelse og samarbeid... 30 3.4.3 IA-målene skal følges opp.... 31 3.4.4 Sysselsetting av personer med redusert funksjonsevne skal økes... 33 3.4.5 Seniortiltak... 33 3.4.6 Vurdering... 34 3.4.7 Konklusjon... 34 4. Konklusjon og anbefalinger... 35 5. Rådmannens kommentarer... 36 Liste over figurer og tabeller Figur 1 Oversikt over organisering i Innherred samkommune (ISK)... 13 Figur 2 Politisk og administrativ organisering av Verdal kommune... 15 Figur 3 Utledning av revisjonskriterier... 17 Figur 4 Om ledelse - HUSET... 24 Vedlegg 1: Rekrutteringsprosedyrer i skole, SFO, barnehage Kommunen som arbeidsgiver 3

0. SAMMENDRAG Rapporten beskriver hvilke dokumenter som omhandler kommunens arbeidsgiverpolitikk og hvordan disse er implementert og brukes i Verdal kommune. Vi har tatt utgangspunkt i to problemstillinger. Den ene er beskrivende og omhandler hvilke dokumenter kommunen har som er relatert til arbeidsgiverpolitikk. Den andre problemstillingen er vurderende og er som følger: I hvilken grad brukes vedtatte retningslinjer for å nå personalpolitikkens hovedmål; herunder målene om IA i kommunen? For å besvare den siste problemstillingen har vi utarbeidet følgende delproblemstillinger: Gjennomføres personalplanlegging og rekrutteringsarbeid i et helhetlig perspektiv? Utvikles arbeidstakernes kompetanse i henhold til kommunens og de ansattes behov? Brukes vedtatte tiltak for å sikre ivaretakelse av arbeidstakerne? Herunder målene i IA-avtalen Rapporten bygger på informasjon innhentet gjennom dokumentgjennomgang og intervju av kommunalsjefene og Rådgiver personal, organisasjonsavdelingen i Innherred samkommune. Sistnevnte er kommunens oppnevnte kontaktperson for denne forvaltningsrevisjonen. I tillegg er virksomhetslederne i kommunen og et utvalg av enhetslederne og hovedtillitsvalgte kontaktet på e-post med spørsmål. Vi har kommet fram til at kommunen har mange retningslinjer innen temaet arbeidsgiverpolitikk. Noen av dokumentene er fra opprettelsen av samkommunen og deler av innholdet begynner av den grunn å bli foreldet. Det er revisors syn at Verdal kommune i en viss grad gjennomfører personalplanlegging og rekrutteringsarbeid i et helhetlig perspektiv. Resultatene fra denne undersøkelsen gir et inntrykk av at rekruttering foregår i forhold til de behov enhetene opplever å ha. Så langt vi har kjennskap til, er det etablert systemer for at de skal kunne være i stand til å foreta rekruttering forhold til de eksisterende behov. På mindre områder har de oversikt uten at det er formalisert i system. Det er revisors inntrykk at rekrutteringen også her foregår ut fra vurdering av behov. Kommunen arbeider aktivt med å få redusert uønsket deltid, og når det gjelder rekruttering av medarbeidere med flerkulturell bakgrunn er det etablert ulike ordninger for arbeidspraksis. Helse og velferd er den enheten som har kommet lengst med dette arbeidet. Kommunen som arbeidsgiver 4

Satsingen på lederutvikling og bevissthet om ny lederfilosofi ser ut til å ha vært vellykket. Rådmannen har jobbet godt med ledernes kompetanse på området, og har ledere som formidler lederfilosofien videre i organisasjonen. Varierende bruk av kompetanseplan gjør det vanskelig å fastslå om den samlede kompetansen Verdal kommune har per i dag dekker kommunens og de ansattes behov. Samtidig er det et inntrykk av at lederne har oversikt på sitt område. Det er imidlertid revisors vurdering at dersom det er slik at kommunen mener at det skal utarbeides kompetanseplaner bør dette få sterkere fokus framover, og det er mulighet for å bruke de som er «best i klassen» til å inspirere de som ligger etter. Det foregår systematisk kartlegging av arbeidsmiljøet hvert andre år. I tillegg forekommer tilleggsundersøkelser etter behov på enkelte områder. Mulighet for medbestemmelse og samarbeid mellom arbeidsgiver og arbeidstaker er i hovedsak ivaretatt i Verdal kommune. Det er lagt opp til regelmessige medbestemmelsesmøter der representanter fra arbeidsgiver og ansatte gjennom sine tillitsvalgte deltar. De tillitsvalgte har ulike meninger om hvorvidt intensjonene om medbestemmelse fungerer. IA-målene for Verdal kommune for 2014-2016 er foreløpig ikke nådd. Tall for 2015 viser at kommunens sykefravær var på 7,9 %, med andre ord betydelig over målsetningen om at den skal være under 6 %. Det arbeides aktivt for å få ned sykefraværet. Målet om å styrke innsatsen for personer som er utenfor arbeidslivet er ikke nådd. Kommunen hadde et mål om 13 IA-plasser i perioden 2014-2016, hvorav 3 i ISK. Vi kan ikke se at kommunen har en eneste IA-plass for personer utenfor arbeidslivet. Vårt inntrykk er at lederne har nok med intern tilrettelegging for aktivitet ved funksjonsnedsettelse og arbeidsutprøving i andre enheter for personer som allerede er i systemet. Seniorsamtaler gjennomføres i varierende grad med ansatte ved fylte 55 år. Medarbeidersamtalene ivaretar en del av innholdet disse kunne hatt. Målet om å øke den gjennomsnittlige avgangsalder for ansatte over 62 år med 6 måneder er ikke mulig å få verifisert på grunn av at det ikke er fulgt opp med statistikk fra kommunens side. Dette henger sammen med at kommunen ikke har informasjon om hva som var status på det tidspunktet da målene ble satt, eller informasjon om hva som er nåsituasjonen. Dette er informasjon som er fullt mulig å framskaffe. Fra revisors ståsted er ikke dette tilfredsstillende. Vi har ikke inntrykk av at dette har fokus. Kommunen som arbeidsgiver 5

Konklusjon: Revisors hovedkonklusjon er at de vedtatte retningslinjene til en viss grad brukes for å nå målene kommunen har om å fremme og utvikle kreativitet og energi, skape myndiggjorte, selvstendige og tilfredse medarbeidere. Retningslinjene er ikke brukt like godt når det gjelder å nå målet om at kommunen skal være en attraktiv arbeidsgiver for alle medarbeidere. Kommunen som arbeidsgiver 6

INNLEDNING 1.1 Bestilling På bakgrunn av Plan for forvaltningsrevisjon 2012-2015 2 har kontrollutvalget i Verdal kommune bestilt en forvaltningsrevisjon om kommunen som arbeidsgiver. Kontrollutvalget vedtok prosjektplan for prosjektet i sitt møte 23.09.15, sak 25/15. Fokus i prosjektet er på måloppnåelse i forhold til gjeldende retningslinjer på personalområdet. 1.2 Bakgrunn Etter ønske fra kontrollutvalget beskriver rapporten hva som finnes av dokumenter som omhandler kommunens arbeidsgiverpolitikk og hvordan disse er implementert og brukes i Verdal kommune. Forvaltningsrevisjonen vil ta utgangspunkt i overordnede mål for arbeidsgiverpolitikken i Verdal kommune med fokus på medarbeiderne, effektiv ressursbruk, kvalitet på tjenestene og at kommunen skal være en attraktiv arbeidsgiver. 1.3 Problemstillinger Følgende problemstillinger er besvart i undersøkelsen: Hva har kommunen av dokumenter relatert til arbeidsgiverpolitikk? I hvilken grad brukes vedtatte retningslinjer for å nå personalpolitikkens hovedmål; herunder målene om IA i kommunen? For å besvare problemstillingen har vi utarbeidet følgende delproblemstillinger: Gjennomføres personalplanlegging og rekrutteringsarbeid i et helhetlig perspektiv? Utvikles arbeidstakernes kompetanse i henhold til kommunens og de ansattes behov? Brukes vedtatte tiltak for å sikre ivaretakelse av arbeidstakerne? Herunder målene i IA-avtalen Delproblemstillingene i den andre og vurderende problemstillingen er ikke presentert i prosjektplanen. Vi anser det for å være en endring som ikke er vesentlig, men som forenkler arbeidet med besvarelsen. 2 Vedtatt i kommunestyret den 25.6.2012/sak 70/12 Kommunen som arbeidsgiver 7

1.4 Revisjonskriterier Revisjonskriterier er de krav og forventninger som kommunens praksis vurderes opp mot. Den første problemstillingen er beskrivende, og danner utgangspunkt for utarbeidelse av revisjonskriterier for problemstilling 2. Disse presenteres i kapittel 3. I dette prosjektet er kriteriene hentet fra: Personalpolitisk handlingsplan Ansettelsesreglementet IA-avtalen 1.5 Metodisk tilnærming og gjennomføring Prosjektet er gjennomført i perioden oktober 2015 til juni 2016. Rapporten bygger på informasjon innhentet gjennom dokumentgjennomgang og intervju. I tillegg er virksomhetslederne i kommunen og et utvalg av enhetslederne kontaktet på e-post med spørsmål. Intervju Følgende er intervjuet i forbindelse med prosjektet: Rådgiver personal, organisasjonsavdelingen i Innherred samkommune (kommunens oppnevnte kontaktperson for denne forvaltningsrevisjonen) Kommunalsjef for oppvekst, Kommunalsjef helse og velferd Kommunalsjef samfunnsutvikling Intervjuene ble gjennomført etter en intervjuguide, og referat fra intervju er verifisert av informantene i etterkant for å rette opp eventuelle faktafeil og misforståelser. Vi har sendt spørsmål på e-post til de 4 hovedtillitsvalgte som representerer de med foreningene med flest medlemmer, 13 av 45 enhetsledere og alle 8 virksomhetslederne 3. I utvelgelsen av hvilke enhetsledere vi skulle kontakte, satte vi opp en enhetsvis oversikt, og trakk ut hver fjerde enhetsleder. Dette for å forsøke å få inn innspill fra enhetslederne i de ulike virksomhetsområdene i kommunen. Vi har fått svar fra alle de 8 virksomhetslederne, 8 av de 13 enhetslederne vi kontaktet og 3 av de 4 hovedtillitsvalgte vi kontaktet. 3 Vi har valgt å holde NAV utenfor denne forvaltningsrevisjonen, da de er både kommunalt og statlig, og at det kan tenkes at «statlige føringer» avviker fra kommunens. Kommunen som arbeidsgiver 8

Dokumentgjennomgang Referanselista viser hvilke skriftlige dokumenter vi har brukt som kilder. Den består av blant annet litteratur om: Arbeidsgiverpolitikk Evalueringer av gjennomførte prosjekt knyttet til organiseringen av arbeidslivet Videre har vi gjennomgått relevante dokumenter som Verdal kommune har utarbeidet. Samlet vurdering av datagrunnlag og metode Vi mener intervju, dokumentgjennomgang og spørsmål sendt virksomhetsledere, enhetsledere og et utvalg hovedtillitsvalgte, gir et tilstrekkelig datagrunnlag for å svare på rapportens problemstillinger. Når vi ikke har gått ut og fått medarbeidernes syn, henger det sammen med at problemstillingene er av mer overordnet karakter, som best kan besvares med å spørre ledelse og tillitsvalgte i kommunen. 2. ARBEIDSGIVERPOLITIKK I VERDAL KOMMUNE Verdal kommune er en stor arbeidsgiver. I årsberetningen for 2015 opplyses det at det pr 31.12.2015 var 914,7 årsverk, og at det var 1012 fast ansatte i Verdal kommune. Arbeidsgiverpolitikken som utøves er derfor viktig for mange. 2.1 Hva er arbeidsgiverpolitikkpolitikk? KS erstattet begrepet personalpolitikk med begrepet arbeidsgiverpolitikk før årtusenskiftet fordi dette begrepet ble ansett som mer offensivt. Tidligere var fokus på forholdet mellom arbeidsgiver og medarbeider. Det ble nå lagt større vekt på å utvikle relasjonen mellom medarbeider og bruker, og koblingen mellom arbeidsgiverpolitikk og kvaliteten på de kommunale tjenestene ble løftet fram. 4 KS utarbeidet i 2014 refleksjonshefte om lokal arbeidsgiverpolitikk Skodd for Framtida. Der går det fram at KS har definert arbeidsgiverpolitikk som de handlinger, holdninger og verdier som arbeidsgiver står for og praktiserer overfor medarbeiderne hver dag. Arbeidsgiverpolitikken synliggjør arbeidsgivers konkrete evne til å frigjøre den menneskelige energien i organisasjonen. Heftet tar for seg hvordan kommunene med en aktiv og fremtidsrettet arbeidsgiverpolitikk vil være i stand til å tiltrekke seg de beste ledere og medarbeidere for å løse fremtidens utfordringer, slik at tjenestene endres og fornyes i 4 KS 2007 Stolt og unik. Arbeidsgiverstrategi mot 2020 Kommunen som arbeidsgiver 9

takt med innbyggernes behov. Det pekes på viktigheten av evnen til å rekruttere, utvikle og beholde medarbeidere, og hvor viktig god ledelse er for å lykkes. I følge KS konkretiserer en arbeidsgiverstrategi innholdet i organisasjonens arbeidsgiverpolitikk. Den skal tydeliggjøre de handlinger, holdninger og verdier som arbeidsgiver står for i møte med medarbeiderne. En arbeidsgiverstrategi er derfor et viktig verktøy for å rekruttere, utvikle og beholde medarbeidere. En arbeidsgiverstrategi bidrar også til å bevisstgjøre politikerne i deres arbeidsgiverrolle. Kommunen er som arbeidsgiver i tillegg til egne retningslinjer blant annet underlagt bestemmelsene i arbeidsmiljøloven og hovedtariffavtalen. 2.2 Lokale arbeidsgiverpolitiske dokumenter Vi har, sammen med Rådgiver personal og organisasjonsavdelingen, plukket ut de dokumentene som omhandler arbeidsgiverpolitikken i kommunen og omtaler en del av disse nærmere. Vi vil først si litt generelt om personalpolitiske dokumenter i kommunen. 2.2.1 Generelt om dokumentene og organiseringen Verdal og Levanger kommune har felles personal- og organisasjonsenhet gjennom samarbeidet i Innherred Samkommune (ISK). Dokumentene som omhandler personalområder er i stor grad like i de to kommunene og ISK. Verdal kommune har en personalpolitisk handlingsplan. Den er utarbeidet gjennom Innherred samkommune (ISK) og er omtrent likelydende for Levanger, Verdal og ISK. 2.2.2 Personalpolitisk handlingsplan Personalpolitisk handlingsplan ble vedtatt av administrasjonsutvalget i Verdal kommune og i Levanger kommune 7.4.2005. Planen, som fortsatt gjelder, skulle ifølge rådgiver ved personal- og organisasjonsenheten ha vært oppdatert og revidert. De overordnende mål med arbeidsgiverpolitikken er i planen som følger: «Kommunens arbeidsgiverpolitikk har som overordnet mål å fremme og utvikle kreativitet og energi, skape myndiggjorte, selvstendige og tilfredse medarbeidere som har fokus på effektiv ressursbruk og å produsere tjenester av høy kvalitet for kommunens innbyggere. Kommunen skal være en attraktiv arbeidsgiver for alle medarbeidere, og må derfor aktivt tilrettelegge for å fremme bolyst, utvikling av næringsliv, livskvalitet og vekst.» Personalpolitisk handlingsplan inneholder krav om følgende: Arbeidsgiverpolitikken i Verdal kommune skal ha fokus på å skape en åpen og inkluderende organisasjonskultur der den enkelte medarbeider føler seg verdsatt og ivaretatt. Dette for å beholde medarbeiderne lengst mulig. Arbeidsplassen skal være helse- og trivselsfremmende, og bidra til at den enkelte medarbeider blir sett og inkludert. Den enkelte må ta ansvar for eget Kommunen som arbeidsgiver 10

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding