Møteinnkalling Kontrollutvalget Halden · videreføre arbeidet med databehandleravtaler, slik at kommunen har avtale med alle databehandlere se til at personvernombudet rapporterer

Møteinnkalling Kontrollutvalget Halden Møtested: Rådhuset, møterom Formannskapssalen 1. etg Tidspunkt: 26.11.2019 kl. 18.00 Eventuelle forfall meldes til Anita Dahl Aannerød på telefon 900 867 40 eller på e-post: [email protected] Varamedlemmer kalles inn etter nærmere avtale. 19.11 2019 Leder, Roar Lund (s)

1

mailto:[email protected]

Kontrollutvalget Haldens møte 26.11.2019

Sakliste

PS 19/41 Godkjenning av innkalling og saksliste 3

PS 19/42 Rutine for godkjenning av protokoller 4

PS 19/43 2. Oppfølging av forvaltningsrevisjonsprosjekt "Forebyggende arbeid/psykisk helse"

5

PS 19/44 Forvaltningsrevisjonsrapport Personvern 7

PS 19/45 Forvaltningsrevisjonsplan 2020-2021 91

PS 19/46 Plan for eierskapskontroll for perioden 2020 - 2023 124

PS 19/47 Prinsippavklaringssak 190

PS 19/48 Møteplan for 1. halvår 2020 191

PS 19/49 Referater og meldinger 193

PS 19/50 Eventuelt 200

2

ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2019/112 Dokumentnr.: 74 Løpenr.: 236477/2019 Klassering: 101-191 Saksbehandler: Anita Dahl Aannerød

Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Halden 26.11.2019 19/41

Godkjenning av innkalling og saksliste

Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. (saken legges frem uten forslag til vedtak)

Fredrikstad, 19.11.2019

3

ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2019/113 Dokumentnr.: 67 Løpenr.: 232039/2019 Klassering: 101-192 Saksbehandler: Bjørn Gulbrandsen


Rutine for godkjenning av protokoller

Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Det settes opp en sak i hvert møte om «Valg av en representant til signering av

protokoll», den som leder møtet skal alltid signere.

2. Protokoll godkjennes elektronisk snarets mulig og signeres etter hvert møte.

3. Protokoll sendes ut og publiseres på hjemmesiden så snart den er elektronisk godkjent Fredrikstad, 13.11.2019

Vedlegg Ingen

Andre saksdokumenter (ikke vedlagt) Ingen

Saksopplysninger Etter hvert nyvalg av kontrollutvalg legger sekretariatet frem forslag for retningslinjer for godkjenning av protokoller. Forslaget er ment for å fremme en felles rutine for sekretariatets seks kontrollutvalg.

Vurdering Sekretariatet fremmer følgende forslag til retningslinjer for godkjenning av kontrollutvalgets møteprotokoller:

1. Det settes opp en sak i hvert møte om «Valg av en representant til signering av protokoll», den som leder møtet skal alltid signeres.

2. Protokoll godkjennes elektronisk snarets mulig og signeres etter hvert møte. 3. Protokoll sendes ut og publiseres på hjemmesiden så snart den er elektronisk

godkjent. Hvis det er et ønske kan godkjent protokoll legges frem under referater og meldinger.

4



2. Oppfølging av forvaltningsrevisjonsprosjekt "Forebyggende arbeid/psykisk helse"

Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Saken legges frem uten forslag til innstilling fra sekretariatet.


Vedlegg Ingen

Andre saksdokumenter (ikke vedlagt) KU-sak 19/24, den 18. 06 2019 KU-sak 18/34 den 25. 09 2018. Kommunestyresak 2018/101, den 11.10 2018.

Saksopplysninger Kontrollutvalget behandlet rådmannens oppfølging av forvaltningsrevisjonsrapport «Forebyggende arbeid – psykisk helse», den 18.juni 2019 i sak 19/24. Da kontrollutvalget behandlet forvaltningsrevisjonsrapport «Forebyggende arbeid – psykisk helse i 2018 ga de følgende innstilling til kommunestyret: «1.Kommunestyret tar forvaltningsrevisjonsrapport «Forebyggende arbeid – psykisk helse» til orientering, og ber administrasjonen følge opp de to anbefalinger som fremkommer av rapporten. Herunder skal kommunen:

analysere enhetens ressurssituasjon opp mot tjenestene som skal leveres. Det er spesielt helsesøsterressursen på kommunens barneskoler som, for revisjonen, fremstår som lav.

vurdere å utbedre det systematiske samarbeidet med flere av de interne og eksterne aktørene. Her nevnes spesielt: kommunalavdeling helse og omsorg, koordinerende fellestjenester, kommunens fastleger, kommuneoverlege, NAV og skolene. Samarbeidsrutinene skal skriftliggjøres.

5

2. Kommunestyret ber rådmannen om å rapportere til kontrollutvalget våren 2019, om sin oppfølging av rapportens anbefalinger, og de konkrete tiltak rådmann selv redegjør for i sin uttalelse til rapporten.» Kommunestyret sluttet seg til kontrollutvalgets innstilling og la i tillegg ved et punkt 3, Herunder: «3. Rådmannen bes også gå igjennom samarbeidet kommunen har med Høyskolen i Østfold og Studentsamskipnaden når det gjelder psykisk helse blant studentene i Halden, og vurdere mulige tiltak sammen med aktørene. Gjennomgangen inngår som en del av rollen som vertskommune for høyskolen. Kommunestyret viser for øvrig til kontrollutvalgets ansvar for å påse at kommunestyrets vedtak i forbindelse med forvaltningsrevisjon blir fulgt opp.» Det var kommunestyrets vedtak kontrollutvalget skulle følge opp våren 2019. Rådmannen ga et notat hvor arbeidet med oppfølging av vedtaket ble beskrevet. Det sto blant annet beskrevet i notatet at det per dags dato ikke var utarbeidet systematisk samarbeid med interne og eksterne aktører, det var slik sett ikke skriftliggjorte samarbeidsrutiner. Arbeidet med dette ville pågå over sommeren. Det sto også i notatet at rådmann kunne komme tilbake til kontrollutvalget senhøsten 2019 med en videre orientering/ oppfølging av arbeidet, dersom det var ønskelig. Sekretariatet skrev i sin vurdering at sekretariatet ikke kunne se at det fremkom en konkret oppfølging av vedtaket som ble fattet i kommunestyret. Sekretariatet skrev videre at det imidlertid var gjort vurderinger for å utbedre det systematiske samarbeidet med flere av de interne og eksterne aktørene. Spesielt vurderte sekretariatet at kommunestyrets tilleggspunkt 3 ikke var fulgt opp og redegjort for av rådmannen. Sekretariatet anbefalte derfor kontrollutvalget å ta informasjonen fra rådmann til foreløpig orientering, samt å be rådmann gi en konkret tilbakemelding på hvert av punktene i vedtaket, senhøsten 2019. Kontrollutvalgets vedtak i saken den 18. juni 2019 var følgende: «1. Kontrollutvalget tar informasjonen til foreløpig orientering. 2. Kontrollutvalget ber rådmann gi en ny redegjørelse for sin oppfølging av kommunestyrevedtak sak 2018/101, senhøsten 2019.» Rådmann stiller i møtet for å gi kontrollutvalget ytterligere informasjon om administrasjonens oppfølging av kommunestyrevedtaket.

Vurdering Siden det blir gitt en muntlig informasjon i saken er ikke sekretariatet kjent med hvordan kommunestyrevedtaket er fulgt opp. Sekretariatet kan derfor ikke gi innstilling i saken.

6



Forvaltningsrevisjonsrapport Personvern

1 Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: .

Kontrollutvalget tar forvaltningsrevisjonsrapport «Personvern», samt kommunedirektørens uttalelse til rapporten til orientering, og slutter seg til revisjonens anbefalinger.

2. Kontrollutvalgets innstilling til kommunestyret: 1: Kommunestyret tar forvaltningsrevisjonsrapport «Personvern» til orientering, og ber administrasjonen følge opp de 13 anbefalinger som fremkommer av rapporten. Herunder skal kommunen:

sørge for å informere om hvordan de behandler personopplysningene på en måte som gjør informasjonen forståelig for alle målgrupper, som for eksempel for barn og unge.

behandle de ulike typene kommunikasjonskanaler som ansatte benytter som sms, chat, e-post osv, vurdere lagring og sletting av personopplysninger og personvernkonsekvens

ha en gjennomgang av hvilke kategoriene personopplysninger som det må innhentes samtykke til på de ulike fagområdene.

etablere felles rutiner for enhet- skole, når det gjelder tilgangsavgrensing til fysiske arkiv.

sikre at personopplysninger ikke lagres lenger enn det som er nødvendig og forsvarlig for den enkelte sak.

se til at det gjøres en vurdering av om opplysninger eller deler av opplysninger skal slettes eller pseudonymiseres ved lagring av ikke arkivverdige personopplysninger, og vurdere om formålet for lagring av opplysningene er et annet enn ved registreringen

videreføre arbeidet med databehandleravtaler, slik at kommunen har avtale med alle databehandlere

se til at personvernombudet rapporterer til høyeste ledelsesnivå i kommunen

7

gjennomføre en behandling av sine webkameraer og informere kommunens innbyggere om hensikten med og bruken av disse

videreføre arbeidet med behandlingene, slik at alle behandlinger er registrert i protokollen og at det er vurdert om det er høy risiko for personvernkonsekvens

videreføre arbeidet med å vurdere personvernkonsekvens (DPIA) der risikoen er høy

etablere og implementere interkontroll på personvernområdet sørge for at opplæring blir prioritert nedover i organisasjonen

2: Kommunestyret viser til kontrollutvalgets ansvar for å påse at kommunestyrets vedtak i forbindelse med forvaltningsrevisjon blir fulgt opp. Kommunestyret ber kontrollutvalget om å følge opp vedtaket med en oppfølgingsrapport fra revisjonen ett år etter kommunestyrets behandling av saken. Denne oppfølgingsrapporten skal også sendes til kommunestyret.

Fredrikstad, 18.11 2019

Vedlegg Forvaltningsrevisjonsrapport «Personvern», datert 18. november 2019.

Andre saksdokumenter (ikke vedlagt) KU-sak 19/22, den 18.06 2019 (Prosjektplan forvaltningsrevisjon «Personvern» Kommunestyresak 14/28, den 15.02 2018 (Forvaltningsrevisjonsplan 2018-2019) KU-sak 18/3, den 06.02 2018 (Forvaltningsrevisjonsplan 2018-2019). Prosjektets bakgrunn: Prosjektet ble vedtatt gjennomført på grunn av endringer og nye regler på området. Noe som igjen kan medføre risiko for brudd på regelverket. Flere av kommunens virksomheter forvalter en stor mengde personopplysninger, både opplysninger om kommunens innbyggere, men også opplysninger om ansatte. Kommunen plikter å behandle slike opplysninger i tråd med personopplysningsloven. Personopplysningsloven krever at opplysningene skal beskyttes tilfredsstillende mot uberettiget innsyn og endringer – konfidensialitet og integritet. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene når de har behov for det. Loven stiller krav til etablering og oppfølging av tiltak som er nødvendig for å oppfylle kravene til behandling av personopplysninger – i et internkontrollsystem. Revisjonen skrev i sin overordnede analyse i 2018: «Det faktum at det er nye regler på området innebærer, etter revisjonens oppfatning, dessuten en økt grad av sannsynlighet for brudd på regelverket. Ettersom gebyrene som kan ilegges for brudd på regelverket i henhold til ny forordning har økt drastisk vil dette også innebære en økt økonomisk konsekvens.» Prosjektets problemstillinger: I prosjektplanen ble følgende to problemstillinger vedtatt: 1. Har kommunen implementert personvernregelverket? Herunder, om kommunen har vurdert hvilke personopplysninger de har behov for,

hvorfor de har behov for disse, hvor lenge de har behov for opplysningene, hvordan opplysningene er lagret og hvem som skal ha tilgang til opplysningene?

Har kommunen opprettet personvernombud? Har kommunen gjennomført risikovurderinger i tilknytning til behandling av

personopplysninger?

8

2. Har kommunen sikret at ansatte etterlever regelverket? Herunder har kommunen gitt de ansatte tilstrekkelig opplæring i regelverket på

området? Revisjonen har valgt å besvare problemstillingene under ett. Revisjonen og kommunens administrasjon har sett det som hensiktsmessig å avgrense kontrollen til å vurdere at systemer, registreringer og avtaler finnes og en stikkprøve av disse. Revisjonen har gjennomført undersøkelsen på administrativt nivå, og valgt ut grunnskolen som en underliggende enhet. Dette for å belyse hvordan regelverket er implementert ut til kommunens utøvende tjenester. Revisjonskriterier: For å kontrollere og besvare problemstillingene har revisjonen utledet revisjonskriterier (kontrollkriterier). Det vil si at det er disse revisjonen har kontrollert og gjort vurderinger opp mot. Revisjonskriteriene fremgår på side 10, 17, 20, 22, 27. Revisjonskriteriene er utledet fra autoritative kilder. Revisjonens konklusjoner: Revisjonens konklusjoner fremgår i sin helhet på side 34,35 og 36. Revisjonens konklusjon på problemstillingene i sin helhet er følgende: «Samlet sett er det revisjonens konklusjon at Halden kommune ikke fullt ut har implementert alle krav og forventninger i personvernregelverket. Kommunen har gitt opplæring til mange av kommunens ledere, men har i liten grad sikret at opplæringen blir videreført ut i enhetene.» Revisjonens anbefalinger: Med bakgrunn i sine kontroller, vurderinger og konklusjoner fremmer revisjonen følgende 13 anbefalinger til kommunen: Kommunen bør sørge for å informere om hvordan de behandler personopplysningene på en måte som

gjør informasjonen forståelig for alle målgrupper, som for eksempel for barn og unge. behandle de ulike typene kommunikasjonskanaler som ansatte benytter som sms, chat,

e-post osv, vurdere lagring og sletting av personopplysninger og personvernkonsekvens ha en gjennomgang av hvilke kategoriene personopplysninger som det må innhentes

samtykke til på de ulike fagområdene. etablere felles rutiner for enhet- skole, når det gjelder tilgangsavgrensing til fysiske arkiv. sikre at personopplysninger ikke lagres lenger enn det som er nødvendig og forsvarlig

for den enkelte sak. se til at det gjøres en vurdering av om opplysninger eller deler av opplysninger skal

slettes eller pseudonymiseres ved lagring av ikke arkivverdige personopplysninger, og vurdere om formålet for lagring av opplysningene er et annet enn ved registreringen

videreføre arbeidet med databehandleravtaler, slik at kommunen har avtale med alle databehandlere

se til at personvernombudet rapporterer til høyeste ledelsesnivå i kommunen gjennomføre en behandling av sine webkameraer og informere kommunens innbyggere

om hensikten med og bruken av disse videreføre arbeidet med behandlingene, slik at alle behandlinger er registrert i

protokollen og at det er vurdert om det er høy risiko for personvernkonsekvens videreføre arbeidet med å vurdere personvernkonsekvens (DPIA) der risikoen er høy etablere og implementere interkontroll på personvernområdet sørge for at opplæring blir prioritert nedover i organisasjonen Kommunedirektørens høringsuttalelse: Kommunedirektøren har gitt sine kommentarer til anbefalingene og til rapporten. Dette fremgår i sin helhet på side 37 og 38 i rapporten. Kommunedirektøren slutter seg i stor grad til rapporten og viser til konkrete tiltak som skal gjennomføres for å følge opp revisjonens anbefalinger.

9

Vurdering Det ligger til kontrollutvalget å forsikre seg om at revisors gjennomføring og rapportering skjer i henhold til god kommunal revisjonsskikk og etablerte og anerkjente standarder på området. Rapportens utforming, innhold, vurderinger og konklusjoner faller imidlertid inn under revisors selvstendige, faglige ansvar. Revisjonen oppgir at prosjektet er gjennomført i tråd med «Standard for forvaltningsrevisjon» (RSK 001). Sekretariatet vurderer at rapporten gir svar på problemstillingene og kontrollutvalgets bestilling via prosjektplan. Videre vurderer sekretariatet at valg av revisjonskriterier er relevante for å kunne besvare problemstillingen. Vi finner at undersøkelsen bygger på data innsamlet ved hjelp av flere metoder, herunder dokumentanalyser, system gjennomsyn, spørreundersøkelse og verifiserte intervjuer. Gjennom bruk av ulike metoder sikrer revisjonen rapportens validitet (gyldighet) og reliabilitet (pålitelighet). Samlet sett anser også sekretariatet at dataene som er benyttet er tilstrekkelig som grunnlag for rapportens vurderinger, konklusjoner og anbefalinger. Revisors vurderinger er basert på innsamlet materiale, revisjonskriterier og de metodiske avgrensingene. Sekretariatet vurderer at kommunedirektøren slutter seg til revisjonens anbefalinger og viser til tiltak som skal gjennomføres for å følge opp anbefalingene. Sekretariatet anbefaler kontrollutvalget å ta rapporten og kommunedirektørens uttalelse til rapporten til orientering. Sekretariatet anbefaler at kontrollutvalget legger revisjonens vurderinger og anbefalinger til grunn i sitt forslag til vedtak i kommunestyret, og videre at kontrollutvalget innstiller til kommunestyret at rapportens anbefalinger skal tas til følge og gjennomføres.

10

østfold kommunerevisjon iks 1

Rolvsøy, 18. november 2019

Personvern Halden kommune

Forvaltningsrevisjonsrapport

11

Østfold kommunerevisjon iks 2

INNHOLDSFORTEGNELSE

SAMMENDRAG ................................................................................................................. 4

1 INNLEDNING .............................................................................................................. 6

1.1 Bakgrunn .................................................................................................................................................. 6

1.2 Problemstilling og avgrensing ................................................................................................................. 6

2 GJENNOMFØRING AV PROSJEKTET ............................................................................. 7

2.1 Prosjektets fremdrift................................................................................................................................ 7

2.2 Metode ....................................................................................................................................................... 7

2.3 Dokumentanalyse ..................................................................................................................................... 8

2.4 Intervjuer .................................................................................................................................................. 8

2.5 Spørreundersøkelse .................................................................................................................................. 8

2.6 Systemgjennomsyn ................................................................................................................................... 9

2.7 Validitet og reliabilitet ............................................................................................................................. 9

3 REVISJONSKRITERIER ................................................................................................. 9

4 IMPLEMENTERING AV PERSONVERNREGLEMENTET .................................................. 10

4.1 Lovlig, rettferdig og gjennomsiktig ...................................................................................................... 10

4.2 Formålsbegrenset ................................................................................................................................... 17

4.3 Dataminimering ..................................................................................................................................... 19

4.4 Riktighet ................................................................................................................................................. 20

4.5 Lagringsbegrensing ................................................................................................................................ 20

4.6 Integritet og konfidensialitet ................................................................................................................. 22

4.7 Ansvarlighet............................................................................................................................................ 27

5 KONKLUSJONER/ANBEFALINGER .............................................................................. 34

6 KOMMUNEDIREKTØRENS UTTALELSE ....................................................................... 37

7 VEDLEGG ................................................................................................................. 39

12


Vedlegg 1 - Utledning av revisjonskriterier ...................................................................................................... 40

Vedlegg 2 - Litteratur- og dokumentliste .......................................................................................................... 62

Vedlegg 3 – Definisjoner og begreper ................................................................................................................ 64

Vedlegg 4 - Spørsmål i Questback ..................................................................................................................... 66

Vedlegg 5 - Prosjektplan ..................................................................................................................................... 76

13


SAMMENDRAG

Den nye personvernforordningen innebærer nye og strengere regler på flere områder, og nye rettigheter for innbyggerne. Blant annet nye regler om avvikshåndtering som pålegger kommunene en økt plikt til rapportering av avvik til Datatilsynet og varsling av berørte. I en fase med nye regler er dette ekstra viktig for å sikre at kommunen etterlever de nye reglene. Østfold kommunerevisjon fikk i oppdrag å gjennomføre forvaltningsrevisjon på området kommunens implementering og ivaretakelse av det nye personvernregelverket. Vi har da undersøkt om kommunen har implementert personvernregelverket. I den sammenheng har vi sett på hvordan kommunen har vurdert hvilke personopplysninger de har behov for, hvorfor de har behov for disse, hvor lenge de har behov for opplysningene, hvordan opplysningene er lagret og hvem som skal ha tilgang til opplysningene. Vi har også sett på om kommunen har et personvernombud som får virke i henhold til regelverket. Kommunen skal ivareta sitt ansvar på personvernområdet. Det betyr at kommunen må sikre at ansatte som håndterer personopplysninger etterlever regelverket. Vi har i den sammenheng sett på om kommunen har gitt de ansatte tilstrekkelig opplæring i regelverket, om kommunen har gjennomført risikovurderinger knyttet til behandlingen av personopplysninger og om de har intern kontroll på området. Revisjonen tar utgangspunkt i personvernregelverkets syv grunnkrav, som er (1) lovlig, rettferdig og gjennomsiktig, (2) formålsbegrenset, (3) dataminimering, (4) riktighet, (5) lagringsbegrensing, (6) integritet og konfidensialitet, og (7) Ansvarlighet Metodene som er benyttet i gjennomføringen av denne revisjonen er intervjuer med et utvalg av kommunens ansatte på administrativt nivå og ansatte på en utvalgt skole. Det er innhentet dokumentasjon fra både administrativt nivå i kommunen og fra den utvalgte skolen. Vi har også hatt en gjennomgang av kommunens nettsider og den informasjonen som er tilgjengelig der på det reviderte området. Revisjonen har hatt et stedlig gjennomsyn av kommunens systemer for registreringer knyttet til personvernopplysninger i protokoll og avvikssystem, og det er gjennomført en spørreundersøkelse med avdelingsledere, enhetsledere og lærere på en skole. Spørreundersøkelsen ble totalt sendt til 54 ansatte og ledere i kommunen, herunder til 14 rektorer i grunnskolene og styrere for barnehagene. Ved utløp av svarfristen var det 31 av 54 som hadde besvart undersøkelsen. Det gir en svarprosent på 57 %. Ved gjennomgang av respondentene viste det seg at det kun var 5 av 19 lærere som hadde svart på undersøkelsen, og vi valgte dermed å ta bort denne gruppen i analysen av svarene. Dette på bakgrunn av at svarprosenten fra denne gruppen var så lav at det ville bli vanskelig å trekke noen generelle slutninger på et så lite grunnlag. Faktagrunnlaget som bygger på spørreundersøkelsen har derfor reelt sett en svarprosent på 74 %, og gir et godt grunnlag for analysen, som presenteres i rapporten. Det er vår vurdering at kommunen kom noe sent i gang med å gi opplæring og implementere det nye personvernregelverket. Kommunen har imidlertid i 2019 intensivert arbeidet og jobber nå samtidig på flere områder for å få personvernregelverket på plass. Det jobbes parallelt med å hente inn opplysninger i organisasjonen for å få ferdig en behandlingsprotokoll, utarbeide oversikter over databehandlere og etablere databehandleravtaler, gi opplæring i personvernregelverket, DPIA og implementere et oppdatert internkontrollsystem osv. Det gjenstår fremdeles mye arbeid på de fleste områder før kommunen kan si at personregelverket er implementer i kommunen. Det er imidlertid vår konklusjon at kommunen nå prioriterer dette arbeidet og tar ansvar på området.

14


Revisjonen anbefaler at kommunen bør - sørge for å informere om hvordan de behandler personopplysningene på en måte som gjør

informasjonen forståelig for alle målgrupper, som for eksempel for barn og unge. - behandle de ulike typene kommunikasjonskanaler som ansatte benytter som sms, chat, e-

post osv, vurdere lagring og sletting av personopplysninger og personvernkonsekvens - ha en gjennomgang av hvilke kategoriene personopplysninger som det må innhentes

samtykke til på de ulike fagområdene. - etablere felles rutiner for enhet- skole, når det gjelder tilgangsavgrensing til fysiske arkiv. - sikre at personopplysninger ikke lagres lenger enn det som er nødvendig og forsvarlig for den

enkelte sak - se til at det gjøres en vurdering av om opplysninger eller deler av opplysninger skal slettes

eller pseudonymiseres ved lagring av ikke arkivverdige personopplysninger, og vurdere om formålet for lagring av opplysningene er et annet enn ved registreringen

- videreføre arbeidet med databehandleravtaler, slik at kommunen har avtale med alle databehandlere

- se til at personvernombudet rapporterer til høyeste ledelsesnivå i kommunen - gjennomføre en behandling av sine webkameraer og informere kommunens innbyggere om

hensikten med og bruken av disse - videreføre arbeidet med behandlingene, slik at alle behandlinger er registrert i protokollen

og at det er vurdert om det er høy risiko for personvernkonsekvens - videreføre arbeidet med å vurdere personvernkonsekvens (DPIA) der risikoen er høy - etablere og implementere interkontroll på personvernområdet - sørge for at opplæring blir prioritert nedover i organisasjonen

Kommunen bør legge enda større vekt på opplæring av alle ansatte og i den forbindelse ansvarliggjøring de ulike ledernivåene på opplæringsområdet. Dette for å sørge for at ansatte i enhetene, som jobber tett på brukerne av kommunens tjenester, får nødvendig kompetanse i regelverket og bedre kunnskap om kommunens rutiner på området. Kommunen bør i større grad involvere avdelingslederne i arbeidet med å få på plass en behandlingsprotokoll og i vurderingen av personvernkonsekvenser på ulike områder. Det er vår vurdering at involvering av lederne på de ulike fagområdene vil sikre kvaliteten på behandlingene knyttet til det enkelte formål, sikre at alle behandlinger av personopplysninger blir registrert. Det vil også medføre at avdelingslederne får et større eierforhold til arbeidet med personvernregelverket på sitt fagområde. Vi takker Halden kommune og den utvalgte skolen for samarbeidet og god tilrettelegging for gjennomføring av revisjonen.

15


1 INNLEDNING

1.1 Bakgrunn

Østfold kommunerevisjon utfører forvaltningsrevisjon, jfr. kommunelovens § 78 og forskrift om revisjon kapittel 3. Forvaltningsrevisjon innebærer blant annet å kontrollere at forvaltningens aktiviteter foregår i samsvar med gjeldende regelverk og kommunestyrets vedtak. Kommunestyret i Halden fastsatte 15. februar 2018, forvaltningsrevisjonsplan for 2018-2019. Personvern er det neste prosjektet i planen. Kontrollutvalget i Halden godkjente plan for gjennomføring av prosjektet 18.06.2019, i - sak PS 2018/14. I vedtatt forvaltningsrevisjonsplan for Halden kommune 2018-2019 fremkommer det at brudd på personvern er egnet til å skape mistillit, både hos ansatte og kommunens innbyggere, noe som igjen kan påvirke kommunens omdømme. For å redusere potensielle sikkerhetsrisikoer er det, etter revisjonens oppfatning, avgjørende at ansatte får hensiktsmessig opplæring om krav til internkontroll og informasjonssikkerhet, ansvar og rutiner, samt riktig bruk av IKT systemene. Den nye personvernforordningen innebærer nye og strengere regler på flere områder, og nye rettigheter for innbyggerne. Blant annet nye regler om avvikshåndtering som pålegger kommunene en økt plikt til rapportering av avvik til Datatilsynet og varsling av berørte. I en fase med nye regler er dette ekstra viktig for å sikre at kommunen etterlever de nye reglene.

1.2 Problemstilling og avgrensing

Østfold kommunerevisjon fikk i oppdrag å gjennomføre forvaltningsrevisjon på området kommunens implementering og ivaretakelse av det nye personvernregelverket. I prosjektplan er det lagt opp til to problemstillinger:

Har kommunen implementert personvernregelverket?

Har kommunen sikret at de ansatte etterlever regelverket? Å sikre at de ansatte etterlever regelverket er en forutsetning for implementering, og revisjonen har derfor valgt å presentere problemstillingene samlet i kapittel 4. Revisjonskriteriene bygger på de syv grunnkravene i personvernregelverket (listet opp nedenfor) og vi har valgt å bygge opp rapporten etter disse kriteriene. Kommunens arbeid for å sikre at de ansatte etterlever regelverket faller inn under kriteriet/kapittel 4.7 om ansvarlighet, herunder kapittel 4.7.4 Opplæring i regelverket. Grunnkravene i personvernregelverket: 1. Lovlig, rettferdig og gjennomsiktig 2. Formålsbegrenset 3. Dataminimering 4. Riktighet 5. Lagringsbegrensing 6. Integritet og konfidensialitet 7. Ansvarlighet Prosjektets ramme i antall timer tilsier at det ikke er rom for å gjennomføre en revisjon av alle enheter og områder på personvern i kommunen. Kontrollen ble avgrenset til å vurdere at systemer, registreringer og avtaler finnes, og en stikkprøve av disse. Revisjonen har gjennomført undersøkelsen på administrativt nivå, samtidig hadde kommunen et ønske om at revisjonen skulle se

16


nærmere på underliggende enheter, for å belyse hvordan regelverket er implementert helt ut til kommunens utøvende tjenester. Det er grunnskolen i kommunen som er valgt ut. På bakgrunn av de rammene som er lagt til grunn, vil prosjektet handle om kommunen har implementert den nye personvernlovgivningen som fremkommer i personopplysningsloven (popplyl) og personvernforordningen (pvf eller GDPR). Revisjonen vil da vurdere om kommunen har implementert personvernforordningens syv grunnkrav, om de har et personvernombud etter regelverket, databehandleravtaler, om de har gjennomført en risikovurdering på området og om de har satt ansatte i stand til å ivareta regelverket. Revisjonen har ikke gått inn i systemene for registrering av personopplysninger for å vurdere hvorvidt det er samlet inn opplysninger som strider mot personvernlovgivningen, utover det som fremkommer i intervjuene og spørreundersøkelsene. Vi har heller ikke vurdert de enkelte databehandleravtalenes innhold, utover at vi ser om kommunen har rutine for å utarbeide databehandleravtaler, hvordan de går frem og har oversikt. Kommunen er organisert ved at rådmannen har en egen stab med ulike funksjoner og støttefunksjoner for intern drift. Kommunen har følgende kommunalavdelinger: Undervisning og oppvekst, Helse og omsorg og Teknisk. Kommunalavdelingene produserer tjenester til kommunens innbyggere. Hver kommunalavdeling har en kommunalsjef. I hver kommunalavdeling er det en fagleder for de underliggende enhetene. Hver enhet har en enhetsleder. Det er 11 grunnskoler i kommunen, som ledes av 10 rektorer. Det er seks barnehager i kommunen, som ledes av 5 styrere Definisjoner og begrepsforklaringer er å finne i vedlegg 3.

2 GJENNOMFØRING AV PROSJEKTET

Østfold kommunerevisjon IKS gjennomfører forvaltningsrevisjon i tråd med «Standard for forvaltningsrevisjon» (RSK 001). Dette innebærer blant annet at rapporten skal skille klart mellom fakta, og revisjonens vurderinger og konklusjoner.

2.1 Prosjektets fremdrift

Oppstartsmøtet ble gjennomført 5. juni 2019. Arbeidsutkastet til rapporten ble sendt til Halden kommune 21. oktober 2019. Høringsmøtet ble gjennomført 7. november 2019. Endelig rapport ble sendt på offisiell høring til kommunen 11. november 2019. Vi mottok rådmannens høringsuttalelse 18. november 2019. Rådmannens høringsuttalelse er å finne i kapittel 7 i denne rapporten.

2.2 Metode

Fakta er en gjengivelse av informasjon som revisjonen har fått tilgang til gjennom datainnsamlingen. Informasjonen er hentet fra dokumenter, system gjennomsyn, spørreundersøkelse og verifiserte intervjuer. Der vi konkluderer, vil alltid vurderingene bygge på skriftlig dokumentasjon eller informasjon som kommer fra mer enn én kilde. For å få et bredere grunnlag å vurdere på, har vi gjennomført en spørreundersøkelse. Spørreundersøkelsen retter seg mot ulike ledernivå i kommunens kommunalavdelinger og enheter. For å se nærmere på enhet skole, er kommunalsjef undervisning og oppvekst intervjuet. Det er sendt en spørreundersøkelse til alle rektorene på skolene i kommunen. Det er gjennomført intervjuer med et utvalg ansatte på en valgt skole og alle kontaktlærerne fikk tilbud om å delta i spørreundersøkelsen.

17


Metodene som er benyttet i gjennomføringen av denne revisjonen er intervjuer med et utvalg av kommunens ansatte på administrativt nivå og ansatte på en utvalgt skole. Det er innhentet dokumentasjon fra både administrativt nivå i kommunen og fra den utvalgte skolen. Vi har også hatt en gjennomgang av kommunens nettsider og den informasjonen som er tilgjengelig der på det reviderte området. Revisjonen har hatt et stedlig gjennomsyn av kommunens systemer for registreringer knyttet til personvernopplysninger i protokoll og avvikssystem, og det er gjennomført en spørreundersøkelse med avdelingsledere, enhetsledere og lærere på en skole.

2.3 Dokumentanalyse

Dokumentanalysen bygger på dokumenter som vi har mottatt fra administrativt nivå i kommunen og den utvalgte skolen. Vi har også innhentet informasjon fra kommunens og enhetenes nettsider. Dokumentliste er å finne i vedlegg 2.

2.4 Intervjuer

Det er gjennomført intervjuer med kommunens personvernombud, ansatte i rådmannens stab og støtte funksjoner, samt intervjuer med ledelse og ansatte på grunnskoleområdet. Det er totalt gjennomført 10 intervjuer.

Personvernombud

Arkiv – to ansatte

Kommunikasjon og service

IT

Personal og organisasjon

Kommunalsjef undervisning og oppvekst

Rektor skole

Merkantil skole

Lærer skole Referatene er skrevet under intervjuene, og oversendt den som ble intervjuet i etterkant, for verifisering. Det følger av revisjonens metodikk at verifiserte referater er fakta på lik linje med annen dokumentasjon.

2.5 Spørreundersøkelse

Det er gjennomført en spørreundersøkelse med de ulike ledernivåene i kommunen, dette inkluderer enhetslederne, og med lærere ved den utvalgte skolen. Undersøkelsen er gjennomført i Questback, og spørsmålene er å finne i vedlegg 5. Spørreundersøkelsen ble totalt sendt til 54 ansatte og ledere i kommunen, herunder til 14 rektorer i grunnskolene og styrere for barnehagene. Ved utløp av svarfristen var det 31 av 54 som hadde besvart undersøkelsen. Det gir en svarprosent på 57 %. Ved gjennomgang av respondentene viste det seg at det kun var 5 av 19 lærere som hadde svart på undersøkelsen, og vi valgte dermed å ta bort denne gruppen i analysen av svarene. Dette på bakgrunn av at svarprosenten fra denne gruppen var så lav at det ville bli vanskelig å trekke noen generelle slutninger på et så lite grunnlag. Faktagrunnlaget som bygger på spørreundersøkelsen har derfor reelt sett en svarprosent på 74 %, og gir et godt grunnlag for analysen, som presenteres i rapporten.

18


2.6 Systemgjennomsyn

Revisjonen har hatt et stedlig gjennomsyn av protokoll for behandling av personopplysninger og system for registrering av brudd/avvik på personvernregelverket. Kommunen bruker ulike moduler i Risk Manager til disse registreringene.

2.7 Validitet og reliabilitet

Vi har benyttet data fra ulike kilder, og brukt ulike innsamlingsmetoder for å sikre et faktagrunnlag med høyest mulig grad av gyldighet og pålitelighet. Utfordringer og begrensninger i rapportens faktagrunnlag er beskrevet ovenfor sammen med beskrivelsen av de ulike metodene som er benyttet. Vi tar også hensyn til metodens begrensninger i vurderingene. På denne bakgrunn mener vi at rapporten fremstiller kommunen på en mest mulig riktig måte, og at vi har et godt grunnlag for våre konklusjoner og anbefalinger. Undersøkelsen er gjennomført av Karianne Åsheim og Unn Elisabeth West i perioden 05.06.2019 til 29.10.2019.

3 REVISJONSKRITERIER

Revisjonskriterier er en samlebetegnelse for krav og forventninger som blir brukt til å vurdere ulike sider av kommunens virksomhet og tjenester. Kriteriene blir blant annet utledet av regelverket, politiske vedtak og føringer, eller kommunens egne retningslinjer på det området som prosjektet tar for seg. I denne rapporten er følgende kilder benyttet til å utleder revisjonskriteriene Lov og forskrift

Lov om behandling av personopplysninger (personopplysningsloven), LOV-2018-06-15-38

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]’

Forskrift om kameraovervåking i virksomhet, FOR-2018-07-02-1107

Prop. 56 LS (2017-2018)

Veiledninger og føringer

https://www.datatilsynet.no/ - veiledninger på personvernregelverket

Personvern, taushetsplikt og meldeplikt – Regelverk for skolen, Pedlex, ISBN: 978-82-8372-140-9

Personvern i skole og barnehage, samlerapport juni 2014 – Datatilsynet

Veiledning om kontroll og overvåking i arbeidslivet – Arbeidstilsynet – Datatilsynet – Petroliumstilsynet og Partene i arbeidslivet

For utledningen av revisjonskriteriene, se vedlegg 1. Revisjonskriterier fremkommer punktvis under hvert tema. Revisjonskriterier ble også oversendt kommunen i forkant av oppstartsmøtet 16.07.2019, med muligheter for innspill fra kommunen. Kommunen hadde ingen kommentarer til kriteriene.

19

https://www.datatilsynet.no/


4 IMPLEMENTERING AV PERSONVERNREGLEMENTET

4.1 Lovlig, rettferdig og gjennomsiktig

4.1.1 Behandling av personopplysninger Personopplysningsloven krever at opplysningene skal beskyttes tilfredsstillende mot uberettiget innsyn og endringer – konfidensialitet og integritet. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene når de har behov for det.

Revisjonskriterier

o Kommunen behandler personopplysninger på en lovlig, rettferdig og åpen måte med hensyn til

den registrerte.

o Kommunen skal gi den registrerte informasjon om behandlingen av personopplysninger, skriftlig

herunder elektronisk

o Kommunen fører en protokoll over behandlingsaktiviteter som utføres under deres ansvar.

o Protokollene skal være skriftlige, herunder elektroniske. o Kommunen har innhentet samtykke til de nødvendige kategoriene personopplysninger. o Kommunen bruker kameraovervåking i henhold til retningslinjene. o Kommunen har sørget for å ikke benytte uekte kameraovervåkingsutstyr eller ved skilting,

oppslag eller lignende gi inntrykk av at kameraovervåking finner sted.

Fakta

Halden kommune informerer enkeltpersoner om hvordan de behandler personopplysninger blant

annet gjennom en personvernerklæring. Personvernerklæringen gir kommunens innbyggere

informasjon om hvem som er behandlingsansvarlig, hva kommunen behandler av

personopplysninger, formålet med behandlingen av personopplysninger om den enkelte, hva som er

det rettslige grunnlaget for behandlingen, hvordan personopplysningene samles inn, beskyttes og

lagres. I personvernerklæringen fremkommer det også opplysninger om den enkeltes rettigheter.

Kommunens personvernerklæring var lagt under Selvbetjening på kommunens nettsider (per

04.10.19). Etter intervjuene første dag la kommunen personvernerklæringen også ut på første side.

Den er nå å finne i et eget menyvalg på kommunens nettsider. På kommunens selvbetjeningsside blir

brukerne opplyst om at de bør lese personvernerklæringen før de benytter skjemaer i

selvbetjeningen. Det er en link til personvernerklæringen under denne informasjonen.

Ved gjennomgang av kommunens nettsider fant revisjonen også en annen personvernerklæring, som

var knyttet til de elektroniske søknadsskjemaene på kommunens nettsider. Denne

personvernerklæringen var ikke oppdatert etter gjeldende regelverk og hadde et annet innhold (per

30.09.19). I intervjuene kom det frem at dette hadde kommunen selv oppdaget. Den oppdaterte

Personvernerklæringen ble sendt til Kommuneforlaget for oppdatering 26.09.2019 og den ble byttet

ut i de elektroniske skjemaene den 01.10.19.

For å benytte de elektroniske søknadsskjemaene, har kommunen lagt inn som krav, at søkerne må

bekrefte at Personvernerklæringen er lest før det er mulig å fylle ut skjemaene. Det kommer frem av

intervjuene at personvernerklæringen også blir levert som vedlegg til alle papirskjema som blir

benyttet. Den er da stiftet fast til søknadsskjemaet.

20


Kommunen har utarbeidet en Prosedyre for behandling av personopplysninger etter GDPR. I punkt 6.

i denne prosedyren fremkommer det at «Kommunens personvernerklæring skal være lett tilgjengelig

og skrevet på en forståelig måte. All informasjon om hvordan kommunen behandler

personopplysninger skal være tilpasset målgruppa, for eksempel barn på ulike alderstrinn». I

intervjuene kommer det frem at kommunens personvernerklæring er ment å gjelde for alle områder

og alle brukere i kommunen. Revisjonen kunne ikke finne at kommunen hadde utarbeidet

informasjon som var tilpasset for eksempel barn og unge på området. I intervjuene fremkom det at

kommunen vil vurdere om den gjeldende personvernerklæringen var tilstrekkelig tilpasset alle

målgrupper i kommunen.

I kommunens personvernerklæring informeres det om at kommunen i noen tilfeller behandler

personopplysninger basert på samtykke. Dette er en generell opplysning. I intervjuene sier ansatte at

de vurderer når det er behov for samtykke for å behandle noen typer personopplysninger.

Det kommer frem av intervjuene at de har drøftet hva det er behov for samtykke til. Noen enheter er

flinke til å be om samtykke til innhenting av særskilte personopplysninger, som ikke er påkrevd for å

utføre oppgavene. Kommunen har ikke en felles rutine på å be om særskilte opplysninger, men

ansatte sier i intervjuene at det burde de kanskje ha.

Det har blitt drøftet om noen personopplysninger kan hentes inn med samtykke, som for eksempel

fra en skole om dette med seksuell legning. Etter en kort drøfting konkluderte skolen selv med at det

er opplysninger de ikke har bruk for.

I spørreundersøkelsen sier 88,5 % av de lederne vi har spurt at de kjenner til hvilke

personopplysninger de må ha samtykke til, for å innhente. 11,5 % svarer at de ikke kjenner til hvilke

personopplysninger som de må ha samtykke til for å innhente.

Kameraovervåking Det kommer frem av dokumentasjonen at kommunen har utarbeidet en oversikt over kommunens kameraovervåking. Det er oppført at det er kameraovervåking åtte steder i kommunen, alle er varslet med skilting. I intervjuene sier personvernombudet at hun har sendt ut forespørsel til alle enheter og bedt dem rapportere inn hvor det er kameraovervåking, hvor mange kameraer, hensikten med overvåkingen mm. Personvernombudet opplyser imidlertid om at hun ved en tilfeldighet har oppdaget et sted med kommunal kameraovervåking, som ikke er rapportert inn. Personvernombudet har også oppdaget at det har vært skiltet kameraovervåking et sted som det ikke er kameraovervåking. I intervjuene fremkommer det at Personvernombudet har sørget for å registrere det ikke-rapporterte kameraet og gitt enheten med skilting uten kamera, beskjed om at skiltet må fjernes. I gjennomgangen av kommunens nettsider fremkommer det at kommunen har flere webkameraer plassert ulike steder i kommunen. I intervjuene sies det at det ikke er gjort en vurdering av lovligheten av disse kameraene. Det er heller ikke lagt ut informasjon om lovligheten, og formålet med disse kameraene. Ansatte Av behandlingsprotokollen kommer det frem at ansatte blir opplyst om behandlingen av

21


personopplysninger i arbeidsavtaler, stillingsbeskrivelser, arbeidsplaner og annet, som knytter seg til et ansettelsesforhold. Dette blir bekreftet i intervjuene. Det blir sagt i intervjuene at kommunen ikke har fag- eller styringssystemer, der det er mulig å overvåke de ansatte. Det er mulig å se hvor mange utskrifter de ansatte tar, da dette går via adgangskortet til den ansatte. Det er mulig å se hvor mange e-poster som går inn og ut, mottagere, avsendere, tittel og når det er levert, men ikke innholdet. Det er ikke mulig å se hvilke nettsider den ansatte er inne på. På filområdet kan de se på hvem som eier et dokument. Opplysningene blir ikke satt sammen på noen måte. I intervjuene kommer det frem at kommunen loggfører ansattes inn- og utganger i kommunens bygg, der det kreves identifikasjonskort for gjennomgang. Denne loggføringen oppbevares i tre måneder før den slettes. Sporing av adganger skjer kun når dørene er låst og mange av dørene er åpne på dagtid. I dokumentet Sikkerhetspolitikk for bruk av IT i Halden kommune, står det om adgangskontroll i pkt 1.29. Her fremkommer det informasjon om at det er adgangskontroller og hvilken enhet som administrerer adgangskontrollsystemet. Det fremkommer ikke opplysninger om at sporing av adganger loggføres og oppbevares. Adgangskontrollen er behandlet og registrert i protokoll for behandling av personopplysninger. De

ansatte er ikke informert om loggføringen, ei heller formålet med å registrere disse opplysningene.

Det kommer frem av intervjuene at Servicesenteret har diskutert dette med personvernombudet, og

vil vurdere hvordan de skal informere ansatte om dette.

Protokoll

I oversendt dokumentasjon fra kommunen foreligger det to eksempler på behandlingsaktiviteter –

kameraovervåking på Wiels plass og ansettelser. Det fremkommer at det er gjort en vurdering av

lovligheten av innsamlingen av personopplysningene gjennom en beskrivelse av det rettslige

grunnlaget for behandlingen. I intervjuene kommer det frem at nye rutiner nå tilsier, at kommunen

skal gjøre en vurdering av det rettslige grunnlaget ved innhenting av alle typer personopplysninger. I

intervjuene sier ansatte at de er godt i gang med dette arbeidet, men de er ennå ikke helt i mål med

å protokollføre alle behandlingsaktivitetene i kommunen.

Da kommunen startet å føre behandlingene av personopplysninger inn i protokollen var det GDPR-

gruppen som hadde ansvar for denne oppgaven. Personvernombudet mener at avdelingslederne

og/eller enhetslederne, som kjenner sitt område best, burde ha ansvaret for å føre behandlingene i

protokollen. Per i dag har ikke alle enhetene lagt inn behandlingene de har ansvar for.

Personvernombudet opplyser om at de er ferdig med registreringene på helse, er i gang med skole.

De har også en del på kameraovervåking, servicesenteret og politisk sekretariat. Det fremkommer av

intervjuene at barnevernsområdet ikke er ferdig, men at de mener å ha god oversikt over det videre

arbeidet med registreringene.

Revisjonen fikk se gjennom protokollen i kommunens lokaler 08.10.19. Protokollen er å finne i Risk

Manager. Det fremkommer av protokollen at de hittil har registrert 91 behandlinger, hvorav 56 er

behandlet og 35 ennå ikke er behandlet. Det kommer frem av intervjuene at kommunen fremdeles

oppdager nye behandlinger som må registreres i protokollen, og at antallet behandlinger vil kunne

øke frem mot årsskiftet. På noen områder ser de at det er utfordrende å avgjøre på hvilket

detaljeringsnivå behandlingen skal registreres. For å få bedre oversikt vil kommunen gjøre en jobb

med å dele inn behandlingene på de ulike kommunale områdene.

22


Kommunens behandlingsprotokoll inneholder opplysninger om

Behandlingsansvarlige

kategorier av registrerte

hjemmelsgrunnlaget

formålet

hvor opplysningene hentes fra

hva som blir registrert av opplysninger

hvordan opplysningene skal brukes

hvordan den registrerte er informert om behandlingen

opplysninger om lagring og evt overføring av opplysninger

tilganger

retting og sletting av personopplysninger

Flere av de vi intervjuet sa at de opplever at kommunens ledelse – rådmannen – har prioritert

arbeidet med personvern. De opplever nå å få lov til å bruke tid til å gjøre en god jobb på området.

De sier at de er på god vei til å få implementert personvernregelverket, men at det fremdeles er en

del arbeid som gjenstår.

Enhet – grunnskole

Som nevnt innledningsvis har kommunen ønsket at revisjonen også skal se nærmere på enhet -

grunnskole i denne revisjonen.

I intervjuene kommer det frem at det er ulikt hva skolene informerer om når det kommer til

behandling av personopplysninger. I intervjuene med ansatte i en utvalgt skole fremkommer det at

denne typen informasjon som regel blir kommunisert muntlig ved innskriving på skolen, som regel i

første klasse. Etter en gjennomgang av nettsidene til skolene i kommunen ser vi at ingen skoler har

valgt å kommunisere formålet og rettigheter mv. ved behandling av personopplysninger på

nettsidene sine. Det er en link på førstesiden på skolenes nettsider om personvern og cookies. Den

omhandler kun bruk av nettsidene, og er en standard utarbeidet av Moava AS, som er databehandler

på dette området. I intervjuene sier kommunalsjef undervisning og oppvekst at det bør utarbeides en

egen personvernerklæring for skolene også.

I intervjuene sier ansatte i skolen at de opplever å ha god oversikt over hvilke særskilte kategorier

personopplysninger de skal be om samtykke for å innhente. De ber for eksempel foreldre om

samtykke for å innhente for eksempel opplysninger om elevene har allergier. Det er foreldrene som

fyller ut skjema med personopplysninger selv.

I intervjuene kommer det frem at kommunalsjef undervisning og oppvekst ennå ikke er involvert i

arbeidet med behandlingene på sitt fagområde. Kommunalsjefen kjenner til behandlingsprotokollen

og sier at kommunen vil jobbe med å få protokollen på plass.

Vurderinger

Personvernregelverket sier at informasjon om behandling av personopplysninger skal gis skriftlig eller på annen måte, herunder elektronisk. Virksomheten må derfor selv finne en passende måte å gi

23


informasjonen på, innenfor visse rammer. Plikten til å behandle personopplysninger på en åpen måte, innebærer at virksomheten må gi kort og forståelig informasjon om hvordan de behandler personopplysningene. Det stilles også krav til hvordan det kommuniseres med enkeltpersoner. Behandlingen av personopplysninger skal være rettferdig, betyr at behandlingen skal gjøres i respekt for de registrertes interesser og rimelige forventninger. De som er registrert må forstå behandlingen og behandlingen må ikke foregå på en skjult eller manipulerende måter. For at behandlingen skal være lovlig må det finnes et rettslig grunnlag for behandlingen av personopplysningene. Dette området er vurdert under formålsbegrenset. Det er vår vurdering at kommunen i sin personvernerklæring gir opplysninger om de ulike sidene ved innhenting og behandling av personopplysninger, og personers rettigheter på en kortfattet og forståelig måte for mange i målgruppen. Under revisjonen la kommunen personvernerklæringen til den overordnede menyen på kommunens nettsider. Det er nå vår vurdering at kommunens personvernerklæring fremstår som lett tilgjengelig og åpen informasjon til mange av brukerne av kommunens tjenester. Det er imidlertid vår vurdering at informasjonen ikke er klar og tydelig for alle målgrupper i kommunen. Dette gjelder blant annet for barn og unge. Datatilsynet sier i sin veileder om informasjon og åpenhet «…må virksomheten kommunisere på en kortfattet, åpen, forståelig og lett tilgjengelig måte. Språket skal være klart og enkelt, særlig når informasjonen er spesifikt rettet mot barn.» Kommunen har utarbeidet en Prosedyre for behandling av personopplysninger etter GDPR. I punkt 6. i denne prosedyren fremkommer det at «Kommunens personvernerklæring skal være lett tilgjengelig og skrevet på en forståelig måte. All informasjon om hvordan kommunen behandler personopplysninger skal være tilpasset målgruppa, for eksempel barn på ulike alderstrinn». Det er vår vurdering at opplysningene i den overordnede personvernerklæringene ikke gir informasjon på en sånn måte at barn og unge forstår hva som kan samles inn av personopplysninger, hva opplysningene skal brukes til, hvordan personopplysningene behandles og lagres. Heller ikke når det gjelder barn og unges rettigheter. Vi ser at kommunen jobber med å oppdatere rutiner, dokumenter og informasjon i tråd med den nye personvernlovgivningen. Under revisjonen oppdaget kommunen selv at personvernerklæringen knyttet til de elektroniske søknadsskjemaene ikke var oppdatert etter gjeldende regelverk og rettet opp i dette. Det ser vi som svært positivt. Samtykke I kommunens personvernerklæring informeres det generelt om at kommunen i noen tilfeller behandler personopplysninger basert på samtykke. I offentlig sektor behandles mange sensitive personopplysninger som er nødvendig for å kunne utøve tjenestene (formålet). I personvernforordningens fortale punkt 42 står det at samtykke ikke er å anse som frivillig dersom det ikke er reell valgfrihet, heller ikke dersom det å nekte samtykke er til skade for den registrerte. Kommunen må derfor i det enkelte tilfelle vurdere om det er aktuelt å benytte samtykke som behandlingsgrunnlag ved utøvelse av offentlig myndighet. Intervjuene viser at ansatte vurderer når det er behov for samtykke for å behandle noen typer personopplysninger. Det kommer imidlertid frem av spørreundersøkelsen at 11,5 % av kommunens ledere som har besvart spørreundersøkelsen, ikke kjenner til hvilke personopplysninger som de må ha samtykke til for å innhente. Etter vår oppfatning kan dette indikere manglende opplæring på området, eller at enhetene ikke har gjort en konkret vurdering av personopplysninger de innhenter. Det fremstår som om de ansatte opplever en usikkerhet på dette området.

24


Kameraovervåking For å sikre at kommunen bruker kameraovervåking i henhold til retningslinjene og sørge for å ikke benytte for eksempel skilting og oppslag eller lignende for å gi inntrykk av at kameraovervåking finner sted, er det nødvendig at kommunen har en oversikt over all kameraovervåking og skilting av dette. Det er vår vurdering at kommunes personvernombud har jobbet for å få inn informasjon om kommunal kameraovervåking og varsling av kameraovervåking, slik at regelverket kan overholdes. Vi mener det er uheldig at ikke alle enhetene følger opp anmodningen om å melde inn om det er kameraovervåking i deres enhet, og det kan se ut til at ledere av enheter med kameraovervåking og/eller skilting ikke er orientert godt nok om regelverket på dette området. Kommunen har ikke tatt med webkameraene1 i sine vurderinger. Det er vår vurdering at kommunen også bør gjennomføre en behandling av sine webkameraer og blant annet vurdere om deter mulig å identifisere personer eller ikke. Formålet med webkameraene og eventuell muligheten/ikke mulighet til å identifisere personer mm bør formidles til kommunens innbyggere på kommunens nettside. Ansatte I veileder om kontroll og overvåking i arbeidslivet, står det at det er et grunnleggende prinsipp at alle har krav på personvern og privatliv – også på jobb. Kommunens loggføring av ansattes bevegelser i kommunens bygg, der det kreves identifikasjonskort er en adgangskontroll. Selv om hensikten med adgangskontroll kan være innlysende, skal det være skriftlig nedfelt hva som er formålet med behandlingen på lik linje med andre typer behandlinger av personopplysninger. På bakgrunn av intervjuene og gjennomgang av protokoll for behandlinger, er det vår vurdering at kommunen har håndtert adgangskontrollen etter personvernregelverket. Vi mener imidlertid at ansatte bør informeres om loggføringen, bruken og hensikten med adgangskontrollen. Som et minimum bør dette beskrives i kommunens dokument Sikkerhetspolitikk for bruk av IT i Halden kommune, om adgangskontroll. Protokoll Kommunen sier selv at de hittil har registrert 91 behandlinger, hvorav 56 er behandlet og 35 ennå ikke er behandlet. Kommunen sier også at det fremdeles oppdages nye behandlinger som må registreres i protokollen. Vi støtter personvernombudet i vurderingen av at avdelingslederne og/eller enhetslederne, som kjenner sitt område best, burde ha et større ansvar for å føre behandlingene på sitt fagområde i protokollen. Det vil etter vår vurdering føre til en mer effektiv og kvalitetsmessig sikring av føringene i behandlingsprotokollen. Det er vår vurdering at kommunen har kommet godt i gang med å føre protokoll over behandlingsaktiviteter som utføres under deres ansvar. Protokollen er skriftlig. Etter revisjonens oppfatning gjenstår det fremdeles en del arbeid på området. Enhet - skole I personvernforordningen artikkel 12 om den registrertes rettigheter står det, «den behandlingsansvarlige skal treffe egnede tiltak for å framlegge for den registrerte informasjonen nevnt i artikkel 13 og 14 og all kommunikasjon i henhold til artikkel 15-22 og 34 om behandlingen på en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk, især når det gjelder informasjon som spesifikt er rettet mot et barn. Informasjonen skal gis skriftlig eller på en annen måte, herunder elektronisk dersom det er hensiktsmessig. På anmodning fra den registrerte kan informasjonen gis muntlig, ……….». Det er derfor vår vurdering at det ikke er tilstrekkelig å kun informere foreldre og elever muntlig ved innskriving i skolen, på første trinn.

1 Et webkamera er et digitalt kamera som brukes til å kommunisere med andre over internett eller som et overvåkningskamera slik at man kan gå inn på en nettadresse å se.

25


4.1.2 Personers rettigheter

Revisjonskriterier

o Kommunen skal sørge for å overføre nevnte opplysninger til en annen behandlingsansvarlig når den registrerte ber om det og det er teknisk mulig (dataportabilitet).

o Kommunen ivaretar retten til innsyn i personopplysningene (hvor de kommer fra, hvordan de behandles og en kopi av registrerte opplysninger).

o Kommunen sørger for at personer får utført rettighetene gratis. o Kommunen informerer om rettighetene og om partsinnsyn etter forvaltningsloven. o Kommunen sikrer at den registrerte mottar personopplysninger om seg selv som vedkommende

har gitt til kommunen, i et strukturert, alminnelig anvendt og maskinlesbart format. o Kommunen begrunner avslag om innsyn skriftlig og gir en presis henvisning til

unntakshjemmelen.

Fakta

Det fremkommer av kommunens personvernerklæring at det der er opplyst om enkeltpersoners

rettigheter. Kommunen har utarbeidet et eget skjema for innsyn i personopplysninger - Skjema

innsyn. Dette skjema finnes som lenke i personvernerklæringen.

I spørreundersøkelsen kommer det frem at det er noe variasjon i hva kommunens ledere informerer brukerne av kommunens tjenester om, når det gjelder behandlingen av personopplysninger og personers rettigheter. Som vist i figur 4 har 40 % svart at de opplyser om personers rettigheter, mens 80 % svarer at de informerer om formålet med behandlingen.

Figur 4: Hva informerer dere brukere og pårørende om når det gjelder hvordan dere lagrer og bruker

personopplysninger?

Antall respondenter: 25

Kommunen har utarbeidet Prosedyre for svar på forespørsel om innsyn i egne personopplysninger

GDPR. Det fremkommer ikke når denne er utarbeidet, og ikke om den er godkjent på nåværende

tidspunkt. I prosedyren står det «Post/arkiv er ansvarlig for registrering av innsynsforespørselen i

sak/arkiv-systemet, og å sende til kommunalsjefen(e). Kommunalsjefene er ansvarlig for å be sine

ledere om å finne frem dokumentasjonen som etterspørres fra innbyggeren, for deretter å oversende

76,0%72,0%

80,0%

40,0%

0,0%0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Hvilkepersonopplysninger

Hva som blir lagret Hva formålet er Personers rettigheterom

personvernlovgivningen

Annet

Pro

sen

t

26


til personvernombudet. Enhetslederne er ansvarlig for at enhetene svarer opp til rett tid, slik at fristen

for svar til innbyggeren kommer til rett tid (senest innen 30dager). Personvernombudet er ansvarlig

for sammenstilling av dokumentene, og å sende disse samlet til innbyggeren via Svar Ut.

Personvernombudet fører logg over innsynsbegjæringer, slik at det er oversiktlig når Datatilsynet

kommer på tilsyn.»

I intervjuene kommer det frem at personvernombudet ikke kjenner til at de har mottatt innsynskrav

på personopplysninger etter at hun startet i jobben våren 2018.

Enhet - skole

Ansatte på skolen informerer i intervjuene om at de har hatt innsynskrav fra elever som vil se

mappen sin. De har også foreldre som ber om innsyn i opplysningene i mappene om sine barn.

Dersom det er saker som skolen ikke har kunnet gi innsyn i, sender skolen de som ber om innsyn

videre til kommuneadministrasjonen.

Vurderinger

På bakgrunn av det som kommer frem i intervjuene og gjennomgangen av kommunens nettsider, er det vår vurdering at kommunen gir brukerne av kommunens tjenester informasjon om behandlingen av personopplysninger. Av spørreundersøkelsen kan det imidlertid se ut til at det er få som opplyser om personers rettigheter i tilknytning til dette. Det er vår vurdering at når kommunen informerer om hvilke personopplysninger kommunen samler inn, behandlingen av personopplysninger og formålet, bør det samtidig informeres om personers rettigheter til innsyn, retting og sletting. Skjema for innsyn i egne personopplysninger kan med fordel også lenkes i listen for selvbetjening med andre skjemaer, som innsyn i kommunens dokumenter.

4.2 Formålsbegrenset

Revisjonskriterier

o Kommunen sikrer at personopplysningene kun samles inn for spesifikke, uttrykkelig angitte og berettigede formål og at opplysningene ikke viderebehandles utover formålet.

o Kommunen vurderer hvilke formål personopplysningene samles inn til. o Kommunen vurderer om det valgte formålet er forenelig med det personopplysningene

opprinnelig ble samlet inn til. o Kommunen har kunnskap om personopplysninger benyttes til andre formål enn det de er samlet

inn til.

Fakta

I protokollen over behandlingsaktivitetene i kommunen fremkommer en beskrivelse av formålet med

innhentingen av opplysninger. I intervjuene kommer det frem at kommunen gjør en vurdering av

formålet med innhenting av alle personopplysninger.

Personvernombudet opplyser om at de har lagt inn felt for beskrivelse av formålet inn i malen for

behandlinger i protokollen. Hver enhet må fylle ut formålet med behandlingen selv. Det

administrasjonen vet om formålet er allerede forhåndsutfylt, men resten må enhetene fylle ut selv.

27


76,9 % av kommunens ledere, som deltok i spørreundersøkelsen, svarer at de kun henter inn

opplysninger som er relevant for formålet. Det er også noen som sier de samler inn opplysninger som

er «kjekt å vite» og noen som ikke vet om det kun samles inn personopplysninger som er relevante

for formålet. Se figur 1.

Figur 1: «Samler dere inn personopplysninger som er "kjekt å vite", men som ikke er direkte relevant for formålet?»


I kommunens Prosedyre for behandling av personopplysninger etter GDPR, pkt 5 om

personvernprinsipper står det «kommunen skal ikke registrere flere opplysninger enn det som er

nødvendig for formålet». I dokumentet «Sikkerhetspolitikk for behandling av personopplysninger,

pkt 3.2.2 står det «Opplysninger i offentlige registre hvor registrering er pliktig, skal være lovhjemlet»

Når det gjelder innhenting av personopplysninger fra de ansatte så kommer det frem i intervjuene at

det innhentes kun opplysninger som er nødvendig for at kommunen skal kunne ivareta arbeidsgivers

plikter og ansattes rettigheter. Dette er informasjon til lønnsbehandlinger, HMS, tilganger til ulike

systemer og annet som en arbeidsgiver har behov for, for å kunne ivareta de ansatte og kommunens

oppgaver.

Vurderinger

På bakgrunn av resultatene fra spørreundersøkelsen og intervjuene er det vår vurdering at kommunen på de fleste områder kun samler inn opplysninger som er relevante for formålet. Det er imidlertid 23 % av lederne som deltok i spørreundersøkelsen, som svarer «vet ikke» eller «ja» til at de samler inn opplysninger som ikke er relevant for formålet. Det kan være flere årsaker til at de svarer dette. En årsak kan være manglende opplæring i hva som er relevant for formålet. Etter vår vurdering henger dette sammen med at 23 % også sier at de ikke har vurdert om de har rettslig grunnlag til å behandle personopplysningene de samler inn. Det er vår vurdering at kommunen ikke i tilstrekkelig grad har sørget for at opplysninger kun samles inn for relevante og lovlige formål.

11,5%

76,9%

11,5%

0%

20%

40%

60%

80%

100%

Ja Nei Vet ikke

Pro

sen

t

28


4.3 Dataminimering

Revisjonskriterier

o Kommunen gjør en vurdering av om de innsamlede opplysningen i hvert tilfelle er adekvate, relevante og begrenset til formålet.

o Kommunen har en oversikt over de ulike kategoriene personopplysninger som er registrert til ulike formål.

o Kommunen har vurdert om personopplysningene er nødvendig for å utøve lovpålagte oppgaver – utøve offentlig myndighet.

o Kommunen har vurdert når det er behov for behandling av særlige kategorier personopplysninger.

o Kommunen bruker fødselsnummer eller andre entydige identifikasjonsmidler kun når det er saklig behov for sikker identifisering.

Fakta

I dokumentet Sikkerhetspolitikk for behandling av personopplysninger står det i pkt. 3.2.6 at

opplysninger som ikke lenger er nødvendig for formålet skal slettes eller sperres. Det blir her også

vist til at en må ta hensyn til blant annet arkivlovens krav om oppbevaring av dokumentasjon når det

blir gjort en vurdering av å slette personopplysninger og dokumenter. I kommunens protokoll, under

hver behandlingsaktivitet er det en link til sletterutiner. I intervjuene med avdelingsleder og

enhetsleder i kommunen kommer det frem at de kjenner dokumentet og har blitt informert om at

det er førende for behandling av personopplysninger.

Det kommer frem av intervjuene at personvernombudet og arkivleder samarbeider mye. De opplever

å ha god kontroll på hva som er arkivverdige personopplysninger og hva som kan slettes.

Vurderinger

Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med behandlingen. Kravet til dataminimering henger også sammen med kravet til lagringsbegrensing, men også arkiveringsplikten og formålet med å oppbevare opplysningene. Arkiveringspliktig dokumentasjon skal uansett oppbevares etter gjeldende retningslinjer, det skal også opplysninger til historiske, vitenskapelige og statistiske formål. Det er imidlertid viktig å presisere at for personopplysninger som ikke kommer under kriteriene nevnt foran, må det gjøres en vurdering i det enkelte tilfelle. Det er vår vurdering at kommunen har etablert rutiner for at opplysninger som ikke lenger er nødvendig for formålet skal slettes eller sperres. På bakgrunn av det som fremkommer under punkt 4.2 om formålsbegrensning og lagring av personopplysninger om ansatte er det imidlertid vår vurdering at rutinen ikke er implementert i tilstrekkelig grad i virksomheten.

29


4.4 Riktighet

Revisjonskriterier

o Kommunen sikrer at personopplysningene er korrekte og om nødvendig oppdaterte. o Kommunen ser til at personer får korrigert opplysningene dersom de ikke er korrekte – uten

ugrunnet opphold. o Kommunen ser til at personer som ber om at opplysninger om seg blir sperret eller slettet, uten

ugrunnet opphold, får utført dette. Dette gjelder dersom opplysningene ikke lenger er nødvendig for formålet bygger på samtykke og personen trekker samtykke, forutsatt at opplysningene ikke er

grunnlag for en behandling har blitt behandlet ulovlig (innsigelse)

o

o Riktighet

Fakta

I dokumentet Sikkerhetspolitikk for behandling av personopplysninger står det i pkt. 3.2.5 og 3.2.6 at

opplysningene skal være korrekte og ajourførte og at feilaktige personopplysninger skal endres,

slettes eller sperres.

I kommunens personvernerklæring blir det informert om at personer har rett til å få rettet opp i

feilaktige eller mangelfulle personopplysninger.

I intervjuene kommer det frem at brukere av kommunens tjenester ofte tar kontakt med post/arkiv

når det gjelder uriktige personopplysninger. Arkiv har en kontrollfunksjon når det gjelder å

kontrollere at personopplysninger er riktig registrert i arkivsystemene. Brukerne oppdager som regel

feilføringer selv.

Vurderinger

Det er vår vurdering at kommunen har en rutine som skal sikre at opplysninger blir rettet dersom det blir oppdaget feil, mangler eller den registrerte ber om det. Fakta viser også at kommunen gjennomfører slik retting når det blir oppdaget av kommunen selv eller når den registrerte ber om det.

4.5 Lagringsbegrensing

Revisjonskriterier

o Kommunen sikrer at personopplysningene lagres slik at det ikke er mulig å identifisere de registrerte lengere enn det som er nødvendig for formålet som personopplysningene behandles for.

o Kommunen sletter personopplysninger uten ugrunnet opphold dersom personopplysningene ikke lenger er nødvendige for formålet som de ble samlet inn eller behandlet for.

Fakta

I kommunens personvernerklæring fremkommer det et punkt om at personopplysningene lagres i

kommunens fagsystemer og at opplysningene lagres så lenge det er nødvendig for formålet de er

samlet inn for. I intervjuene vises det også til Bevarings- og kassasjonsplan for Halden kommune.

30


Denne gir en oversikt over de dokumenter som kommunen må bevare etter Arkivloven,

Arkivforskriften og Riksarkivarens forskrift. Den gir videre en oversikt over dokumenter kommunen

velger å bevare, i tillegg til de som er pålagt. Den gir også en oversikt over dokumenter kommunen

kan slette/kassere og frist for kassasjon. Planen har ingen henvisninger til personvernlovgivningen,

når det gjelder lagringsbegrensinger eller bevaring. I saker det ikke er et krav om arkivering i henhold

til regelverket, gjør kommunen selv en vurdering om de skal bevare eller kassere dokumentasjonen.

Det fremkommer ikke om det blir gjort en vurdering av hver enkelt sak knyttet til lagring eller sletting

av personopplysninger som ikke har krav om arkivering.

Arkivleder informerer om at arkivet veileder mye om kassasjon og bevaring knyttet til papirarkiv ut til

enhetene.

Det kommer frem av protokollen at opptakene fra kameraovervåkingen automatisk slettes etter syv

dager. Dersom opptakene er å anse som dokumentasjon i politiets arbeid med oppklaring av

straffbare forhold, kan grunnlag for å oppbevare opptakene være lenger enn syv dager.

I kommunens dokument Sikkerhetspolitikk for behandling av personopplysninger er det utarbeidet en

oversikt over de ulike kategoriene personopplysningene som behandles i kommunen og hvor disse er

lagret.

Ansatte

Det kommer frem av intervjuene at kommunen har diskutert om advarsler til ansatte skal slettes eller

ikke slettes. Kommunen har vurdert at de skal beholde opplysningene på ubestemt tid. Dette fordi

det kan komme rettssaker i ettertid, eller ansatte kan bli tilsatt igjen.

I AKAN-saker, varslingssaker og annet, bruker personal HR Norge sine retningslinjer ang. hvor lenge

info skal oppbevares (i 2 år). Det blir opplyst i intervjuene at når ansatte slutter eller går av med

pensjon, så blir AKAN saker slettet umiddelbart. Kommunen håper å få lagt inn noen automatiske

varslinger i ephorte nå og senere i Elements, når dette verktøyet skal tas i bruk.

Vurderinger

Det er vår vurdering at kommunen gjennomgår og gjør en vurdering av om og når personopplysninger om ansatte skal slettes. Det gjelder også mer sensitive opplysninger som personopplysninger i blant annet AKAN-saker. Kommunen sier at de har vurdert å bevare alle advarsler til ansatte på ubestemt tid, på grunn av muligheter for en evt. rettsak eller at vedkommende kan søke jobb i kommunen igjen. Det er vår vurdering at dersom det er grunn til å tro at det kan oppstå arbeidsrettssak i ettertid, må arbeidsgiver kunne beholde personalmappen, med dokumentasjon om for eksempel advarsler. I slike tilfeller har arbeidsgiver en berettiget interesse til å oppbevare dokumentasjonen frem til alle søksmålsfrister er utløpt. I tilfeller der ansettelsesforholdet blir avsluttet ved avskjed, kan det være grunnlag for at arbeidsgiver kan beholde informasjon om dette i lengere tid. Datatilsynet anfører at arbeidsgiver må vurdere konkret hvor lenge det er nødvendig og forsvarlig å beholde opplysningene i det enkelte tilfelle. Dersom en advarsel ikke får noen konsekvens, er det vår vurdering at opplysningen ikke lenger er nødvendig for formålet og må slettes. Det er vår anbefaling at kommunen bør gjennomgå Bevarings- og kassasjonsplan for Halden kommune i lys av den nye personvernlovgivningen. Dette gjelder på de områdene det ikke er en plikt

31


til arkivering i henhold til regelverket og kommunen selv vurderer om de vil bevare eller kassere dokumentasjonen. Eksempelvis bør kommunen vurdere hvor lenge advarsler, varsler, anmerkninger osv., skal lagres. Tilsvarende gjelder anmerkninger i skole. Kommunen må gjøre en vurdering i hvert enkelt tilfelle om og hvor lenge disse opplysningene skal oppbevares. Formålet med oppbevaringen er sentral i denne vurderingen. Dersom formålet er å dokumentere noe som fikk en konsekvens eller kan få en konsekvens på et senere tidspunkt, kan det være aktuelt å lagre opplysningene, da er formålet med lagringen et annet enn det opplysningene ble samlet inn til i første omgang. Dersom opplysningene ikke har fått eller kan få konsekvenser, skal de slettes hvis de ikke er arkivpliktige eller av historisk, vitenskapelig eller statistisk betydning.

4.6 Integritet og konfidensialitet

Revisjonskriterier

o Kommunen sikrer at personopplysningene behandles på en måte som gir tilstrekkelig sikkerhet for personopplysningene.

o Kommunen gjør en vurdering av hvilke ansatte som skal ha autorisert tilgang til hvilke personopplysninger. Personopplysningene skal være kryptert for ansatte som ikke har autorisert tilgang.

o Kommunen gjennomfører egnede tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering.

o Kommunen iverksetter egnede tekniske og organisatoriske tiltak både når det blir bestemt hvilke midler som skal brukes til behandling av personopplysninger og ved selve behandlingen av personopplysningene.

o Kommunen iverksetter egnede retningslinjer for vern av personopplysninger.

Fakta

I dokumentet Sikkerhetspolitikk for behandling av personopplysninger står det «…Informasjon om

informasjonssystemet og om sikkerhetstiltak skal også sikres mot uautorisert endring når dette er

nødvendig for informasjonssikkerheten. Halden kommune har tiltak mot ødeleggende programvare

som for eksempel ”datavirus” som kan ødelegge integriteten. I det samme dokumentet finnes det en

oversikt over de fagsystemene som personopplysningene registreres i, for de ulike avdelingene og

enhetene i kommunen. Det fremkommer også en kolonne som angir hvilke sikringstiltak som er gjort

og hvor lagringen av opplysningene fysisk sett befinner seg.

I intervjuene kommer det frem at kommunen også har papirdokumenter med personopplysninger.

Servicesenteret ligger i en sikker sone dvs. lokalene er sikret med adgangskontroll og bare enkelte

ansatte har tilgang til denne sonen, her ligger bl.a. alle innkomne søknader før kommunen får sendt

dem videre. Papirene oppbevares i en papirperm som er låst inn. Papirpermene oppbevares

avskjermet med et nøkkelsystem. Det er kun saksansvarlig som har tilgang til opplysningene og

dokumentene er sikret med et nøkkellås system med flere sluser for avgrenset tilgang. I intervjuene

sier ansatte at de også har gjort tiltak for å sikre innsyn mellom besøkssonene og ansatte, slik at

besøkende ikke ser PC-skjermene der det kan fremkomme personopplysninger.

I intervjuene sier ansatte at både de ulike fagsystemene og arkiv- og dokumentsystemet ephorte

med personopplysninger, har tilgangsavgrensing. Også her er det kun den som er ansvarlig

saksbehandler som har tilgang til å se personopplysningene i sine saker. Det gjelder også for tilganger

32


til personalmappene. For ansatte i arkivet er det også gitt tilgangsavgrensing. Det er kun arkivansatte

med ansvar for de ulike typene saker som har tilgang til å registrere og lagre dokumenter i disse.

IT-avdelingen er involvert i arbeidet med å gi tilganger i sak-/arkivsystemet ephorte og samarbeider

med arkiv på dette. Det er kommunalsjefene, som har ansvaret for å vurdere hvem som skal ha

tilgang til hva. Dette fremkommer i kommunens arkivrutine.

Halden kommune har satt IT-drift til selskapet Visolit. Det kommer frem av intervjuene at dette gjør

at kommunen må ha ekstra god oversikt over de opplysninger som blir innhentet og lagt i systemet.

Per i dag bruker kommunen et elektronisk tilgangsskjema hvor det innhentes opplysninger fra den

ansatte om navn, ansattnr., hvor i kommunen den ansatte jobber, om det er en nyansatt og hvilke

tilganger de skal ha i de ulike systemene. I dokumentet Sikkerhetspolitikk for bruk av IT står det

«Visolit er ansvarlig for den systemtekniske sikkerheten. Halden kommune er ansvarlig for å sjekke at

den systemtekniske sikkerheten er slik Visolit beskriver at den skal være. Dette er en del av Halden

kommunes egenkontroll.»

Arkivet gir tilganger til arkivkjernen på sikker sone, men ikke tilganger i de forskjellige fagsystemene.

Arkivet vurderer hva som er arkivverdig post, som skal registreres i ephorte. I intervjuet med ansatte

på arkivet fremkommer det at arkivet går gjennom alle dokumenter og sjekker at alt er som det skal

være for eksempel om dokumentene som er unntatt offentlighet har riktige koder.

I spørreundersøkelsen ble 26 av kommunens ledere spurt om de på deres fagområde kommuniserte

med bruker og evt. pårørende på e-post, sms, chat mm.

Figur 2: «Hvilke kanaler brukes på ditt fagområde til å kommunisere med brukere og evt. pårørende?»


Som svarene i figur 2 viser bruker de ansatte flere måter å kommunisere med brukere og evt.

pårørende på. Over halvparten av respondentene svarer at de bruker sms.

65,4%53,8%

3,8%

42,3%30,8%

46,2%

0%10%20%30%40%50%60%70%80%90%

100%

E-post SMS Chat Kommunenshjemmesideeller andreplattformer

Sikkermelding

Andresystemer

Pro

sen

t

33


I kommunens Prosedyre for behandling av personopplysninger etter GDPR, pkt 5 om

personvernprinsipper, står det «Personopplysninger skal gjennom egnede organisatoriske og tekniske

tiltak beskyttes mot uautorisert eller ulovlig tilgang, utilsiktet tap, ødeleggelse eller skade»

Kommunen har ikke noe system for overføring av informasjon fra sms til sak/arkiv per i dag. IT-sjefen

sier at det ikke bør benyttes sms i saksbehandlingen. I dagens gamle ephorte er det ikke mulighet til å

importere sms’er, men nå som kommunen snart skal over i Elements vil det bli tilgang på denne

funksjonen. Arkivleder sier at det er svært sjeldent de ser at sms arkiveres i arkivsystemet.

Det kommer også frem av intervjuene at kommunen har jobbet mye med å få ansatte til å slutte å

bruke «gule lapper», særlig med tanke på nedtegning av personopplysninger på disse. Det kommer

også frem i intervjuene med ansatte i enhetene.

Flere av de vi intervjuet på administrativt nivå sier at de er bekymret for noen ansattes bruk av e-post

med personopplysninger. Det vises til at kommunen har en «Bruker- og taushetserklæring», hvor det

blant annet står det at man ikke skal sende sensitive opplysninger på e-post. Denne signerer alle

ansatte ved tilsetting, men noen gjemmer seg bak at de ikke har signert denne erklæringen. Det

fremkommer av dokumentet Sikkerhetspolitikk for behandling av personopplysninger og av

intervjuene, at ansatte skal sette seg inn i og signere taushetserklæringen. Det er etterspurt at

kommunen må gjennomføre en DPIA2 på e-postsystemet.

Kommunen har imidlertid retningslinjer for bruk av e-post i prosedyren Sikkerhetspolitikk for bruk av

IT i Halden kommune. I pkt 1.17 i denne prosedyren står det «E-poster skal ikke inneholde sensitive

(særlige kategorier av) personopplysninger eller andre sensitive opplysninger. Skal e-posten inneholde

personopplysninger må det ikke være mulig å linke innholdet til bestemte personer

(pseudonymisering)….».

På området Rus og psykiatri er ansatte bekymret for at brukerne ikke er kapable til å bruke Digipost.

De ansatte ønsker å kommunisere mer på sms. Det er da den enkelte ansatte som har ansvar for

konfidensialiteten i dette, samt avdelingsleder. Kommunen har ikke utarbeidet rutiner på dette

området enda, men de vil ta det med videre i GDPR-gruppa.

Enhet – skole

Det kommer frem av intervjuene med ansatte på skolen at det deles ut klasselister på papir til

kontaktlærerne. I første omgang gis listene til lærerne og de deler videre ut til foreldre. Det er ikke

fødselsnummer på disse listene. Det er i hovedsak kun navn og telefonnummer, men ved noen skoler

har de også opplysninger om e-postadresser.

Ansatte opplyser om at skolen ikke samler inn opplysninger som bare er «kjekt å ha». Det blir

presisert at skolen ikke henter inn informasjon om trosretning eller annen sensitiv informasjon som

ikke er nødvendig for å utføre de lovpålagte oppgavene.

Det kommer frem i intervjuene at kontaktlærerne kommuniserer med foreldre og elever via ulike

kanaler. Foreldre og elever kan sende sensitive personopplysninger via sms, Messenger eller e-post.

Det kan også være personopplysninger knyttet til elever som bør arkiveres. Det fremkommer av

2 En vurdering av personvernkonsekvenser (Data Protection Impact Assessment - DPIA) skal sikre at personvernet til de som er registrert i løsningen ivaretas.

34


intervjuene og dokumentasjon fra skolen at det ikke er innført en rutine for behandling av

personopplysninger som kommer inn via sms, Messenger, chat eller liknende i dag. Dette blir

bekreftet i intervjuene med kommunalsjefen. Det kommer frem av intervjuene at dersom skolene får

inn sensitive opplysninger på e-post, har skolene rutine for å slette de sensitive opplysningene i

svaret tilbake. Noen ansatte i skolen opplever at det er en utfordring å motta sensitive

personopplysninger på egen telefon, da slik informasjon ikke alltid blir mottatt i arbeidstiden. Det

kommer frem av intervjuene at skolen, vi så på i revisjonen, har sett at dette er en utfordring og vil

innføre klassetelefoner for å forsøke å bøte på denne utfordringen.

I spørreundersøkelsen har rektorer på skolene og styrere i barnehagene svart på hvordan tilgangen

til elev-/barnemappene er avgrenset. Som vist i figur 3 kommer det frem av spørreundersøkelsen at

63 % av rektorene og styrere i barnehagene svarer at ansatte kun har tilgang til opplysningene om de

elevene/barna de har et fagansvar. 9,1 % sier at de ansatte har tilgang til alle elev-/barnemapper og

27,3 % av rektorene og styrerne sier at de ikke vet.

Figur 3: «Har lærerne/ansatte tilgang til alle elevmappene/opplysninger om det enkelte barn?»


Det kommer frem av intervjuene at det i tillegg til det digitale arkivet i ephorte også finnes fysiske

arkiv på skolene. På den enheten vi så på i revisjonen, kom det frem av intervjuene at lærerne ikke

har tilgang til de digitale elevmappene i ephorte, da dette må gå via merkantilt ansatt på skolen. Når

merkantilt ansatt ikke er tilstede har lærerne derfor ikke tilgang til de digitale emappene i ephorte.

Skolen har rutine på at lærerne skal signere for hvilke elevmapper de tar ut av det fysiske arkivet.

Dette kan de gjøre også når merkantilt ansatt ikke er tilstede.

Det kommer frem av intervjuene med kommunalsjefen at det har ikke vært gjort en jobb med de

fysiske arkivene på skolene, etter at den nye personvernlovgivningen trådte i kraft. Kommunalsjefen

sier at det er kommunen sentralt som har ansvaret for en felles rutine for avgrensing tilgangen til

personopplysninger i skolene.

Avvik/brudd på personvernregelverket

Det kommer frem av intervjuene at det er meldt avvik/brudd på personvernregelverket. Alle brudd

skal registreres i avviksmodulen i Risk Manager. Det er den som oppdager og eier bruddet som

9,1%

63,6%

27,3%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Ja Kun de elevene/barna jeghar fagansvar for

Vet ikke

Pro

sen

t

35


rapporterer på dette. Personvernombudet står som tredjeperson i Risk Manager og er daglig inne i

avviksmodulen for å kontrollere evt. brudd. Alle brudd som er meldt i avviksmodulen hittil er meldt

videre til Datatilsynet. Når det meldes inne et brudd, sender personvernombudet en e-post til den

som eier avviket om at de skal informere brukeren/den registrerte om hva som har skjedd.

Personvernombudet sier at de ikke har mottatt meldinger om brudd på personvernregelverket, der

de har vurdert at de ikke behøver å melde det til Datatilsynet. Personvernombudet sier at da ville de

lagt meldingen inn i avviksmodulen i Risk Manager. Det fremkommer av kommunens Prosedyre for

behandling av personopplysninger etter GDPR pkt 6, «avvik innenfor informasjonssikkerhet og

personvern kalles sikkerhetsbrudd, og skal meldes i Risk Manager. Ved sikkerhetsbrudd som har ført

til at menneskers personvern har blitt krenket, skal Datatilsynet varsles innen 72 timer. Dette gjelder

ikke dersom det er lite trolig at sikkerhetsbruddet vil medføre en risiko for personers rettigheter og

friheter. Personvernombudet skal involveres i slike saker, og er også den som melder videre til

Datatilsynet når det er påkrevd (se «prosedyre for håndtering av alvorlige sikkerhetsbrudd»)». I

Prosedyre for håndtering av alvorlige sikkerhetsbrudd er fremgangsmåten for behandling av bruddet

beskrevet i pkt 4. Personvernombudet sier at de vil sørge for å skrive ned hvilke vurderinger de har

gjort dersom de mener at det ikke er nødvendig å melde avviket til Datatilsynet.

Revisjonen hadde en gjennomgang av avviksmodulen og ble vist hvor og hvordan bruddene ble

registrert. Per i dag er alle typer avvik listet opp samlet. I samtaler med IT-sjefen og

personvernombudet sier de at de ser for seg at dette skal systematiseres mer. Personvernombudet

sier at det kommer mange avvik på ting som ikke er personvern, og de vet ikke om alt med

personvern meldes heller. Det er sendt ut informasjon om hvordan avvik/brudd skal meldes, men om

det blir lest og fulgt opp har de fremdeles ikke oversikt over.

Vurderinger

Det er vår vurdering at kommunen har utarbeidet rutiner og retningslinjer som skal ivareta personers integritet og konfidensialitet. Det er iverksatt tiltak for å sikre at personopplysninger ikke uautorisert blir endret i de ulike systemene for lagring av slike opplysninger, f.eks. ved at det kun er arkivansatte med ansvar for de ulike typene saker som har tilgang til å registrere og lagre dokumenter i disse. Det er også vår vurdering at kommunen har iverksatt tiltak for å avgrense tilgang til personopplysninger i ulike program og fagsystemer, også der det finnes papirarkiv med slike opplysninger. Vi ser det som positivt at kommunen også har hatt fokus på å redusere ansattes bruk av «gule lapper» som kan inneholde personopplysninger. Det kommer frem av intervjuer og spørreundersøkelsen at det benyttes ulike kanaler til å kommunisere med brukerne av kommunens tjenester. Det er også områder der det er ønskelig å benytte sms som kommunikasjonskanal. Vi ser at det kan være et behov i kommunen for bruk av ulike kanaler, for å nå ulike brukergrupper. Det er imidlertid vår vurdering at kommunen må ha en bevisst bruk av de ulike kanalene. Kommunen har en prosedyre for bruk av e-post når det gjelder personopplysninger. Vi mener imidlertid at kommunen også må ha en plan og en fremgangsmåte for å sikre forsvarlig behandling av personopplysninger på kanaler som kommunen ikke ønsker å benytte i sin kommunikasjon. Behandlingsansvarlig bør beslutte på hvilke områder kommunen kan benytte sms, chat, e-post mm som kommunikasjonskanal med brukerne av kommunens tjenester. De ulike måtene å kommunisere på må ha et behandlingsgrunnlag etter GDPR. Hvilke data som kan sendes og mottas per sms bør

36


dokumenteres og danne grunnlag for beslutningen. I dette må også kommunen gjøre en vurdering av lagring og sletting av personopplysninger. Det kom frem av intervjuene at det er tilfeller der ansatte sender personopplysninger på e-post. Det er etter vår vurdering et brudd på personvernregelverket. Oversendelse av personopplysninger er i seg selv en «behandling» som krever et behandlingsgrunnlag etter GDPR. Datatilsynet sier i sin veiledning at selv om fødselsnummer ikke er å regne som sensitive personopplysninger, skal det sikres dersom det sendes per brev, e-post eller sms. Datatilsynet er i utgangspunktet ikke positive til at personopplysninger sendes på e-post. Dette fordi e-post er en «åpen» løsning og faren for feilsendelse i tillegg er stor. Dersom det er nødvendig å sende personopplysninger på e-post, så skal innholdet i e-post være kryptert. Det kommer frem av intervjuene at kommunen per i dag ikke har mottatt meldinger om avvik/brudd, som de har vurdert at er av ens lik karakter at de ikke bør melde til Datatilsynet. Det er vår vurdering at kommunen melder brudd på personvernregelverket til Datatilsynet og vurderer konsekvensen for den registrerte og varsler denne når det er nødvendig. Enhet – skole Det fremkommer i veilederen om personvern, taushetsplikt og meldeplikt i skolen at skoleeier skal sørge for at bare de som trenger personopplysningene, har tilgang til dem. Skoleeier skal ha et bevisst forhold til hvem som får og hvem som ikke får tilgang til systemer med personopplysninger. Jo mer sensitive personopplysningene er, jo mer skal de sikres. En elev-/barnemappe kan inneholde sensitive personopplysninger, så som saker om spesialundervisning og elevenes skolemiljø. Det er vår vurdering at det å ha et fysisk arkiv som inneholder personopplysninger på samtlige elever/barn, uten ytterligere kontroll eller avgrensing av tilgang, ikke er en tilstrekkelig tilgangsstyring. På bakgrunn av det som kommer frem i dokumentasjon, intervjuene og spørreundersøkelsen er vår vurdering at rutinene for behandling av personopplysninger om elever ikke er oppdatert i henhold til personvernregelverket for alle skolene i kommunen. Kommunen bør vurdere å etablere en felles rutine for skolene, blant annet når det gjelder ansattes tilgang til ulike personopplysninger. Dette vil også gjelde for barnehagene i kommunen.

4.7 Ansvarlighet

4.7.1 Personvernombud

Revisjonskriterier

o Kommunen har et personvernombud, som har rammer og oppgaver i henhold til regelverket.

o Kommunen har offentliggjort kontaktopplysningene til personvernombudet og meldt disse til

Datatilsynet.

o Kommunen sørger for at personvernombudet blir involvert i saker om personvern på riktig måte

og til rett tid.

o Kommunen stiller til rådighet de ressurser som er nødvendig for å utføre nevnte oppgaver.

o Kommunen gir personvernombudet tilgang til personopplysninger og behandlingsaktiviteter, og

gjør det mulig for vedkommende å opprettholde sin dybdekunnskap.

o Kommunen sikrer at personvernombudet ikke mottar instrukser om utførelsen av nevnte oppgaver. Vedkommende skal ikke avsettes eller straffes av kommunen eller databehandleren for å utføre sine oppgaver.

o Personvernombudet rapporterer direkte til det høyeste ledelsesnivået i kommunen

37


Fakta

Det fremkommer av dokumentasjon og kontakten med kommunen, at de har et personvernombud.

Personvernombudet var fra våren 2018 i en 54% stilling, men er fra mars 2019 utvidet til 100%.

Personvernombudet har tatt videreutdanning i personvernregelverket.

Kommunen har offentliggjort kontaktopplysningene til personvernombudet på sine nettsider. I

personvernerklæringen gir kommunen også informasjon om hva som er personvernombudets

oppgaver, ombudets uavhengighet og taushetsplikt.

I spørreundersøkelsen og intervjuer fremkommer det at alle vi har spurt, kjenner til at kommunen

har et personvernombud. Det kommer imidlertid frem at ikke alle ansatte ute i enhetene vet hvem

som er personvernombud, eller hvordan og når de kan kontakte ombudet.

Det kommer frem av intervjuene at personvernombudet opplever å stå fritt i sitt arbeid med

personvernregelverket. Personvernombudet mottar ikke instrukser om hvordan arbeidet som

personvernombud skal utføres. Personvernombudet sier i intervjuet at hun opplever at hun har

tilstrekkelig med ressurser nå som hun jobber fulltid med dette. Den første tiden var det fokus på å

tilegne seg kompetanse på området. Etter at stillingen som personvernombud ble utvidet til en

fulltidsstilling i mars 2019 har det vært lettere å få kontinuitet i arbeidet med personvernregelverket.

I intervjuet sier flere av de vi intervjuet på administrativt nivå, at det er fint at kommunen har fått et personvernombud. Det å ha noen som er kompetente på personvernlovgivningen, som en kan drøfte med oppleves som svært nyttig.

Kommunen har også etablert en GDPR-gruppe, som er ledet av personvernombudet. Gruppen ble

etablert for ca. to år siden og har møter hver 14. dag. Gruppen består av representanter fra hver

kommunalavdeling og skal jobbe med informasjon om personvern og GDPR i samarbeid med

personvernombudet. Gruppen fungerer mest som diskusjonsforum.

Personvernombudet sier i intervjuene at hun ikke blir involvert tidlig nok i saker og at ansatte

fremdeles må bli minnet på personvernregelverket, for eksempel gjennomføring av DPIA.

Personvernombudet sier at ansatte ennå ikke har fått personvernregelverket inn i sine rutiner.

I dokumentasjonen fra kommunen fremkommer det at personvernombudet rapporterer til

kommuneadvokaten. Kommuneadvokaten er i rådmannens stab.

Vurderinger

Kommunen har et personvernombud og har offentliggjort og meldt inn kontaktopplysningene om personvernombudet. Det er vår vurdering at kommunen under revisjonen har gjort opplysningene om personvernombudet lettere tilgjengelig for brukerne av kommunens systemer ved at de nå er å finne på førstesiden av kommunens nettsider, jf pvf artikkel 37. Det er vår vurdering at personvernombudet har kompetanse på regelverket og er godt inneforstått med de oppgavene som er lagt til et personvernombud. Implementeringen av personvernregelverket er et omfattende arbeid i en kommune. Det er vår vurdering at med et personvernombud i 100 %

38


stilling, GDPR-gruppa og avdelingsledere som samarbeider om regelverket, så har personvernombudet tilstrekkelig ressurser til å utføre oppgaven. Vi ser at personvernombudet har tilgang til personopplysninger og behandlingsaktiviteter, og det er

vår vurdering at det er mulig for personvernombudet å opprettholde sin dybdekunnskap om

virksomheten. Det er også vår vurdering at personvernombudet ikke mottar instrukser på hvordan

arbeidet med personvern skal gjennomføres i kommen.

I pvf art. 38 punkt 3 står det at «Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet ikke mottar instrukser om utførelsen av nevnte oppgaver». Senere under punkt 3 står det at «Personvernombudet skal rapportere direkte til høyeste ledelsesnivå hos den behandlingsansvarlige eller databehandleren». I en kommune er det rådmann/kommunedirektør som er det høyeste ledernivå. Det er derfor vår forståelse av artikkel 38 at personvernombudet skal rapportere direkte til rådmann/kommunedirektør og ikke til kommuneadvokaten, slik det informeres om at det er i dag. Dette for å sikre at personvernombudet ikke mottar instrukser eller på annen måte vanskeliggjør ombudets uavhengighet.

4.7.2 Risikovurdering - personvernkonsekvens

Revisjonskriterier

o Kommunen har gjennomført en risikovurdering av personopplysningssikkerheten før alle

behandlinger igangsettes.

o Kommunen har gjennomført en vurdering av personvernkonsekvensene (DPIA) i henhold til

Datatilsynets liste.

Fakta

I kommunens dokument Prosedyre for behandling av personopplysninger etter GDPR pkt 6 står det at kommunen i forkant av enhver ny behandling av personopplysninger skal vurdere og dokumentere risiko. Behandlingen skal registreres i protokollen. Dersom en behandling utgjør en stor risiko for personvernet (dvs. gjelder mange registrerte eller store mengder sensitive opplysninger), må det gjennomføres en vurdering av personvernkonsekvenser (DPIA) før behandlingen iverksettes. Behandlingsansvarlig skal involvere personvernombudet i vurderingen av personvernkonsekvenser. Dersom vurderingen viser at risikoen er stor og ikke kan reduseres, må Datatilsynet kontaktes for forhåndsdrøftinger. I definisjonen på hvem som er behandlingsansvarlig skriver kommunen i sin prosedyre «Den som bestemmer formålet med behandlingen. Rådmann er øverste behandlingsansvarlig i kommunen. Ansvaret kan delegeres til kommunalsjefene/enhetslederne for de ulike kommunalområdene.» I dokumentasjonen oversendt fra Halden kommune foreligger det en mal for vurdering av personvernkonsekvens (DPIA) i Halden kommune. I intervjuene fremkommer det at kommunen har startet arbeidet med å vurdere personvernkonsekvens av nye behandlinger av personopplysninger. Det kommer frem i intervjuene at personvernombudet er rådgiver i enkeltsaker om personvern. Hun får noen henvendelser med spørsmål om avvik og DPIA. Kommunen har etablert en gruppe som består av personvernombudet, beredskapsansvarlig i kommunen, en fra IT avdelingen og an fra den konkrete avdelingen som sakene gjelder. Denne gruppen jobber med vurdering av personvernkonsekvenser og ROS analyser. Gruppen trekker inn de fagområdene der de ser det er et risikoområde. De har jobbet med enhetsleder og ansatte i NAV, blant annet med en ny elektronisk

39


søkeportal (Digisos). Da gjennomførte de en DPIA på dette. De har oppdaget at det noen ganger er mangelfull informasjon i utkastet til databehandleravtalene, fra de som leverer programvaren. I intervjuene fremkommer det at kommunen har planer om å ta i bruk KS-læring3 og at risikovurderinger rundt personvernsikkerheten og DPIA er under arbeid.

Vurderinger

I personvernforordningen artikkel 35 står det at behandlingsansvarlig skal gjennomføre en vurdering av personvernkonsekvensene (DPIA) der det er sannsynlig og høy risiko for den registrertes rettigheter. En vurdering av om en behandling av personopplysninger utgjør en høy risiko må baseres på en vurdering av fire kriterier: behandlingens art, omfang, formål og i hvilken sammenheng behandlingen utføres. Vi ser at kommunen gjør vurderinger av personvernkonsekvenser i henhold til de nevnte kriterier. Kommunen må først skaffe seg en oversikt over hvilke behandlingsaktiviteter de gjennomfører i hele virksomheten. Deretter må de gjøre en vurdering av hvilke behandlingsaktiviteter som innebærer en høy risiko - for konsekvens og sannsynlighet for avvik. På de behandlingsaktivitetene som kommunen vurderer at det er en høy risiko må kommunen gjennomføre en full vurdering av personvernkonsekvensen. Datatilsynet har utarbeidet en liste over områder der det må gjøres en vurdering av personvernkonsekvensen. Vi ser at kommunen har igangsatt arbeidet med å gjennomføre risikovurdering av behandlingskonsekvensene og vurderinger av personvernkonsekvensene (DPIA). Med bakgrunn i at kommunen ennå ikke har en samlet oversikt over alle behandlingsaktivitetene i virksomheten, har kommunen heller ikke gjennomført en risikovurdering av alle behandlingsaktivitetene. 4.7.3 Internkontroll

Revisjonskriterier

o Med bakgrunn i den gjennomførte risikovurderingen, har kommunen iverksatt egnede tekniske

og organisatoriske tiltak for å sikre og påvise at behandlingen av personopplysningene skjer i

samsvar med personvernforordningen.

o Kommunen har innhentet kunnskap om personopplysninger behandles etter

personvernregelverket.

o Kommunen har sørget for å iverksette tiltak der det fremkommer at regelverket ikke etterleves.

o Kommunen sikrer at brudd på personopplysningssikkerheten meldes til Datatilsynet når det er risiko for personers rettigheter og frihet.

o Kommunen sikrer at den registrert blir varslet, dersom bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter.

o Kommunen sikrer at brudd som ikke rapporteres til Datatilsynet, behandles og begrunnes i en intern avviksrapport.

Fakta

3 KS-læring er e-læringssystemet Halden kommune benytter

40


I kommunens dokument Sikkerhetspolitikk for behandling av personopplysninger pkt 2.5 om egenkontroll står det «Virksomheten skal periodisk kontrollere arbeidet med informasjonssystemet og informasjonssikkerheten. …………Gjennomføringen og oppfølgingen av egenkontrollen skal utføres av avdelingsleder.» Det fremkommer av dokumentet hva som skal kontrolleres og når dette skal gjøres. I pkt. 2.1 om ansvar står det «Personvernombudet vil foreta uanmeldte kontroller ute i avdelingene». Det opplyses i intervjuene at alle ansatte i kommunen har tilgang på både dokumentet Sikkerhetspolitikk for behandling av personopplysninger i Halden kommune og Sikkerhetspolitikk for bruk av IT i Halden kommune. Begge er å finne på Intranettet og begge dokumentene er oppdatert etter GDPR. Ikke alle ansatte, av de vi intervjuet, hadde satt seg inn i disse dokumentene. I dokumentasjon fra kommunen står det at internkontrollen og egenkontrollen ligger i årshjulet, og at dette skal suppleres med nye personvernregler slik at det blir en naturlig del av daglig drift. I intervjuene sier personvernombudet at de er i prosess med å utarbeide risikovurderinger og egenkontroll. Egenkontroll er en oppgave som GDPR-gruppa skal jobbe med framover. De skal jobbe med å legge inn de momentene fra GDPR som er påkrevd.

Vurderinger

I personvernforordningen artikkel 24 står det at behandlingsansvarlig skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med forordningen. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov. Kommunen planlegger å legge opp til at avdelingsleder har ansvaret for egenkontrollen og så vil personvernombudet gjennomføre stikkprøvekontroll . Det er vår vurdering at kommunens planer om å gjennomføre uanmeldte kontroller ute i avdelingene kan være en måte å sikre internkontrollen. Personvernombudet har oversikt over alle områder det meldes om brudd på personvernregelverket, oversikt over DPIA og har god kunnskap om regelverket på området, noe som gir god oversikt over risikoområdene i håndteringen av personopplysninger. Det er vår vurdering at kommunen er klar på at de må oppdatere internkontrollsystemet i henhold til det nye personvernregelverket. Internkontroll er som regel den delen av systemet som implementeres etter at regelverkets andre bestemmelser er på plass. Implementeringen av det nye personvernregelverket i alle deler av kommunens virksomheter er et omfattende arbeid. Det er vår vurdering at det per i dag ikke er etablert en internkontroll som gjør at kommunen kan påvise at behandlingene fullt ut utføres i samsvar med forordningen.

4.7.4 Opplæring i regelverket

Revisjonskriterier

o Kommunen må sette de ansatte i stand til å etterleve regelverket, ved blant annet å gi de ansatte opplæring

41


Fakta

I oversendt dokumentasjon fremkommer det en oversikt over ansatte som hittil har fått opplæring i GDPR i kommunen. Oversikten viser at mange ledere (enhetsledere og avdelingsledere) har fått opplæring i GDPR per dags dato. Det er imidlertid noen ledere som ikke har deltatt på opplæring. Personvernombudet opplever at noen ledere ikke prioriterer opplæringen i en ellers hektisk hverdag. Det kommer frem av intervjuene at det ikke er lagt ut ansvar til ledernivåene om videre opplæring av saksbehandlere og ansatte i enhetene. Av intervjuene fremkommer det at personvernombud jobber for at alle ansatte skal få opplæring i personvernlovgivingen. IT-sjefen er med i dette arbeidet. Arbeidet med opplæringen startet i GDPR-gruppen før personvernombudet ble ansatt. Rådmannens ledergruppe fikk opplæring før sommeren 2018. Deretter fikk kommunalsjefene opplæring og så enhetslederne. Alle ansatte har stående tilbud om å ta kontakt for å få opplæring, og hjelp til enkeltsaker. Det siste de har gjennomført av opplæring er et kurs med ekstern foreleser i personvernlovgivningen og offentlighetsloven. Kurset var åpent for alle ansatte, men det var få som prioriterte å delta på kurset. Personvernombudet mener at langt flere burde ha deltatt på kurset, da hun har fått mange tilbakemeldinger fra ansatte om at dette er områder de ikke kan så mye om. Fra de som har fått opplæring har det kommet mange spørsmål i etterkant. Personvernombudet sier at det har vært særlig utfordrende å få skole i gang med arbeidet på personvern. Nå har de imidlertid kommet på banen. I spørreundersøkelsen sier 23 av 26 avdelingsledere og enhetsledere at de har fått opplæring. I intervjuene sier noen av de som har fått opplæring at de opplever større trygghet i behandlingen av personopplysninger. I intervjuet sier personvernombudet, at det er ofte de som har fått opplæring i regelverket som henvender seg med spørsmål om personvernregelverket. Personvernombudet sier at avdelingslederne har ansvaret for at sine ansatte får opplæring. Hun har bedt dem ta kontakt med henne som personvernombud, men med lav respons. Hun sier at det kanskje hadde vært lurt å delegert denne oppgaven videre, f.eks. velge ut noen fra hver avdeling som er spesielt interessert i personvern. Enhet – skole I intervjuene kommer det frem at kommunalsjefen er bevisst på at opplæringen av ansatte er et lederansvar. Det fremkommer imidlertid av intervjuene at ansatte i skolene ennå ikke har fått opplæring i personvernregelverket. Oversikten viser at noen av de merkantile i skolene har fått opplæringen. Det kommer frem av oversikten at rektorene skal få opplæring i RLG4. Rektoren vi snakket med i intervjuene hadde ikke fått opplæring i personvernregelverket. I intervjuene kommer det frem at kommunen i løpet av kort tid vil starte opp e-læring for alle ansatte i kommunen via KS-læring.

Vurderinger

Vi ser at det fremdeles er noen ledere som ikke har gjennomført opplæringen i GDPR og mange ansatte ute i enhetene har ennå ikke fått opplæring. Personvernombudet er på tilbudssiden og ansatte har stående tilbud om å ta kontakt for å få opplæring og hjelp til enkeltsaker. Det er imidlertid vår vurdering at det kan være vanskelig for en ansatt å ta imot tilbudet om opplæring, dersom lederen ikke synliggjør at de prioriterer opplæringen i personvernregelverket.

4 Rektors ledergruppe (RLG)

42


Mengde og typer personopplysninger som behandles varierer mellom fagområdene. Det er allikevel vår vurdering at alle ansatte bør gjennom en slik opplæring uavhengig av fagområdet og at opplæring av ansatte bør ha prioritet i kommunens videre arbeid. Det er derfor positivt at kommunen nå setter i gang en e-læring for alle ansatte. Det er vår vurdering at opplæring i regelverket er grunnleggende for å kunne ivareta brukernes rettigheter på området. Vi mener også at opplæring i regelverket vil kunne lette arbeidet med implementeringen av kommunens prosedyrer og rutiner på området. Det er vår vurdering at kommunen har kommet godt i gang med opplæringen innen personvernlovgivningen. Selv om vi samtidig mener at kommunen burde ha fullført den grunnleggende opplæringen av alle ansatte per i dag, ettersom ny lov om behandling av personopplysninger ble vedtatt 15. juni 2018 og trådte i kraft 20. juli 2018.

4.7.5 Databehandlere

Revisjonskriterier

o Kommunen har en oversikt over de databehandlerne de benytter

o Kommunen har vurdert hvilke opplysninger som databehandler krever, er adekvate, relevante og

begrenset for formålet.

o Kommunen har utarbeidet avtaler med databehandlerne i henhold til kravene i regelverket.

Fakta

Kommunen har oversendt 26 databehandleravtaler som dokumentasjon. Det er blant annet

databehandler avtaler med andre offentlige instanser, interesseorganisasjoner, virksomheter som

leverer ulike nettverksløsninger osv. I intervjuene kommer det frem at det som regel er

databehandlerne som utformer avtalen. Ansatte vi snakket med som har ansvar for

databehandleravtaler sier at de går nøye gjennom avtalene før de aksepteres. De opplyser at det er

flere tilfeller der de mener at avtalene er for «tynne» eller der databehandler ber om opplysninger

som kommunen stiller spørsmål ved. Kommunen tar da kontakt med databehandler for avklaring og

ytterligere informasjon. Det opplyses om at de gjør en egenvurdering av alle databehandleravtalene.

I intervjuene fremkommer det at det er Kommuneforlaget som er databehandler for kommunens

nettside. Fagavdelingene bestiller hva de skal ha av skjemaer og så utformer Kommuneforlaget dem

etter bestilling fra servicesenteret. Det er lenge siden de inngikk databehandleravtalen med

Kommuneforlaget og i intervjuene sier ansatte i kommunen at det kan hende det er på tide å

gjennomgå den i lys av nytt regelverk. Etter intervjuet har Halden kommune fått tilsendt en

oppdatert utgave av databehandleravtalen med Kommuneforlaget, som skal signeres. Det

fremkommer av intervjuene at kommunen om ikke lenge, skal ha ut anbud for en ny leverandør av

publiseringsløsning for nettsider til kommunen.

I intervjuene informerer personvernombudet om at de har en oversikt over alle databehandlere de

bruker i kommunen. Denne er å finne i en egen mappe i Ephorte. Personvernombudet har opplevd at

avtale med nye databehandlere har vært gjort i enkelte avdelinger, uten at personvernombudet har

vært involvert. Personvernombudet er tydelig på at det ikke kommer til å skje igjen. Kommunen har

ikke utarbeidet rutine på dette enda, men det skal utarbeides en rutine sammen med staben i

kommunen. Personvernombudet opplyser om at kommunen gjør egne vurderinger av behovet for

personopplysninger i avtalene med databehandlerne. Rådmann signerer alle avtaler. I intervjuene

kommer det frem at kommunen også har diskutert om de skal inngå en felles databehandleravtale

knyttet til fotografering i skolen.

43


IT-sjefen opplyser om at enhetene ikke kan inngå avtaler om for eksempel nye læringsplattformer. IT

styrer hva hver enkelt kan få tilgang til og ansatte kan ikke lenger laste ned alt de ønsker. Det må

derfor avklares med IT-avdelingen dersom noen ønsker å laste ned en app. Da må avtalene

gjennomgås, en DPIA gjennomføres osv. Listen over databehandlere er ennå ikke helt komplett,

kommunen mangler noen databehandleravtaler, men har foreløpig konsentrert seg om de største

datasystemene først. Det har vært særlig fokus på å få på plass databehandler avtaler med

virksomheter som drifter noe for Halden kommune. Ved inngåelse av avtaler med databehandleren

gjør IT-avdelingen en egen vurderinger av hvilke personopplysninger som skal hentes inn, det er ikke

databehandlerne som avgjør dette.

Enhet - skole

Intervjuene med ansatte i skole viser at den enkelte skole inngår avtaler med for eksempel fotograf

for å ta bilder av klassene/elevene. Avtalene krever personopplysninger for at foreldre eller elever

skal få tilgang til bildene og evt. bestille bilder på nettet. Det er skolen selv som inngår databehandler

avtale på dette området, uten at personvernombudet er involvert.

Vurderinger

På bakgrunn av det som fremkommer i intervjuene er det vår vurdering at kommunen har etablert en oversikt over databehandlere som kommunen benytter i sine tjenester og til administrasjon og drift. Det er vår vurdering at kommunen gjør egne vurderinger av hvilke opplysninger som er adekvate, relevante og begrenset for formålet. På bakgrunn av intervjuene er det vår vurdering at kommunen nå har et mer bevisst forhold til hvem i kommunen som kan inngå databehandleravtaler, men at det fortsatt er mulig å avtale direkte, som f.eks. avtaler skolene med direkte med fotograf. Kommunen har prioritert å få på plass avtaler med de største databehandlerne, og har per i dag ikke alle databehandler avtalene på plass.

5 KONKLUSJONER/ANBEFALINGER

Problemstilling - Har kommunen implementert personvernregelverket? Det er vår konklusjon at kommunen informerer brukerne av kommunens tjenester om behandlingen og lagring av personopplysninger. Kommunen har imidlertid i for liten grad tilpasset informasjonen til ulike målgrupper, som barn og unge. Kommunen har en behandlingsprotokoll og er godt i gang med å registrere og behandle de ulike kategoriene personopplysninger til de ulike formål. Det gjenstår imidlertid en del behandlinger før kommunen er i mål med dette arbeidet Det er vår konklusjon at kommunen har utarbeidet rutiner og retningslinjer som skal ivareta personers integritet og konfidensialitet på de fleste områder. Det er iverksatt tiltak for å sikre at personopplysninger ikke uautorisert blir endret i de ulike systemene for lagring av slike opplysninger. Det er imidlertid noen områder som ikke er synliggjort i kommunens rutiner. En stor del av de ansatte i kommunen kommuniserer med brukerne av kommunens tjenester og pårørende via sms, chat, e-post osv. Kommunen bør se til at denne kommunikasjonen behandles, lagres og slettes i tråd

44


med personvernregleverket. Kommunen har også fysiske arkiv som ikke har tilstrekkelig avgrensing av tilgangen til personopplysninger. Det er vår konklusjon at kommunen i for liten grad har ansvarliggjort og involvert de ulike ledernivåene i arbeidet med implementeringen av det nye personvernregelverket. Kommunen har utarbeidet flere rutiner og prosedyrer som er i tråd med den nye personvernlovgivningen. Det er imidlertid vår konklusjon at disse prosedyrene og rutinene ennå ikke er implementert i tilstrekkelig grad. Kommunen gjør vurderinger av og har en plan for lagring og dataminimering av personopplysninger. Kommunen gjør imidlertid ikke i tilstrekkelig grad, konkrete vurdering på hvor lenge det er nødvendig og forsvarlig å beholde opplysninger, som ikke er arkivpliktige. Vurderingene gjøres på grunnlag av type sak, ikke fra sak til sak. Kommunen har en innarbeidet praksis for å rette personopplysninger dersom det blir oppdaget feil, mangler eller den registrerte ber om det. Det er vår konklusjon at kommunen har etablert et system for å melde avvik/brudd på personvernregelverket og at de melder avvik/brudd til Datatilsynet, samt vurderer konsekvensen for den registrerte og varsler denne når det er nødvendig. Det er vår konklusjon at kommunen har en oversikt over databehandlerne som kommunen benytter. Kommunen sørger for å etablere databehandleravtaler og gjør en egen vurdering av innholdet i avtalene før de godkjennes. Det er per i dag ikke inngått avtaler med alle databehandlerne kommunen benytter. Kommunen har et personvernombud som har ressurser og rammer som gjør at ombudet kan ivareta sine oppgaver. Personvernombudet rapporter imidlertid ikke til høyeste administrative nivå i kommunen, slik regelverket krever. Kommunen har igangsatt arbeidet med å gjennomføre risikovurderinger av behandlingskonsekvensene og vurderinger av personvernskonsekvensene (DPIA). Det gjenstår imidlertid mye arbeid på dette området, da kommunen først må ha full oversikt over alle formål det hentes inn personopplysninger til, hvilke personopplysninger dette er, hvordan de lagres osv. Med bakgrunn i vurderingene i denne revisjonen, er det vår konklusjon at kommunen ikke har en internkontroll som er oppdatert eller implementert på personvernområdet. Det er vår vurdering at kommunen kom noe sent i gang med å gi opplæring og implementere det nye personvernregelverket. Kommunen har imidlertid i 2019 intensivert arbeidet og jobber nå samtidig på flere områder for å få implementert personvernregelverket. Det jobbes parallelt med å hente inn opplysninger i organisasjonen for å få ferdig en behandlingsprotokoll, utarbeide oversikter over databehandlere og etablere databehandleravtaler, gi opplæring i personvernregelverket, DPIA og implementere et oppdatert internkontrollsystem osv. Det er vår konklusjon at kommunen prioriterer dette arbeidet og tar ansvar på området. Samlet sett er det revisjonens konklusjon at Halden kommune ikke fullt ut har implementert alle krav og forventninger i personvernregelverket. Kommunen har gitt opplæring til mange av kommunens ledere, men har i liten grad sikret at opplæringen blir videreført ut i enhetene.

45


Revisjonen anbefaler at kommunen bør: - sørge for å informere om hvordan de behandler personopplysningene på en måte som gjør

informasjonen forståelig for alle målgrupper, som for eksempel for barn og unge. - behandle de ulike typene kommunikasjonskanaler som ansatte benytter som sms, chat, e-

post osv, vurdere lagring og sletting av personopplysninger og personvernkonsekvens - ha en gjennomgang av hvilke kategoriene personopplysninger som det må innhentes

samtykke til på de ulike fagområdene. - etablere felles rutiner for enhet- skole, når det gjelder tilgangsavgrensing til fysiske arkiv. - sikre at personopplysninger ikke lagres lenger enn det som er nødvendig og forsvarlig for den

enkelte sak. - se til at det gjøres en vurdering av om opplysninger eller deler av opplysninger skal slettes

eller pseudonymiseres ved lagring av ikke arkivverdige personopplysninger, og vurdere om formålet for lagring av opplysningene er et annet enn ved registreringen

- videreføre arbeidet med databehandleravtaler, slik at kommunen har avtale med alle databehandlere

- se til at personvernombudet rapporterer til høyeste ledelsesnivå i kommunen - gjennomføre en behandling av sine webkameraer og informere kommunens innbyggere om

hensikten med og bruken av disse - videreføre arbeidet med behandlingene, slik at alle behandlinger er registrert i protokollen

og at det er vurdert om det er høy risiko for personvernkonsekvens - videreføre arbeidet med å vurdere personvernkonsekvens (DPIA) der risikoen er høy - etablere og implementere interkontroll på personvernområdet - sørge for at opplæring blir prioritert nedover i organisasjonen

Rolvsøy, 18.11.2019

Unn Elisabeth West prosjektleder Karianne Åsheim forvaltningsrevisor

Lene Brudal oppdragsansvarlig revisor

46


6 KOMMUNEDIREKTØRENS UTTALELSE

Halden kommune er positive til tilsyn, da det gir oss føringer for å få enda bedre kvalitet på området personvern. Det er vår oppfatning at Halden kommune kom tidlig og godt i gang med arbeidet på dette området, da det ble nedsatt en arbeidsgruppe i 2017. Arbeidsgruppa ble videreført da personvernombudet ble tilsatt våren 2018, og gruppa består fortsatt. Arbeidet er godt i gang. Det er noe variasjon i hvor langt de ulike avdelingene/den enkelte medarbeider har kommet med implementeringen av lovverket. Kommunalavdeling Helse og omsorg har over lang tid hatt en god praksis innenfor området. Hva gjelder de øvrige kommunalområdene, er det noe mer variasjon i forhold til erfaring med, og praktisering av lovverket. Kommunedirektøren er kjent med denne variasjonen. Når det gjelder intervjuene som ble foretatt under revisjonsarbeidet, er kommunedirektøren kjent med at det ble foretatt betydelige rettinger under kvalitetssikringen av referatene. Kommunedirektøren legger til grunn at alle intervjuobjekter gjennomførte kvalitetssjekk og eventuelt var i dialog med revisjonen i forhold til dette. Nedenfor knyttes noen kommentarer til revisjonens anbefalinger. Kommunen bør:

sørge for å informere om hvordan de behandler personopplysningene på en

måte som gjør informasjonen forståelig for alle målgrupper, som for eksempel

for barn og unge.

I tillegg til Personvernerklæringen som ligger på intranettet og Halden Kommunes hjemmeside, skal det utarbeides en erklæring som er tilpasset barn/unge.

behandle de ulike typene kommunikasjonskanaler som ansatte benytter som

sms, chat, e-post osv, vurdere lagring og sletting av personopplysninger og

personvernkonsekvens.

Halden kommune tilstreber i størst mulig grad å kommunisere via de rette kanaler, dvs arkivsystemet og ulike fagprogram. Dette blir det lagt vekt på i opplæringen i personvernlovverket. Kommunen er kjent med at det også brukes andre ulike kommunikasjonskanaler som sms, mail, messenger (chat), i organisasjonen. Det vil bli utarbeidet retningslinjer for bruken av disse, samt utføres personvernkonsekvensvurdering (DPIA). Nytt arkivsystem, «Elements», er planlagt og tas i bruk i løpet av våren 2020. Her er det mulig å overføre sms til arkivet.

ha en gjennomgang av hvilke kategorier personopplysninger som må

innhentes samtykke til på de ulike fagområdene.

Rutiner for når man kan benytte samtykke som rettsgrunnlag, vil bli lagt ut på intranettet.

etablere felles rutiner for enhet – skole, når det gjelder tilgangsavgrensning til

fysisk arkiv.

Kommunen har stort fokus på skolenes papirarkiv. Dette skal digitaliseres ved at det tas i bruk en modul for arkiv og kommunikasjon mellom skole og PPT.

sikre at personopplysninger ikke lagres lenger enn det som er nødvendig og

forsvarlig for den enkelte sak.

Halden kommune tar dette til etterretning og oppfølging.

se til at det gjøres en vurdering av om opplysninger eller deler av opplysninger

skal slettes eller pseudonymiseres ved lagring av ikke arkivverdige

personopplysninger, og vurdere om formålet for lagring av opplysningene er et

annet enn ved registreringen.

47


Det skal utarbeides rutine for sletting/pseudonymisering ved lagring av ikke arkivverdige personopplysninger. Denne legges inn i Sikkerhetspolitikken under internkontroll.

videreføre arbeidet med databehandleravtaler, slik at kommunen har avtale med

alle databehandlere.

Kommunen har kontinuerlig fokus på databehandleravtaler.

Se til at personvernombudet rapporterer til høyeste ledelsesnivå i kommunen.

Personvernombudets rolle er bl.a å gi råd og veiledning om hvilke forpliktelser virksomheten har etter personvernlovgivningen, og kontrollere overholdelse og etterlevelse av lovverket, (personvernforordningen artikkel 39). Virksomheten (kommunen) skal legge til rette for ombudets uavhengighet for å unngå interessekonflikter og sørge for at ombudet ikke mottar instrukser (personvernforordningen artikkel 38.3) Dette er også vektlagt på Datatilsynets sider. Det ble i forkant av ansettelse av personvernombud vurdert hvor i organisasjonen ombudet skulle sortere, nettopp for å ivareta dette. Beslutningen falt på Kommuneadvokaten, som også har en uavhengig rolle i kommunen.

Gjennomføre en behandling av sine webkameraer og informere kommunens

innbyggere om hensikten med og bruken av disse.

Halden kommune tar dette til etterretning og oppfølging.

videreføre arbeidet med behandlingene, slik at alle behandlinger er registrert i

protokollen og at det er vurdert om det er høy risiko for personvernkonsekvens.

Kommunen har fra våren 2019 intensivert arbeidet med å sluttføre behandlingsprotokollen, og å gjennomføre personvernkonsekvensvurdering (DPIA ) og risikovurderinger der det er behov for det.

etablere og implementere internkontroll på personvernområdet.

Halden kommune har internkontroll som vil bli utvidet i henhold til kravene i personvernlovverket. Dette ligger i Kommunedirektørens årshjul.

sørge for at opplæring blir prioritert nedover i organisasjonen

Det jobbes parallelt med mange temaer innenfor personvern. Et stort hovedfokus fremover vil være å sørge for at alle ansatte får opplæring. Dette skal hver enkelt ansatt få gjennom elektronisk opplæringsprogram i KS-læring. I tillegg vil personvernombudet være en rådgiver og tilby kurs fortløpende.

48


7 VEDLEGG

1. Utledning av revisjonskriterier

2. Litteratur- og dokumentliste

3. Definisjoner og begreper

4. Spørsmål i Questback

49


Vedlegg 1 - Utledning av revisjonskriterier

Regelverk og veiledninger, som ligger til grunn for utledning av revisjonskriteriene er Lov og forskrift

Lov om behandling av personopplysninger (personopplysningsloven - popplyl), LOV-2018-06-15-38

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]’

Forskrift om kameraovervåking i virksomhet, FOR-2018-07-02-1107

Prop. 56 LS (2017-2018)

Veiledninger og føringer

https://www.datatilsynet.no/ - veiledninger på personvernregelverket

Personvern, taushetsplikt og meldeplikt – Regelverk for skolen, Pedlex, ISBN: 978-82-8372-140-9

Personvern i skole og barnehage, samlerapport juni 2014 – Datatilsynet

Veiledning om kontroll og overvåking i arbeidslivet – Arbeidstilsynet – Datatilsynet – Petroliumstilsynet og Partene i arbeidslivet

Ved utøvelse av offentlig myndighet

Offentlige myndigheters behandling av personopplysninger er i personvernforordningens fortale

punkt 43 tatt frem som eksempel på et tilfelle der det kan være en skjevhet mellom den

behandlingsansvarlige og den registrerte. Det kan føre til at det er usannsynlig at samtykket er avgitt

frivillig blant annet med tanke på den registrertes behov for tjenester fra kommunen. For å kunne

bruke samtykke som behandlingsgrunnlag må en gjøre en vurdering av om samtykket kan være

frivillig for å kunne motta tjenestene eller for saksbehandlingen. Dersom samtykke ikke kan anses å

være frivillig, er det ikke adgang til å bruke samtykke som behandlingsgrunnlag. I vurderingen må det

tas hensyn til skjevheten mellom den behandlingsansvarlige og den registrerte, og eventuelle

negative konsekvenser ved ikke å samtykke.

I personvernforordningens fortale punkt 42 står det samtykke ikke er å anse som frivillig dersom det

ikke er reell valgfrihet, heller ikke dersom det å nekte samtykke er til skade for den registrerte.

Kommunen må derfor i det enkelte tilfelle vurdere om det er aktuelt å benytte samtykke som

behandlingsgrunnlag ved utøvelse av offentlig myndighet.

Behandling av personopplysninger GDPR

Artikkel 5.Prinsipper for behandling av personopplysninger

«1. Personopplysninger skal

a) behandles på en lovlig, rettferdig og åpen måte med hensyn til den registrerte («lovlighet, rettferdighet

og åpenhet»),

b) samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte

som er uforenlig med disse formålene; viderebehandling for arkivformål i allmennhetens interesse, for

formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal, i samsvar med

artikkel 89 nr. 1, ikke anses som uforenlig med de opprinnelige formålene («formålsbegrensning»),

50

https://www.datatilsynet.no/


c) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for

(«dataminimering»),

d) være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at

personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes

eller rettes («riktighet»),

e) lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig

for formålene som personopplysningene behandles for; personopplysninger kan lagres i lengre perioder

dersom de utelukkende vil bli behandlet for arkivformål i allmennhetens interesse, for formål knyttet til

vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1,

forutsatt at det gjennomføres egnede tekniske og organisatoriske tiltak som kreves i henhold til denne

forordning for å sikre de registrertes rettigheter og friheter («lagringsbegrensning»),

f) behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot

uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede

tekniske eller organisatoriske tiltak («integritet og konfidensialitet»).

2. Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»).»

Veiledning fra Datatilsynet:

Datatilsynet sier i sin veiledning at selv om fødselsnummer ikke er å regne som sensitive personopplysninger,

skal det sikres dersom det sendes per brev, e-post eller sms. Datatilsynet er i utgangspunktet ikke positive til at

personopplysninger sendes på e-post. Dette fordi e-post er en «åpen» løsning og faren for feilsendelse i tillegg

er stor. Dersom det er nødvendig å sende personopplysninger på e-post, så skal innholdet i e-post være kryptert.

Artikkel 6. Behandlingens lovlighet

«1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt:

a) den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke

formål,

b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å

gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse,

c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den

behandlingsansvarlige,

d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser,

e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig

myndighet som den behandlingsansvarlige er pålagt, …………»

…………………

Formålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, når det gjelder behandlingen

nevnt i nr. 1 bokstav e), være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig

myndighet som den behandlingsansvarlige er pålagt. Nevnte rettslige grunnlag kan inneholde særlige

bestemmelser for å tilpasse anvendelsen av reglene i denne forordning, blant annet de generelle vilkårene som

skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal

behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette,

formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og framgangsmåter for behandling,

herunder tiltak for å sikre lovlig og rettferdig behandling, slik som dem fastsatt med henblikk på andre særlige

51


behandlingssituasjoner som nevnt i kapittel IX. Unionsretten eller medlemsstatenes nasjonale rett skal oppfylle

et mål i allmennhetens interesse og stå i et rimelig forhold til det berettigede målet som søkes oppnådd.

4. Dersom behandlingen for et annet formål enn det som personopplysningene er blitt samlet inn for, ikke

bygger på den registrertes samtykke eller på unionsretten eller medlemsstatenes nasjonale rett som utgjør et

nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23

nr. 1, skal den behandlingsansvarlige for å avgjøre om behandlingen for et annet formål er forenlig med

formålet som personopplysningene opprinnelig ble samlet inn for, blant annet ta hensyn til følgende:

a) enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene

med den tiltenkte viderebehandlingen,

b) i hvilken sammenheng personopplysningene er blitt samlet inn, særlig med hensyn til forholdet mellom

de registrerte og den behandlingsansvarlige,

c) personopplysningenes art, især om særlige kategorier av personopplysninger behandles, i henhold til

artikkel 9, eller om personopplysninger om straffedommer og lovovertredelser behandles, i henhold til

artikkel 10,

d) de mulige konsekvensene av den tiltenkte viderebehandlingen for de registrerte,

e) om det foreligger nødvendige garantier, som kan omfatte kryptering eller pseudonymisering.

Artikkel 9. Behandling av særlige kategorier av personopplysninger

«1. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion,

filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og

biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller

opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.

2. Nr. 1 får ikke anvendelse dersom et av følgende vilkår er oppfylt:

a) Den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller

flere spesifikke formål, unntatt dersom det i unionsretten eller medlemsstatenes nasjonale rett er

fastsatt at den registrerte ikke kan oppheve forbudet nevnt i nr. 1.

b) Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle

sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett i den

grad dette er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett, eller en tariffavtale

i henhold til medlemsstatenes nasjonale rett som gir nødvendige garantier for den registrertes

grunnleggende rettigheter og interesser.

c) Behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser

dersom den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke.

d) …

e) Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort.

f) Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene

handler innenfor rammen av sin domsmyndighet.

g) Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller

medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være

forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og

særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

h) Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere

en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller

52


sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av

unionsretten eller medlemsstatenes nasjonale rett eller i henhold til en avtale med helsepersonell og

med forbehold for vilkårene og garantiene nevnt i nr. 3.

i) Behandlingen er nødvendig av allmenne folkehelsehensyn, f.eks. vern mot alvorlige

grenseoverskridende helsetrusler eller for å sikre høye kvalitets- og sikkerhetsstandarder for

helsetjenester og legemidler eller medisinsk utstyr, på grunnlag av unionsretten eller medlemsstatenes

nasjonale rett der det fastsettes egnede og særlige tiltak for å verne den registrertes rettigheter og

friheter, særlig taushetsplikt.

j) Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til

vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 på

grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det

mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av

personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende

rettigheter og interesser.

3. Personopplysningene nevnt i nr. 1 kan behandles for formålene nevnt i nr. 2 bokstav h) dersom opplysningene

behandles av en fagperson som har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett

eller regler fastsatt av nasjonale vedkommende organer, eller under en slik persons ansvar, eller av en annen

person som også har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler

fastsatt av nasjonale vedkommende organer.

4. Medlemsstatene kan opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til

behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger.»

a) Personopplysningsloven

b) Popplyl § 6. Behandling av særlige kategorier av personopplysninger i arbeidsforhold

«Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er

nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.»

Popplyl § 12. Bruk av fødselsnummer og andre entydige identifikasjonsmidler

«Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.»

Datatilsynet sier i sin veiledning at selv om fødselsnummer ikke er å regne som sensitive personopplysninger, skal det sikres dersom det sendes per brev, e-post eller sms. Datatilsynet er i utgangspunktet ikke positive til at personopplysninger sendes på e-post. Dette fordi e-post er en «åpen» løsning og faren for feilsendelse i tillegg er stor. Dersom det er nødvendig å sende personopplysninger på e-post, så skal innholdet i e-post være kryptert.

Popplyl § 31. Uekte kameraovervåkingsutstyr mv.

«Når kameraovervåking vil være i strid med personvernforordningen eller loven her, er det heller ikke tillatt å benytte uekte kameraovervåkingsutstyr eller ved skilting, oppslag eller lignende gi inntrykk av at kameraovervåking finner sted. Personvernforordningen kapittel VI og artikkel 83 nr. 4 samt kapittel 6, § 26 annet ledd og §§ 27 til 29 i loven her gjelder tilsvarende.

Med kameraovervåking menes vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende overvåkingskamera eller annet lignende utstyr som er fastmontert. Med uekte kameraovervåkingsutstyr menes utstyr som lett kan forveksles med en ekte kameraløsning.»

53


Vilkår for samtykke til behandling av personopplysninger GDPR

Artikkel 7.Vilkår for samtykke

«1. Dersom behandlingen bygger på samtykke, skal den behandlingsansvarlige kunne påvise at den registrerte

har samtykket til behandling av personopplysninger om vedkommende.

2. Dersom den registrertes samtykke gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold,

skal anmodningen om samtykke framlegges på en måte som gjør at den tydelig kan skilles fra nevnte andre

forhold, i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Deler av en slik erklæring som er i

strid med denne forordning, skal ikke være bindende.

3. Den registrerte skal ha rett til å trekke tilbake sitt samtykke til enhver tid. Dersom samtykket trekkes tilbake,

skal det ikke påvirke lovligheten av behandlingen som bygger på samtykket før det trekkes tilbake. Før det gis

samtykke, skal den registrerte opplyses om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke.

4. Ved vurdering av om et samtykke er gitt frivillig skal det tas størst mulig hensyn til blant annet om oppfyllelse

av en avtale, herunder om yting av en tjeneste, er gjort betinget av samtykke til behandling av

personopplysninger som ikke er nødvendig for å oppfylle nevnte avtale.»

Artikkel 8. Vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenester

«1. Dersom artikkel 6 nr. 1 bokstav a) får anvendelse i forbindelse med tilbud om

informasjonssamfunnstjenester direkte til et barn, er behandling av et barns personopplysninger lovlig dersom

barnet er minst 16 år. Dersom barnet er under 16 år, er slik behandling lovlig bare dersom og i den grad

samtykke er gitt eller godkjent av den som har foreldreansvar for barnet.

For disse formål kan medlemsstatene ved lov fastsette en lavere aldersgrense, forutsatt at den ikke er lavere

enn 13 år.

2. I slike tilfeller skal den behandlingsansvarlige treffe rimelige tiltak for å kontrollere at samtykke er gitt eller

godkjent av den som har foreldreansvar for barnet, idet det tas hensyn til tilgjengelig teknologi.

3. Nr. 1 skal ikke påvirke medlemsstatenes alminnelige avtalerett, f.eks. reglene for gyldigheten, utformingen

eller virkningen av en avtale som gjelder et barn.»

Personopplysningsloven

Popplyl §§ 5.Barns samtykke i forbindelse med informasjonssamfunnstjenester

«Aldersgrensen er 13 år for samtykke etter personvernforordningen artikkel 6 nr. 1 bokstav a i forbindelse med formål som nevnt i personvernforordningen artikkel 8 nr. 1.»

Fra Datatilsynets veileder https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/samtykkje-fra-mindrearige/

«Hovudregelen er at mindreårige som er fylt 15 år, sjølv kan samtykke til innhenting og bruk av eigne personopplysningar. For barn som ikkje er blitt 15 år, må dei føresette samtykke på vegne av barnet. Tre unnatak Det er tre aktuelle unnatak frå denne hovudregelen:

(1) Sensitive personopplysningar skal berre innhentast med samtykke frå foreldra fram til barna har fylt 18 år. Sensitive opplysningar er blant anna opplysningar om helse, om etnisk bakgrunn, livssyn, og seksuelle forhold

(2) For småkonkurransar og liknande, der enkle kontaktopplysningar berre skal brukast til eventuell premiering og deretter slettast, kan også mindre barn enn 15-åringar samtykke til deltaking sjølv. Her er det likevel ein føresetnad at opplysningane blir sletta etter premiering,

54

https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/samtykkje-fra-mindrearige/

https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/samtykkje-fra-mindrearige/


at personverntrusselen er vurdert og klassifisert som særs låg, og at konkurransen er eigna for den aktuelle aldersgruppa.

(3) Bruk av nettenester og appar slik som Facebook, Instagram og Snap, er særskilt regulert i personvernforordninga artikkel 8 (kalla informasjonssamfunnstenester i lovteksten). I Norge er aldersgrensa for å samtykke sjølv til bruk av denne typen tenester satt til 13 år. Dersom barnet er under 13 år, må dei foresatte samtykke til bruken av tenesta.

Kommunens ansvar og forpliktelser GDPR

Artikkel 24. Den behandlingsansvarliges ansvar

«1. Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene

av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den

behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at

behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal

oppdateres ved behov.

2. Dersom det står i et rimelig forhold til behandlingsaktivitetene, skal tiltakene nevnt i nr. 1 omfatte den

behandlingsansvarliges iverksetting av egnede retningslinjer for vern av personopplysninger.

3. Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller godkjente sertifiseringsmekanismer

som nevnt i artikkel 42 kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser

overholdes.»

Artikkel 25. Innebygd personvern og personvern som standardinnstilling

«1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang,

formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for

fysiske personers rettigheter og friheter som behandlingen medfører, skal den behandlingsansvarlige, både på

tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for

selve behandlingen, gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet

med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering,

og for å integrere de nødvendige garantier i behandlingen for å oppfylle kravene i denne forordning og verne de

registrertes rettigheter.

2. Den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det som

standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som

behandles. Nevnte forpliktelse får anvendelse på den mengden personopplysninger som samles inn, omfanget

av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. Nevnte tiltak skal særlig sikre

at personopplysninger som standard ikke gjøres tilgjengelige for et ubegrenset antall fysiske personer uten den

berørte personens medvirkning.

3. En godkjent sertifiseringsmekanisme i henhold til artikkel 42 kan brukes som en faktor for å påvise at kravene

fastsatt i nr. 1 og 2 i denne artikkel overholdes.»

Artikkel 28. Databehandler

«1. Dersom en behandling skal utføres på vegne av en behandlingsansvarlig, skal den behandlingsansvarlige

bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og

organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den

registrertes rettigheter.

2. Databehandleren skal ikke engasjere en annen databehandler uten at det på forhånd er innhentet særlig eller

generell skriftlig tillatelse til dette fra den behandlingsansvarlige. Dersom det er innhentet en generell skriftlig

tillatelse, skal databehandleren underrette den behandlingsansvarlige om eventuelle planer om å benytte andre

55


databehandlere eller skifte ut databehandlere, og dermed gi den behandlingsansvarlige muligheten til å

motsette seg slike endringer.

3. Behandling utført av en databehandler skal være underlagt en avtale eller et annet rettslig dokument i

henhold til unionsretten eller medlemsstatenes nasjonale rett som er bindende for databehandleren med

hensyn til den behandlingsansvarlige, og der gjenstanden for og varigheten av behandlingen, behandlingens art

og formål, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter

og plikter er fastsatt. I nevnte avtale eller nevnte andre rettslige dokument skal det særlig angis at

databehandleren

a) behandler personopplysningene bare på dokumenterte instrukser fra den behandlingsansvarlige,

herunder med hensyn til overføring av personopplysninger til en tredjestat eller en internasjonal

organisasjon, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett

som databehandleren er underlagt; i så fall skal databehandleren underrette den

behandlingsansvarlige om nevnte rettslige krav før behandlingen, men mindre denne rett av hensyn til

viktige allmenne interesser forbyr en slik underretning,

b) sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å

behandle opplysningene konfidensielt eller er underlagt en egnet lovfestet taushetsplikt,

c) treffer alle tiltak som er nødvendig i henhold til artikkel 32,

d) overholder vilkårene nevnt i nr. 2 og 4 når det gjelder å engasjere en annen databehandler,

e) idet det tas hensyn til behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske

og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på

anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III,

f) bistår den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32-36,

idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren,

g) etter den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den

behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende

kopier, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at personopplysningene

lagres,

h) gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at

forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder

inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en annen revisor på fullmakt fra

den behandlingsansvarlige.

Når det gjelder første ledd bokstav h) skal databehandleren omgående underrette den behandlingsansvarlige

dersom vedkommende mener at en instruks er i strid med denne forordning eller andre bestemmelser om vern

av personopplysninger i unionsretten eller medlemsstatenes nasjonale rett………………………………..

5. En databehandlers overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller en godkjent

sertifiseringsmekanisme som nevnt i artikkel 42 kan brukes som en faktor for å påvise at det foreligger

tilstrekkelige garantier som nevnt i nr. 1 og 4 i denne artikkel.

6. Uten at det berører en individuell avtale mellom den behandlingsansvarlige og databehandleren, kan avtalen

eller det andre rettslige dokumentet nevnt i nr. 3 og 4 i denne artikkel helt eller delvis bygge på

standardavtalevilkårene nevnt i nr. 7 og 8 i denne artikkel, herunder når de inngår i en sertifisering som er gitt

den behandlingsansvarlige eller databehandleren i henhold til artikkel 42 og 43………………….

9. Avtalen eller det andre rettslige dokumentet nevnt i nr. 3 og 4 skal være skriftlig, herunder

elektronisk………….»

56


Artikkel 29. Behandling som utføres for den behandlingsansvarlige eller databehandleren

«Databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som

har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter instruks fra den

behandlingsansvarlige, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett.»

Artikkel 30. Protokoller over behandlingsaktiviteter

«1. Hver behandlingsansvarlig og, dersom det er relevant, den behandlingsansvarliges representant skal føre en

protokoll over behandlingsaktiviteter som utføres under deres ansvar. Nevnte protokoll skal inneholde følgende

informasjon:

a) navnet på og kontaktopplysningene til den behandlingsansvarlige og, dersom det er relevant, den felles

behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet,

b) formålene med behandlingen,

c) en beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger,

d) kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere

i tredjestater eller internasjonale organisasjoner,

e) dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal

organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved

overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier,

f) dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av

opplysninger,

g) dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt

i artikkel 32 nr. 1……..

3. Protokollene nevnt i nr. 1 og 2 skal være skriftlige, herunder elektroniske.

4. Den behandlingsansvarlige eller databehandleren og, dersom det er relevant, den behandlingsansvarliges

eller databehandlerens representant skal på anmodning gjøre protokollen tilgjengelig for

tilsynsmyndigheten………..»

Risikovurdering og internkontroll (vurdering av personvernkonsekvenser) GDPR

Artikkel 35. Vurdering av personvernkonsekvenser

«1. Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til

behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske

personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke

konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet. En vurdering kan omfatte flere

lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer.

2. Den behandlingsansvarlige skal rådføre seg med personvernombudet, dersom et personvernombud er utpekt,

i forbindelse med utførelsen av en vurdering av personvernkonsekvenser.

3. En vurdering av personvernkonsekvenser som nevnt i nr. 1 skal særlig være nødvendig i følgende tilfeller:

a) en systematisk og omfattende vurdering av personlige aspekter ved fysiske personer som er basert på

automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har

57


rettsvirkning for den fysiske personen eller på lignende måte i betydelig grad påvirker den fysiske

personen,

b) behandling i stor skala av særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1, eller av

personopplysninger om straffedommer og lovovertredelser som nevnt i artikkel 10, eller

c) en systematisk overvåking i stor skala av et offentlig tilgjengelig område.

4. Tilsynsmyndigheten skal utarbeide og offentliggjøre en liste over hvilke typer behandlingsaktiviteter som

omfattes av kravet om vurdering av personvernkonsekvenser i henhold til nr. 1. Tilsynsmyndigheten skal

oversende nevnte lister til Personvernrådet nevnt i artikkel 68.

5. Tilsynsmyndigheten kan også utarbeide og offentliggjøre en liste over hvilke typer behandlingsaktiviteter det

ikke kreves at det utføres en vurdering av personvernkonsekvenser for. Tilsynsmyndigheten skal oversende

nevnte lister til Personvernrådet.

6. Før listene nevnt i nr. 4 og 5 godkjennes, skal vedkommende tilsynsmyndighet anvende

konsistensmekanismen nevnt i artikkel 63 dersom slike lister omfatter behandlingsaktiviteter som gjelder tilbud

av varer eller tjenester til registrerte eller monitorering av deres atferd i flere medlemsstater, eller som i

betydelig grad kan påvirke den frie utveksling av personopplysninger i Unionen.

7. Vurderingen skal minst inneholde

a) en systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen,

herunder, dersom det er relevant, den berettigede interessen som forfølges av den

behandlingsansvarlige,

b) en vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene,

c) en vurdering av risikoene for de registrertes rettigheter og friheter som nevnt i nr. 1, og

d) de planlagte tiltakene for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for

å sikre vern av personopplysninger og for å påvise at denne forordning overholdes, idet det tas hensyn

til de registrertes og andre berørte personers rettigheter og berettigede interesser.

8. Det skal tas behørig hensyn til de berørte behandlingsansvarliges eller databehandleres overholdelse av

godkjente atferdsnormer som nevnt i artikkel 40 ved vurderingen av konsekvensene av behandlingsaktivitetene

som utføres av nevnte behandlingsansvarlige eller databehandlere, særlig med henblikk på en vurdering av

personvernkonsekvenser.

9. Dersom det er relevant, skal den behandlingsansvarlige innhente synspunkter på den planlagte behandlingen

fra de registrerte eller deres representanter uten at det berører vernet av kommersielle eller allmenne interesser

eller sikkerheten ved behandlingsaktivitetene.

10. Dersom behandling i henhold til artikkel 6 nr. 1 bokstav c) eller e) har et rettslig grunnlag i unionsretten eller

retten i medlemsstaten som den behandlingsansvarlige er underlagt, og nevnte rett regulerer den eller de

aktuelle spesifikke behandlingsaktivitetene, og det allerede er utført en vurdering av personvernkonsekvenser

som en del av en generell konsekvensvurdering i forbindelse med vedtakelse av nevnte rettslige grunnlag, får nr.

1-7 ikke anvendelse, med mindre medlemsstatene anser det nødvendig å utføre en slik vurdering før

behandlingsaktivitetene.

11. Ved behov skal den behandlingsansvarlige foreta en gjennomgåelse for å vurdere om behandlingen utføres i

samsvar med vurderingen av personvernkonsekvenser, i det minste dersom risikoen som behandlingen

medfører, endres.»

58


Datatilsynets liste over behandlingsaktiviteter som alltid krever at det gjennomføres en DPIA (vurdering

av personvernkonsekvensene)

https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/vurdering-av-personvernkonsekvenser/nar-ma-

man-gjennomfore-en-vurdering-av-personvernkonsekvenser/

Artikkel 36. Forhåndsdrøftinger

«1. Den behandlingsansvarlige skal rådføre seg med tilsynsmyndigheten før behandlingen dersom en vurdering

av personvernkonsekvenser i henhold til artikkel 35 tilsier at behandlingen vil medføre en høy risiko dersom den

behandlingsansvarlige ikke treffer tiltak for å redusere risikoen…………….»

Artikkel 32. Sikkerhet ved behandlingen

«1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet, alt etter hva som er egnet,

a) pseudonymisering og kryptering av personopplysninger, b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene

og -tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår

en fysisk eller teknisk hendelse, d) en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og

organisatoriske sikkerhetstiltak er.

2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

3. Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som nevnt i artikkel 42 kan brukes som en faktor for å påvise at kravene i nr. 1 i denne artikkel er oppfylt.

4. Den behandlingsansvarlige og databehandleren skal treffe tiltak for å sikre at enhver fysisk person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, behandler nevnte opplysninger bare etter instruks fra den behandlingsansvarlige, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at vedkommende gjør dette.»

Artikkel 33. Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten

«1.Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når

det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet

i samsvar med artikkel 55, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers

rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til

forsinkelsen oppgis.

2. Etter å ha fått kjennskap til et brudd på personopplysningssikkerheten skal databehandleren uten ugrunnet

opphold underrette den behandlingsansvarlige.

Meldingen nevnt i nr. 1 skal minst

c) beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og

omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av

personopplysninger som er berørt,

d) inneholde navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer

informasjon kan innhentes,

59

https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/vurdering-av-personvernkonsekvenser/nar-ma-man-gjennomfore-en-vurdering-av-personvernkonsekvenser/



e) beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,

f) beskrive de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på

personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle

skadevirkninger som følge av bruddet.

4. Dersom og i den grad det ikke er mulig å gi all informasjon samtidig, kan den gis trinnvis uten ytterligere

ugrunnet opphold.

5. Den behandlingsansvarlige skal dokumentere ethvert brudd på personopplysningssikkerheten, herunder de

faktiske forhold rundt nevnte brudd, virkningene av det og hvilke tiltak som er truffet for å utbedre det. Denne

dokumentasjonen skal gjøre det mulig for tilsynsmyndigheten å kontrollere samsvar med denne artikkel.»

Artikkel 34.Underretning av den registrerte om brudd på personopplysningssikkerheten

«1.Dersom det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske

personers rettigheter og friheter, skal den behandlingsansvarlige uten ugrunnet opphold underrette den

registrerte om bruddet.

2.Underretningen til den registrerte nevnt i nr. 1 i denne artikkel skal inneholde en klar og tydelig beskrivelse av

arten av bruddet på personopplysningssikkerheten og minst informasjonen og tiltakene nevnt i artikkel 33 nr. 3

bokstav b), c) og d).

3.Underretningen til den registrerte nevnt i nr. 1 er ikke påkrevd dersom noen av følgende vilkår er oppfylt:

1) den behandlingsansvarlige har gjennomført egnede tekniske og organisatoriske sikkerhetstiltak, og disse

tiltakene er blitt anvendt på personopplysningene som er berørt av bruddet på

personopplysningssikkerheten, særlig tiltak som gjør personopplysningene uleselige for enhver person som

ikke har autorisert tilgang til dem, f.eks. kryptering,

2) den behandlingsansvarlige har truffet etterfølgende tiltak som sikrer at det ikke lenger er sannsynlig at den

høye risikoen for de registrertes rettigheter og friheter nevnt i nr. 1 vil oppstå,

3) det vil innebære en uforholdsmessig stor innsats. Dersom dette er tilfellet, skal allmennheten isteden

underrettes, eller det skal treffes et lignende tiltak som sikrer at de registrerte underrettes på en like

effektiv måte.

4. Dersom den behandlingsansvarlige ikke allerede har underrettet den registrerte om bruddet på

personopplysningssikkerheten, kan tilsynsmyndigheten, etter å ha vurdert sannsynligheten for at bruddet vil

medføre en høy risiko, kreve at den behandlingsansvarlige gjør dette, eller beslutte at ett eller flere av vilkårene

nevnt i nr. 3 er oppfylt.»

Den registrertes rettigheter GDPR

Artikkel 12. Klar og tydelig informasjon, kommunikasjon og nærmere regler om utøvelse av den

registrertes rettigheter

1. Den behandlingsansvarlige skal treffe egnede tiltak for å framlegge for den registrerte informasjonen nevnt i

artikkel 13 og 14 og all kommunikasjon i henhold til artikkel 15-22 og 34 om behandlingen på en kortfattet,

åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk, især når det gjelder informasjon som

spesifikt er rettet mot et barn. Informasjonen skal gis skriftlig eller på en annen måte, herunder elektronisk

dersom det er hensiktsmessig. På anmodning fra den registrerte kan informasjonen gis muntlig, forutsatt at den

registrertes identitet bevises på andre måter.

2. Den behandlingsansvarlige skal legge til rette for at den registrerte kan utøve sine rettigheter i henhold til

artikkel 15-22. I tilfellene nevnt i artikkel 11 nr. 2 skal den behandlingsansvarlige ikke nekte å etterkomme den

registrertes anmodning om å utøve sine rettigheter i henhold til artikkel 15-22, med mindre den

behandlingsansvarlige påviser at vedkommende ikke er i stand til å identifisere den registrerte.

60


3. Den behandlingsansvarlige skal informere den registrerte om tiltak som er truffet på grunnlag av en

anmodning i henhold til artikkel 15-22, uten ugrunnet opphold og senest én måned etter mottak av

anmodningen. Denne fristen kan ved behov forlenges med ytterligere to måneder, idet det tas hensyn til antall

anmodninger og anmodningenes kompleksitet. Den behandlingsansvarlige skal informere den registrerte om

enhver slik forlengelse senest én måned etter mottak av anmodningen sammen med en begrunnelse for

forsinkelsen. Dersom den registrerte inngir anmodningen elektronisk, skal informasjonen om mulig gis

elektronisk, med mindre den registrerte anmoder om noe annet.

4. Dersom den behandlingsansvarlige ikke treffer tiltak på anmodning fra den registrerte, skal den

behandlingsansvarlige informere den registrerte uten opphold og senest én måned etter mottak av

anmodningen om årsakene til dette og om muligheten for å inngi klage til en tilsynsmyndighet og for rettslig

prøving.

5. Informasjon som gis i henhold til artikkel 13 og 14, og enhver kommunikasjon og ethvert tiltak som treffes i

henhold til artikkel 15-22 og 34, skal være gratis. Dersom anmodninger fra en registrert er åpenbart grunnløse

eller overdrevne, særlig dersom de gjentas, kan den behandlingsansvarlige enten

a) kreve et rimelig gebyr, idet det tas hensyn til administrasjonskostnadene for å gi informasjonen eller

treffe de tiltak det anmodes om, eller

b) nekte å etterkomme anmodningen.

Den behandlingsansvarlige skal bære bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven.

6. Uten at det berører artikkel 11, kan den behandlingsansvarlige, dersom det hersker rimelig tvil om identiteten

til den fysiske personen som inngir anmodningen nevnt i artikkel 15-21, anmode om ytterligere opplysninger

som er nødvendige for å kunne bekrefte den registrertes identitet.

7. Informasjonen som skal gis de registrerte i henhold til artikkel 13 og 14, kan gis sammen med standardiserte

ikoner for å gi en lett synlig, forståelig, lettlest og meningsfull oversikt over den tiltenkte behandlingen. Dersom

ikonene presenteres elektronisk, skal de være maskinlesbare……………...»

Til punkt 5. Datatilsynet sier i sin veileder om informasjon og åpenhet «…må virksomheten kommunisere på en

kortfattet, åpen, forståelig og lett tilgjengelig måte. Språket skal være klart og enkelt, særlig når informasjonen

er spesifikt rettet mot barn.» Kommunen har utarbeidet en Prosedyre for behandling av personopplysninger

etter GDPR. I punkt 6. i denne prosedyren fremkommer det at «Kommunens personvernerklæring skal være lett

tilgjengelig og skrevet på en forståelig måte. All informasjon om hvordan kommunen behandler

personopplysninger skal være tilpasset målgruppa, for eksempel barn på ulike alderstrinn».

Artikkel 13. Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte

«1. Når personopplysninger om en registrert samles inn fra den registrerte, skal den behandlingsansvarlige på

tidspunktet for innsamlingen av personopplysningene gi den registrerte følgende informasjon:

a) identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den

behandlingsansvarliges representant,

b) kontaktopplysningene til personvernombudet, dersom dette er relevant,

c) formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for

behandlingen,

d) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges

av den behandlingsansvarlige eller en tredjepart,

61


e) eventuelle mottakere eller kategorier av mottakere av personopplysningene,…….#

2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige på tidspunktet for innsamling av

personopplysninger gi den registrerte følgende ytterligere informasjon som er nødvendig for å sikre en

rettferdig og åpen behandling:

a) det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes

for å fastsette dette tidsrommet,

b) retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av

personopplysninger eller begrensning av behandlingen som gjelder den registrerte, eller til å protestere

mot behandlingen samt retten til dataportabilitet,

c) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til

når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på

et samtykke før samtykket trekkes tilbake,

d) retten til å klage til en tilsynsmyndighet,

e) om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er

nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om

mulige konsekvenser dersom vedkommende ikke gjør det,

f) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i

det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen

og de forventede konsekvensene av en slik behandling for den registrerte.

3. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål

enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den

registrerte informasjon om nevnte andre formål og annen nødvendig informasjon som nevnt i nr. 2.

4. Nr. 1, 2 og 3 får ikke anvendelse dersom og i den grad den registrerte allerede har informasjonen.»

Artikkel 14. Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den

registrerte

1. Dersom personopplysninger ikke er blitt samlet inn fra den registrerte, skal den behandlingsansvarlige gi den

registrerte følgende informasjon:

a) identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den

behandlingsansvarliges representant,

b) kontaktopplysningene til personvernombudet, dersom dette er relevant,

c) formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for

behandlingen,

d) de berørte kategoriene av personopplysninger,

e) eventuelle mottakere eller kategorier av mottakere av personopplysningene,……

2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige gi den registrerte følgende informasjon

som er nødvendig for å sikre den registrerte en rettferdig og åpen behandling:

a) det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes

for å fastsette dette tidsrommet,

62


b) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges

av den behandlingsansvarlige eller en tredjepart,

c) retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av

personopplysninger eller begrensning av behandlingen som gjelder den registrerte, og til å protestere

mot behandlingen samt retten til dataportabilitet,

d) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til

når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på

et samtykke før samtykket trekkes tilbake,

e) retten til å klage til en tilsynsmyndighet,

f) fra hvilken kilde personopplysningene stammer fra, og, dersom det er relevant, om de stammer fra

offentlig tilgjengelige kilder,

g) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i



3. Den behandlingsansvarlige skal gi informasjonen nevnt i nr. 1 og 2

a) innen en rimelig frist etter at personopplysningene er samlet inn, men senest innen én måned, idet det

tas hensyn til de særlige forholdene som personopplysningene er behandlet under,

b) dersom personopplysningene skal brukes til å kommunisere med den registrerte, senest på tidspunktet

for den første kommunikasjonen med vedkommende, eller

c) dersom det er planlagt at personopplysningene skal utleveres til en annen mottaker, senest når

personopplysningene første gang utleveres.

4. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål

enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den

registrerte informasjon om nevnte andre formål og annen relevant informasjon som nevnt i nr. 2.

5. Nr. 1-4 får ikke anvendelse dersom og i den grad

a) den registrerte allerede har informasjonen,………..

c) innsamling eller utlevering er uttrykkelig fastsatt i unionsretten eller medlemsstatenes nasjonale rett

som den behandlingsansvarlige er underlagt, og som inneholder egnede tiltak for å verne den

registrertes berettigede interesser, eller

d) dersom personopplysningene må holdes konfidensielle som følge av taushetsplikt i henhold til

unionsretten eller medlemsstatenes nasjonale rett, herunder en lovfestet taushetsplikt.»

I veilederen som omhandler kontroll og overvåking i arbeidslivet, utarbeidet av Datatilsynet i samarbeid med Arbeidstilsynet, Petroleumstilsynet og partene i arbeidslivet,står det at det er et grunnleggende prinsipp at alle har krav på personvern og privatliv – også på jobb.

Artikkel 15. Den registrertes rett til innsyn

«1. Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om

vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:

a) formålene med behandlingen,

63


b) de berørte kategoriene av personopplysninger,

c) mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til,

særlig mottakere i tredjestater eller internasjonale organisasjoner,

d) dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette

ikke er mulig, kriteriene som brukes for å fastsette denne perioden,

e) retten til å anmode den behandlingsansvarlige om retting eller sletting av personopplysninger eller

begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere

mot nevnte behandling,

f) retten til å klage til en tilsynsmyndighet,

g) dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor

personopplysningene stammer fra,

h) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i



2. Dersom personopplysningene overføres til en tredjestat eller til en internasjonal organisasjon, skal den

registrerte ha rett til å bli underrettet om de nødvendige garantiene i henhold til artikkel 46 i forbindelse med

overføringen.

3. Den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom

den registrerte anmoder om flere kopier, kan den behandlingsansvarlige kreve et rimelig gebyr basert på

administrasjonskostnadene. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den

registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.

4. Retten til å motta en kopi nevnt i nr. 3 skal ikke ha negativ innvirkning på andres rettigheter og friheter.»

Artikkel 16. Rett til retting

«Den registrerte skal ha rett til å få uriktige personopplysninger om seg selv rettet av den

behandlingsansvarlige uten ugrunnet opphold. Idet det tas hensyn til formålene med behandlingen skal den

registrerte ha rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en

supplerende erklæring.»

Artikkel 17. Rett til sletting («rett til å bli glemt»)

«1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige

uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten

ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende:

a) personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for,

b) den registrerte trekker tilbake samtykket som ligger til grunn for behandlingen, i henhold til artikkel 6

nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), og det ikke finnes noe annet rettslig grunnlag for

behandlingen,

c) den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 1, og det ikke finnes mer

tungtveiende berettigede grunner til behandlingen, eller den registrerte protesterer mot behandlingen i

henhold til artikkel 21 nr. 2,

d) personopplysningene er blitt behandlet ulovlig,

e) personopplysningene må slettes for å oppfylle en rettslig forpliktelse i unionsretten eller

medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt,

64


f) personopplysningene er blitt samlet inn i forbindelse med tilbud om informasjonssamfunnstjenester

som nevnt i artikkel 8 nr. 1.

2. Dersom den behandlingsansvarlige har offentliggjort personopplysningene og i henhold til nr. 1 har plikt til å

slette personopplysningene, skal vedkommende, idet det tas hensyn til tilgjengelig teknologi og

gjennomføringskostnadene, treffe rimelige tiltak, herunder tekniske tiltak, for å underrette

behandlingsansvarlige som behandler personopplysningene, om at den registrerte har anmodet om at nevnte

behandlingsansvarlige skal slette alle lenker til, kopier eller reproduksjoner av nevnte personopplysninger.

3. Nr. 1 og 2 får ikke anvendelse dersom nevnte behandling er nødvendig

a) for å utøve retten til ytrings- og informasjonsfrihet,

b) for å oppfylle en rettslig forpliktelse som krever behandling i henhold til unionsretten eller

medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, eller for å utføre en

oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er

pålagt,

c) av hensyn til allmennhetens interesse på området folkehelse i samsvar med artikkel 9 nr. 2 bokstav h)

og i) og artikkel 9 nr. 3,……..

e) for å fastsette, gjøre gjeldende eller forsvare rettskrav.»

Artikkel 18. Rett til begrensning av behandling

«1. Den registrerte skal ha rett til å kreve av den behandlingsansvarlige at behandlingen begrenses dersom et

av de følgende forhold gjør seg gjeldende:

a) den registrerte bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for den

behandlingsansvarlige å kontrollere riktigheten av personopplysningene,

b) behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og isteden

anmoder om at bruken av personopplysningene begrenses,

c) den behandlingsansvarlige ikke lenger trenger personopplysningene til formålet med behandlingen,

men den registrerte har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav,

d) den registrerte har protestert mot behandling i henhold til artikkel 21 nr. 1 i påvente av kontrollen av

om hvorvidt den behandlingsansvarliges berettigede grunner går foran den registrertes.

2. Dersom behandlingen er blitt begrenset i henhold til nr. 1, skal slike personopplysninger, bortsett fra lagring,

bare behandles med den registrertes samtykke eller for å fastsette, gjøre gjeldende eller forsvare rettskrav eller

for å verne en annen fysisk eller juridisk persons rettigheter eller av hensyn til viktige allmenne interesser i

Unionen eller en medlemsstat.

3. En registrert som har oppnådd begrensning av behandlingen i henhold til nr. 1, skal underrettes av den

behandlingsansvarlige før nevnte begrensning av behandlingen oppheves.»

Artikkel 19. Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller

begrensning av behandling

«Den behandlingsansvarlige skal underrette enhver mottaker som har fått utlevert personopplysninger, om

enhver retting eller sletting av personopplysninger eller begrensning av behandlingen utført i samsvar med

artikkel 16, artikkel 17 nr. 1 og artikkel 18, med mindre dette viser seg å være umulig eller innebærer en

uforholdsmessig stor innsats. Den behandlingsansvarlige skal underrette den registrerte om nevnte mottakere

dersom den registrerte anmoder om det.»

65


Artikkel 20. Rett til dataportabilitet

«1. Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en

behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre

nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som

personopplysningene er gitt til, hindrer dette, dersom

a) behandlingen er basert på samtykke i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav

a) eller en avtale i henhold til artikkel 6 nr. 1 bokstav b), og

b) behandlingen utføres automatisk.

2. Når den registrerte utøver sin rett til dataportabilitet i henhold til nr. 1, skal vedkommende, når det er teknisk

mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen.

3. Utøvelse av rettigheten nevnt i nr. 1 i denne artikkel berører ikke artikkel 17. Nevnte rettighet får ikke

anvendelse på behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve

offentlig myndighet som den behandlingsansvarlige er pålagt.»

Artikkel 77. Rett til å klage til en tilsynsmyndighet

«1. Uten at det berører annen administrativ eller rettslig prøving, skal enhver registrert ha rett til å klage til en

tilsynsmyndighet, særlig i den medlemsstat der vedkommende har sitt vanlige bosted, har sitt

arbeidssted eller der den påståtte overtredelsen har funnet sted, dersom den registrerte anser at

behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning.»

Lov om elektronisk kommunikasjon

Ekomloven § 2-7 b.Bruk av informasjonskapsler/cookies

«Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten

at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som

behandler opplysningene, og har samtykket til dette. Første punktum er ikke til hinder for teknisk lagring av

eller adgang til opplysninger:

1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett

2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige

forespørsel.»

Personvernombud Artikkel 37. Utpeking av et personvernombud

1. Den behandlingsansvarlige og databehandleren skal utpeke et personvernombud når

a) behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som

opptrer innenfor rammen av sin domsmyndighet,……………………..

3. Dersom den behandlingsansvarlige eller databehandleren er en offentlig myndighet eller et offentlig organ,

kan det utpekes ett personvernombud for flere av nevnte myndigheter eller organer, idet det tas hensyn til

deres organisasjonsstruktur og størrelse…………………………

5. Personvernombudet skal utpekes på grunnlag av faglige kvalifikasjoner og særlig på grunnlag av

dybdekunnskap om personvernlovgivning og praksis på området samt evne til å utføre oppgavene nevnt i

artikkel 39.

66


6. Personvernombudet kan være en ansatt hos den behandlingsansvarlige eller databehandleren eller utføre

oppgavene på grunnlag av en tjenesteavtale.

7. Den behandlingsansvarlige eller databehandleren skal offentliggjøre kontaktopplysningene til

personvernombudet og meddele disse til tilsynsmyndigheten.»

Artikkel 38. Personvernombudets stilling

«1. Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet på riktig måte og i rett tid

involveres i alle spørsmål som gjelder vern av personopplysninger.

2. Den behandlingsansvarlige og databehandleren skal støtte personvernombudet i forbindelse med utførelsen

av oppgavene nevnt i artikkel 39 ved å stille til rådighet de ressurser som er nødvendig for å utføre nevnte

oppgaver, samt gi tilgang til personopplysninger og behandlingsaktiviteter og gjøre det mulig for

vedkommende å opprettholde sin dybdekunnskap.

3. Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet ikke mottar instrukser om

utførelsen av nevnte oppgaver. Vedkommende skal ikke avsettes eller straffes av den behandlingsansvarlige

eller databehandleren for å utføre sine oppgaver. Personvernombudet skal rapportere direkte til det høyeste

ledelsesnivået hos den behandlingsansvarlige eller databehandleren.

4. De registrerte kan kontakte personvernombudet angående alle spørsmål om behandling av deres

personopplysninger og om utøvelsen av de rettighetene de har i henhold til denne forordning.

5. Personvernombudet skal være bundet av taushetsplikt eller en plikt til konfidensiell behandling av

opplysninger ved utførelse av sine oppgaver i samsvar med unionsretten eller medlemsstatenes nasjonale rett.

6. Personvernombudet kan utføre andre oppgaver og ha andre plikter. Den behandlingsansvarlige eller

databehandleren skal sikre at nevnte oppgaver eller plikter ikke fører til en interessekonflikt.»

Artikkel 39. Personvernombudets oppgaver

«1. Personvernombudet skal minst ha følgende oppgaver:

a) informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører

behandlingen, om de forpliktelsene de har i henhold til denne forordning, og i henhold til andre av

Unionens eller medlemsstatenes bestemmelser om vern av personopplysninger,

b) kontrollere overholdelsen av denne forordning, av andre av Unionens eller medlemsstatenes

personvernregler og den behandlingsansvarliges eller databehandlerens personvernretningslinjer,

herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som er involvert i

behandlingsaktivitetene, og tilhørende revisjoner,

c) på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av

den i henhold til artikkel 35,

d) samarbeide med tilsynsmyndigheten,

e) fungere som kontaktpunkt for tilsynsmyndigheten ved spørsmål om behandlingen, herunder

forhåndsdrøftingene nevnt i artikkel 36, og ved behov rådføre seg med tilsynsmyndigheten om

eventuelle andre spørsmål.

2. Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoene forbundet med

behandlingsaktivitetene, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den

utføres i.»

67


Utledede revisjonskriterier Kommunen Har kommunen implementert personvernregelverket?

Med hensyn til art, omfang, formål og sammenhengen behandlingen av personopplysninger utføres i, samt

risikovurderinger skal kommunen gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at

behandling av personopplysninger utføres i samsvar med forordningen, jf. art. 24. Nevnte tiltak skal

gjennomgås på nytt og skal oppdateres ved behov. Tiltak skal iverksettes både på tidspunktet når det blir

bestemt hvilke midler som skal brukes til behandling av personopplysninger og ved selve behandlingen av

personopplysningene, jf. pvf art. 25

Som grunnlag for implementering av forordningen må kommunen ha vurdert:

1. Har kommunen vurdert hvilke personopplysninger de har behov for? (art 5, 6, 8, 12, 24, 25

Kommunen skal

ha en oversikt over de ulike kategoriene personopplysninger som er registrert til ulike formål, jf pvf

art. 6.

gjøre en vurdering av om de innsamlede opplysningen i hvert tilfelle er adekvate, relevante og

begrenset for formålet (dataminimering) jf. pvf art. 5 c)

vurdere om personopplysningene er nødvendig for å utøve lovpålagte oppgaver – utøve offentlig

myndighet jf. pvf art. 6 e)

sikre at personopplysningene er korrekte og om nødvendig oppdatere jf. pvf art. 5 d)

gjennomføre egnede tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring

av prinsippene for vern av personopplysninger, f.eks. dataminimering jf. pvf art. 25

informere den registrerte om kategoriene, formålet, lagringen, viderebehandlingen og –formidlingen

av personopplysninger, samt rettigheter, kontaktinformasjon og evt andre forhold, jf pvf art. 12-14

- ved innsamling av personopplysninger fra den registrerte

- ved innhenting av personopplysninger fra andre kilder

Informasjonen skal gis skriftlig eller på annen måte, herunder elektronisk.

2. Har kommunen vurdert hvorfor de har behov for disse opplysningene?

Kommunen skal

sikre at personopplysningene kun samles inn for spesifikke, uttrykkelig angitte og berettigede formål

og at de ikke viderebehandles utover formålet jf. pvf art. 5 b)

ha vurdert til hvilket formål og for hvilke kategorier personopplysninger det er behov for samtykke jf

pvf art 8 og 9, og popplyl § 5

ha kunnskap om personopplysninger benyttes til andre formål enn det de er samlet inn til, jf pvf art. 5

b) – og hvilke formål det er og om formålet er forenelig med det formålet som personopplysningene

opprinnelig ble samlet inn for jf. art 6 pkt 4. a)

vurdere når det er behov for behandling av særlige kategorier personopplysninger jf. art 6 og popplyl §

6.

3. Har kommunen vurdert hvor lenge de har behov for opplysningene

Kommunen skal

sikre at personopplysningene lagres slik at det ikke er mulig å identifisere de registrerte lengere enn

det som er nødvendig for formålet som personopplysningene behandles for. jf. pvf art. 5 e)

slette personopplysninger uten ugrunnet opphold dersom personopplysningene ikke lenger er

nødvendige for formålet som de ble samlet inn eller behandlet for, jf pvf art. 17 pkt 1 a)



4. Har kommunen vurdert hvordan opplysningene er lagret?

Kommunen skal

68


sikre at personopplysningene behandles på en måte som gir tilstrekkelig sikkerhet for

personopplysningene jf. art 5 f) og art 25

iverksette egnede tekniske og organisatoriske tiltak både når det blir bestemt hvilke midler som skal

brukes til behandling av personopplysninger og ved selve behandlingen av personopplysningene, jf.

pvf art. 25

5. Har kommunen vurdert hvem som skal ha tilgang til opplysningene?

Kommunen skal

sikre at personopplysningene behandles på en måte som sikrer tilstrekkelig sikkerhet for

personopplysningene, jf. pvf art. 5 f)

bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske

og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av

den registrertes rettigheter, jf. pvf art. 28

sikre at eventuelle databehandlere kun behandler personopplysninger etter instruks fra kommunen.

Avtale eller annet dokument skal angi innholdet i avtalen med databehandler. Avtalen eller

dokumentet skal være skriftlig, jf. pvf art. 28 og 29

gjøre en vurdering av hvilke ansatte som skal ha autorisert tilgang til hvilke personopplysninger.

Personopplysningene skal være kryptert for ansatte som ikke har autorisert tilgang, jf. pvf art 32.

Har kommunen opprettet et personvernombud?

Kommunen skal

ha et personvernombud, jf. pvf art. 37

offentliggjøre kontaktopplysningene til personvernombudet og melde disse til Datatilsynet, jf. pvf art. 37

på riktig måte og rett tid involvere personvernombudet i alle spørsmål som gjelder vern av

personopplysninger, jf. pvf art. 38

sikre at personvernombudet ikke mottar instruks om utførelsen av oppgavene til personvernombudet, jf.

pvf art. 38

Personvernombudet skal

ha dybdekunnskap om personvernlovgivningen og praksis på området jf. pvf art. 37 pkt. 5

rapportere direkte til høyeste ledelsesnivå i kommunen, jf. pvf art. 38

minst ha de oppgaver som fremkommer av pvf. art. 39

Har kommune gjennomført risikovurderinger knyttet til behandlingen av personopplysninger?

Kommunen skal

ha kunnskap om personopplysninger behandles på en lovlig, rettferdig og åpen måte med hensyn til den

registrerte jf. pvf art. 5 a)

gjennomføre en vurdering av personvernkonsekvensene (DPIA) i henhold til Datatilsynets liste, jf. pvf art

35 pkt 4. https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/vurdering-av-

personvernkonsekvenser/nar-ma-man-gjennomfore-en-vurdering-av-personvernkonsekvenser/

iverksette egnede tekniske og organisatoriske tiltak for å oppnå egnet sikkerhetsnivå, jf. pvf art. 32

sikre at brudd på personopplysningssikkerheten meldes i henhold til pvf art. 33 og 34

Har kommunen sikret at ansatte etterlever regelverket?

Kommunen skal

iverksette egnede retningslinjer for vern av personopplysninger, jf pvf art. 24 pkt 2

føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar.

Protokoll skal inneholde:

i. navnet på og kontaktopplysningene til den behandlingsansvarlige og personvernombudet

ii. formålene med behandlingen,

69




iii. en beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger,

iv. kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til

v. dersom det er mulig, planlagte tidsfrister for sletting av de forskjellige kategoriene av

opplysninger,

vi. evt generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel

32 nr. 1……

Protokollene skal være skriftlige, herunder elektroniske. Jf. pvf art. 30

1. Har kommunen gitt ansatte tilstrekkelig opplæring i regelverket på området? (spørreundersøkelse og

intervjuer)

(For alle virksomheter og underliggende enheter i kommunen?)

Har ansatte fått opplæring i

- behandling av personopplysninger

- vilkår for samtykke til behandling av personopplysninger?

- behandling av avviksmeldinger?

- gjennomføring av risikovurdering?

- ivaretakelse av registrertes rettigheter?

- personvernombudet, kontaktinformasjon og ombudets oppgaver og rolle i

kommunen?

Utvalgt virksomhet – skole Har skolen implementert personvernregelverket?

1) Har skolen vurdert hvilke personopplysninger de har behov for?

Skolen skal

ha oversikt over hvilke kategorier personopplysninger som er registrert til hvilke formål, jf. pvf art. 6

vurdere om personopplysningene er nødvendige for å utføre lovpålagte oppgaver – utøve offentlig

myndighet, jf. pvf art 6 e)

gjøre en vurdering av om de innsamlede opplysningen i hvert tilfelle er adekvate, relevante og

begrenset for formålet (dataminimering) jf. pvf art. 5 c)

informere den registrerte om kategoriene, formålet, lagringen, viderebehandlingen og –formidlingen

av personopplysninger, samt rettigheter, kontaktinformasjon og evt andre forhold, jf pvf art. 12-14.

o ved innsamling av personopplysninger fra den registrerte

o ved innhenting av personopplysninger fra andre kilder

Informasjonen skal gis skriftlig eller på annen måte, herunder elektronisk.

sikre at personopplysningene er korrekte og om nødvendig oppdatere jf. pvf art. 5 d)



2) Har skolen vurdert hvorfor de har behov for disse opplysningene?

Skolen skal

sikre at personopplysningene kun samles inn for spesifikke, uttrykkelig angitte og berettigede formål

og at de ikke viderebehandles utover formålet jf. pvf art. 5 b)

ha vurdert til hvilket formål og for hvilke kategorier personopplysninger det er behov for samtykke til,

jf. pvf art 8 og 9, og popplyl § 5

ha kunnskap om personopplysninger benyttes til andre formål enn det de er samlet inn til, jf. pvf art. 5

b) – og hvilke formål det er og om formålet er forenelig med det formålet som personopplysningene

opprinnelig ble samlet inn for jf. art 6 pkt 4. a)

vurdere når det er behov for behandling av særlige kategorier personopplysninger jf. art 6 og popplyl

§ 6.

70


3) Har skolen vurdert hvor lenge de har behov for opplysningene

Skolen skal

sikre at personopplysningene lagres slik at det ikke er mulig å identifisere de registrerte lengere enn

det som er nødvendig for formålet som personopplysningene behandles for. jf. pvf art. 5 e)

slette personopplysninger uten ugrunnet opphold dersom personopplysningene ikke lenger er

nødvendige for formålet som de ble samlet inn eller behandlet for, jf pvf art. 17 pkt 1 a)



6. Har skolen vurdert hvordan opplysningene er lagret?

Skolen skal

sikre at personopplysningene behandles på en måte som gir tilstrekkelig sikkerhet for

personopplysningene jf. art 5 f) og art 25

iverksette egnede tekniske og organisatoriske tiltak både når det blir bestemt hvilke midler som skal

brukes til behandling av personopplysninger og ved selve behandlingen av personopplysningene, jf.

pvf art. 25

7. Har skolen vurdert hvem som skal ha tilgang til opplysningene?

Skolen skal

sikre at personopplysningene behandles på en måte som sikrer tilstrekkelig sikkerhet for

personopplysningene jf. pvf art. 5 f)

gjøre en vurdering av hvilke ansatte som skal ha autorisert tilgang til hvilke personopplysninger.

Personopplysningene skal være kryptert for ansatte som ikke har autorisert tilgang, jf. pvf art 32.

sikre at brudd på personopplysningssikkerheten meldes i henhold til pvf art. 33 og 34

71


Vedlegg 2 - Litteratur- og dokumentliste

Følgende dokumenter ligger til grunn for faktafremstillingen: Dokumenter oversendt fra Halden kommune 04.09.2019:

Organisasjonsplan/-kart Halden kommune

Oversikt over ansatte i avdeling Kommunikasjon og service med oppgaver

Oversikt over rutiner og arkiveringsstruktur i Ephorte

Bevarings- og kassasjonsplan for Halden kommune

Oversikt over ansatte i avdeling post/arkiv med oppgaver

Oversikt over arbeidsgruppe GDPR

Økonomiplan 2018-2021

Databehandleravtaler i Halden kommune – 26 avtaler

Oversikt over opplæring i GDPR – enhetsledere og avdelingsledere per 3.09.2019

Oversikt over personvernombudets oppgaver

Prosedyre for håndtering av alvorlige sikkerhetsbrudd - GDPR

Brev med dokumentasjon fra Ljåby skole a. oversikt over ansatte med lederfunksjoner b. Oversikt over merkantilt ansatte c. Oversikt over digital plattformer som skolen bruker d. Informasjon om/beskrivelse av rutiner

i. Personopplysninger ii. Fotografering

iii. Utlevering og/eller digital utsending av elevlister og elevopplysninger iv. Arkivering og lagring av personopplysninger

GDPR – Behandlinger - ansettelser

GDPR behandling – Kameraovervåking – Wiels plass

Oversikt over kommunens kameraovervåking og behandling

Sikkerhetspolitikk for behandling av personopplysninger a. Årshjul – personal og organisasjon 2018

Prosedyre for svar på forespørsel om innsyn i egne personopplysninger (GDPR)

Prosedyre for behandling av personopplysninger etter GDPR

Skjema for vurdering av personvernkonsekvens (DPIA) – Halden kommune

Etiske retningslinjer for Halden kommune – veileder til etikkplakaten

Etikkplakaten

Sikkerhetspolitikk for bruk av IT i Halden kommune

Oversikt over etterspurt dokumentasjon og oversendt dokumentasjon (vedlegg) med kommentarer

Bruker- og taushetserklæring i Halden kommune, mottatt 04.10.2019

Rutine – Låby skole Dokumenter som skal inn i Ephorte, mottatt 08.10.2019

Rutinehefte skolestart, august 2019 – Låby skole, mottatt 08.10.2019 Dokumenter fra kommunens hjemmeside:

Personvernerklæring Halden kommune

Innsynsbegjæring

«Personvern og cookies» fra hjemmesiden til Låby skole

Personvernerklæring knyttet til digitale søknader, skrevet ut 30.09.2019

Rettet personvernerklæring knyttet til digitale søknader, skrevet ut 04.10.2019 Systemgjennomsyn:

Risk Manager

72


o Meldinger om brudd på personvernregelverket per 08.10.2019 o Protokoll over behandlingsaktiviteter i Halden kommune per 08.10.2019

73


Vedlegg 3 – Definisjoner og begreper

1. «personopplysninger» enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»);

2. «behandling» enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring,

3. «begrensning av behandling» merking av lagrede personopplysninger med det som mål å begrense behandlingen av disse i framtiden,

4. «pseudonymisering» behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person,

5. «register» enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag,

6. «behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett,

7. «databehandler» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige,

8. «mottaker» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om en tredjepart eller ikke. Offentlige myndigheter som kan motta personopplysninger innenfor rammen av en særskilt undersøkelse i samsvar med unionsretten eller medlemsstatenes nasjonale rett, skal imidlertid ikke anses som mottakere; nevnte offentlige myndigheters behandling av slike opplysninger skal være i samsvar med gjeldende regler om vern av personopplysninger i henhold til formålet med behandlingen,

9. «tredjepart» enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger,

10. «samtykke» fra den registrerte enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende,

11. «brudd på personopplysningssikkerheten» et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet,

12. «genetiske opplysninger» personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som gir unik informasjon om den aktuelle fysiske personens fysiologi eller helse, og som særlig er framkommet etter analysering av en biologisk prøve fra den aktuelle fysiske personen,

13. «biometriske opplysninger» personopplysninger som stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person, f.eks. ansiktsbilder eller fingeravtrykksopplysninger,

74


14. «helseopplysninger» personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand,

15. «hovedvirksomhet»: a) når det gjelder en behandlingsansvarlig med virksomheter i mer enn én medlemsstat,

stedet for dennes hovedadministrasjon i Unionen, med mindre avgjørelser om formål og midler i forbindelse med behandlingen av personopplysninger treffes i en annen av den behandlingsansvarliges virksomheter i Unionen, og sistnevnte virksomhet har myndighet til å få gjennomført nevnte avgjørelser, i dette tilfellet skal virksomheten som har truffet slike avgjørelser, anses for å være hovedvirksomheten,

b) når det gjelder en databehandler med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen eller, dersom databehandleren ikke har noen hovedadministrasjon i Unionen, databehandlerens virksomhet i Unionen der hoveddelen av behandlingsaktivitetene i forbindelse med aktivitetene ved en databehandlers virksomhet finner sted, i den grad databehandleren er underlagt særlige forpliktelser i henhold til denne forordning,

16. «representant» en fysisk eller juridisk person som er etablert i Unionen, som den behandlingsansvarlige eller databehandleren har utpekt skriftlig i henhold til artikkel 27, og som representerer den behandlingsansvarlige eller databehandleren med hensyn til de forpliktelser de har i henhold til denne forordning,

17. «foretak» en fysisk eller juridisk person som utøver økonomisk virksomhet, uavhengig av foretakets rettslige form, herunder partnerskap eller sammenslutninger som regelmessig utøver økonomisk virksomhet,

18. «konsern» et foretak som utøver kontroll, og dets kontrollerte foretak, 19. «tilsynsmyndighet» en uavhengig offentlig myndighet som er opprettet av en

medlemsstat i henhold til artikkel 51, 20. «relevant og begrunnet innsigelse» en innsigelse mot et utkast til avgjørelse om

hvorvidt det foreligger en overtredelse av denne forordning eller om hvorvidt et planlagt tiltak som gjelder den behandlingsansvarlige eller databehandleren, er i samsvar med denne forordning, og som tydelig viser betydningen av risikoene som utkastet til avgjørelse utgjør med hensyn til de registrertes grunnleggende rettigheter og friheter og, dersom det er relevant, den frie flyten av personopplysninger i Unionen,

21. «informasjonssamfunnstjeneste» en tjeneste som definert i artikkel 1 nr. 1 bokstav b) i europaparlaments- og rådsdirektiv (EU) 2015/1535,

75


Vedlegg 4 - Spørsmål i Questback

Personvern - Halden

1) * I hvilken enhet i Halden kommune er du ansatt?

Rådmannens stab

Rådmannens støttefunksjoner

Teknisk

Undervisning, oppvekst og kultur

Helse og omsorg

NAV

2) * Hvilken funksjon har du?

Kommunalsjef

Enhetsleder

Rektor, styrer

Lærere/pedagoger, avdelingsleder skole e.l

Actions vil skje for følgende alternativer:

Nei (undersøkelsen avsluttes) : Vis avslutningsmeldingen 3) * Behandler dere personopplysninger i din enhet?

Ja

Nei (undersøkelsen avsluttes)

Vet ikke

4) * Har dere vurdert hvilke personopplysninger dere har behov for i din enhet ?

Ja

Nei

5) * Har dere vurdert om dere har rettslig grunnlag til å behandle personopplysningene?

Ja

76


Nei

Vet ikke

Følgende betingelser må være oppfylt for at spørsmålet skal vises for respondenten:

o Dersom spørsmålet Har dere vurdert om dere har rettslig grunnlag til å behandle

personopplysningene? inneholder noen av disse alternativene

Ja

6) * Hva tenker du er det rettslige grunnlaget for databehandling i din enhet?


o Dersom spørsmålet Hvilken funksjon har du? inneholder noen av disse alternativene

Rektor, styrer

Enhetsleder

Kommunalsjef

7) * Informerer dere brukerne i din enhet om at personopplysninger blir lagret?

Ja

Nei

Vet ikke




8) * Informerer dere foreldre og elever om hvordan dere lagrer og bruker personopplysninger?

Ja - elevene

Ja - foreldrene

Nei

Vet ikke


77


o Dersom spørsmålet Informerer dere brukerne i din enhet om at personopplysninger

blir lagret? inneholder noen av disse alternativene

Ja

o eller

o Dersom spørsmålet Informerer dere foreldre og elever om hvordan dere lagrer og

bruker personopplysninger? inneholder noen av disse alternativene

Ja - foreldrene

Ja - elevene

9) * Hva informerer dere om?

Hvilke personopplysninger

Hva som blir lagret

Hva formålet er

Personers rettigheter om personvernlovgivningen

Annet




Rektor, styrer

10) * Kontrollerer/loggfører skolen elevenes internettbruk?

Ja

Nei

Vet ikke


o Dersom spørsmålet Kontrollerer/loggfører skolen elevenes internettbruk? inneholder

noen av disse alternativene

Ja

11) * Hvem har tilgang til å se loggføringen?


o Dersom spørsmålet Kontrollerer/loggfører skolen elevenes internettbruk? inneholder

noen av disse alternativene

Ja

78


12) * Opplyser dere elevene og foreldrene om at dere loggfører internettbruken?

Ja - foreldrene

Ja - elevene

Nei

Vet ikke

13) * Samler dere inn personopplysninger som er "kjekt å vite", men som ikke er direkte relevant for formålet?

Ja

Nei

Vet ikke

14) * Har dere en oversikt over hvilke type formål dere henter personopplysninger til?

Ja

Nei

Vet ikke



Rektor, styrer

Enhetsleder

Kommunalsjef

o eller

o Dersom spørsmålet Har dere en oversikt over hvilke type formål dere henter

personopplysninger til? inneholder noen av disse alternativene

Ja

15) * Har dere vurdert hvem som skal ha tilgang til personopplysninger?

Ja

Nei

Vet ikke


o Dersom spørsmålet Har dere vurdert hvem som skal ha tilgang til

personopplysninger? inneholder noen av disse alternativene

Ja

79


16) * Hvilke vurderinger har dere gjort?




Rektor, styrer

17) * Har lærerne/ansatte tilgang til alle elevmappene/opplysninger om det enkelte barn?

Ja

Kun de elevene/barna jeg har fagansvar for

Vet ikke




Rektor, styrer

18) * Bruker skolen/barnehagen digitale kartleggingssystem til skolemiljø/barnehagemljø?

Ja

Nei

Vet ikke


o Dersom spørsmålet Bruker skolen/barnehagen digitale kartleggingssystem til

skolemiljø/barnehagemljø? inneholder noen av disse alternativene

Ja

19) * Hvordan lagres, arkiveres og slettes data her?


o Dersom spørsmålet Bruker skolen/barnehagen digitale kartleggingssystem til

skolemiljø/barnehagemljø? inneholder noen av disse alternativene

Ja

80


20) * På hvilket grunnlag gjør dere vurderinger av hvem som skal ha tilgang til de ulike personopplysningene i skolemiljøsaker?

21) * Vet dere om personopplysningene ikke benyttes til andre formål enn de er samlet inn for?

Ja

Nei

22) * Kjenner dere til hvilke personopplysninger dere må ha samtykke for å innhente?

Ja

Nei

23) * Har dere oppgaver som medfører behov for særskilte kategorier personopplysninger (f.eks. informasjon om etnisk opprinnelse, helseinformasjon politisk oppfatning etc.)

Ja

Nei

Vet ikke


o Dersom spørsmålet Har dere oppgaver som medfører behov for særskilte kategorier

personopplysninger (f.eks. informasjon om etnisk opprinnelse, helseinformasjon

politisk oppfatning etc.) inneholder noen av disse alternativene

Ja

24) * Hvordan er de særskilte kategoriene personopplysningene sikret?

25) * Informerer dere om retten til innsyn, retting og sletting av personopplysninger?

Ja

Nei

Vet ikke

26) * Har noen bedt om innsyn, retting eller sletting av sine personopplysninger i din enhet siste år?

81


Ja

Nei

Vet ikke


o Dersom spørsmålet Har noen bedt om innsyn, retting eller sletting av sine

personopplysninger i din enhet siste år? inneholder noen av disse alternativene

Ja

27) Hvordan har dere behandlet disse kravene?

28) * Hvilke kanaler brukes på ditt fagområde til å kommunisere med brukere og evt. pårørende?

E-post

SMS

Chat

Kommunens hjemmeside eller andre plattformer

Sikker melding

Andre systemer

29) * Hvordan sørger dere for lagring og sletting av personopplysninger fra disse kanalene?

30) * Har dere vurdert hvor lenge dere har behov for personopplysningene dere har hentet inn?

Ja

Nei

Vet ikke

31) * Finnes det kameraovervåking i din enhet?

Ja

Nei

Vet ikke


82



Rektor, styrer

Enhetsleder

Kommunalsjef

32) * Har dere rutiner for å føre protokoll over behandlingsaktivitetene på ditt fagområde?

Ja

Nei

Vet ikke



Rektor, styrer

Enhetsleder

Kommunalsjef

33) * Har dere utarbeidet en oversikt over databehandlere på ditt fagområde?

Ja

Nei

Vet ikke


o Dersom spørsmålet Har dere utarbeidet en oversikt over databehandlere på ditt

fagområde? inneholder noen av disse alternativene

Ja

34) * Har dere skriftlige avtaler med alle databehandlerne?

Ja

Nei

Vet ikke


o Dersom spørsmålet Har dere utarbeidet en oversikt over databehandlere på ditt

fagområde? inneholder noen av disse alternativene

Ja

83


35) * Hvem har oversikt over alle databehandlerne på ditt fagområde?

36) * Vet du hvem som er personvernombud i Halden kommune?

Ja

Nei

37) * Kjenner du til personvernombudets oppgaver?

Ja

Nei

38) * Kjenner du til om personvernombudet har blitt involvert i saker på ditt fagområde?

Ja

Nei

Vet ikke

39) * Kjenner du til områder der personvernombudet burde vært involvert?

Ja

Nei


o Dersom spørsmålet Kjenner du til områder der personvernombudet burde vært

involvert? inneholder noen av disse alternativene

Ja

40) * I såfall hvilke?



Rektor, styrer

Enhetsleder

Kommunalsjef

41) * Er det gjennomført en risikovurdering for konsekvensen ved behandling av personopplysningene på ditt fagområde?

Ja

84


Nei

Vet ikke

42) * Vet du hvordan du går fram for å melde brudd på personvernlovgivningen?

Ja

Nei

43) * Har du opplevd brudd på personvernlovgivningen det siste året?

Ja

Nei


o Dersom spørsmålet Har du opplevd brudd på personvernlovgivningen det siste

året? inneholder noen av disse alternativene

Ja

44) * Hvordan gikk du fram da?

45) * Har du fått opplæring i personvernregelverket i Halden kommune?

Ja

Nei

Vet ikke

46) * Er det områder i personvernlovgivningen du opplever særlig utfordrende å ivareta?

85


Vedlegg 5 - Prosjektplan

86

PERSONVERN Halden kommune

Prosjektplan

Rolvsøy 3. juni 2019

87


1. BAKGRUNN FOR PROSJEKTET I kommuneloven kapittel 12, § 78 nr. 2 og forskrift om revisjon kapittel 3, fremkommer det at det skal gjennomføres forvaltningsrevisjon av kommunal virksomhet. Dette innebærer kontroll med at forvaltningen foregår i samsvar med gjeldende regelverk og vedtak.

Vi viser til vedtak i kommunestyret 15. februar 2018 - sak PS 2018/14, hvor forvaltningsrevisjonplan for 2018-2019 for Halden kommune ble fastsatt. I vedtatt plan fremkommer det: «Flere av kommunens virksomheter forvalter en stor mengde personopplysninger, både opplysninger om kommunens innbyggere, men også opplysninger om ansatte. Kommunen plikter å behandle slike opplysninger i tråd med personopplysningsloven. Personopplysningsloven krever at opplysningene skal beskyttes tilfredsstillende mot uberettiget innsyn og endringer – konfidensialitet og integritet. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene når de har behov for det. Loven stiller krav til etablering og oppfølging av tiltak som er nødvendig for å oppfylle kravene til behandling av personopplysninger – i et internkontrollsystem. I april 2016 vedtok EU en ny forordning om behandling av personopplysninger. Forordningen erstatter og opphever EUs gjeldende personverndirektiv 95/46. Forordningen er EØS-relevant, og det legges opp til at den skal innlemmes i EØS-avtalen og gjennomføres i norsk rett. Regjeringen har lagt opp til at det gis en ny personopplysningslov som gjennomfører forordningen, og at den någjeldende personopplysningsloven og -forskrift Forvaltningsrevisjonsplan 2018-2019 - 9 - oppheves. Loven skal etter planen tre i kraft 25. mai 2018 (samme dag som forordningen gjøres gjeldende i EU). Forordningen innebærer nye og strengere regler på flere områder, og nye rettigheter for innbyggerne. Blant annet kommer det nye regler om avvikshåndtering som pålegger kommunene en økt rapportering av avvik til Datatilsynet og varsling av berørte. Regelverket endrer også reglene knyttet til gebyr og åpner for at det kan ilegges bøter på opptil 20 millioner Euro alt. 4 % av omsetning. Brudd på personvern er egnet til å skape mistillit, både hos ansatte og kommunens innbyggere, noe som igjen kan påvirke kommunens omdømme. For å redusere potensielle sikkerhetsrisikoer er det, etter revisjonens oppfatning, avgjørende at ansatte får hensiktsmessig opplæring om krav til internkontroll og informasjonssikkerhet, ansvar og rutiner, samt riktig bruk av IKTsystemene. I en fase med nye regler er dette ekstra viktig for å sikre at kommunen etterlever de nye reglene. Revisjonen har ikke opplysninger som tilsier at det foreligger brudd på regelverket i Halden kommune, men erfaringsmessig mener vi at risikoen for brudd er stor. Datatilsynet har i perioden 2013 til 2016 gjennomført nærmere 45 kontroller hos norske kommuner og fylkeskommuner. Datatilsynet fant at kommunene i stor grad sliter med å ha tilstrekkelig oversikt over sine behandlinger av personopplysninger og med å dokumentere reelle risikovurderinger til disse. Datatilsynet fant også at en god del kommuner mangler oversikt over plikter knyttet til informasjon og innsyn etter personopplysningsloven. Noe overaskende ble det funnet mindre forskjeller på store og små kommuner enn man skulle forvente og datatilsynet fant heller ingen tydelige geografiske forskjeller. Flere av kommunene hadde så graverende avvik at de ble ilagt overtredelsesgebyr. F.eks. Innebygget personvern, nye krav til informasjon, krav til risikovurderinger og personvernkonsekvenser F.eks. Retten til å bli glemt, retten til å kreve begrensning, rett til dataportabilitet, mv. Det faktum at det er nye regler på området innebærer, etter revisjonens oppfatning, dessuten en økt grad av sannsynlighet for brudd på regelverket. Ettersom gebyrene som kan ilegges for brudd på regelverket i henhold til ny forordning har økt drastisk vil dette også innebære en økt økonomisk konsekvens.»

2. PREMISSER FOR PROSJEKTARBEIDET

Kontrollutvalgets forvaltningsrevisjonsplan og kommunestyrets vedtak legges til grunn for revisjonens videre arbeide med prosjektet.

Forvaltningsrevisjonen er underlagt de eksisterende bestemmelser om gjennomføring av forvaltningsrevisjon (jf RSK 001 Standard for forvaltningsrevisjon).

88


Revisjonen får delegert myndighet til å foreta mindre endringer i problemstillinger og avgrensninger hvis det oppstår uforutsette forhold som har betydning for prosjektet. Større endringer tas med sekretariatet som avklarer disse med kontrollutvalget.

Rapporten blir sendt til kontrollutvalget etter vanlige rutiner.

3. PROBLEMSTILLINGER OG AVGRENSNINGER Revisjonen vil vurdere:

Har kommunen implementer personvernregelverket?

Herunder, om kommunen har vurdert hvilke personopplysninger de har behov for, hvorfor de har behov for disse, hvor lenge de har behov for opplysningene, hvordan opplysningene er lageret og hvem som skal ha tilgang til opplysningene?

Har kommunen opprettet personvernombud?

Har kommunen gjennomført risikovurderinger i tilknytning til behandling av personopplysninger?

Har kommunen sikret at ansatte etterlever regelverket?

Har kommunen gitt de ansatte tilstrekkelig opplæring i regelverket på området? Den nye Personopplysningsloven som trådte i kraft 20. juli 2018 innebærer blant annet at EUs personvernforordning ((EU) 2016/679) gjelder som norsk lov. Forordningen innebærer nye og strengere regler på flere områder, og nye rettigheter for innbyggerne. Revisjonen vil undersøke hvordan kommunen har tilpasset seg de nye reglene. Som tidligere er det et krav om at all behandling av personopplysninger har et behandlingsgrunnlag og et uttrykkelig formål. I den nye personvernforordningens artikkel 30 er det imidlertid nå et krav om at alle virksomheter som behandler personopplysninger, skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Som et ledd i dette legges det derfor opp til at revisjonen vil undersøke om og i hvilken grad kommunen har gjennomført en gjennomgang av hvilke personopplysninger som innhentes. Videre legger revisjonen opp til at det skal ses på om kommunen har gjennomført risikovurderinger i tilknytning til sin behandling av personopplysninger. Dette er viktig å for å synliggjøre hvilke tiltak kommunen må foreta seg for å etterleve personvernregelverket. Et viktig ledd i å sikre at kommunen etterlever personvernregelverket er at de ansatte har tilstrekkelig kunnskap om regelverket. Revisjonen legger derfor opp til å undersøke om kommunen har gitt tilstrekkelig opplæring til de ansatte. Revisjonen legger også opp til å foreta en undersøkelse av ansattes kunnskaper om håndtering av personopplysninger gjennom en spørreundersøkelse.

4. REVISJONSKRITERIER Revisjonskriteriene i denne revisjonen blir utarbeidet på grunnlag av regelverket på området. Revisjonskriteriene er grunnlaget for å kunne dokumentere avvik/svakheter. Kriteriene holdt sammen med faktainformasjon er utgangspunktet for de analyser og vurderinger som gjøres, og de konklusjoner som trekkes. I dette prosjektet er følgende kilder benyttet for å utlede revisjonskriterier:

Lov om behandling av personopplysninger (personopplysningsloven)

EUs forordning om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger ((EU) 2016/679))

Prop. 56 LS - Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen

Datatilsynets veiledere

89


5. METODISK TILNÆRMING OG GJENNOMFØRING Datainnsamling og overordnet plan for gjennomføring av revisjonen fremgår av skjemaet nedenfor:

Problemstillinger

Revisjonskriterier Databehov Innhentings-/analyse metode

Problemstilling 1

Har kommunen implementer personvernregelverket?

Personopplysningsloven EUs personvernforordning (GDPR)

Informasjon om hvordan kommunen har implementert aktuelle reglement, rutiner og retningslinjer. Informasjon om kommunens protokoll over behandlingsaktiviteter

Intervju Dokumentanalyse og evt spørresundersøkelse

Problemstilling 2

Har kommunen sikret at de ansatte etterlever personvernreglene?

Informasjon om kommunens rutiner for opplæring og oppfølging

Intervju Dokumentanalyse Spørreundersøkelse

6. PROSJEKTORGANISERING, RESSURSBEHOV OG FREMDRIFTSPLAN Prosjektdeltakere Unn Elisabeth West - prosjektleder

Lene Brudal - oppdragsansvarlig revisor

Prosjektperiode Sommer/Høst 2019

Antall timer 300 +/- 10 % timer

Vedtaksorgan: Kontrollutvalget i Halden kommune

Fremdrift

Når prosjektplan er godkjent i KU 18.06.2019

Når rapporten blir sendt til rådmann høst 2019

Når rapport er sendt til ØKUS Høst/vinter 2019

90



Forvaltningsrevisjonsplan 2020-2021

Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Kontrollutvalget innstiller til kommunestyret følgende:

1. Det skal i perioden 2020-2021 gjennomføres forvaltningsrevisjon i henhold til

kontrollutvalgets forslag til «Forvaltningsrevisjonsplan 2020-2021» (jf. pkt. 2.2 i planen).

2. Rammetimetallet til forvaltningsrevisjon settes til 700 timer per år (I henhold til kommunens avtale med revisjonen).

3. Kontrollutvalget gis fullmakt til å foreta nærmere planlegging av forvaltningsrevisjonen, herunder vedta de enkelte undersøkelser/prosjektplaner og inngå avtaler om gjennomføring med revisjonen.

4. Kontrollutvalget skal fortløpende sende forvaltningsrevisjonsrapporter til kommunestyret. Kontrollutvalget skal også sende oppfølgingsrapporter til kommunestyret ett år etter 1.gangs behandling i kommunestyret.

5. Kommunestyret delegerer til kontrollutvalget å vurdere eventuelle behov for endringer i planen i planperioden.


Vedlegg 1. Risiko- og vesentlighetsvurdering for Halden kommune, 18.november 2019 2. Utkast til Plan for forvaltningsrevisjon 2020-2021

Andre saksdokumenter (ikke vedlagt) KU-sak 19/35, Workshop den 3.09 2019

91

Saksopplysninger Forvaltningsrevisjon innebærer å gjennomføre systematiske vurderinger av økonomi, produktivitet, regeletterlevelse, måloppnåelse og virkninger ut fra kommunestyrets vedtak. I henhold til Kommunelovens §23-3 skal kontrollutvalget minst én gang i valgperioden, og senest innen utgangen av året etter at kommunestyret er konstituert, utarbeide en plan som viser på hvilke områder det skal gjennomføres forvaltningsrevisjoner. Planen skal baseres på en risiko- og vesentlighetsvurdering av kommunens virksomhet og virksomheten i kommunens selskaper. Hensikten med risiko- og vesentlighetsvurderingen er å finne ut hvor det er størst behov for forvaltningsrevisjon. Planen skal vedtas av kommunestyret selv. Kommunestyret kan delegere til kontrollutvalget å gjøre endringer i planen. Østfold kommunerevisjon IKS har utarbeidet en risiko- og vesentlighetsvurdering. Revisjonen skriver på side 4 og 5 i analysen at kartlegging av risiko har blitt gjort gjennom bruk av flere kilder. Herunder gjennomgang av sentrale dokumenter, som budsjett, kommunens årsrapport og andre nye kommuneplaner. Revisjonen har også hatt en gjennomgang av KOSTRA-nøkkeltall, samt løpende dialog med den kommunale forvaltningen, dialog med kommuneansvarlig regnskapsrevisor, gjennomgang av mediesaker og spørreundersøkelse sendt til politikere og administrasjonen i kommunen. Det ble i kontrollutvalgsmøte den 3.09 2019 gjennomført en workshop i kontrollutvalget, hvor kontrollutvalget spilte inn områder til vurdering til den nye forvaltningsrevisjonsplanen. De områder som fremkom i dette møtet var:

Barn i fattigdom, sikkerhet og beredskap, ekstremvær, tildeling av helse og omsorgtjenester, skole – oppvekst (tidlig innsats), hvordan fremtidstrender vil påvirke kommunens rammebetingelser.

Vedlegg 1 «Risiko og vesentlighetsvurdering» beskriver forvaltningsrevisjonstema som kan være aktuelle, sett fra revisjonens side. I analysen benytter revisjonen tre nivåer for sannsynlighet og konsekvens: lav (grønn), middels (gul) og høy (rød). Her er det de røde områdene som revisjonen finner mest vesentlig. Østfold kommunerevisjon har i sin risiko- og vesentlighetsvurdering valgt å fokusere på følgende tre hovedperspektiver:

Skole Barnevern (Det ble gjennomført FR-prosjekt på området i 2017- sekretariatets anm.) Barnefattigdom

Rådmannen har gitt sin uttalelse til revisjonens risiko- og vesentlighetsvurdering. Dette fremgår i sin helhet på side 19 og 20 i vedlegg 1. Det fremgår av vedlegg 2 «Utkast til plan for forvaltningsrevisjon», punkt 1.4 en oversikt over gjennomførte forvaltningsrevisjonsprosjekter i Halden kommune fra 2013 per dags dato. Kontrollutvalget skal utarbeide forslag til forvaltningsrevisjonsprosjekt for 2020-2021 for til sammen brutto 1400 timer1.

1 Gjennomsnittlig (hele landet) brukes det ca. 280 timer på et forvaltningsrevisjonsprosjekt. (Jf. Rapport ”85 tilrådingar for styrkt eigenkontroll i kommunane”, KRD desember 2009, bygger på Nordlandsforsknings rapport 4/2007). I tillegg kommer tid til planlegging og administrasjon.

92

Antall rapporter er avhengig av problemstillingene; om de søker å belyse et tema «i dybden», eller mer overordnet, på systemnivå.

Vurdering Gjennom å vedta en plan for gjennomføring av forvaltningsrevisjon, bestemmer kommunestyret innholdet i og omfanget av forvaltningsrevisjonsarbeidet. Det fremgår av forarbeidene til kommuneloven at bestemmelsen om å utarbeide en plan for forvaltningsrevisjon må forstås slik at det må utarbeides en plan som sikrer at det regelmessig gjennomføres forvaltningsrevisjon på de områdene hvor det er størst behov for forvaltningsrevisjon, og i et omfang som er tilpasset kommunens størrelse, kompleksitet og risiko. Kommuneloven slår fast at kommunestyret selv skal vedta planen for forvaltningsrevisjon. Imidlertid åpner loven for at kontrollutvalget likevel kan gjøre endringer i planen. Dette gjelder bare hvis kontrollutvalget har fått slik fullmakt fra kommunestyret. Slike fullmakter kan være hensiktsmessige fordi risiko- og vesentlighetsvurderinger kan bli uaktuelle, og nye forhold kan komme til, slik at det av den grunn oppstår behov for å avvike fra den opprinnelige planen. Sekretariatet anbefaler derfor at kontrollutvalget får en slik delegering. Hva er viktig å vurdere når vi skal finne aktuelle tema for forvaltningsrevisjon? Virksomheten som drives i kommunene er omfattende og involverer mange ulike aktører med til dels ulike interesser i kommunens virksomhet. Ulike aktører med ulik ståsteder kan ha ulike oppfatninger om på hvilke områder av kommunens virksomhet det er risiko for vesentlige avvik i forhold til de vedtak, forutsetninger og mål som er satt for virksomheten. Hvordan man vurderer temaenes vesentlighetsgrad avhenger av hvilket perspektiv man ser situasjonen fra:

Fra et økonomisk perspektiv, vurdert ut ifra tjenesteområdets driftsutgifter sett i

forhold til kommunens totale driftsutgifter

Fra et politisk perspektiv, vurdert ut ifra hvilke tjenesteområder som har størst vesentlighet sett fra de folkevalgtes perspektiv. (her kan oppfatningene av vesentlighet varierer mellom de ulike politiske grupperingene - verdivurderinger)

Fra brukernes perspektiv, vurdert ut ifra hva brukerne av kommunale tjenester anser som vesentlig

Fra medarbeidernes perspektiv, vurdert ut ifra hva de ulike medarbeiderne innenfor et tjenesteområde anser som vesentligst.

Fra et samfunns- og miljøperspektiv, vurdert ut ifra hva som er vesentligst ved kommunens virksomhet sett i forhold til storsamfunnet og miljøet

Det kan være en utfordring både å kategorisere og prioritere mellom områder. Men risikofaktorer som kontrollutvalget vurderer til å ha stor konsekvens og stor sannsynlighet må anses som de mest vesentlige, tilsvarende må risikofaktorer med liten konsekvens og liten sannsynlighet anses som lite vesentlig i denne sammenhengen. Det er viktig å påpeke at kontrollutvalget står fritt til å ta inn andre forslag som ikke inngår i revisjonens vurdering. Det er ikke foretatt prioritering fra sekretariatets side.

93

Den endelige prioriteringslisten settes inn i vedlegg 2, Forvaltningsrevisjonsplan, pkt. 2.2 og utgjør kontrollutvalgets forslag til forvaltningsrevisjonsplan for 2020-2021.

94

Rolvsøy 18. november 2019

Risiko- og vesentlighetsvurdering Halden kommune

Rapport

95

2

INNHOLDSFORTEGNELSE

1 INNLEDNING .............................................................................................................. 3

1.1 Bakgrunn .................................................................................................................................................. 3 1.2 Metode ....................................................................................................................................................... 4

2 RISIKOOMRÅDER ....................................................................................................... 6

2.1 Sektorovergripende områder .................................................................................................................. 6 2.2 Tjenestespesifikke områder .................................................................................................................. 10 2.3 Selskaper ................................................................................................................................................. 17

3 RÅDMANNENS UTTALELSE ....................................................................................... 19

4 VEDLEGG DOKUMENTOVERSIKT ............................................................................... 21

96

3

1 INNLEDNING

Østfold kommunerevisjon IKS har, på oppdrag fra kontrollutvalget, gjennomført en risiko- og vesentlighetsvurdering av Halden kommune. Formålet med analysen er å identifisere risikoområder som grunnlag for kommunens plan for forvaltningsrevisjon i perioden 2020 - 2021. Dette kapittelet gir en redegjørelse for bakgrunnen for risiko og vesentlighetsvurderingen og hvilken metodikk som er anvendt for å kartlegge risikoområder. Kapittel 2 gir en oversikt over kartlagte risikoområder. Kapittel 2.1 beskriver de sektorovergripende områdene. Disse områdene kan også revideres nedover i organisasjonen og på ulike tjenesteområder. Kapittel 2.2 beskriver risiko på ulike tjenesteområder og kapittel 2.3 beskriver risiko i selskaper som kommunen helt eller delvis eier. Arbeidet er gjennomført i perioden september til november 2019 og gir et oversiktsbilde over hvordan revisjonen vurderer risikoen på utvalgte områder i kommunen. Vi gjør oppmerksom på at risikovurderingen er gjort på et overordnet nivå, basert på den informasjonen vi har hatt tilgjengelig og innenfor de rammene som er avsatt til oppdraget. Det betyr at det også kan være andre risikoområder, som ikke fanges opp av denne analysen. Rådmannens kommentar til vurderingen vil framkomme i kapittel 3.

1.1 Bakgrunn

Det følger av kommuneloven § 23-3, 2.ledd at kontrollutvalget «skal minst én gang i valgperioden og senest innen utgangen av året etter at kommunestyret (…) er konstituert, utarbeide en plan som viser på hvilke områder det skal gjennomføres forvaltningsrevisjoner. Planen skal baseres på en risiko- og vesentlighetsvurdering av kommunens (..) virksomhet og virksomheten i kommunens (..) selskaper. Hensikten med risiko- og vesentlighetsvurderingen er å finne ut hvor det er størst behov for forvaltningsrevisjon.» I merknadene til § 23-3 framkommer det at risiko- og vesentlighetsvurderinger innebærer «…å vurdere på hvilke områder av kommunens (…) virksomhet, eller i hvilke selskaper, det er risiko for vesentlige avvik, og hvor alvorlige konsekvenser disse avvikene vil kunne få.» Videre framkommer det at «..hensikten med risiko- og vesentlighetsvurderingen er å finne ut hvor det er størst behov for forvaltningsrevisjon. Bestemmelsen må forstås slik at det må utarbeides en plan som sikrer at det regelmessig gjennomføres forvaltningsrevisjon på de områdene hvor det er størst behov for forvaltningsrevisjon, og i et omfang som er tilpasset kommunens (..) størrelse, kompleksitet og risiko.» Kort om forvaltningsrevisjon Forvaltningsrevisjon er en lovpålagt oppgave for kommunene, og tilligger kontrollutvalgets ansvarsområde. Forvaltningsrevisjon er systematiske vurderinger av økonomi, produktivitet, regeletterlevelse, måloppnåelse og virkninger ut fra kommunestyrets eller fylkestingets vedtak, jf. kommuneloven § 23-3. I en forvaltningsrevisjonen kan det for eksempel fokuseres på om:

forvaltningen bruker ressurser til å løse oppgaver i samsvar med politiske vedtak og forutsetninger, og om ressursbruken er effektiv med hensyn til de mål som er satt

regelverket innenfor nærmere angitte områder etterleves

forvaltningens styringsverktøy og virkemidler er hensiktsmessig

forvaltningen følger opp nasjonale strategier og satsningsområder

97

4

Vurderingene i kapittel 2 legger til rette for forvaltningsrevisjoner som kan innrettes på ulike måter. Flere av de definerte risikoområdene er generelt utformet, slik at det vil være nødvendig å avgrense tema for revisjonen i forbindelse med utarbeidelse og behandling av prosjektplan. På denne måten vil kontrollutvalget også kunne spisse prosjektet inn mot den delen av området som fremstår som mest risikoutsatt på tidspunktet for revisjonen. Samtidig vil det være nødvendig å samordne revisjonen med eventuelle tilsyn som skal eller er gjennomført av andre tilsynsorganer.

1.2 Metode

I veileder til utarbeidelse av overordnet analyse fra Norges kommunerevisorforbund (mars 2010) framkommer det at risiko vurderes med utgangspunkt i to elementer (risikofaktorer):

Sannsynligheten for at en hendelse/tilstand inntreffer

Konsekvensen av at hendelsen/tilstanden inntreffer Når sannsynlighet og konsekvens er kartlagt, må det foretas en samlet vurdering av risikofaktorene (kartlegge teoretisk risiko). Det sentrale i vurderingen er å definere hva som har størst (negativ) konsekvens dersom en gitt hendelse inntreffer, sett opp mot målene og kravene på området. Figuren nedenfor viser hvordan risiko kan vurderes. Metoden er utviklet for å vurdere risiko i arbeidsprosesser, og er mye brukt1. Den er i utgangspunktet ment for risikovurdering på oppgavenivå, men vi har imidlertid valgt å bruke metoden også på overordnet nivå, da den er intuitiv og lett å forstå. I figuren kartlegges risiko ved hjelp av fargekoder, hvor hver farge representerer et teoretisk risikonivå. «Rød boks» - Høy risiko. I denne analysen betyr rødt at det bør gjennomføres en forvaltningsrevisjon.

«Gul boks» - Middels risiko. Gult betyr at det bør gjennomføres en forvaltningsrevisjon ut i fra tilgjengelige ressurser til forvaltningsrevisjon. Temaet bør antakelig ikke prioriteres på bekostning av et «rødt område». «Grønn boks»- Lav risiko. Grønt betyr at forvaltningsrevisjon ikke er hensiktsmessig i planperioden. Dette kan skyldes at kommunen har igangsatt et forbedringsarbeid på området og at en evt. revisjon kan gjennomføres på et senere tidspunkt. Som alternativ kan kontrollutvalget for eksempel be rådmannen om en redegjørelse for temaet, før man eventuelt bestiller en revisjon.

1 Vi har hentet den fra KS Arbeidshefte «Rådmannens internkontroll», men det er en metode som er sentral i stort sett all risikotenkning. Formålet er å identifisere på hvilke områder det må prioriteres risikoreduserende tiltak.

Figur 1: Risikomatrise

98

5

Revisjonen har kartlagt risiko i kommunen gjennom bruk av flere ulike kilder:

Gjennomgang av sentrale dokumenter Sentrale styringsdokumenter, slik som siste handlingsplan med budsjett, siste årsrapport og andre nye kommuneplaner, har spilt en sentral rolle i kartleggingen. Gjennomgang av kommunens egne dokumenter bidrar dessuten til å kartlegge hva kommunen selv oppfatter som relevante risikofaktorer i kommende planperiode. Også sentrale føringer fra nasjonale myndigheter, herunder også Fylkesmannen har vært sentralt. En dokumentliste som viser hvilke dokumenter som er gjennomgått følger vedlagt (vedlegg 1).

Gjennomgang av KOSTRA nøkkeltall Vi har gjennomgått sentrale nøkkeltall for kommunens tjenesteområder og sammenlignet disse med Østfold, landet u/Oslo og KOSTRA-gruppe 13 for å identifisere mulige risikoområder.

Løpende dialog med forvaltningen Dette skjer i forbindelse med gjennomføring av forvaltningsrevisjoner og andre undersøkelser, og er en viktig kanal for informasjon. Det forekommer for eksempel at vi avdekker risikoområder som går utover det som revideres i den enkelte forvaltningsrevisjon.

Dialog med kommuneansvarlig regnskapsrevisor Vi kartlegger deres erfaringer og oppfatning av risikofaktorer innenfor ulike deler av kommunen, som ikke er en del av ordinær regnskapsrevisjon.

Gjennomgang av mediesaker Nyhetsbildet har bidratt til å kartlegge forhold som det kan være grunn til å se nærmere på.

Workshop i kontrollutvalget Kontrollutvalget har i egen sak kommet med sine innspill til områder de mener det bør gjennomføres forvaltningsrevisjon. I denne saken tok kontrollutvalget også stilling til hvorvidt de ønsker restanseprosjekter2 videreført i neste plan for forvaltningsrevisjon.

Spørreundersøkelse Det er gjennomført en spørreundersøkelse til politikere og administrativt ansatte i kommunen. Undersøkelsen er sendt til 11 utvalgte politikere og 8 administrativt ansatte i kommunen. Det er rådmann og ordfører som har valgt ut hvem som skal svare på undersøkelsen. Totalt 15 av de inviterte besvarte undersøkelsen, hvorav 8 er administrativt ansatte og 7 er folkevalgte politikere. I spørreundersøkelsen ble respondentene bedt om å krysse av for de områdene hvor de mener det foreligger risiko for svikt, og hvor det burde gjennomføres en forvaltningsrevisjon. Respondentene ble bedt om å svare på en skala fra 1-3, hvor 1=lav, 2=middels og 3=høy risiko. Ut fra de tre svaralternativene har vi i vår analyse satt fokus på de områdene som har en gjennomsnittscore på 2,0 (middels risiko) eller høyere. Flere av områdene er generelle. Det ble derfor lagt opp til at respondentene skulle utdype de enkelte risikoområdene, men resultatene her viser svært liten respons. Revisjonen har derfor sendt ut oppfølgingsspørsmål til rådmannen for å få noe mer utdypende informasjon om risiko på områdene. På tidspunkt for analysen hadde ikke revisjonen mottatt noen kommentarer. Rådmannens kontradiksjon er imidlertid ivaretatt gjennom muligheten til å avgi høringsuttalelse.

2 Restanseprosjekter er prosjekter som er vedtatt i plan for forvaltningsrevisjon, men som ikke har blitt gjennomført i planperioden fordi andre prosjekter er prioritert.

99

6

2 RISIKOOMRÅDER

2.1 Sektorovergripende områder

Etikk og varsling Ansatte har rett til å varsle om kritikkverdige forhold i kommunen, jf. arbeidsmiljøloven § 2 A-1. Kommunen bør ha skriftlige rutiner som beskriver adgangen til å varsle, og hvem det skal varsles til. Det er viktig at kommunen sørger for at varsler fra de ansatte blir mottatt, behandlet og fulgt opp på en forsvarlig måte. De etiske retningslinjene bør dessuten inneholde et eget punkt om varsling. Arbeid med etikk er tett knyttet sammen med samfunnsansvaret. Verdier, holdninger og kultur er grunnleggende elementer for å fremme etisk atferd. Etikk og etiske prinsipper bør drøftes jevnlig, og etableres som system og praksis i all virksomhet i kommunen. En høy etisk standard i kommunal virksomhet legger grunnlaget for tillit fra innbyggerne. I forslag til nye regler for varsling vises det til forskning fra FAFO. Her fremkommer blant annet at den viktigste grunnen til at arbeidstakere som har observert kritikkverdige forhold ikke varsler, oppgis å være frykten for represalier. Frykten for represalier er særlig fremtredende i saker der ledere er involvert i de kritikkverdige forholdene. Det vises også til internasjonal forskning som viser at jo mer alvorlig forhold det dreier seg om, jo større er tilbøyeligheten til å varsle om forholdet. I revisjonen sin spørreundersøkelse om risikoområder i kommunen, fikk etikk og varsling en skår på 2 på en skala fra 1 – 3, noe som indikerer middels risiko. Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor område.

Kommunens internkontroll – risikovurderinger og avvikshåndtering I den nye kommunelovens § 25-1 står det at kommuner skal ha internkontroll med administrasjonens virksomhet for å sikre at lover og forskrifter følges. I «Kontrollutvalgsboken»3 defineres internkontroll som «(…) de systemer og rutiner som administrasjonssjefen etablerer for å sikre tilstrekkelig styring, måloppnåelse og regeletterlevelse». Internkontroll består ikke bare av styringsdokumenter og instrukser, men av mennesker på alle nivåer i en organisasjon. Ledelse og øvrige ansatte har ulike roller, men et felles ansvar for internkontrollen. Kontrollmiljøet omfatter menneskene i organisasjonen og skal sette standarden når det gjelder å påvirke de ansattes holdning til styring og kontroll – deres individuelle egenskaper og integritet, etiske verdier, holdninger og kompetanse, samt organisasjonsstruktur og fordeling av ansvar og myndighet. En forutsetning for en velfungerende internkontroll er at det gjennomføres risikovurderinger. Risikovurderinger beskrives som systematiske gjennomganger for å identifisere aktiviteter eller andre forhold som medfører fare for uønsket lav kvalitet, manglende måloppnåelse, mangelfull regeletterlevelse eller mangelfull rapportering. Risikovurderinger gir grunnlag for kommunens innretning av internkontrollen, og legger grunnlaget for effektive kontrolltiltak- og aktiviteter. Risikovurdering går ut på å identifisere og analysere risikoer som påvirker kommunens måloppnåelse.

3 «Kontrollutvalgsboken – Om kontrollutvalgets rolle og oppgaver» 2. utg., utgitt av Kommunal- og moderniseringsdepartementet i 2015.

100

7

Kommunerevisjonens erfaring er at kommunenes risikovurderinger ofte enten er mangelfulle, eller ikke gjennomført, på flere områder i kommunene.

Et viktig element i kommunens internkontroll er at det gjennomføres kontroller. Et eksempel på kontrollaktiviteter er rapportering og oppfølging av avvik. Kommunen skal ha rutiner for å avdekke, rette opp og forebygge avvik. Avviksoppfølging dreier seg om å lære av feil og dermed redusere risikoen for at de samme avvikene oppstår flere ganger.

Østfold kommunerevisjon gjennomførte en større forvaltningsrevisjon av rådmannens internkontroll i 2014. Basert på erfaringer fra Halden og andre kommuner er sannsynligheten for at risikovurderinger ikke gjennomføres fullt ut, og at avvikshåndteringen inneholder svakheter, fortsatt tilstede. I kommunerevisjonen sin spørreundersøkelse om risikoområder i kommunen fikk internkontroll, herunder avvik, en skår på 2 på en skala fra 1 – 3, noe som indikerer middels risiko.

Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor

området.

Dokumenthåndtering og offentleglova Offentleglova bygger på offentlighetsprinsippet. Dette innebærer at saksdokumenter som hovedregel skal være fritt tilgjengelig for interesserte. I henhold til Norsk arkivråds sjekkliste for etterlevelse av offentleglova bør kommunen ha utarbeidet skriftlige rutiner som sier hvordan journalføring og håndtering av innsynskrav skal skje, og det bør gjennomføres jevnlig opplæring av alle ansatte. Også i veileder til offentleglova blir det på flere områder pekt på viktigheten av å ha internkontroll for å kunne ivareta de ulike områdene av offentleglova. Korrekt journalføring er en viktig forutsetning for offentlighetens innsyn. At dokumenter faktisk blir

journalført og at dokumentene klassifiseres riktig er viktig i kommunens praktisering av offentlighet.

Revisjonen vil da undersøke om kommunen har etablert et system for å ivareta kravene, samt hvorvidt

systemet er implementert i organisasjonen ved å se nærmere på praktiseringen. Det kan også være

aktuelt å kun fokusere på håndteringen av innsynsbegjæringer, herunder både den prosessuelle og

materielle saksbehandlingen.

Åpenhet og innsyn øker tilliten til forvaltningen og muligheten for kontroll. Det generelle

mediebildet viser at en rekke dokumenter blir unntatt offentlighet «for sikkerhets skyld». I

revisjonen sin spørreundersøkelse om risikoområder i kommunen, fikk offentleglova en skår på 2 på

en skala fra 1 – 3.

Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor området. Offentlige anskaffelser Innkjøp av varer, tjenester og bygge- og anleggsarbeider representerer en vesentlig del av utgiftene i kommunene. Noen store kommuner viser til at rundt en tredel av deres budsjett går til å anskaffe varer og tjenester. En rapport utarbeidet for KS i 2014 viser at det fortsatt er behov for økt kunnskap og flere ressurser på kjøpersiden for å oppnå bedre og mer effektive offentlige innkjøp i Norge Regelverket om offentlig anskaffelser stiller krav til hvordan det offentlige skal opptre ved anskaffelser av varer og tjenester. Regelverket er vedtatt for å ivareta Norges rettslige forpliktelser etter EØS avtalen. Formålet med regelverket er å sikre fri konkurranse nasjonalt og internasjonalt.

101

8

Det er generelt høy risiko for feil i innkjøpsprosesser. Dette henger sammen med at regelverket er komplisert, samt at mange offentlige innkjøpere ikke har god nok kompetanse. Konsekvensene av slike feil avhenger av alvorlighetsgrad. Typiske konsekvenser kan være risiko for erstatningssøksmål fra leverandører, tap av omdømme for kommunen eller annet økonomisk tap. Dette kan for eksempel være at man betaler mer for en vare eller tjeneste enn man ville gjort dersom konkurranseperspektivet hadde vært tilfredsstillende ivaretatt. I tillegg kommer som nevnt risiko for gebyr eller søksmål fra klagenemnda for offentlige anskaffelser (KOFA). Halden kommune har en egen innkjøpsavdeling. Innkjøpsavdelingen foretar anskaffelser som er underlagt regelverket for offentlige anskaffelser og er Halden kommunes sentrale innkjøpsenhet. Revisjonen anser at risikoen for svikt er størst ute i virksomhetene, og anbefaler at en eventuell revisjon retter seg inn mot praksis nedover i organisasjonen. Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor området Sikkerhet og beredskap - ekstremvær Sikkerhet og beredskap, herunder ekstremvær, inngikk i plan for risiko- og vesentlighetsvurderinger for forrige periode, altså for perioden 2018 – 2019. Som restanseprosjekt ble det nevnt i workshop (PS 19/35) i kontrollutvalget som et aktuelt forvaltningsrevisjonsprosjekt. Kommunen har et generelt ansvar for å ivareta befolkningens sikkerhet innenfor sitt geografiske område. Kommunen skal være en pådriver overfor andre lokale aktører i beredskapsarbeidet. Kommunen må ha et aktivt forhold til sitt ansvar fordi risikobildet er i stadig endring. Forventningene til kommunal beredskap er konkretisert i forskrift om kommunal beredskapsplikt. Her fremgår det blant annet at beredskapsplanen skal vær oppdatert til enhver tid, og revideres minimum hvert år. Bredden i trusselbildet og aktuelle hendelser viser at kommunene må drive forebyggende arbeid på mange fronter. De må også ha beredskap som sikrer kommunens rolle uansett hva som skjer. Dette blir et viktig premiss ved sammenslåing av kommuner hvor det skal etableres en ny organisasjon med god kvalitet på tjenestene. I plan for forrige perioden fremkommer følgende om risikoen: «Ekstremvær, skred, flom og fare for storulykker i by og tettbebyggelse er tema som kommunene må ha med i sin planlegging. Kommunene må bruke bestemmelsene i plan- og bygningsloven for å redusere sannsynlighet og konsekvenser av slike hendelser. I denne forbindelse er kommunens arealplaner spesielt viktige. På grunn av klimaendringer må også flom/overvannsproblemer i tettbebyggelse og havnivåstigning/stormflo i kystkommunene utredes i planleggingen. Flom i byer og tettsteder som følge av ekstrem nedbør og dårlig kapasitet i overvannsystemet er hendelser som ofte gir skader for svært høye beløp. Nasjonal kommunikasjonsmyndighet (Nkom)6 viser til at Norge i 2016 hadde tre tilfeller av ekstremvær som forårsaket skader på infrastruktur som ga utfall av kraft og elektronisk kommunikasjon (ekom). Uønskede hendelser kan også oppstå som følge av menneskelige feil, uten at det ligger ondsinnede intensjoner bak. Eksemplene på feilkonfigurering av IKT-utstyr, uforvarende aktivering av skadevare og andre handlinger som i god tro forårsaker uønskede hendelser, er mange.» I planen er det også redegjort spesielt for ekstrem nedbør, langvarig strømbortfall og bortfall av

elektronisk kommunikasjon. Årsnedbør i Østfold vil øke med ca. 10 % frem til 2100, noe som igjen

kan føre til økt overvannsproblematikk for kommunene. I denne forbindelse vises det til at de største

102

9

skadene på bebyggelse og infrastruktur stammer fra kraftig nedbør over kort tid. Dette har vist seg

som et svært aktuelt risikoområde i flere østfoldkommuner siste året. I revisjonen sin

spørreundersøkelse, fikk området «Sikkerhet og beredskap» en skår på 2 på en skala fra 1 – 3, noe

som indikerer middels risiko.

Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor området. Datasikkerhet De siste årene har antall cyberangrep rettet mot norske interesser økt i omfang. Spesielt er det de siste årene vært flere såkalte «løsepengeangrep». Dette er angrep med krypterende virus som gjør filene på en brukers klient utilgjengelige og som så krever løsepenger for å gi tilgang til krypteringsnøkkelen. Bruk av ormer i løsepengevirus-kampanjer, slik som WannaCry-kampanjen, har fått globale konsekvenser, selv om de nasjonale konsekvensene var begrensede. Hendelsen WannaCry tidligere i år synliggjorde at vedlikehold av IKT-systemene kan være kritisk. I Mørketallsundersøkelsen4 oppga 22 prosent av virksomhetene manglende oppdatering av utstyr eller konfigurasjoner som medvirkende faktor til at deres mest alvorlige sikkerhetsbrudd oppstod. Europol5 vurderer at slike virus er den skadevaretrusselen med størst samfunns-konsekvenser. Det er i mange tilfeller er svært vanskelig å hente tilbake krypterte filer, og dette understreker viktigheten av å ha gode rutiner for sikkerhetskopiering/backup. Norsk sikkerhets myndighet (NSM) opplyser at de registrerer et jevnt trykk av målrettede digitale spionasjeoperasjoner fra fremmede stater. NSM opplyser at de erfarer fortsatt at digitale angrep så godt som alltid innledes med bruk av ulike varianter av skadevare distribuert via e-post, og at denne typen angrep fremstår med økende grad av profesjonalitet. Det er derfor viktig for kommunen å sikre gode rutiner knyttet til håndtering av e-post. Den pågående digitaliseringen av samfunnet blir drevet fremover og gjort mulig av teknologiutvikling. Digitaliseringen gjør at stadig flere arbeidsprosesser utføres eller støttes av digitale verktøy. Kunnskap om, eller muligheten for å gjennomføre, manuelle rutiner forsvinner. Med økt digitalisering følger også økte krav til tilgjengelighet av viktige IKT-systemer. Dette er helt sentrale faktorer når nye, sikre digitale løsninger skal planlegges og implementeres. Ny teknologi kan gjøre det mulig å lage sikrere løsninger, men kan også medføre økt kompleksitet, introduksjon av nye sårbarheter og økt behov for sikkerhetskompetanse. NSM opplyser i sin årsrapport at de erfarer at økte muligheter innen teknisk sikring ikke alltid utnyttes og at mangelfullt teknisk vedlikehold av systemer, eksempelvis manglende sikkerhetsoppdateringer, skaper unødvendige sårbarheter. Mobile IKT-enheter som kobles til ulike offentlige og private nettverk, utgjør også en økende utfordring. Ved å koble mobiltelefonen eller nettbrettet til hjemmenettet eller nettverk på offentlige steder kan sårbarheter i et svakt sikret nettverk utsette et i utgangspunktet godt sikret nettverk på arbeidsplassen for risiko.

4 Næringslivets Sikkerhetsråd (NSR), Mørketallsundersøkelsen 2016. 5 Europol (2017). Serious and organised crime threat assessment.

103

10

En mengde nye og ulike enheter kobles til internett. IoT6 vil være en bestanddel i en rekke nye teknologiske fremskritt, som for eksempel smart grid7, smarte byer, smarte hus og autonome biler. I forbindelse med digitalisering av kommunens løsninger er det derfor avgjørende å sikre informasjonen slik at den ikke kommer på avveie. For eksempel ved hjelp av tilgangsstyring, kryptering, osv. Revisjonen har ikke konkrete holdepunkter for å si at risikoen er større i Halden enn andre steder, men i lys av risikobildet som tegnes av norske sikkerhetsmyndigheter mener revisjonen at sannsynligheten for at kommunen kan bli utsatt for dataangrep fremstår som høy. Konsekvensen av et slikt angrep kan i verste fall få store konsekvenser både for kommunens mulighet til å levere tjenester til innbyggerne, men også for kommunens økonomi. I revisjonen sin spørreundersøkelse, fikk området «IT-sikkerhet og cyberangrep» en skår på 2,25 på en skala fra 1 – 3, noe som indikerer noe over middels risiko. Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor området.

2.2 Tjenestespesifikke områder

2.2.1 Skole

Revisjonen gjennomførte en kartlegging av lovbrudd ved en av skolene i Halden tidligere i 2019. Kartleggingen avdekket flere områder hvor det etter revisjonens oppfatning er indikasjoner på svikt. Det foreligger også opplysninger om at kommunen stadig kutter ressurser i skolen. På flere av temaene har fylkesmannen også gjennomført tilsyn, og det er avdekket avvik. Revisjonen vil særlig fremheve følgende områder: Opplæringsloven § 1-4 Tidlig innsats «På 1. til 4. årstrinn skal skolen sørgje for at elevar som står i fare for å bli hengande etter i lesing, skriving eller rekning, raskt får eigna intensiv opplæring slik at forventa progresjon blir nådd. Om omsynet til eleven sitt beste talar for det, kan den intensive opplæringa i ein kort periode givast som eineundervisning.» Tidlig innsats er avgjørende for at barn og unge skal lykkes. Derfor ble regelverket endret på dette området, og fra 1. august 2018 er det innført en plikt for alle skoler til å gi intensiv opplæring i lesing, skriving og regning til elever i 1. til 4. klasse. Det vil gi rask hjelp til de som blir hengende etter, og kanskje også føre til at færre elever har behov for spesialundervisning senere i opplæringsløpet. Området tidlig innsats fikk en gjennomsnittsscore på 2,5 på en skala fra 1-3, noe som indikerer middels til høy risiko.

6 Internet of Things – tingenes internett – innebærer at «dumme» ting som kjøleskap osv. kobles til internett for å bli «smarte» 7 Smart Grid er samlebetegnelsen på et nytt generasjons strømnett, hvor en tar i bruk ny kommunikasjonsteknologi for å utnytte energiinfrastrukturen bedre. Smart Grid kjennetegnes ved ulike systemer og komponenter som har det til felles at de har fusjonert strømnettet med internettet.

104

11

Opplæringsloven kap 5 Spesialundervisning «Elevar som ikkje har eller som ikkje kan få tilfredsstillande utbytte av det ordinære opplæringstilbodet, har rett til spesialundervisning.»

Ekspertgruppen for barn og unge med behov for særskilt tilrettelegging la 4. mars 2018 frem en rapport der det framkommer at mange barn og unge får hjelp altfor sent, og annenhver elev med spesialundervisning får det av ufaglærte. Videre sier rapporten at det tar for lang tid før barn og unge får hjelpen de trenger, elevene får ofte tilbud først i ungdomsskolen mens det burde skjedd mye tidligere. Spesialundervisning kan virke ekskluderende, da en av tre elever som får spesialundervisning blir tatt ut av klasserommet. I Utdanningsdirektoratets veileder om spesialundervisning (revidert mars 2017) framkommer det at spesialundervisning skal ivareta de mulighetene elevene har til å nå realistiske mål, dersom det ikke lar seg gjøre innenfor ordinær opplæring. Veilederen uttaler også at det er vanskelig å vite på forhånd hvilke barn, unge og voksne som har behov for særskilt hjelp og støtte. Det er derfor nødvendig at skolene har systemer for å fange opp og følge opp elevers vansker, både innenfor rammen av den ordinære opplæringen og gjennom spesialundervisning. Dersom vanskene oppdages tidlig kan tiltakene bli av kortere varighet og konsekvensene kan begrenses. Dette må sees i sammenheng med tidlig innsats på 1. til 4. trinn etter opplæringsloven § 1-4. I spørreundersøkelsen til administrativt ansatte og politikere i Halden kommune var også spesialundervisning et av områdene som ble rangert med høyest risiko for svikt innenfor skoleområdet, med 2,5 på en skala fra 1-3. Opplæringsloven §§ 9 A-4 og 9A-5 om Aktivitetsplikt for å sikre at elevar har eit trygt og godt psykososialt skolemiljø, første til fjerde ledd «Alle som arbeider på skolen, skal følgje med på om elevane har eit trygt og godt skolemiljø, og gripe inn mot krenking som mobbing, vald, diskriminering og trakassering dersom det er mogleg. Alle som arbeider på skolen, skal varsle rektor dersom dei får mistanke om eller kjennskap til at ein elev ikkje har eit trygt og godt skolemiljø. Rektor skal varsle skoleeigaren i alvorlege tilfelle. Ved mistanke om eller kjennskap til at ein elev ikkje har eit trygt og godt skolemiljø, skal skolen snarast undersøkje saka. Når ein elev seier at skolemiljøet ikkje er trygt og godt, skal skolen så langt det finst eigna tiltak sørgje for at eleven får eit trygt og godt skolemiljø. Det same gjeld når ei undersøking viser at ein elev ikkje har eit trygt og godt skolemiljø.» Det er svært viktig at kommunen som skoleeier kan vise til at de har en praksis for å følge opp elevenes psykososiale skolemiljø. Dette er viktig med tanke på elevenes rettssikkerhet, men også kommunens omdømme. Svikt kan også få betydning for kommunens økonomi, ved eventuelle erstatningskrav. Samtidig er det viktig at skolene også ivaretar systemperspektivet i arbeidet med å videreutvikle det psykososiale miljøet. Området skolemiljø oppnår en gjennomsnittscore på 2 på spørreundersøkelsens skala fra 1-3, hvor 2 indikerer middels risiko. Opplæringsloven § 13-10 andre ledd – Kommunes forsvarlige system (internkontroll på etterlevelse av regelverket på opplæringslovens område) Kommunen/fylkeskommunen og skoleeigaren for privat skole etter § 2-12 skal ha eit forsvarleg system for vurdering av om krava i opplæringslova og forskriftene til lova blir oppfylte.

105

12

Kommunen/fylkeskommunen og skoleeigaren for privat skole etter § 2-12 skal ha eit forsvarleg system for å følgje opp resultata frå desse vurderingane og nasjonale kvalitetsvurderingar som departementet gjennomfører med heimel i § 14-4. Som ein del av oppfølgingsansvaret skal det utarbeidast ein årleg rapport om tilstanden i grunnskoleopplæringa og den vidaregåande opplæringa, knytt til læringsresultat, fråfall og læringsmiljø. Den årlege rapporten skal drøftast av skoleeigar dvs. kommunestyret, fylkestinget og den øvste leiinga ved dei private grunnskolane.» Fylkesmannen har avdekket avvik innenfor internkontrollsystemet knyttet til spesialundervisning. Sett i sammenheng med svakhetene som er avdekket også på andre områder, er det revisjonens vurdering at det kan foreligger generelle svakheter ved kommunens internkontrollsystem i skolen. Området internkontroll/forsvarlig system oppnår en gjennomsnittscore på 2,5, på spørreundersøkelsens skala fra 1-3, og indikerer høy risiko for svikt. Skole/hjem samarbeid Opplæringsloven gir føringer for skole-hjemsamarbeid. Dette kommer fram både av formålsparagrafen i oppll § 1-1 og i § 13-3d «Kommunen og fylkeskommunen skal sørgje for samarbeid med foreldre, høvesvis i grunnskolen og i vidaregåande opplæring. Organiseringa av foreldresamarbeidet skal ta omsyn til lokale tilhøve ...» Godt samarbeid mellom skole og hjem bidrar både til gode læringsvilkår for hver enkelt elev, og til et godt læringsmiljø for alle på skolen. Samarbeidet er et gjensidig ansvar, men det er skolen som skal ta initiativ til og legge til rette for samarbeidet. Det kommer hvert år nye foreldre inn i skolen, og de bør møte en skole med gode samarbeidsrutiner. Utdanningsdirektoratet sier på sine nettsider, om skole/hjem samarbeid «Forskning viser at et godt samarbeid mellom hjem og skole, der også foreldrene har en aktiv rolle, har positiv betydning for barn og unge på en rekke områder relatert til skolen. Det fører til bedre læringsutbytte, bedre selvregulering, bedre trivsel, færre atferdsproblemer, mindre fravær, gode relasjoner til medelever og lærere, bedre arbeidsvaner, en mer positiv holdning til skolen, bedre leksevaner og arbeidsinnsats og høyere ambisjoner med hensyn til utdanning … Selv om skole–hjem samarbeidet synes å være av særlig betydning for de yngre elevene i skolen, er det godt dokumentert at det har betydning for elever i alle aldersgrupper, også for ungdom» I spørreundersøkelsen fikk skole/hjem samarbeid en skår på 2, på en skala fra 1 – 3, noe som indikerer middels risiko for svikt. Samlet vurdering av risiko innenfor skoleområdet: Risikoområdene som er nevnt ovenfor kan ses i sammenheng, men også revideres hver for seg. Flere av områdene er eller har vært nasjonale tilsynsområder. Det er også uklart for revisjonen hvilke tilsyn eller andre aktiviteter som fylkesmannen skal gjennomføre i Halden i kommende planperiode. Revisjonen må være særlig oppmerksom på dette ved utforming av et forvaltningsrevisjonsprosjekt på området. Revisjonens risikovurdering – det bør gjennomføres en forvaltningsrevisjon innenfor området.

2.2.2 Barnehage

Tilskudd til private barnehage Alle private barnehager har etter barnehageloven rett til tilskudd dersom de var etablert før 2011, da barnehagesektoren ble rammefinansiert. Etter forskrift om tildeling av tilskudd til private barnehager § 3 skal «… kommunen gi driftstilskudd til private ordinære barnehager per heltidsplass. Driftstilskuddet skal beregnes ut fra gjennomsnittlige ordinære driftsutgifter per heltidsplass i tilsvarende kommunale

106

13

ordinære barnehager, fratrukket administrasjonsutgifter, pensjonsutgifter og arbeidsgiveravgift på pensjonsutgifter. Grunnlaget for beregningen er kommuneregnskapet fra to år før tilskuddsåret.» Med tanke på det komplekse regelverket og at den private barnehagedekningen er på over 80 prosent i Halden kommune, anser revisjonen tilskudd til private barnehager å være et risikoområde. I spørreundersøkelsen til administrativt ansatte og politikere i Halden kommune var tilskudd til private barnehager det tema som ble rangert med høyest risiko for svikt innenfor barnehageområdet. Områder fikk en gjennomsnittsskår på 2,33, på en skala fra 1 - 3. Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor området. Kommunens tilsyn med offentlige og private barnehager Halden kommune er lokal barnehagemyndighet og skal påse at alle barnehagene i kommunen drives i samsvar med regelverket. Dette gjelder for både de private og de kommunale barnehagene. Barnehagemyndigheten har som oppgave å fatte vedtak om godkjenning av barnehager, behandle søknader om dispensasjoner, finansiere private barnehager, gjennomføre tilsyn og andre myndighets-oppgaver som følger av barnehageloven med forskrifter. Statistikk fra 2018 viser at 91,6 prosent av alle barn i Halden mellom 1 og 5 år har plass i barnehage. Dette understreker viktigheten av at alle barnehager i kommunen drives i samsvar med regelverket, og barnehagen er en viktig arena i barn og unges oppvekst i kommunen. Halden kommune er i tillegg til å være barnehagemyndighet, også eier av seks kommunale barnehager. Det er langt færre barn som har kommunal barnehageplass i Halden, enn for eksempel sammenlignet med KOSTRA-gruppe 13, 18,5 prosent versus 40,1 prosent. Kommunens dobbeltrolle som både myndighet og eier kan være en vanskelig balansegang. Jo mindre en kommune er, jo vanskeligere er det ofte å håndtere dobbeltrollen da det kan være samme person som skal utføre både myndighet- og eierrollen. Kommunen må selv avklare håndteringen av dobbeltrollen for at myndighetsoppgavene og eieroppgavene blir ivaretatt på en god måte. Halden kommune burde ha forutsetninger for å organisere seg på en slik måte at rollen som barnehagemyndighet er ivaretatt, gitt kommunens størrelse. Dette både når det gjelder dobbeltrollen som eier og myndighet, og med tilstrekkelig kompetanse innenfor alle sider av barnehagefeltet. Kommunens tilsyn og veiledning med barnehagene er sentralt i barnehagemyndighetens arbeid med å sikre at barna får et godt og forsvarlig barnehagetilbud. I spørreundersøkelsen til administrativt ansatte og politikere i Halden kommune var kommunens tilsyn med offentlig og private barnehager det tema som ble rangert med høyest risiko for svikt innenfor barnehageområdet. Området fikk en gjennomsnittsskår på 2,33, på en skala fra 1 - 3. Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor området.

2.2.3 Barnevern

Barnevernet skal gi barn, unge og familier hjelp og støtte når det er vanskelig hjemme eller barnet av andre grunner har behov for hjelp fra barnevernet. Barnevernet skal sikre at barn og unge som lever under forhold som kan skade deres helse og utvikling, får hjelp og omsorg til rett tid. I tillegg skal barnevernet bidra til at barn og unge får trygge oppvekstsvilkår. Barnevernstjenesten skal tilby barn som har hatt barnevernstiltak fram til de fyller 18 år, tilbud om

107

14

ettervern fram til de er fylt 23 år. I tilfeller der det har funnet sted en omsorgsovertakelse, har barneverntjenesten en selvstendig plikt til å følge opp barnets foreldre, jf. barnevernloven § 4-16. Fylkesmannen beskriver i sin årsrapport for 2018 at det har vært en generell økning i antall barnevernssaker i fylket og at flere kommuner uttrykker bekymring for om mangler i kommunenes generelle forebyggende tjenester medfører et økt press på barneverntjenesten. Fylkesmannen uttrykte bekymring for at flere kommuner fortsatt har mangler når det gjelder å vurdere risiko for svikt, og å ha gode rutiner for å forebygge og fange opp mangler i oppfølgingen av det enkelte barn. Når undersøkelser blir liggende, eller tiltak ikke blir tilstrekkelig evaluert medfører det en fare for at barn ikke får den hjelpen de trenger. Dette utgjør en risiko for skjevutvikling og utviklingsskader. Ifølge årsmeldingen 2018 har barnevernet i Halden har hatt en økning på fristovertredelser på 20 prosentpoeng, fra 10 prosent første halvår til 30 prosent siste halvår i 2018. Kommunens forklaring er at dette i stor grad handler om kompleksiteten i sakene, siden antallet bekymringsmeldinger til barneverntjenesten har vært stabilt. I spørreundersøkelsen til administrativt ansatte og politikere i Halden kommune ble barnevern trukket frem som et område med stor fare for svikt. På generelt spørsmål om barnevern kunne være et risikoområde i kommunen fikk det en skår på 2,5, på en skala fra 1 - 3. Oppfølging av fosterhjem og ettervern fikk samme skår – 2,5. Revisjonen anbefaler på denne bakgrunn at det i tillegg til en generell revisjon av barnevernet, vurderes en revisjon på oppfølging av fosterhjem, samt ettervern, da det kan være en utfordring å sikre god oppfølging av fosterhjemmene og ettervernsungdom. Etter revisjonens oppfatning kan generelt høyt arbeidspress medføre en risiko for at andre oppgaver som eksempelvis oppfølging av fosterhjem og arbeid med ettervern nedprioriteres. Revisjonens risikovurdering – det bør gjennomføres en forvaltningsrevisjon innenfor området.

2.2.4 Helse, velferd og omsorg

Brukerstyrt personlig assistanse Brukerstyrt personlig assistanse (BPA) er et tilbud som gjør at personer med funksjonsnedsettelse får bistand til å leve selvstendige liv. Det kan for eksempel være hjelp til praktiske gjøremål som innkjøp av mat, matlaging, klesvask og husvask, og personlig stell. Hjelpen kan gis både i og utenfor hjemmet. Det har vært flere saker i media fra Østfoldskommunene som har omhandlet tildeling av BPA-timer. Kritikken har gått på at det ikke har vært tildelt nok timer til at de kan leve et fullverdig liv etter eget ønske. Aktuelle problemstillinger kunne være hvorvidt tildelingen av BPA skjer i samsvar med aktuelt lov- og regelverk og/eller om kommunen følger opp og kontrollerer at kontrakten med leverandør følges slik at bruker mottar forsvarlige tjenester, om brukernes håndtering av arbeidsgiveransvaret osv. I spørreundersøkelsen til administrativt ansatte og politikere i Halden kommune var ordningen med brukerstyrt personlige assistent et av de temaene som ble rangert med høyest risiko for svikt innenfor helse, velferd og omsorg, med en skår 2,5, på en skala fra 1 - 3. Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor området. Tildeling av tjenester - helse og omsorg Koordinerende fellestjenester, organisatorisk plassert under kommunalavdeling helse og omsorg, samordner kommunens helse- og omsorgstjenester i samarbeid med andre etater og eksterne tjenester. Forvaltningsleder er delegert kommunalsjefens ansvar for all saksbehandling hjemlet i

108

https://lovdata.no/NL/lov/1992-07-17-100/§4-6

15

enkeltvedtak. Det vil si tildeling av tjenester innenfor alle områder med enkeltvedtak, med unntak av barnevern. Tildeling av Helse og omsorgstjenester og om kommunens system fungerer som det skal, ble nevnt som et risikoområde i kontrollutvalget i Halden kommune 3. september 2019. En eventuell forvaltningsrevisjon på tildelingsrutiner i helse og omsorg kan være å undersøke kommunens tildelingspraksis. Det kan også være aktuelt å undersøke om tjenestetildelingen er organisert formålstjenlig og hvordan det samarbeides med utøvende virksomheter. Formålet med forvaltningsrevisjonen vil da være å vurdere om kommunens tildeling av Helse- og omsorgstjenester er tilfredsstillende, herunder:

Har kommunen organisert saksbehandlingen knyttet til tildeling av tjenester på en formålstjenlig måte?

Har kommunen tilfredsstillende rutiner for å vurdere brukernes behov?

Etterleves kravene i forvaltningsloven knyttet til enkeltvedtak som gir rett til tjenester?

En god organisering av tjenestetildelingen vil kunne bedre styring og kontroll av ressurser og ivareta helhetsperspektivet. Dette vil kunne bidra til en mer rettferdig fordeling av midler mellom virksomhetene, noe som vil gi tillit til at økonomiske rammer er fordelt rettferdig. Videre vil en god organisering også kunne medføre bedre restansekontroll, samt kontroll med ugyldige vedtak. Her kan det også være aktuelt å se på forvaltningslovens krav til saksbehandling. Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor området.

Barnefattigdom En oppvekst i en lavinntektsfamilie er ofte synonymt med barnefattigdom i Norge. Det er et betydelig antall barn som vokser opp i lavinntektsfamilier i Norge, og antallet er voksende. Ifølge statistikk fra SSB vokser hvert tiende barn opp i en husholdning som har lavinntekt over tid. Ifølge NOVA Rapport 11/2018 - Muligheter og hindringer for barn i lavinntektsfamilier, er det ikke slik at en stor andel av barn i lavinntektsfamilier opplever materielle og sosiale mangler i Norge. En oppvekst i fattigdom i Norge innebærer færre valgmuligheter og som oftest en lavere levestandard enn det jevnaldrende har. Dette kan ha mange negative konsekvenser, både på kort og lang sikt. At noen barn lever i fattigdom i et land hvor de aller fleste har mye og mer enn de kanskje trenger, kan gjøre fattigdom mer synlig og skambelagt.

Det er vanskelig å anslå de samfunnsøkonomiske kostnadene av at en relativt stor andel barn og unge vokser opp i lavinntektshushold. I de fleste tilfellene er det vanskelig å entydig identifisere effekten av lavinntekt i seg selv, og sammenhengene er dessuten gjennomgående svake. Samtidig finner en rekke studier at lavinntekt kan føre til uheldige utfall for barn og unge. Funn fra forskning antyder at kostnadene er betydelige. Denne forskningen konkluderer i hovedsak med at det vil lønne seg å sette i gang tiltak som kan redusere antall barn som vokser opp i fattigdom, og eventuelt også redusere de negative konsekvensene av å vokse opp i fattigdom. Fra kommunens årsmelding 2018 står det at antallet barn som vokser opp i lavinntektsfamilier i Halden kommune er økende, og at økningen de siste årene er beskrevet som bekymringsfull. Fra den foreslåtte økonomiplanen for perioden 2020 - 2023 blir det vist til at tjenestene til familiene i mange tilfeller ikke er godt nok samordnet i kommunen. Fokusområdene som er foreslått for å få til

109

16

et vellykket arbeid med familier er bolig, arbeid, økonomi og barnas situasjon. En samordnet innsats overfor disse familiene blir beskrevet som helt nødvendig for å få en varig endring mot arbeid og utdanning, samt et godt sted å bo. Tidlig og samordnet innsats i lavinntektsfamilier med sammensatte problemer og utfordringer er et område som Halden kommune har erklært de skal prioritere. Halden kommune sitt arbeid mot barnefattigdom ble også trukket frem av kontrollutvalget (3. september 2019, PS 19/35) som et av temaene som det kan være aktuelt å gjennomføre en forvaltningsrevisjon på. Revisjonens risikovurdering – det bør gjennomføres en forvaltningsrevisjon innenfor området.

Tverrfaglige områder

Samarbeid om utsatte barn og unge Utdanningsdirektoratet uttaler seg følgende om utsatte barn og unge mellom 0 og 24 år; «Ungdom klarer seg stort sett bra i Norge i dag, til og med bedre enn før på mange områder. Men for mange barn og unge faller utenfor. Problemer knyttet til for eksempel skolegang, rus, levekår eller psykisk helse i starten på livet kan skape store problemer for den enkelte og for samfunnet. De som faller fra har både høyere sykefravær og høyere forbruk av velferdsordninger enn de som fullfører skolen. Og de har høyere risiko for langvarig marginalisering, i verste fall hele livet.» (www.udir.no 28.10.19). I spørreundersøkelsen til administrativt ansatte og politikere i Halden kommune fikk området samarbeid om utsatte barn og unge en skår på 2,33 på en skala fra 1 - 3. Fafo uttaler at «Flere tilsyn og offentlige utredninger har dokumentert at manglende samarbeid mellom tjenester har ført til at utsatte barn og unges behov ikke oppdages tidlig nok og at barn, unge og deres familier ikke får den oppfølgingen de trenger» og videre «Det mangler struktur, systematikk og kultur for samarbeid i velferdstjenestene. Å lykkes med samordning krevet målrettet innsats, faktorer som har betydning for å lykkes er lederforankring, brukermedvirkning, geografisk nærhet, anerkjennelse av ulik kompetanse, tid og ressurser, samt innarbeiding av samhandling i struktur og rutiner.» (Kunnskapsgrunnlag for 0-24-samarbeidet – en innsats for utsatte barn og unge 2019) At kommunen lykkes med arbeidet for utsatte barn og unge er viktig både i et samfunnsperspektiv og for de unge selv. Alle som møter barn og unge, helsestasjonen, barnehagen, barnevernet, skolen og NAV må samarbeide godt og tjenestene må fungere sammen for at man skal lykkes på dette området. Fra revisjonen i Halden kommune på temaet Forebyggende arbeid – psykisk helse i 2018 ble det blant annet rapportert om at ansvar- og arbeidsoppgaver rundt utarbeidelse av individuell plan burde vært bedre avklart i kommunen, og at kommunalavdeling utdanning, oppvekst og kultur mangler systematiske samarbeidsarenaer med kommunalavdeling Helse og omsorg. Både koordinerende fellestjenester og enhet rus og psykiatri ligger under kommunalavdeling Helse og omsorg, og det er i stor grad de samme familiene det arbeides med. Det ble poengtert at kommunen her har behov for å finne systemer for samarbeid.

Dette prosjektet kan ses i sammenheng med andre prosjekter, f.eks. spesialundervisning og barnefattigdom. Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor området.

110

http://www.udir.no/

17

2.3 Selskaper

I kommunal sektor er det blitt mer og mer vanlig å organisere deler av tjenesteproduksjonen i fristilte selskap, foretak, stiftelser og lignende. I ØKUS sin plan for eierskapskontroll for perioden 2020-2023 framkommer det at «selskapsorganisering kan gi styringsmessige utfordringer for kommunestyret som er den øverste beslutningstaker. I tillegg reiser det spørsmål i forhold til tilsyn og kontroll med denne type organisering av virksomheten. Det faktum at en oppgave som tidligere lå innenfor forvaltningen er organisert inn i et utenforliggende selskap, bør ikke i seg selv føre til mindre tilsyn og oppfølging av kontroll- og tilsynsorganet i kommunen. Tvert om, det kan være nødvendig med en økning i oppfølging og koordinering da den ligger utenfor det tradisjonelle forvaltningsorganet.» For fullstendig oversikt over alle selskaper hvor kommunen er helt eller delvis eier se Østfold kontrollutvalgssekretariat ØKUS sin plan for eierskapskontroll for Halden kommune. Revisjonens vurdering må sees i sammenheng med hvilket selskap det blir vurdert eierskapskontroll på. Informasjon om selskapene nedenfor er hovedsakelig basert på foreløpig «Plan for eierskapskontroll

2020 – 2023».

Halden Byutvikling AS Halden kommune er heleier av Halden Byutvikling AS. Selskapets aktiva er tomter, og dets formål er å forestå byutvikling og planlegging med basis i politiske fattede vedtak. Selskapet var gjenstand for eierskapskontroll i 2017/18. Det er anstrengt økonomi i selskapet, med negativt driftsresultat de siste 4 – 5 årene og negativ egenkapital.

Kommunens eierstrategi er å bruke selskapet aktivt til å gjennomføre de forpliktelser det har påtatt seg gjennom salg av Tyska og Hollenderen til Norsk helsehus AS/Fredrikshald Brygge AS. Etter kommunens eiermelding skal selskapet avvikles når oppdraget ifht. Tyska og Hollenderen er gjennomført. Det er ikke stilt kommunale garantier, og det er ikke registrert negativ omtale av selskapet. Det ble gjennomført en eierskapskontroll i selskapet i 2017/18. Samlet vurdering av vesentlighet og risiko, er lav.

For fullstendig oversikt over alle selskaper hvor kommunen er helt eller delvis eier se Østfold kontrollutvalgssekretariat ØKUS sin plan for eierskapskontroll for kommune. Revisjonens vurdering må sees i sammenheng med hvilket selskap det blir vurdert eierskapskontroll på. I spørreundersøkelsen til administrativt ansatte og politikere i Halden kommune fikk selskapet høyest mulig skår når respondentene vurderte risiko – 3. Etter revisjonens oppfatning kan dette indikere at det er forhold ved selskapet som bør undersøkes nærmere. Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor området.

Halden Arbeid og Vekst AS Halden Arbeid og Vekst AS er en attføringsbedrift med virksomhet innen elektro og catering. Videre utføres bilpleie, pakke- monteringstjenester, makuleringstjenester, transporttjenester, salg av ved/strøsand, vaktmestertjenester og kafe/kantinedrift. Selskapet har også en gjenbruksbutikk. Som attføringsbedrift yter bedriften bistand til arbeidssøkere i ulike arbeidsrettede tiltak.

Kommunen vil årlig, gjennom en dialog med selskapet, vurdere utvidelser av tjenesteområder. Selskapet skal bidra å bygge opp under og bidra til positive arrangement i Halden samfunnet. Selskapet er samfunnsøkonomisk viktig for eiere og har betydning for å skape grunnlag for sysselsetting av personer med lav arbeidskapasitet.

111

18

Kommunen, som eier, forventer at selskapets kapital forrentes tilsvarende KPI. Selskapet drives etter retningslinjer fra NAV, noe som blant annet medfører at regnskapsoverskudd skal beholdes i selskapet. Selskapets kan vise til gode nøkkeltall. Eget salg og tilskudd fra Nav står for det meste av omsetningen, som har ligget fra 37 mill. kr til 41 mill. kr de siste tre årene. Kommunen har ikke gitt kommunale garantier til selskapet. Det har tidligere vært gjennomført en eierskapskontroll i selskapet i 2008. Samlet vurdering av vesentlighet og risiko, er lav.

I spørreundersøkelsen til administrativt ansatte og politikere i Halden kommune fikk selskapet høyest mulig skår når respondentene vurderte risiko – 3. Etter revisjonens oppfatning kan dette indikere at det er forhold ved selskapet som bør undersøkes nærmere. Revisjonens risikovurdering – det kan være fornuftig å gjennomføre en forvaltningsrevisjon innenfor området.

Storgata 7 Halden AS Selskapets virke er innenfor utleie av eiendom, det vil si kun utleie til kommunale leietakere. Kommunen er heleier av selskapet. Selskapet har ingen ansatte og omsetningen er lav – rundt 2 millioner kroner per år. Grunnen til ikke å avvikle selskapet og legge det inn i kommunes ordinære regnskap, er at kan utløse betydelige store summer for avgifter til staten. Kommunen har ikke gitt garantier til selskapet. I spørreundersøkelsen til administrativt ansatte og politikere i Halden kommune, fikk selskapet en skår på 2, når respondentene vurdert risiko på en skala fra 1 – 3, noe som indikerer middels risiko. Revisjonens samlede vurdering av vesentlighet og risiko, er imidlertid lav.

Revisjonens risikovurdering – risikoen anses som lav.

Rolvsøy, 18. november 2019

Lene Brudal (sign) oppdragsansvarlig revisor

Odd Henning Aure (sign) forvaltningsrevisor

112

19

3 RÅDMANNENS UTTALELSE

Til rapporten

Sektorovergripende områder

Som det fremkommer i rapporten har 4 av 6 temaer innenfor sektorovergripende områder fått

skåren 2. Kommunedirektøren tenker at dette kan ha en sammenheng med at det er kompliserte og

omfangsrike områder som det alltid vil være heftet en viss risiko med. Både i forhold til system og

rutiner så vel som omfattende opplærings-/implementeringsrutiner. Slikt sett virker det å gi en skår

på 2 fornuftig når skalaen er 1-3.

Det foregår arbeid knyttet til flere av de 6 temaene som vil bedre sikkerhet og redusere risiko.

I forhold til «Etikk og varsling» er det igangsatt arbeid knyttet til revidering av «Retningslinjer for

intern varsling», der arbeidsgruppen er partssammensatt. Kommunen har ekstern varslingskanal. Det

har i kommet varsler gjennom begge kanaler i 2019.

I forhold til «Internkontroll – Risikovurderinger og avvikshåndtering» pågår arbeid med å definere

alle ansatte inn i felles AD. Dette vil medføre rask tilgang for ansatte og øke tilgjengeligheten og

kjennskapen til Risk Manager.

Overvannsplan er under utarbeidelse og slikt sett pågår også arbeid i forhold til «Sikkerhet og

beredskap – Ekstremvær».

Tjenestespesifikke områråder

Skole

I løpet av vår og høst har det vært jobbet intensivt med skoleområdet.

Tilskudd til private barnehager/Kommunalt tilsyn med off. og private barnehager

I løpet av de siste 3 årene har Halden kommune hatt lite stabilitet i stillingen som fagleder

barnehager. Videre har det i denne perioden vært utført svært få pedagogiske og økonomiske tilsyn.

Kommunen har startet et omfattende tilsyn knyttet til «tilskudd private barnehager» nå i november.

Fylkesmannen har påpekt i tilsyn at det var manglede internkontroll og rutiner i skoler. Det har i vår

og i høst vært gjennomført et betydelig og omfattende arbeidet med revisjon, oppdateringer og

utarbeiding av rutiner på dette feltet. Skolens forsvarlige system (§13-10 i Opplæringsloven), vil i

løpet av høsten være fullsteding revidert. Det er også gjennomført en stor reimplementering av RISK-

manager, herunder både i forhold til rutiner, revisjon og praktisk bruk. Denne pågår fortsatt.

Tidlig innsats 1-4. trinn er et område som har vært jobbet intensivt med nedsatt arbeidsgruppe på

tvers av alle barneskolene. Denne gruppa var ferdig med sitt arbeid 31/10, og planen er nå oversendt

rektorgruppe for avsluttende arbeid. Planen skal sikre at innhold og rutiner for dette arbeidet blir likt

i Haldenskolen.

Det har vært mye fokus på spesialundervisning den siste tiden. Dette må også sees i sammenheng

med punktet om forsvarlig system/interkontroll. Over lengre tid har det vært arbeidet med å endre

og forbedre rutinene på dette feltet. Dette arbeidet er nå sendt inn til vurdering av fylkesmannen.

113

20

Barnevernet

Barnevernet har over en periode hatt høy turnover, dette har vært til bekymring og har lagt beslag

på tid og ressurser internt for blant annet opplæring. Tjenesten er i løpet av inneværende år tilført 2

nyer årsverk.

I barnevernets halvårlige rapporter har vi sett at tallene en har rapporter knyttet til oppfølging i

fosterhjem har hatt store variabler. Som nevnt over er tjenesten 2 nye årsverk og det arbeides

intenst for å følge kravene, samt oppnå gode måltall fort tjenesten.

Fylkesmannen avsluttet sitt tilsyn vedrørende ettervern for kort tid siden. Konklusjonen var at

barnevernet ikke bryter loven. Det ble ikke gitt lovbrudd etter gjennomført tilsyn.

Barnefattigdom

Som revisjonen påpeker er tidlig og samordnet innsats i lavinntektsfamilier et prioritert området.

Dette er et komplekst område som må tar for seg arbeid med hele familien og dens sammensatte

situasjon. Halden kommune har vært i prosjektet HOLF, Helhetlig oppfølging av lavinntektsfamilier,

og hatt følgeforskning på aktiviteter. Rapport over dette vil foreligge første kvartal 2020. Videre

deltar Halden kommune i «Velferdspiloten», der vi jobber sammen med 6 statlige aktører for å finne

modeller for samhandling knyttet til komplekse problemstillinger.

NAV sitt løpende arbeid for å få folk i arbeid og aktivitet er avgjørende for å få til en endring over tid.

Rammebetingelser for å lykkes på individnivå med dette skal bl.a. legges gjennom nevnte to

satsningsområder.

Selskaper

Halden Byutvikling AS

Som følge av Jernbanedirektoratet sin båndlegging av områdene som Halden Byutvikling AS har solgt

videre til Norsk Helsehus AS, har det de siste årene vært svært liten aktivitet i selskapet.

Båndleggingen er nå opphevet, og det forventes at Norsk Helsehus AS vil øke sin aktivitet. Det

registreres at skåren er satt til 3, uten at kommunedirektøren umiddelbart kan se dette bildet.

Halden Arbeid og vekst AS

Det avholdes årlige eiermøter mellom Halden kommune og selskapet. I disse møtene fremkommer

informasjon fra selskapet på en ryddig og god måte. Det registreres at skåren er satt til 3, uten at

kommunedirektøren umiddelbart kan se dette bildet.

Halden 18.11.2019

Roar Vevelstad

Kommunedirektør

114

4 VEDLEGG DOKUMENTOVERSIKT

Følgende dokumenter har dannet grunnlaget for analysen:

KOSTRA-statistikk for Halden kommune

Fylkesmannens Østfoldrapport 2018

Økonomi og handlingsplan 2020 - 2023

Årsmelding 2018 – Halden kommune

Kommunens hjemmeside

Grunnskolens informasjonssystem (GSI)

Workshop kontrollutvalg Halden kommune PS19/35

Spørreundersøkelse om risikoområder

www.regjeringen.no

Veileder spesialundervisning

Utdanningsdirektoratets nettside

Tilsynsrapporter fra FM

Arbeidsmiljøloven

Kommunedelplan

Fafo program for folkehelsearbeid

Riksrevisjonens undersøkelse

Plan for eierskapskontroll Halden kommune – ØKUS

Prop. 72 L (2016–2017)

Offentleglova

115

FORVALTNINGSREVISJONSPLAN for Halden kommune – 2020/2021

116

side 1 Forvaltningsrevisjonsplan 2020-2021

Innhold 1. INNLEDNING ................................................................................................................. 2

1.1. Hjemmel for forvaltningsrevisjon ............................................................................ 2

1.2. Hva er forvaltningsrevisjon? .................................................................................... 2

1.3 Gjennomføring av forvaltningsrevisjon .................................................................... 3

1.3.1 Risiko- og vesentlighetsvurderinger .................................................................. 3

1.3.2 Arbeidet med prosjektet/syklus i forvaltningsrevisjonsprosess...................... 3

1.4. Oversikt over gjennomførte prosjekter ................................................................... 5

2. Gjennomføring av forvaltningsrevisjon i perioden 2020-2021 ..................................... 5

2.1 Rammetimetallet til forvaltningsrevisjon ................................................................. 5

2.2 Kontrollutvalgets prioriteringer ................................................................................ 5

2.3 Kommunestyrets vedtak ........................................................................................... 6

2.4 Gjennomføring av forvaltningsrevisjon .................................................................... 6

2.5 Rapportering til kommunestyret ............................................................................... 6

2.6 Delegering til kontrollutvalget ................................................................................... 0

117


1. INNLEDNING 1.1. Hjemmel for forvaltningsrevisjon

I henhold til kommuneloven kapittel 23, § 23-2 c har kontrollutvalget ansvar for at det utføres forvaltningsrevisjon av kommunens virksomhet, og av selskaper kommunen har eierinteresser i. Etter kommunelovens § 23-3, 1.ledd innebærer forvaltningsrevisjon å gjennomføre systematiske vurderinger av økonomi, produktivitet, regelverksetterlevelse, måloppnåelse og virkninger ut fra kommunestyrets vedtak. Forvaltningsrevisjon vil for eksempel kunne gå ut på å vurdere om ressursene brukes til å løse oppgaver i samsvar med kommunestyrets eller fylkestingets vedtak, herunder de forutsetningene som vedtaket bygger på. Forutsetningene for vedtaket vil ofte ha betydning for hvordan kommunestyrets vedtak må forstås. Forvaltningsrevisjon kan også gå ut på å vurdere om resultatene til virksomheten er i tråd med målene som er satt, og om ressursbruken og virkemidlene er effektive med tanke på å oppnå målene, (Prop. 46 L (2017-2018). Kontrollutvalget har i henhold til kommunelovens § 23-3, andre ledd, første punktum en plikt til å utarbeide en plan for forvaltningsrevisjon. Denne planen skal behandles og vedtas i kommunestyret.

Gjennomføring og rapportering på forvaltningsrevisjon skal skje i henhold til god kommunal revisjonsskikk og etablerte og anerkjente standarder på området, og det skal etableres revisjonskriterier for det enkelte prosjekt. Ved gjennomføring av prosjekter benyttes standard RSK 001 utarbeidet av NKRF1, ”Standard for forvaltningsrevisjon.”

1.2. Hva er forvaltningsrevisjon?

Norges Kommunerevisorforbund (NKRF) har etablert en egen standard (RSK001) og veileder for forvaltningsrevisjon. Denne definerer begrepet forvaltningsrevisjon i kommunal sammenheng. Hensikten med en forvaltningsrevisjon er blant annet å bidra til en bedre og mer effektiv kommunal forvaltning. Når det utføres forvaltningsrevisjon, kan det blant annet settet fokus på økonomi, måloppnåelse og oppfølging av lovverk. Behovet for forvaltningsrevisjon er stort. Kommunen står overfor betydelige utfordringer. Innbyggerne stiller større kvalitet til tjenestene, sentrale myndigheter stiller krav til økonomisk effektivitet, men også innhold i tjenester, markeder skaper økt konkurranse, og det er ofte manglende samsvar mellom mål og tilgjengelige ressurser. Det er også viktig at folkevalgte får nøytral styringsinformasjon. Dette medfører at kommunene som oftest må rette større fokus på ressursbruk, styring og ledelse. Det må styres etter flere variabler enn økonomiske data, med evaluering av måloppnåelsen, og det blir stilt større krav til ledelse. Ved utøvelse av forvaltningsrevisjon bidrar kontrollutvalget blant annet til:

Å påvise forbedringsområder som bidrar til økt produktivitet og måloppnåelse i forhold til politiske vedtak og forutsetninger

Å bidra med informasjon til kommunens beslutningstakere som er til nytte for - å styrke kommunestyrets grunnlag for styring - kontrollutvalgets tilsyn med forvaltningen - ledelsens vurdering av muligheter for mer sparsom/ økonomisk drift, økt

produktivitet, større effektivitet og bedre måloppnåelse - rasjonell, målrettet og kostnadseffektiv drift

1 NKRF - Norges Kommunerevisor Forening

118


1.3 Gjennomføring av forvaltningsrevisjon

1.3.1 Risiko- og vesentlighetsvurderinger

Forvaltningsrevisjonsplan skal baseres på en risiko- og vesentlighetsvurdering av kommunens virksomhet og selskaper. Risiko- og vesentlighetsvurderinger innebærer å vurdere på hvilke områder av kommunens virksomhet, eller i hvilke selskaper, det er risiko for vesentlige avvik, og hvor alvorlige konsekvenser disse avvikene vil kunne få. Hensikten med vurderingen er å finne ut hvor det er størst behov for forvaltningsrevisjon. Bestemmelsen i lovverket må forstås slik at det må utarbeides en plan som sikrer at det regelmessig gjennomføres forvaltningsrevisjon på de områdene hvor det er størst behov for forvaltningsrevisjon, og i et omfang som er tilpasset kommunens størrelse, kompleksitet og risiko. Risiko- og vesentlighetsvurderingen er gjennomført av kommunerevisjon, i samspill med kontrollutvalgssekretariatet. Vurderingen er basert på innspill fra tidligere kontrollutvalg, innsamlet skriftlig informasjon og statistikk, spørreundersøkelser sendt til folkevalgte og kommunens administrasjon.

1.3.2 Arbeidet med prosjektet/syklus i forvaltningsrevisjonsprosess

Ved utformingen av et forvaltningsrevisjonsprosjekt vil kontrollutvalget avgrense temaet slik at prosjektet blir konkret og gir kontrollutvalget de nødvendige opplysninger for deres kontroll med kommunen. Forvaltningsrevisjon skal organiseres som et prosjekt og består av fasene som figuren på neste side illustrerer:

119


Syklusen i forvaltningsrevisjon: Figur 1

1. Risiko- og vesentlighetsvurdering

2. Kontrollutvalget velger

områder

3. Kontrollutvalget og

kommunestyret vedtar

forvaltningsrevisjonsplan

5. Prosjekt gjennomføres

7. Rådmann svarer skriftlig

på anbefalinger

8. Kontrollutvalg behandler

rapport med anbefalinger, inkl

administrasjonens

tilbakemelding

9. Rapport oversendes

kommunestyret til behandling

10. Oppfølgingsrapport

utarbeides av revisjon ca 1 år

etter

kommunestyrebehandling

11. Oppfølgingsrapport

behandles i kontrollutvalg og

kommunestyret

4. Prosjektplan vedtas i

kontrollutvalget

6. Rapport ferdigstilles, med

verifisering av kontaktperson

120


1.4. Oversikt over gjennomførte prosjekter

I tabellen under vises en oversikt over hvilke forvaltningsrevisjonsprosjekter som fra 2013 til dags dato er blitt gjennomført i Halden kommune: ÅR FORVALTNINGSREVISJONSPROSJEKT

2013 Offentlige anskaffelser 2014 Rokke avfallsanlegg 2014 Internkontroll 2015 Utskrivningsklare pasienter 2017 Barnevern 2017 Mottak av flyktninger 2017 Selvkost VAR 2018 Forebyggende arbeid – psykisk helse 2018 Refusjoner 2019 Investeringsprosjekters tidligfase

2. Gjennomføring av forvaltningsrevisjon i perioden 2020-2021 2.1 Rammetimetallet til forvaltningsrevisjon

Kontrollutvalget sender hvert år samlet forslag til budsjett for kontrollarbeidet til kommunestyret, i henhold til forskrift om kontrollutvalg og revisjon § 2. I vedlegg til årsbudsjettet er ressurser til forvaltningsrevisjon spesifisert med et beløp som utgjør 1625 timer. Et forvaltningsrevisjonsprosjekt krever gjennomsnittlig 2852 timer i ressurser. For hvert prosjekt vil det også bli avsatt gjennomsnittlig 50 timer i ressurser til oppfølging ett år etter at prosjektet er behandlet i kommunestyret.

Det blir også avsatt ressurser til å gjennomføre risiko- og vesentlighetsvurdering hvert andre

år, i forkant av utarbeidelse av forvaltningsrevisjonsplan.

Før hvert prosjekt vil det bli lagt frem en prosjektbeskrivelse som beskriver forventet

timeressurs. I denne forvaltningsrevisjonsplan legges det opp til at det ut fra timeressurser

bør gjennomføres 5 prosjekter i løpet av planperioden. Imidlertid kan dette endres ut fra hvor

mange timer det vil være behov for ved det enkelte prosjekt, samt hvor mange timer som blir

benyttet til oppfølging og risiko-, vesentlighetsvurderinger i forkant av ny plan.

2.2 Kontrollutvalgets prioriteringer

I uttrykket ”risiko- og vesentlighetsvurderinger” menes at det skal gjøres en vurdering av hvilke områder i kommunens virksomheter det er risiko for vesentlige avvik. Dette i forhold til de vedtak, forutsetninger og mål som er satt for virksomheten. Med bakgrunn i denne vurderingen skal kontrollutvalget gi forslag til prioritering og utvelgelse av forvaltningsrevisjonsprosjekter.

2 1 Gjennomsnittlig (hele landet) brukes det ca. 280 timer på et forvaltningsrevisjonsprosjekt. (Jf. Rapport ”85 tilrådingar for styrkt eigenkontroll i kommunane”, KRD desember 2009, bygger på Nordlandsforsknings rapport 4/2007). I tillegg kommer tid til planlegging og administrasjon.

121


Kontrollutvalget behandlet risiko- og vesentlighetsvurderingen i sitt møte den 26/11 2019, i sak xx/xx. Kontrollutvalget vurderte det slik at følgende områder bør være gjenstand for forvaltningsrevisjon i perioden 2020-2021: I prioritert rekkefølge:

1

2

3

4

5

Omtalen av prosjektene er hentet fra risiko- og vesentlighetsvurderingen datert 2019:

Sett inn omtale fra OA

Prosjekt nummer 5 er restanseprosjekt. Det vil si at dette blir gjennomført hvis det er timer til det i planperioden, eventuelt hvis det er behov for endringer i planen.

2.3 Kommunestyrets vedtak

I kommunestyrets sak xx/xx den xx.xx xxxx ble følgende områder vedtatt: I prioritert rekkefølge:

1

2

3

4

5

Se omtalen over.

2.4 Gjennomføring av forvaltningsrevisjon

De overordnede føringene for forvaltningsrevisjon vil ligge i plan for forvaltningsrevisjon. Forvaltningsrevisjonen skal videre underlegges de eksisterende bestemmelser om gjennomføring av forvaltningsrevisjon (jf RSK 001 Standard for forvaltningsrevisjon). Kommunens valgte revisor gjennomfører forvaltningsrevisjonen i henhold til avtale. Kontrollutvalget har fullmakt til å foreta nærmere planlegging av forvaltningsrevisjonen, herunder vedta de enkelte undersøkelser/prosjektbeskrivelser og inngå avtaler om gjennomføring med revisjonen. Kontrollutvalget har en egen rutinebeskrivelse for bestilling av konkrete prosjekt

2.5 Rapportering til kommunestyret

Forvaltningsrevisjonsrapporter skal fortløpende sendes til kommunestyret etter kontrollutvalgets behandling. Kommunens revisjon skal utarbeide oppfølgingsrapporter ett år etter kommunestyrebehandling. Disse oppfølgingsrapportene skal behandles i kontrollutvalget før de blir sendt til kommunestyret for behandling. Generell rapportering fra kontrollutvalget til kommunestyret vil ellers skje via kontrollutvalgets årsrapport til kommunestyret. I årsrapporten vises kontrollutvalgets aktivitetsnivå, revisjonens rapporteringer samt resultater/oppfølging av forvaltningsrevisjonsprosjektene.

122

2.6 Delegering til kontrollutvalget

Plan for gjennomføring av forvaltningsrevisjon skal i henhold til kommunelovens § 23-3 vedtas av kommunestyret. Etter samme paragraf kan kommunestyret delegere til kontrollutvalget å vedta endringer i planen i planperioden ved eventuelle behov for dette. Dette gjelder bare hvis kontrollutvalget har fått slik fullmakt fra kommunestyret. Det fremgår av forarbeidene til loven at slike fullmakter kan være hensiktsmessige fordi risiko- og vesentlighetsvurderinger kan bli uaktuelle, og nye forhold kan komme til, slik at det av den grunn oppstår behov for å avvike fra den opprinnelige planen. Kommunestyret fattet i sitt møte den xx.xx xxx, sak xx.xx, vedtak om at kontrollutvalget gis fullmakt til å gjøre endringer i planen i planperioden ved eventuelle behov for dette. (Siste setning fjernes eventuelt hvis kommunestyret ikke fatter vedtak om slik fullmakt.)

123



Plan for eierskapskontroll for perioden 2020 - 2023

Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak:

1. Kontrollutvalget innstiller på følgende prioritering i vedlagte plan for eierskapskontroll for perioden 2020-2023:

1. 2. 3.

2. Overordnet analyse og plan for eierskapskontroll for perioden 2020-2023 oversendes

kommunestyret med følgende forslag til vedtak:

1. Plan for eierskapskontroll for perioden 2020-2023 med følgende prioritering, vedtas: 1. 2. 3.

2. Kommunestyret delegerer til kontrollutvalget å foreta endringer i planperioden


Vedlegg 1. Overordnet analyse og plan for eierskapskontroll for perioden 2020-2023 2. Kommunens eiermelding – oppdatert 2018.

Andre saksdokumenter (ikke vedlagt) Ny Kommunelov (trer i kraft ved konstituering av nytt kommunestyre/bystyre 2019)

Saksopplysninger I henhold til kommuneloven § 23-4 skal kontrollutvalget utarbeide en plan for eierskapskontroll. Kravet til utarbeidelse av plandokumentet, er minimum en gang i valgperioden. Planen som nå legges fram, er basert på en overordnet risiko- og vesentlighetsanalyse, og vil gjelde for perioden 2020-2023. Vi viser i sin helhet til vedlegg 1.

124

Kommunestyret skal i henhold til kommuneloven vedta planen for gjennomføring av eierskapskontroll. Gjennom å vedta en plan for gjennomføring av eierskapskontroll bestemmer kommunestyret innholdet i og omfanget av eierskapskontrollen. Det medfører at kommunestyret får en mer aktiv, bestemmende rolle i eierskapskontrollen og knytter kontroll og tilsyn med selskaper nærmere til kommunestyret. I perioden 2005 – 2019 har det vært kontrollutvalgets sekretariat som har gjennomført eierskapskontrollen. I ny kommunelov (trer i kraft ved konstituering av nytt kommunestyre/bystyre 2019) vi det revisjonen som heretter skal gjennomføre eierskapskontrollen.

Vurdering I vedlagte «Plan for eierskapskontroll» er følgende risiko og vesentlighetskriterier hensyntatt for de prioriteringer som fremkommer i planen:

- Selskap som er heleide av kommunen - Selskap der kommunen har omfattende eierinteresser i tall på aksjer (flertall) eller

stor økonomisk avkastning av aksjekapital - Kommunale selskap som har et samfunnsmessig ansvar - Kommunale selskap som eventuelt har direkte tjenestetilbud til kommunens

innbyggere - Kommunale selskap som eventuelt leverer virksomhetskritiske tjenester til

kommunen - Tidligere gjennomførte eierskapskontroller – resultat av disse. - At det tidligere er avdekket risikoforhold i selskapet - Generell omtale av kommunale selskaper (Etikk og omdømme) - Betydelig økonomi - tapspotensiale for kommunen

Vi viser til vedleggene til planen som viser risiko og vesentlighetsvurderingene for hvert selskap. Det kan forventes at det blir gjennomført kontroll med inntil 2 – 3 selskaper i planperioden. Med bakgrunn i risiko og vesentlighetsvurderingene for det enkelte selskap anbefaler sekretariatet at følgende selskaper/samarbeid blir prioritert.

Østfold kontrollutvalgssekretariat (§ 27) Østfold Energi AS Storgata 7 Halden AS

Planen oversendes til kommunestyret for videre politisk behandling.

125

Plan for eierskapskontroll for perioden 2020-2023

Halden kommune

Østfold kontrollutvalgssekretariat ØKUS

126

Halden kommune - Plan for eierskapskontroll 2020-2023

2

Innholdsfortegnelse

1. Innledning ............................................................................................................................... 3

1.1 Eierskapskontroll .................................................................................................................. 3

2. Generelt om risiko og vesentlighet ......................................................................................... 4

2.1 Kommunelovens krav til eiermelding .................................................................................. 4

2.2 Halden kommune - eiermelding ........................................................................................... 5

2.3 Kommunens eierinteresser som omfattes av eierskapskontroll ........................................... 6

2.4 Gjennomførte eierskapskontroller i perioden 2006 - 2019 .................................................. 6

3. Eierskapskontroll - Planperioden 2020 – 2023 ...................................................................... 6

3.1 Prioritering av selskaper ....................................................................................................... 6

3.2 Kontrollretning ..................................................................................................................... 8

3.3 Rapportering av eierskapskontrollen .................................................................................... 9

3.4 Delegering til kontrollutvalget ............................................................................................. 9

Vedlegg .................................................................................................................................... 10

Østfold Energi AS ................................................................................................................ 10 Østfold kommunerevisjon IKS ............................................................................................. 11

Øst 110-sentral IKS/Alarmsentral Brann Øst AS ................................................................ 12 Driftsassistansen i Viken IKS .............................................................................................. 13 Inspiria AS ............................................................................................................................ 14

Halden Arbeid og Vekst AS ................................................................................................. 15 Østfold kontrollutvalgssekretariat (Kl § 27) ........................................................................ 16

Halden Byutvikling AS ........................................................................................................ 17 Østfold Interkommunale Arkivselskap IKS ......................................................................... 18

Storgt 7 Halden AS .............................................................................................................. 19

127


3

1. Innledning

I kommunal sektor er det blitt mer og mer

vanlig å organisere deler av

tjenesteproduksjonen i fristilte selskap,

foretak, stiftelser og lignende. Kommunal

sektor kan velge å organisere sin virksomhet

på flere måter der de mest nærliggende er.

kommunalt foretak etter kommunelovens

kapittel 9.

interkommunale politiske råd

kommunale oppgavefellesskap

interkommunalt selskap.

aksjeselskap.

Selskapsorganisering kan gi styringsmessige

utfordringer for kommunestyret som er den

øverste beslutningstaker. I tillegg reiser det

spørsmål i forhold til tilsyn og kontroll med

denne type organisering av virksomheten.

Det faktum at en oppgave som tidligere lå

innenfor forvaltningen er organisert inn i et

utenforliggende selskap, bør ikke i seg selv

føre til mindre tilsyn og oppfølging av

kontroll- og tilsynsorganet i kommunen.

Tvert om, det kan være nødvendig med en

økning i oppfølging og koordinering da den

ligger utenfor det tradisjonelle

forvaltningsorganet.

Fra 2005 har kontrollutvalget i henhold til

kommuneloven vært pålagt å utarbeide en

plan for selskapskontroll for å føre kontroll

med kommunens eierinteresser. Kontrollen

med slike selskaper skulle bestå av

eierskapskontroll (obligatorisk) og eventuelt

forvaltningsrevisjon (valgfri).

Fra 2013 kom det et nytt tillegg i

kommuneloven om at planen skal baseres på

en overordnet analyse av kommunens eller

fylkeskommunens eierskap ut fra risiko- og

vesentlighetsvurderinger, med sikte på å

identifisere behovet for selskapskontroll på

de ulike sektorer og med de ulike

selskapene.»

Fra 2020 trer ny kommunelov i kraft og i §

23-4 er begrepet selskapskontroll tatt ut og

loven bruker nå kun begrepet

eierskapskontroll. I § 23-4 fremkommer

følgende:

«Eierskapskontroll innebærer å kontrollere

om den som utøver kommunens eller

fylkeskommunens eierinteresser, gjør dette

i samsvar med lover og forskrifter,

kommunestyrets eller fylkestingets vedtak

og anerkjente prinsipper for eierstyring.

1.1 Eierskapskontroll

Eierskapskontrollen innebærer å

kontrollere om den som utøver kommunens

eierinteresser, gjør dette i samsvar med lover

og forskrifter, kommunestyret og anerkjente

prinsipper for eierstyring.

Eierskapskontroll vil kunne bestå av

følgende kontrollelementer:

drives virksomheten innenfor rammene

av kommunen sine vedtak og

forutsetninger, og i henhold til lover og

regler.

Vurdering av den enkelte virksomhet sett

fra et eierperspektiv, herunder eventuelle

krav til egenkapital og avkastning,

overordnet regnskapsanalyse og

gjennomgang av budsjett.

Andre forhold som vedrører eier som

rapportering, opplæring, administrativ

oppfølging osv.

I siste instans er det kommunestyret som har

det overordnede ansvaret for at kommunen

har en forsvarlig eierskapsforvaltning. Se

kapitell 2.1

Innsynsrett

I henhold til kommunelovens § 23-6 kan

kontrollutvalget kreve de opplysningene

som er nødvendige for å gjennomføre sin

kontroll, fra

interkommunale selskaper etter IKS-

loven

interkommunale politiske råd


aksjeselskap der en kommune eller

fylkeskommune alene eller sammen

med andre kommuner,

fylkeskommuner eller interkommunale

128


4

selskaper direkte eller indirekte eier

alle aksjer

I tillegg har kontrollutvalgets innsynsrett og

rett til å foreta undersøkelser etter første og

andre ledd i kommunelovens § 23-6, som

vil gjelde på tilsvarende måte overfor andre

eksterne virksomheter som utfører oppgaver

på vegne av kommunen eller

fylkeskommunen.

Vedrørende kontrollutvalgets innsynsrett og

rett til å foreta undersøkelser i selskaper som

utfører oppgaver på vegne av kommunen

uttrykkes det i «NOU 2016:4 Ny

kommunelov»; er dette en ny utvidet

lovfestet innsynsrett som ligger til

kontrollutvalget og kommunens revisor.

I NOU 2016:4 legger utvalget til «selv om

kontrollbehovet i hovedsak vil kunne dekkes

gjennom kontrakt, mener utvalget at det er

nødvendig å utvide den lovfestede

innsynsretten på enkelte punkter. Dette er

tenkt som en sikkerhetsventil, til bruk der

innsynsretten i henhold til kontrakten viser

seg å ikke være tilstrekkelig til å sikre

kommunens kontrollbehov.»

Utvalget nevner eksempler i NOU 2016:4 på

eksterne virksomheter som utfører oppgaver

på vegne av kommunen innen:

barnevern

barnehage

helse og omsorg

oppvekst

Et eventuelt innsyn og undersøkelser skal

imidlertid bare omfatte det som er nødvendig

for å undersøke om kontrakten blir oppfylt.

2. Generelt om risiko og vesentlighet

I ny kommunelov § 23-4 «Eierskapskontroll»

skal kontrollutvalget skal minst én gang i

valgperioden, og senest innen utgangen av året

etter at kommunestyret eller fylkestinget er

konstituert, utarbeide en plan for hvilke

eierskapskontroller som skal gjennomføres.

Planen skal baseres på en risiko- og

vesentlighetsvurdering av kommunens og

fylkeskommunens eierskap. Hensikten med

risiko- og vesentlighetsvurderingen er å finne

ut hvor det er størst behov for

eierskapskontroll.

Risiko- og vesentlighetsanalyse er et verktøy

for å velge ut relevante selskaper for

eierskapskontroll.

Følgende kriterier for vesentlighetsanalysen,

som kan være til hjelp når kontrollutvalget

skal prioritere hvilke selskaper som skal

være gjenstand for eierskapskontroll:

Selskap som er heleide av kommunen

Selskap der kommunen har omfattende

eierinteresser i tall på aksjer (flertall)

eller stor økonomisk avkastning av

aksjekapital

Kommunale selskap som har et

samfunnsmessig ansvar

Kommunale selskap som har direkte

tjenestetilbud til kommunens innbyggere

Kommunale selskap som leverer

virksomhetskritiske tjenester til

kommunen

I forhold til risiko kan spesielt disse

forholdene vurderes:

Tidligere gjennomførte

eierskapskontroller – resultat av disse.

At det tidligere er avdekket risikoforhold

i selskapet

Generell omtale av selskapet (Etikk og

omdømme)

Betydelig økonomi - tapspotensiale for

kommunen

Utarbeidelse av dette plandokumentet ble

gjennomført i løpet av september 2019.

Analysen bygger på en gjennomgang av

kommunens eierskapsmelding, selskapenes

nettsider, selskapenes årsmeldinger,

kommunale dokumenter, kommunens

nettsider samt Proff.no. I tillegg er erfaringer

med tidligere eierskapskontroller lagt til

grunn i analysearbeidet.

2.1 Kommunelovens krav til eiermelding

I ny kommunelov § 26-1 er følgende krav til

kommunens eiermelding tatt inn:

Kommuner og fylkeskommuner skal minst

én gang i valgperioden utarbeide en

129


5

eierskapsmelding som skal vedtas av

kommunestyret eller fylkestinget selv.

Eierskapsmeldingen skal inneholde

a) kommunens eller fylkeskommunens

prinsipper for eierstyring

b) en oversikt over selskaper, kommunale

eller fylkeskommunale foretak og

andre virksomheter som kommunen

eller fylkeskommunen har

eierinteresser eller tilsvarende

interesser i.

c) kommunens eller fylkeskommunens

formål med sine eierinteresser eller

tilsvarende interesser i virksomhetene

nevnt i bokstav b

Loven trer i kraft fra og med det

konstituerende møtet i det enkelte

by/kommunestyret ved oppstart av

valgperioden 2019-2023.

2.2 Halden kommune - eiermelding

I følge eiermeldingen er denne et overordnet,

tverrpolitisk styringsdokument for

kommunale foretak og selskap som Halden

Kommune eier alene eller sammen med

andre, både offentlige og private.

Eiermeldingen skal gi en kortfattet

beskrivelse av formålet med kommunalt

eierskap, beskrivelse av aktuelle

organisasjonsformer, avklaring av roller,

oppgaver og ansvar i forhold til kommunens

selskaper, samt gi en gjennomgang av de

selskap som Halden Kommune er delaktig i.

Eiermeldingen skal synliggjøre de

holdninger kommunen har som eier, være et

fundament for en aktiv og prinsipiell

eierskapspolitikk, gi retningslinjer for

sammensetning av styrer, stille krav til

hvordan styrearbeidet blir utført, samt å

evaluere kommunens rolle som eier.

Eiermeldingen ble første gang behandlet i

Halden kommunestyre 11. desember 2014,

PS 2014/119. Nyeste vedtak i

kommunestyret er 22. mars 2018, PS

2018/28.

Hovedoppgaven til en kommune er

tjenesteproduksjon, og i noen tilfeller kan det

være formålstjenlig å organisere

tjenesteproduksjonen i et eget selskap.

Fordelene kan bl. a være:

Lage et klart skille mellom bestiller og

utfører av tjenesten

Kortere tjenestevei slik at tjenesten blir

utført på en mer effektiv måte

Økt fokus på fag

Samarbeid med andre kommuner for å

dele kostnaden på flere

Redusere økonomisk risiko

Kommunen forvalter store verdier på vegne

av fellesskapet, og det er derfor viktig å

tydeliggjøre formålet med et kommunalt

eierskap og å skape forutsigbarhet og

tydelige rammer.

Det mest fundamentale spørsmålet er

hvorvidt kommunen i det hele tatt skal være

eier av et selskap. Mange ulike forhold, lover

og forskrifter spiller inn, og kommunestyret

må fatte et vedtak om eierskap basert på en

totalvurdering av dette.

Dersom kommunen bestemmer seg for å

være eier, må strategien for eierskapet

konkretiseres slik at kommunens

forventninger og krav kan kommuniseres

tydelig til de ulike selskapene. En overordnet

eierstrategi vil bidra til tydelige målsetninger

for eierskapet, klare forventninger til styret

om hvordan selskapet skal driftes, åpenhet

for allmennheten og det gir et grunnlag for at

verdiene forvaltes på best mulig måte.

Fordelene med en tydelig eierstrategi er bl.a:

Selskapet vet hva eier forventer å få ut av

eierskapet

Bedre kommuniserte mål vil forenkle

selskapenes strategiarbeid og gir styret

klare retningslinjer å jobbe etter

Det er lettere for kommunen å evaluere

om selskapet oppfyller forventningene

og om fortsatt eierskap er aktuelt.

Klare mål gjør det lettere å vurdere

selskapenes økonomiske og

samfunnsmessige resultater.

130


6

Det er flere ulike måter å forankre en

eierstrategi på i selskapet. For det første vil

selskapets formålsparagraf og vedtekter

tegne opp en ytre ramme. I tillegg vil

generalforsamlingsvedtak kunne gi

instrukser om eiers krav og forventninger.

Den løpende kommunikasjon mellom eier og

styre er også viktig. Formålet med

kommunalt eierskap kan spenne fra et

finansielt eierskap basert på

avkastningsbetraktninger, til et politisk

eierskap med fokus på politisk

måloppnåelse. Eierstrategien må tydelig ta

stilling til slike spørsmål.

En eierstrategi er en politisk viljeserklæring,

og bør evalueres med jevne mellomrom. Det

politiske flertallets tanker og vurderinger kan

endres etter et valg, og eksterne vilkår kan gi

grunnlag for å endre eierstrategien.

Halden kommunes eierstrategi for de ulike

selskapene fremkommer ikke like tydelig for

alle selskaper. Det vil være viktig å sette

fokus på gjennomgang og utvikling av disse

i fremtiden.

Vi viser til eiermeldingen i sin helhet som

ligger til saken (vedlegg 2).

2.3 Kommunens eierinteresser som

omfattes av eierskapskontroll

Som nevnt i kapitel 1 er det kun heleide

kommunale/fylkeskommunale

aksjeselskaper, interkommunale selskap,

interkommunale politiske råd og


som er omfattet av eierskapskontrollen, jfr

kommunelovens § 23-6. Ved gjennomgang

av kommunes dokumentasjon høsten 2019 er

følgende selskap omfattet av eierskaps-

kontrollen:

Østfold Energi AS

Halden Arbeid og Vekst AS

Østfold kommunerevisjon IKS


Driftsassistansen i Viken IKS

Inspiria AS

Storgata 7 Halden AS

Østfold Interkommunale Arkivselskap

IKS

Øst 110-sentral IKS/Alarmsentral Brann

Øst AS

Østfold kontrollutvalgssekretariat § 27

I vedlegget til planen gis det en oversikt i

tabellform over aktuelle selskap derav

kommunes eierandeler av total aksjekapital

og øvrig eier-konstellasjoner. I tillegg gis en

generell informasjon om det enkelte selskap,

generell/spesifikk fokusområder fra

eiermeldingen og funn for tidligere

gjennomført eierskapskontroll.

2.4 Gjennomførte eierskapskontroller i

perioden 2006 - 2019

For Halden kommune sin del er det

gjennomført 7 eierskapskontroller i perioden

2006 - 2019.

Følgende selskap er tidligere behandlet i

kontrollutvalget og kommunestyret:

Østfold Energi AS (2006)

Halden Arbeid og Vekst AS (2007)

Østfold kommunerevisjon IKS (2011)

Driftsassistansen i Viken IKS (2013)

Alarmsentralen Brann Øst AS (2014)

Østfold Interkommunale Arkivselskap

(2016)

Halden Byutvikling AS (2017/18)

Andre selskaper Halden kommune har

eierinteresser i, og som har vært gjenstand

for eierskapskontroll:

Inspiria AS (2013 og 2014)

Kontrollen har vært gjennomført av Østfold

fylkeskommunes revisor.

3. Eierskapskontroll - Planperioden 2020

– 2023

3.1 Prioritering av selskaper

I planen for gjennomføring av

eierskapskontrollen prioriteres selskap ut fra

følgende kriterier:

- Selskap som er heleide av kommunen

- Selskap der kommunen har omfattende

eierinteresser i tall på aksjer (flertall)

131


7

eller stor økonomisk del i forhold til

aksjekapital

- Kommunale selskap som har direkte

tjenestetilbud til kommunens innbyggere

I forhold til risiko er disse forholdene

vurdert:

- Tidligere gjennomførte

eierskapskontroller – resultat av disse.

- At det tidligere er avdekket risikoforhold

i selskapet

- Generell omtale av selskapet (Etikk og

omdømme)

Selskaper som tidligere har vært gjenstand

for eierskapskontroll, er vurdert på nytt

Vi viser til fakta-ark om det enkelte selskap

(vedleggene) hvor det er gjort en

gjennomgang og vurdering av selskapet om

hvilke faktorer som kan påvirke risikoen

eller forhold som reduserer risikoen. Nederst

i den enkelte tabell gis en kort

oppsummering om aktualitet. Det er denne

oppsummeringen som er tatt inn i den

forenklede tabell 2. Hensikten med det er at

det blir enklere å forta en prioritering.

Selskap Tidligere kontrollert

Ja Nei

Lav

aktualitet

Middels

aktualitet

Høy

aktualitet

Østfold Energi AS

x


x

Halden Byutvikling

x

Inspiria AS (x)1

Østfold Kommunerevisjon IKS (x)2

Driftsassistansen i Østfold IKS x

Øst 110-sentral IKS / Alarmsentral

Brann Øst AS (x)3

Storgt 7 Halden AS

x

Østfold interkommunale

Arkivselskap IKS

x

Østfold kontrollutvalgssekretariat

x

Tabell 1

1 Forvaltningsrevisjon/eierskapskontroll er gjennomført for selskapet av Østfold fylkesrevisjon 2 Eierskapskontroll er gjennomført for andre eierkommuner av Østfold kontrollutvalgssekretariat 3 Eierskapskontroll er gjennomført for andre eierkommuner av Østfold kontrollutvalgssekretariat

132

På bakgrunn av vurderingen anbefales det at

først og fremst å gjennomføre

eierskapskontroll på de selskaper det ikke

tidligere er gjennomført kontroll på. I tillegg

bør de selskaper som har middels aktualitet

settes opp som påfølgende selskaper.

Det kan forventes at det gjennomføres en til

to eierskapskontroller i planperioden. Det vil

i så fall bety at de to selskapene som det ikke

tidligere er gjennomført kontroll på vil kunne

gjennomføres i planperioden. Det kan være

praktisk å legge til de selskapene som er

under kategorien middels aktualitet inn i

planen som en reserve, eventuelt overføres

til neste planperiode.

Forslag til valg av selskaper for eierskapskontroll i planperioden 2020 – 2023:

Selskap

Prioritering 1 Prioritering 2

Østfold kontrollutvalgssekretariat (§ 27) x

Østfold Energi AS

x

Storgt. 7 Halden AS x

Tabell 2.

3.2 Kontrollretning

Grunnlag for utvelgelse av kontroll-

sjekkpunkter er i hovedsak i henhold til

”Veileder for gjennomføring av

selskapskontroll”, utarbeidet av Norges

Kommunerevisor forbund (NKRF) i 2018. I

tillegg er enkelte kontrollpunkter tilkommet

gjennom erfaring med tidligere

eierskapskontroller. Følgende hovedpunkter

legges til grunn i eierskapskontrollarbeidet i

planperioden 2020 - 2023:

Eiermelding/eierstrategier

Følge opp om kommunen har etablert

eiermelding i henhold til lovkrav

Har kommunen etablerte tilfredsstillende

rutiner eller retningslinjer for eierstyring.

Følge opp spesifikke føringer som er gitt

for det enkelte selskap, for eksempel

avkastningskrav og kvalitetskrav

Oppfølging av rapportering til eier

(politiske organer)

Opplæring av styremedlemmer

(kompetansefremmede tiltak)

Krav til Etikkreglement (eks. tiltak mot

sosial dumping og

antikorrupsjonsarbeid) og styreinstruks

Krav til retningslinjer for miljøvennlig

drift

Selskapets vedtekter/selskapsavtalen

Kontrollere generelle og spesielt

spesifikke føringer er gitt i

vedtektene/selskapsavtalen

Selskapets formålsparagraf

Er denne klar og tydelig på selskapets

oppgaver

Er oppgavene som utfører innenfor

selskapets formålsparagraf

Styret – følges lovverkets bestemmelser

antall styremøter,

økonomisk rapportering - periodisk

Saker til behandling - riktig organ?

Kjønnsfordeling –følges nye lovkrav

Generalforsamling/representantskap –

lovverkets bestemmelser

At lovpålagte saker (minimum) til

behandling bli satt opp.

Økonomisk analyse/utvikling av

selskapet de siste 3 år

Fokus på driftsresultat –

gjeldssituasjonen - egenkapitalen

Resultatet av eierskapskontrollen kan være

avgjørende for om det skal iverksette

forvaltningsrevisjon. Ved gjennomføring av

133


9

forvaltningsrevisjonen skal dette underlegges

de eksisterende bestemmelser om

gjennomføring av forvaltningsrevisjon (RSK

001 Standard for FR). Ved iverksettelse av

forvaltningsrevisjon skal dette innarbeides i

plan for forvaltningsrevisjon for aktuelle

planperiode.

3.3 Rapportering av eierskapskontrollen

I henhold til Forskrift om kontrollutvalg og

revisjon, skal kontrollutvalget rapportere til

kommunestyret eller fylkestinget om

gjennomførte forvaltningsrevisjoner og

eierskapskontroller og resultatet av dem.

I henhold til Forskrift om kontrollutvalg og

revisjon § 5 skal kontrollutvalget påse at

kommunestyrets eller fylkestingets vedtak

om regnskapsrevisjoner,

forvaltningsrevisjoner og eierskapskontroller

blir fulgt opp, og skal rapportere til

kommunestyret eller fylkestinget om

vedtaket er fulgt opp.

Generelt vil rapportering fra kontrollutvalget

til kommunestyret i Halden skje gjennom en

årlig rapport som kalles ”Årsrapport for

kontrollutvalget”. I den årlige rapporten

vises kontrollutvalgets aktivitetsnivå,

revisjonens rapporteringer, resultater av

forvaltningsrevisjonsprosjekter og

eierskapskontroller.

3.4 Delegering til kontrollutvalget

Plan for gjennomføring av eierskapskontroll

skal etter Lov om kommuner og

fylkeskommuner 23-4 vedtas av

kommunestyret. Etter samme paragraf kan

kommunestyret delegere til kontrollutvalget

å vurdere eventuelle behov for endringer i

planen i planperioden.

134

Vedlegg

Østfold Energi AS

Østfold Energi AS Halden eierandel: 7,14 %

I 1988 inngikk fylkeskommunen og alle kommunene i Østfold en intensjonsavtale om å danne Østfold Energiverk AS. Fylkeskommunen eide alle aksjene, og kommunene skulle få aksjer dersom de gikk inn med sine elektrisitetsverk. Østfold Energi ble startet for å skaffe mer strøm til fylket. I dag produserer selskapet fornybar energi til en verden som trenger det, og gir langsiktige verdier til eierne våre og lokalsamfunnene vi er engasjert i. Vannkraft er en viktig ressurs i Norge, og også for Østfold Energi. 95 prosent av energiproduksjonen i selskapet kommer fra vannkraft fra de ti kraftverkene selskapet eier i Indre Sogn, Østfold og Nordland.

Selskapet har følgende tre nøkkeltall de to siste regnskapsår:

Nøkkeltall 2018 2017

Resultatsgrad av

driften i %

50,3 39,9

Egenkapitalandel i % 44,1 47,6

Likviditetsgrad 1,45 1,78

Nøkkelpunkter

Industrielt formål

Delt eierskap med flere andre kommunale eiere samt fylkes kommunen

Meget stor økonomisk verdi

Betydelig årlig utbytte fra selskapet

Svært gode nøkkeltall. Selskapet var gjenstand for eierskapskontroll i 2006. Anbefalte forbedringer gitt i rapporten:

At eiermelding etableres

rapportering til kommunestyret

fokus på opplæring av nyvalgte styremedlemmer

Spesifikk vurdering/fokusområder hentet fra kommunens eiermelding

Halden kommune sin viktigste strategi med eierskapet er å arbeide for at selskapet bidrar i forsknings og utviklingssammenheng – i NCE-klyngen. Gjennom samarbeid i NCE-klyngen forventes en økt aktivitet på Remmen, og en langsiktig effekt på selskapsetableringer innenfor dette kompetansemiljøet. Det forventes en langsiktig avkastning på selskapets kapital og et utbytte på 1,5 %.

Vurdering for planperioden 2020 - 2023:

Selskapet har betydelig kapitalverdi for eier og selskapet har i årenes løp bidratt med betydelig utbytte til eiere. Samlet vurderingen av vesentlighet er - Høy. Selskapets kan vise til svært gode nøkkeltall. Det er ikke registrert negativ omtale av selskapet. Kommunen har relativ liten eierandel. Tidligere anbefalte forhold i rapporten fra 2006 har blitt fulgt opp. Samlet vurdering av risiko: Lav.

Prioritering: Middels.

135


11

Østfold kommunerevisjon IKS

Østfold kommunerevisjon IKS Halden eierandel: 14 %

Østfold kommunerevisjon IKS er en interkommunal revisjonsordning som utfører revisjonstjenester for Fredrikstad, Halden, Hvaler, Moss, Rygge, Råde og Sarpsborg kommune. Selskapet reviderer også andre kommunale foretak. Østfold kommunerevisjon IKS har 15 fast ansatte med tverrfaglig kompetanse; revisjonsfaglig, økonomisk, juridisk og samfunnsvitenskapelig utdanning, og med bred erfaring fra kommunal revisjon.


Resultatsgrad av driften i %

1,27 11,5

Egenkapitalandel i % -4,6 -8,7


Nøkkelpunkter

Samfunnsøkonomisk formål/funksjon

Lovpålagt oppgave

nonprofit drevet

Ingen langsiktig gjeld

God økonomi i selskapet

Selskapet var gjenstand for eierskapskontroll i 2011. Det ble ikke gitt anbefalinger til nødvendige tiltak i rapporten: Helhetsinntrykket av selskapet er at den er godt forvaltet, og driften er innen formålsparagrafen.

Spesifikk vurdering/fokusområder fra kommunens eiermelding

Halden kommune forventer at selskapet leverer revisjonstjenester av høy kvalitet og til konkurransedyktige priser. Videre mener kommunen at for å være medeier i selskapet er det nødvendig å kjøpe alle tjenestene av selskapet. I dag leverer Østfold kommunerevisjon tjenester innen forvaltningsrevisjon og selskapskontroll. Regnskapsrevisjon blir levert av Deloitte AS. Det anbefales i eierskapsmeldingen at ved neste anbudsrunde på revisjonstjenester, bør kommunen selge seg ut av selskapet dersom ikke selskapet blir totalleverandør av revisjonstjenesten.


Selskapet er etablert i fellesskap med andre kommuner for å løse en lovpålagt oppgave. Selskapet driver etter non profitt og selskapet mottar årlige tilskudd. Samlet vurdering av vesentlighet er - Lav. Det er ikke gitt kommunale garantier. Det er ikke registrert negativ omtale av selskapet. Det var gjennomført en eierskapskontroll i selskapet i 2011. Samlet vurdering av risiko - Lav.

Prioritering: lav

136


12

Øst 110-sentral IKS/Alarmsentral Brann Øst AS

Øst 110-sentral IKS/Alarmsentral Brann Øst AS Haldens eierandel: 0,92 %

Alarmsentral Brann Øst AS er under avvikling og er erstattet med Øst-110 Sentral IKS fra 2018/2019. Det var i forbindelse med politireformen at det ble besluttet at brannvesenets 110-sentraler skulle samlokaliseres med politiets operasjonssentraler i de 12 nye politidistriktene i Norge. I Øst politidistrikt skjedde dette i nye lokaler i politihuset i Ski sentrum varen 2018, og det nye selskapet Øst 110-sentral IKS erstattet tidligere 2 sentraler (Alarmsentral Brann Øst og Romerike 110-sentral Selskapet ivaretar kommunens lovpålagte oppgaver etter brann- og eksplosjonsvernloven § 16 og dimensjoneringsforskriften § 4-5 om plikt til å følge opp nødmeldinger og meldinger om brann- og andre ulykker.



-20,2 1,2

Egenkapitalandel i %

85,1 28,4


Nøkkelpunkter

Samfunnsøkonomisk formål/ funksjon

Lovpålagt

God økonomi/egenkapital i selskapet

Selskapet var gjenstand for eierskapskontroll i 2014. Anbefalte forbedringer gitt i rapporten:

Mangler etikkreglement Helhetsinntrykket av selskapet er at den er godt driftet, og driften er innen formålsparagrafen.

Spesifikk vurdering/fokusområder fra kommunes eiermelding

Å sikre en rask, effektiv, og kvalitetsmessig varslingstjeneste i forhold til brann og ulykke for kommunens innbyggere. Selskapet skal løse de lovpålagte oppgavene som er lagt til nødmeldetjenesten.


Selskapet er etablert i fellesskap med andre kommuner for å løse en lovpålagt oppgave. Selskapet mottar årlige tilskudd samt har noe eget salg. Samlet vurdering av vesentlighet er - Lav. Det er ikke gitt kommunale garantier. Det er ikke registrert negativ omtale av selskapet. Det var gjennomført en eierskapskontroll i selskapet i 2014. Samlet vurdering av risiko - Lav.

Prioritering: lav

137


13

Driftsassistansen i Viken IKS

Driftsassistansen i Viken IKS Kommunens eierandel: 14 %

Driftsassistansen i Viken IKS eies av 18 kommuner i Østfold. Selskapet fungerer som et kompetansesenter for kommunene innen VA-området. Selskapet ble opprettet som et interkommunalt samarbeid om avløp i 1997. Ordningen ble videreført som interkommunalt selskap (IKS) og stiftet den 24.02 2004. I henhold til selskapets nettside er formålet med driftsassistansen å bidra til bedre og mer stabil drift av avløpsanleggene. Driftsassistansen fungerer også som en faglig støttespiller for kommunene i forbindelse med bygging og rehabilitering av rense- og ledningsanlegg. Selskapet bistår også kommunene med gjennomføring av nye krav fra myndighetene. Kort sagt skal driftsassistansen fungere som et felles kompetanseorgan for kommunene innen transport og behandling av avløpsvann.



5,8 -0,8


55 45,6


Nøkkelpunkter



1/3 av selskapets inntekter er årlige tilskudd fra eiere.

Ingen langsiktig gjeld. Selskapet var gjenstand for eierskapskontroll i 2013. Anbefalte forbedringer gitt i rapporten:

At representantskapet vurderer selskapets formålsparagraf § 3 om denne skal endres slik at den gir klart uttrykk for eierens formål og ambisjoner med selskapet

Ved kjøp av revisjonstjeneste bør Selskapet legge samme praksis til grunn som sine eiere (kommunene).

Representantskapet bør behandle årsbudsjettet som eget sak

Helhetsinntrykket av selskapet er at den er godt driftet og selskapet har god økonomi


Det kan være lønnsom for kommunen å bruke selskapet i forhold til å ansette egne folk eller kjøpe tjenesten hos andre konsulentselskap. Kommunens eierskapsmelding sier videre at dersom fastpris og kostnad for kjøpe tjenester overstiger det å ansette egen person eller kjøpe tjenesten av andre, bør kommunen tre ut av selskapet.


Selskapet er etablert i fellesskap med andre kommuner for å fungere som et felles kompetanseorgan for kommunene innen transport og behandling av avløpsvann. Selskapet mottar årlige tilskudd samt har også eget salg. Samlet vurdering av vesentlighet er - Lav. Det er ikke gitt kommunale garantier. Det er ikke registrert negativ omtale av selskapet. Det var gjennomført en eierskapskontroll i selskapet i 2013. Samlet vurdering av risiko - Lav.

Prioritering: lav

138


14

Inspiria AS

Inspiria AS Eierandel: 17 kommuner eier 5 % tilsammen. Halden under 1 % eierandel.

INSPIRIA science center AS har valgt en selskapsstruktur der nybygget eies av morselskapet INSPIRIA eiendom AS, mens driften av senteret skjer gjennom datterselskapet INSPIRIA science center AS. INSPIRIA eiendom eier også INSPIRIA utvikling AS, som eier og leier ut kontorseksjonen i bygget. INSPIRIA eiendom AS eies 47,5 % av Sarpsborg kommune, 47,5 % av Østfold fylkeskommune, og 5 % av øvrige Østfoldkommuner. INSPIRIA science center leverer i dag skoleprogrammer til elever og lærere ved grunntrinn og videregående skole i Østfold. I august 2011 åpnet et nytt spektakulært vitensenter i eget nybygg på 6400 m2 ved E6 på Grålum i Sarpsborg. Med det nye senteret utvides dagens skoletilbud til et populærvitenskapelig opplevelsessenter for familie- og turistmarkedet, og en unik møte- og arrangementsarena.



71,6 42,5


-18 -22,5


Nøkkelpunkter


Anstrengt økonomi i selskapet, negativ egenkapital

Østfold Fylkeskommune har gjennomført 2 forvaltnings-revisjonskontroller, siste i oktober i 2014. Revisjonen har fremmet ni punkter/tiltak til forbedring

Spesifikk vurdering/fokusområder fra kommunes eiermelding

Ingen, Halden kommune - sammen med andre 16 Østfoldkommuner gikk inn med 5 % eierandel etter at eiermeldingen ble vedtatt.


Selskapet er samfunnsøkonomisk viktig for de to største eierne, selskapet har betydelig kapitalverdi. Fredrikstad kommunen har svært liten eierandel (under 1 %). Samlet vurderingen av vesentlighet er - Lav. Selskapets kan vise til anstrengt økonomi. Det er ikke registrert negativ omtale av selskapet med unntak av økonomiske utfordringer. Selskaper har vært gjenstand for to eierskapskontroller fra den største eier Østfold fylkeskommune i 2013 og 2014. Samlet vurdering av risiko for Fredrikstad kommune: Lav.

Prioritering: lav

139


15



Eierandel: 100 %

Halden Arbeid og Vekst AS er en attføringsbedrift med virksomhet innen elektro og catering. Videre utføres bilpleie, pakke- monteringstjenester, makuleringstjenester, transporttjenester, salg av ved/strøsand, vaktmestertjenester og kafe/kantinedrift. Selskapet har også en gjenbruksbutikk. Som attføringsbedrift yter bedriften bistand til arbeidssøkere i ulike arbeidsrettede tiltak. Virksomheten er lokalisert i Halden. Selskapet har følgende tre nøkkeltall de to siste regnskapsår:



4 10,1



Nøkkelpunkter

VTA - bedrift

Samfunnsøkonomisk funksjon


Gir ikke utbytte / overskudd blir i selskapet

Selskapet var gjenstand for eierskapskontroll i 2008. Anbefalte forbedringer gitt i rapporten:

at kommunen utarbeider eiermelding slik at eierstrategien for kommunens selskaper synliggjøres samt at eierens målsetting med selskapet blir klart definert.

at kommunen(eier) utarbeider faste rutiner for rapportering mellom dens valgte representanter (f.eks. generalforsamlingen) og dens administrative og politiske ledelse.

Spesifikk vurdering/fokusområder hentet fra kommunens eierstrategimelding

Kommunen vil årlig, gjennomen dialog med selskapet, vurdere utvidelser av tjenesteområder. Selskapet skal bidra å bygge opp under og bidra til positive arrangement i Halden samfunnet. Eier forventer at selskapets kapital forrentes tilsvarende KPI Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet.

Vurdering for planperioden 2016 - 2019: Selskapet er samfunnsøkonomisk viktig for eiere og har betydning for å skape grunnlag for sysselsetting av personer med lav arbeidskapasitet. Drivers etter retningslinjer fra NAV. Eget salg og tilskudds fra Nav står for det meste av omsetningen. Samlet vurdering av vesentlighet er - Lav. Selskapets kan vise til svært gode nøkkeltall. Ingen kommunale garantier. Etter lov skal selskapet beholde regnskapsoverskudd i selskapet. Det er ikke registrert negativ omtale av selskapet. Det har tidligere vært gjennomført en eierskapskontroll i selskapet i 2008 Samlet vurdering av risiko - Lav Prioritering: lav

140


16

Østfold kontrollutvalgssekretariat (Kl § 27)

Østfold kontrollutvalgssekretariat (Kommunelovens § 27) Eierandel: 15 %

Østfold kontrollutvalgssekretariat ble dannet 01.01 2005. Grunnlaget var at kommuneloven stilte krav til at sekretariatsfunksjonen til kontrollutvalget skal være uavhengig av hvilken revisjonsleverandør som en kommune måtte velge. Tidligere (før 2005) ble sekretariatsfunksjon ivaretatt av kommunerevisjonen. ØKUS har 6 eiere (Fredrikstad, Sarpsborg, Moss, Halden, Råde og Hvaler kommune). Samarbeidet har 2 ansatte.



7,8 9,2


Ikke aktuell Ikke aktuell

Likviditetsgrad Ikke aktuell Ikke aktuell

Nøkkelpunkter

Samfunnsmessig formål/ funksjon

Eget juridisk rettssubjekt

Regnskap/lønn blir ført av Fr.stad kommune

Ikke egen bankkonti/kasse

nonprofit drevet, tjenesteproduksjon til selvkost


Ingen vurdering er gitt.


Samarbeidet er etablert i fellesskap med andre kommuner for å løse en lovpålagt oppgave. Samarbeidet driver etter non profitt og selskapet mottar årlige tilskudd. Samlet vurdering av vesentlighet er - Lav. Det er ikke gitt kommunale garantier. Det er ikke registrert negativ omtale av samarbeidet. Non profitt samarbeid, regnskapsbehandling blir utført av Fredrikstad kommune. Samlet vurdering av risiko - Lav. Samarbeidet har ikke tidligere vært gjenstand for eierskapskontroll. Meg bakgrunn i samarbeidets funksjon bør eierskapskontroll gjennomføres selv om risiko og vesentlighet er lav. Aktualitet: høy

141


17



Eierandel: 100 %

Halden Byutvikling As ble stiftet 01.02 1999. Halden kommune er 100 % eier av selskapet. Selskapets formål er å forestå byutvikling og planlegging med basis i politiske fattede vedtak.

Forventingen til selskapet er å følge opp forpliktelser i inngått avtale på en korrekt og selvstendig måte Ifht. Forpliktelser forventes at disse løses på en økonomisk gunstig måte, slik at selskapets økonomiske forpliktelser overfor Halden kommune kan innfris.




-92 -

Egenkapitalandel i % -2,5 -0,8

Likviditetsgrad -41 -126

Nøkkelpunkter


Selskapets aktiva er tomter.

Anstreng økonomi i selskapet, dårlig driftsresultat de siste 4 – 5 årene.

Negativ egenkapital

Ikke tidligere gjennomført eierskapskontroll

Selskapet var gjenstand for eierskapskontroll i 2017/18. Anbefalte forbedringer gitt i rapporten:

At til enhver oppdatert eiermeldingen kommuniseres direkte til alle kommunens selskaper.

At det sørges for at et felles seminar for alle styremedlemmer blir avholdt slik at styremedlemmer blir kjent med sitt ansvar og oppgaver på en god måte.

At administrasjonen sørger for årlig tilbakerapportering til kommunestyret slik at de holdes informert om sine eierinteresser.


Kommunens eierstrategi er å bruke selskapet aktivt til å gjennomføre de forpliktelser det har påtatt seg gjennom salg av Tyska og Hollenderen til Norsk helsehus AS/Fredrikshald Brygge AS. Etter kommunens eiermelding skal selskapet avvikles når oppdraget i fht. Tyska og Hollenderen er gjennomført.


Selskapets formål er å forestå byutvikling og planlegging. Etter kommunens eiermelding skal selskapet avvikles når oppdraget i fht. Tyska og Hollenderen er gjennomført. Samlet vurdering av vesentlighet er - Lav. Det er ikke stilt kommunale garantier. Det er ikke registrert negativ omtale av selskapet. Det var gjennomført en eierskapskontroll i selskapet i 2017/18. Samlet vurdering av risiko - Lav.

Aktualitet: Høy

142


18

Østfold Interkommunale Arkivselskap IKS

Østfold interkommunale Arkivselskap IKS

Eierandel: 6,12 %

IKA Østfold er et interkommunalt selskap, organisert etter Lov om interkommunale selskaper. Selskapets fulle navn er Østfold interkommunale arkivselskap IKS. Selskapet har 17 deleiere. Selskapets finansieres ved årlig eiertilskudd basert på folketallet. Dette eiertilskuddet er med på å dekke daglig drift av selskapet og arkivfaglige tjenester til eierne. Siden oppstarten av selskapet i 2002 har det vært et mål å få etablert et arkivdepot i Østfold. Da det kom nye og strengere regler for oppbevaring av eldre arkiver, var det mest økonomisk gunstig å få til et felles arkivdepot i Østfold. Dette er nå realisert i et nybygg som oppfyller alle kravene som lovverket stiller. 27. november 2014 åpnet det interkommunale

arkivet offisielt.

Nøkkelpunkter

Samfunnsøkonomisk formål/funksjon

Lovpålagt oppgave

nonprofit drevet

årlig tilskudd fra eiere

Selskapet var gjenstand for eierskapskontroll i 2016.


«Kommunens eierstrategi er å medvirke til at selskapets tjenester blir gode og utvikler seg i forhold til å kunne betjene deltakerkommuner i fht våre forventninger og Statsarkivenes pålegg og rutiner. Som alle IKS` er kommunen er med i er det viktig å arbeide for at ressursbruk ikke skal være vesentlig forskjell fra Halden kommune».

Vurdering for planperioden 2020 - 2023: Samarbeidet er etablert i fellesskap med andre kommuner for å løse en lovpålagt oppgave. Samarbeidet driver etter non profitt og selskapet mottar årlige tilskudd. Råde kommune har svært liten eierandel. Samlet vurdering av vesentlighet er - Lav. Det er ikke gitt kommunale garantier. Det er ikke registrert negativ omtale av samarbeidet. Non profitt samarbeid. Det var gjennomført en eierskapskontroll i selskapet i 2016. Samlet vurdering av risiko - Lav. Prioritering: lav

143

Storgt 7 Halden AS

Storgata 7 Halden AS

Eierandel: 100 %

Storgata 7 Halden AS (tidligere Halden Technology Centre AS) holder til i Halden. Selskapets virke er innen eiendomsforvaltning (utleie).

Selskapet ble stiftet 20.11 2004. Omsetning i selskapet har de siste 4 – 5 årene ligger rundt 2 millioner per år. Selskapet har ingen ansatte.




49,6 60,4



Nøkkelpunkter

Generelt:

Samfunnsmessig formål

Selskapet har ingen ansatte

Kommunen har ikke gitt garantier.

Ikke tidligere gjennomført eierskapskontroll


Haldens eierstrategi er å være en stabil eier, og utvikle selskapets eiendom på en slik måte at det blir en helhet i bygningsmassen ved Wiels plass. Eiers forventinger til selskapet er at det driftes forsvarlig. Per dags dato er det økonomisk mest gunstig for Halden kommune å opprettholde Storgata 7 som et eget AS fremfor å innlemme bygget i egen virksomhet.

Vurdering for planperioden 2016 - 2019: Grunnen til ikke å avvikle selskapet og legge det inn i kommunes ordinære regnskap er at kan utløse betydelige store summer for avgifter til staten. Driver kun med ren utleie til kommunale leietakere. Lav omsetning. Samlet vurdering av vesentlighet er - Lav. Det er ikke gitt kommunale garantier. Det er ikke registrert negativ omtale av selskapet. Samlet vurdering av risiko - Lav. Det har ikke vært gjennomført en eierskapskontroll. Aktualitet: Middels

144


20

Forklaring på nøkkeltallbegreper:

Resultat av driften i %: Denne formelen forteller om hvor mye som blir igjen av driftsresultatet for hver krone i driftsinntekt foretaket har. Dette er et mål på foretakets evne til å hente margin på driftsinntektene

Beregningsmodell:

DR * 100/SDI = Resultat av driften i % DR: Driftsresultat SDI: Sum driftsinntekter

Egenkapitalandel i %: Hvis sum egenkapital < 100 000,- anses soliditeten uansett for å være svak. Egenkapitalandelen viser hvor stor andel av eiendelene som er finansiert med egenkapitalen.

Beregningsmodell:

SEK * 100/SGE = Soliditet

SEK: Sum egenkapital SGE: Sum egenkapital og gjeld

Likviditetsgrad: Dette er et mål på hvor mye kortsiktige midler foretaket har i forhold til forpliktelsene selskapet har på samme tidshorisont. Kortsiktig gjeld er forpliktelser som forfaller innen ett år, mens omløpsmidler er midler i foretaket som kan likvideres innen ett år.

Beregningsmodell:

SOM/SKG = Likviditetsgrad1 SOM: Sum omløpsmidler SKG: Sum kortsiktig gjeld

145

146

Side 2 av 44

Innholdsfortegnelse

1. Bakgrunn ......................................................................................................................................... 3

2. Formål med kommunalt eierskap og behov for eierstrategi .......................................................... 3

3. Overordnet eierskapspolitikk .......................................................................................................... 4

1. Overordnede prinsipper .............................................................................................................. 4

2. Samfunnsmessig forretningsdrift ................................................................................................ 5

3. Åpenhet ....................................................................................................................................... 5

4. Etikk ............................................................................................................................................. 5

5. Eiermøter ..................................................................................................................................... 5

6. Langsiktige mål ............................................................................................................................ 6

7. Resultatkrav ................................................................................................................................. 6

8. Utbyttepolitikk ............................................................................................................................. 6

9. Egenkapital .................................................................................................................................. 7

10. Generalforsamling og representantskapets rolle .................................................................... 7

11. Styrets rolle og oppgave .......................................................................................................... 7

12. Styrets sammensetning og uavhengighet ............................................................................... 9

13. Valg av styre ............................................................................................................................ 9

14. Oppfølging av kommunalt eide og deleide foretak ............................................................... 11

15. Kommunestyrets oppgave .................................................................................................... 11

16. Administrasjonens oppgaver ................................................................................................. 13

4. Evaluering av det kommunale eierskapet. .................................................................................... 14

5. Oversikt over Haldens kommunes eierskap og eierstrategi.......................................................... 15

6. Oppsummering .............................................................................................................................. 42

7. Lover og forskrifter: ....................................................................................................................... 42

8. Vedlegg – Beskrivelse av ulike organisasjonsformer ..................................................................... 42

147

Side 3 av 44

1. Bakgrunn Denne eiermeldingen er et overordnet, tverrpolitisk styringsdokument for kommunale foretak og selskap som Halden Kommune eier alene eller sammen med andre, både offentlige og private. Eiermeldingen skal gi en kortfattet beskrivelse av formålet med kommunalt eierskap, beskrivelse av aktuelle organisasjonsformer, avklaring av roller, oppgaver og ansvar i forhold til kommunens selskaper, samt gi en gjennomgang av de selskap som Halden Kommune er delaktig i. Eiermeldingen skal synliggjøre de holdninger kommunen har som eier, være et fundament for en aktiv og prinsipiell eierskapspolitikk, gi retningslinjer for sammensetning av styrer, stille krav til hvordan styrearbeidet blir utført, samt å evaluere kommunens rolle som eier. Eiermeldingen ble første gang behandlet i Halden kommunestyre 11. desember 2014, PS 2014/119. Nyeste vedtak i kommunestyret er 22. mars 2018, PS 2018/28.

2. Formål med kommunalt eierskap og behov for eierstrategi Hovedoppgaven til en kommune er tjenesteproduksjon, og i noen tilfeller kan det være formålstjenlig å organisere tjenesteproduksjonen i et eget selskap. Fordelene kan bl. a være:

Lage et klart skille mellom bestiller og utfører av tjenesten

Kortere tjenestevei slik at tjenesten blir utført på en mer effektiv måte

Økt fokus på fag

Samarbeid med andre kommuner for å dele kostnaden på flere

Redusere økonomisk risiko Kommunen forvalter store verdier på vegne av fellesskapet, og det er derfor viktig å tydeliggjøre formålet med et kommunalt eierskap og å skape forutsigbarhet og tydelige rammer. Det mest fundamentale spørsmålet er hvorvidt kommunen i det hele tatt skal være eier av et selskap. Mange ulike forhold, lover og forskrifter spiller inn, og kommunestyret må fatte et vedtak om eierskap basert på en totalvurdering av dette. Dersom kommunen bestemmer seg for å være eier, må strategien for eierskapet konkretiseres slik at kommunens forventninger og krav kan kommuniseres tydelig til de ulike selskapene. En overordnet eierstrategi vil bidra til tydelige målsetninger for eierskapet, klare forventninger til styret om hvordan selskapet skal driftes, åpenhet for allmennheten og det gir et grunnlag for at verdiene forvaltes på best mulig måte. Fordelene med en tydelig eierstrategi er bl.a:

Selskapet vet hva eier forventer å få ut av eierskapet

Bedre kommuniserte mål vil forenkle selskapenes strategiarbeid og gir styret klare retningslinjer å jobbe etter

Det er lettere for kommunen å evaluere om selskapet oppfyller forventningene og om fortsatt eierskap er aktuelt.

Klare mål gjør det lettere å vurdere selskapenes økonomiske og samfunnsmessige resultater.

148

Side 4 av 44

Det er flere ulike måter å forankre en eierstrategi på i selskapet. For det første vil selskapets formålsparagraf og vedtekter tegne opp en ytre ramme. I tillegg vil generalforsamlingsvedtak kunne gi instrukser om eiers krav og forventninger. Den løpende kommunikasjon mellom eier og styre er også viktig. Formålet med kommunalt eierskap kan spenne fra et finansielt eierskap basert på avkastningsbetraktninger, til et politisk eierskap med fokus på politisk måloppnåelse. Eierstrategien må tydelig ta stilling til slike spørsmål. En eierstrategi er en politisk viljeserklæring, og bør evalueres med jevne mellomrom. Det politiske flertallets tanker og vurderinger kan endres etter et valg, og eksterne vilkår kan gi grunnlag for å endre eierstrategien. Halden kommunes eierstrategi for de ulike selskapene fremkommer ikke like tydelig for alle selskaper. Det vil være viktig å sette fokus på gjennomgang og utvikling av disse i fremtiden.

3. Overordnet eierskapspolitikk Formålet med å definere prinsipper for kommunalt eierskap er å bidra til god forvaltning og styring

av selskapene, samt å styrke tilliten og omdømmet både til selskapene og kommunen.

Nedenfor beskrives Halden kommunes overordnede prinsipp for kommunalt eierskap.

1. Overordnede prinsipper Hovedfokus for eierskapet skal være kvalitet på tjenesten som leveres

Eierskapet skal fremme samfunnsansvarlig forretningsdrift.

Halden kommune skal ha en tydelig eierstrategi og gi klare, langsiktige mål for hvert selskap. Styret er ansvarlig for realisering av målene.

Halden kommune fremmer sine interesser overfor selskapene gjennom generalforsamling og representantskap.

Kommunen forventer at de ulike styrer jevnlig informerer eier om selskapets drift.

Reglene om offentlig støtte og offentlige anbudsregler gjelder også Halden Kommunes egne selskaper.

Avkastningskrav bør være langsiktige, forutsigbare og knyttes til avkastning av innskutt kapital. Avkastningskrav bygges inn i eierstrategien for det enkelte selskap.

Styret skal se til at selskapet utarbeider og følger etiske, miljømessige og sosiale retningslinjer samt har ryddige arbeidsforhold.

Halden kommune har nulltoleranse mot korrupsjon i de selskapene hvor kommunen er eier

Selskapene Halden kommune deltar i skal bidra til å gi Halden et godt omdømme

Styrets godtgjøring og lederlønninger skal ligge på et moderat nivå i selskap hvor kommunen er en betydelig eier.

Styresammensetningen skal kjennetegnes av kompetanse og mangfold.

149

Side 5 av 44

2. Samfunnsmessig forretningsdrift Halden kommune stiller klare forventninger til at styrene i kommunalt eide selskap utarbeider og

følger opp etiske retningslinjer samt integrerer samfunnsansvar i forretningsdriften.

Begrepet samfunnsansvar kan bl.a. relateres til likestilling, integrering, arbeid mot korrupsjon, etikk,

HMS, åpenhet og innsyn, kvalitet, brukermedvirkning, miljø- og klimatiltak. Styret og den daglige

ledelsen i selskapene har ansvaret for å integrere samfunnsansvar i forretningsdriften

3. Åpenhet Forvaltningsloven stiller krav til saksbehandlingen, og offentlighetsloven skal sikre innsyn i

saksdokumenter, journaler og lignende i offentlig eide selskaper. I selskap der Halden Kommune er

hovedeier skal prinsippene for meroffentlighet følges, det vil si at selskapet alltid skal vurdere om et

dokument likevel skal gjøres kjent, helt eller delvis, selv om det etter bestemmelser i loven kan

unntas fra offentlighet.

Lov om offentlige anskaffelser setter rammer for hvordan anskaffelser i offentlig regi skal foretas.

Muligheten for innsyn og dermed til å gjøre seg kjent med, påvirke og kontrollere forvaltningens

virksomhet, bidrar til å øke tilliten til forvaltningen. Selskaper som kommunen har eierinteresser i, og

som kommer innunder nevnte lover, skal selv være ansvarlig for å påse at regelverket følges.

Åpenhet vil øke forutsigbarheten og begrense mulige misforståelser knyttet til kommunens

eierutøvelse.

4. Etikk Kommunen er forvalter av felles ressurser og foretar prioriteringer og avveininger innenfor rammer

som lovverk og økonomi tilsier, og kommunen er avhengig av allmennhetens tillit. I selskaper der

Halden kommune er eneeier, stilles det krav til at generalforsamling, styremedlemmer og ansatte

kjenner til bestemmelser i lovverket og kommunens etiske retningslinjer.

I selskaper der Halden kommune er medeier, stilles det krav til at kommunens representanter, det

være seg i generalforsamlinger eller styrer, tar hensyn til kommunens etiske retningslinjer i tillegg til

selskapets egne etiske retningslinjer og verdier.

5. Eiermøter Halden kommune v/rådmann skal ta initiativ til at det gjennomføres eiermøter i de ulike selskapene

minst en gang i året. Det vil være styret som innkaller alle eierne og som setter dagsorden. Det er

naturlig at eierne gir innspill til saker som bør tas opp. Her kan en drøfte selskapets utfordringer uten

å være bundet av de strenge formalkrav som gjelder ved generalforsamlinger og lignende.

150

Side 6 av 44

6. Langsiktige mål Som eier skal kommunen gi både generelle og spesifikke langsiktige mål for hvert av selskapene. Selskapenes mål må også relateres til målene kommunen har innenfor de aktuelle sektorene.

7. Resultatkrav I de selskaper der Halden kommune er majoritetseier, skal kommunen i dialog med selskapets styre,

utarbeide resultatkrav for selskapene, som senere fremlegges av styret for generalforsamlingen for

endelig vedtak. Resultatkravene skal omfatte forventninger til avkastning i form av utbytte eller

verdistigning på den innskutte kapitalen, verdier på parameter som beskriver kvaliteten på

tjenesteleveransene og omfanget av leveransene. Resultatkravene skal legge til rette for en langsiktig

verdiskapning.

Kommunen skal i henhold til de overordnede prinsippene for eierstyring sette avkastningskrav som

er langsiktige, forutsigbare og som knyttes til avkastning av innskutt kapital. Avkastningskravene skal

videre bygges inn i eierstrategien for det enkelte selskap.

Det er viktig å skille mellom avkastningskravet, som er et mål på den fremtidige verdiskapning i

selskapet (forventet forrentning), og utbyttet som er det beløp som eier tar ut av foretaket.

Avkastningskravet vil normalt tilsvare den forrentning som kunne vært oppnådd ved en alternativ

plassering av kommunens midler. I offentlig sektor er det vanlig å benytte gjennomsnittlige

lånerenter.

8. Utbyttepolitikk Med utbyttepolitikk forstås de langsiktige retningslinjer for hvordan avkastningen skal disponeres,

hvilket vil si hvor mye som skal utbetales til eieren og hvor mye som skal beholdes i foretaket.

De forventninger til utbytte kommunen har bør vurderes opp mot følgende kriterier:

Strategi Er selskapet nylig etablert og er i en vekstfase taler det for lavere utbytte

Har selskapet som mål om å optimalisere driften taler det for høyere utbytte

Kapitalstruktur og finansiell styrke Har selskapet sterk finansiell soliditet taler det for høyere utbytte

Har selskapet høy likviditetsgrad taler det for høyere utbytte

151

Side 7 av 44

Investeringsplaner / Investeringshistorikk Har selskapet planer om investeringer taler det for lavere utbytte

Har selskapet vist evne til å foreta fornuftige investeringer taler det for lavere utbytte

Markedssituasjon / Konkurrenter Det er naturlig å se på utbyttegraden i andre sammenlignbare selskaper

9. Egenkapital For selskaper med begrenset ansvar er det lovfestet krav til forsvarlig egenkapital. Det er eiernes

ansvar å sørge for at selskapene har forsvarlig selskapskapital, og styret har handleplikt dersom

egenkapitalen blir for lav. Samtidig bør ikke selskapene akkumulere høyere egenkapital enn hva som

er nødvendig for å oppnå eiernes mål med selskapet.

10. Generalforsamling og representantskapets rolle I de kommunale foretakene og i de interkommunale foretakene skal eiermyndigheten utøves i

henholdsvis foretaksmøtene og representantskapet. I aksjeselskapene skal kommunens

eiermyndighet utøves i generalforsamlingen.

Kommunen skal ikke involvere seg i virksomhetens daglige drift. Dette skal likevel ikke være til hinder

for at det kan være uformell kontakt mellom eier på den ene siden og styret og administrasjon på

den andre siden om viktige og prinsipielle saker.

Selskap som helt eller delvis forvalter viktige politiske oppgaver eller oppfølging av disse, må være

innstilt på en løpende dialog med eier for å unngå motstridende oppfølging og mangelfull

gjennomføring av politiske vedtak i kommunestyret.

Eieren bør stille klare krav til realisering av målene overfor styret. På den annen side bør også styrene

kunne stille forventninger til hvordan eiers krav skal være utformet.

Styret er ansvarlig for å oppnå de målene som er satt. Dersom styret ikke klarer å oppfylle de krav

som eier har definert, må styret og eier vurdere årsakene til at målene ikke ble nådd. Gjennom

generalforsamlingen (eller annet eierorgan) har eier myndighet til å velge styremedlemmer, og ved

manglende måloppnåelse vil styrets sammensetning bli vurdert.

11. Styrets rolle og oppgave Styrets ansvar Med styrets forvaltningsansvar menes blant annet ansvaret for å organisere virksomheten på en forsvarlig måte, ansvaret for å fastsette planer og budsjetter for selskapets virksomhet, ansvaret for å holde seg orientert om selskapets økonomiske stilling og at dets virksomhet, formuesforvaltning og regnskaper er betryggende.

152

Side 8 av 44

Styret skal ivareta den strategiske ledelsen av selskapet innenfor de rammene som er gitt av eieren. I denne rollen bør styret lede den strategiske planleggingen for selskapet og ta føringen i diskusjoner om strategiske veivalg. Strategien bør vurderes jevnlig. Styret har det overordnede ansvaret for forvaltningen av selskapet og for å føre tilsyn med den daglige ledelsen og selskapets virksomhet. Et kompetent styre skal være en viktig diskusjonspartner og støttespiller for virksomhetens ledelse. Samtidig må styret kontrollere ledelsens arbeid ut fra gitte målsettinger. Styret må derfor ha en uavhengig rolle i forhold til ledelsen. Styret må i forlengelsen av kontrollfunksjonen vurdere selskapets ledelse og endringer i denne. De enkelte styremedlemmer og daglig leder i et aksjeselskap er ved sin forvaltning av selskapet underlagt personlig erstatnings- og strafferettslig ansvar. Det anbefales å tegne styreansvarsforsikring for styremedlemmer og daglig leder i aksjeselskap der kommunen er hovedeier. Styreinstruks I aksjeselskaper skal styret etter aksjeloven fastsette en styreinstruks med nærmere regler om styrets arbeid og saksbehandling. Instruksen skal blant annet inneholde regler om hvilke saker som skal styrebehandles og daglig leders arbeidsoppgaver og plikter overfor styret. Instruksen skal også inneholde regler for innkalling og møtebehandling. Styreleder Styrelederen har først og fremst oppgaver i forbindelse med å sikre at styret fungerer godt og at det oppfyller sine forpliktelser. Styrelederen bør oppmuntre til åpen og konstruktiv debatt i styret. Styreleder leder styremøtene og forbereder styresaker sammen med daglig leder. Styrelederen bør være særlig oppmerksom på behovet for at styremedlemmer er faglig oppdatert med hensyn til de krav som må stilles til et kvalitativt godt styrearbeid og ta nødvendige initiativ i den forbindelse. Styrehonorar Styrehonorarer bør fastsettes basert på selskapets økonomiske omfang, styrets arbeidsbelastning og styrerisiko. Honoraret i aksjeselskapene skal fastsettes av generalforsamlingen etter innstilling fra styret. Honorarer til styrer i kommunale foretak skal fastsettes av kommunestyret. Instruks for daglig ledelse Instruks for den daglige ledelse bør klargjøre de plikter, fullmakter og ansvar som daglig leder har etter de regler som gjelder for virksomheten. Daglig leder har et særlig ansvar for at styret mottar presis, relevant og tidsriktig informasjon som er tilstrekkelig for at styret skal kunne utføre sine oppgaver. Vedtekter Enhver virksomhet/selskap skal beskrive sitt formål i vedtektene eller selskapsavtalens formålsparagraf. Formålsparagrafen/vedtektene skal tydeliggjøre hva eierne forventer at styret skal være opptatt av og utvikle virksomheten deretter.

153

Side 9 av 44

Virksomhetsplan Styret bør fastsette en virksomhetsplan for sitt arbeid med særlig vekt på mål, strategi og gjennomføring. Fullmakter Styret skal skriftlig nedfelle retningslinjer for hvem som tegner selskapet og sørge for en gjennomarbeidet fullmaktstruktur. Styrets leder skal som hovedregel anvise daglig leders utgifter. Varsling Selskaper som i sin helhet eies av Halden kommune skal innføre varslingsregler som er i tråd med Halden Kommunes etiske krav. I selskap der Halden kommune er deleier, skal kommunens representanter etterspørre og eventuetl bidra til klare varslingsregler. Evaluering Styret bør evaluere sitt arbeid og sin kompetanse årlig. Styrets egenevaluering bør inkludere en vurdering av styrets sammensetning og måten styret fungerer på både individuelt og som gruppe i forhold til de mål som er satt for arbeidet. I tillegg bør eierne vurdere styrets arbeid, og hvordan samarbeidet i styret fungerer. Videre bør samarbeidet mellom styret og den administrative ledelsen evalueres. Halden kommune som eier, vil arbeide for at slike styreevalueringer foregår på en felles akseptert måte.

12. Styrets sammensetning og uavhengighet Styret bør settes sammen slik at det kan ivareta aksjonærfellesskapets/eiernes interesser og

selskapets behov for kompetanse og mangfold. Det bør tas hensyn til at styret kan fungere godt som

et kollegialt organ. Styret må være en ressursbase som tilfører innsikt og kunnskap på de områder

som er viktige for virksomhetens utvikling, vekst og lønnsomhet.

13. Valg av styre Arbeidet med å rekruttere styremedlemmer til selskaper der kommunen er eier, skal skje gjennom

en nedsatt arbeidsgruppe på 3 valgte representanter, bestående av 2 representanter fra posisjon og

1 fra opposisjon. Arbeidsgruppen gir forslag på representanter til generalforsamlingen.

Det refereres på påfølgende kommunestyremøte hvem som er blitt oppnevnt.

Det etableres et årshjul som viser når det skal oppnevnes styrerepresentanter for de ulike organene

hvor ordfører er generalforsamling.

Årshjul og oppdatert oversikt skal være tilgjengelig for kommunestyret.

Arbeidet med å rekruttere styremedlemmer skal ivareta følgende hensyn:

154

Side 10 av 44

Kompetanse- og kunnskapshensyn

Styret skal samlet sett inneha den ønskede kompetanse og kunnskap for utvikling og drift av

selskapet. Det er ønskelig med bransjekunnskap fra den sektoren virksomheten opererer i, erfaring

fra næringsvirksomhet, god kjennskap til offentlig forvaltning og forståelse for politikkutøvelse.

Videre bør styremedlemmer ha en viss styrekompetanse, god økonomisk innsikt, personlig integritet

og være lojal mot selskapet og styrets beslutninger.

Kommunen som eier bør med jevne mellomrom ta sikte på å avholde styreseminar og

introduksjonsprogram for nye styremedlemmer for å informere styret om dets oppgaver, plikter og

ansvar i virksomhet. Det bør arbeides målrettet med å heve kompetansen blant styremedlemmene.

Kursing, seminarer og opplæring vil være viktig, samt regelmessige faglige oppdateringer med

relevans for selskapets virke.

Mangfold

Ulik erfaringsbakgrunn vil være en styrke i styrearbeidet. Styrets evne til å analysere et sakskompleks

fra ulike synsvinkler blir bedre dersom styret er bredt sammensatt. Det er viktig at det sikres en god

kjønnsfordeling i styrene.

Habilitet

Styret i selskapene skal settes sammen slik at de kan handle uavhengig av særinteresser og

uavhengig i sin oppgave med å ivareta selskapets interesser. Forvaltningslovens § 6 fastslår at ingen

kommunalt ansatte eller folkevalgte skal forberede eller håndtere saker i kommunen som gjelder et

selskap der de selv er styremedlem, også der hvor selskapene er fullt ut offentlig eide. Dette

innebærer at ledere og styremedlemmer i selskapet ikke kan tilrettelegge grunnlaget for avgjørelser i

kommunen, eller delta i behandlingen av saker i kommunestyret hvor selskapet er part. Loven

omfatter både kommunale foretak og aksjeselskap. Dette må vektlegges i vurderingen av hvorvidt

sentrale ansatte i kommunen skal oppnevnes som styremedlemmer, da det kan få praktiske

konsekvenser for forvaltningens oppfølging av saker overfor selskapene.

Med virkning fra 1. januar 2010 ble det innført valgbarhetsbegrensninger til styrene i kommunale

foretak. Kommunelovens § 65 nr. 2 lyder som følger: "Daglig leder, medlem av kommuneråd,

medlem av fylkesråd eller administrasjonssjef eller dennes stedfortreder kan ikke være medlem av

styret."

155

Side 11 av 44

Kontinuitet

Det meste av Halden kommunes eierskap er av langsiktig karakter. Hensynet til kontinuitet i styrene bør derfor vektlegges ved valg av styremedlemmer.

KS styrevervregister Valg av nye styremedlemmer skal meldes til Brønnøysundregistrene av selskapet. Det anbefales at styremedlemmer registrerer seg i www.styrevervregisteret.no som er offentlig tilgjengelig for allmennheten og styrker åpenheten om hvem som representerer kommunen i de ulike foretakene.

14. Oppfølging av kommunalt eide og deleide foretak Den grunnleggende kontrollformen kommunen har som eier er gjennomgangen av selskapenes årsmøtedokumenter. Som eier skal kommunen utarbeide en analyse av selskapets situasjon ut i fra sine forventninger. For å sikre fleksibilitet og effektivitet i kommunens oppfølging av sitt eierskap foreslås at kommunestyret delegerer til rådmannen å beslutte mindre vesentlige endringer i virksomhetenes vedtekter som for eksempel endring av navn og begreper, tilpasninger som følge av lovendringer og andre mindre endringer. Dette gjelder imidlertid ikke endringer av virksomhetenes vedtektsbestemte formål, eller andre bestemmelser som er prinsipielle eller vesentlige. Kontrollutvalget Etter kommuneloven og forskrift om kontrollutvalg skal kontrollutvalget påse at det gjennomføres kontroll med forvaltning av kommunens eierinteresser og at eierstyringen utøves i samsvar med kommunestyrets vedtak og forutsetninger.

15. Kommunestyrets oppgave Kommuneloven regulerer kommunestyrets funksjon, rolle og ansvar. Kommunestyret skal fatte

vedtak om oppretting/avvikling av et kommunalt foretak (KF), samt fastsette vedtekter for foretaket,

jfr. Kommuneloven (KL) §§ 62 og 63. Kommunestyret er direkte overordnet styret i et kommunalt

foretak og utgjør således foretakets generalforsamling. Kommunestyret behandler foretakenes

årsbudsjett og årsberetning/regnskap.

Kommunestyret kan fatte vedtak om deltakelse, uttreden, opptak av nye deltakere samt avvikling av

et interkommunalt selskap (IKS), herunder vedta selskapsavtalen, jfr. lov om Interkommunalt selskap

§§ 4 og 32. Dersom de interkommunale selskapenes budsjetter forutsetter tilskudd fra deltakerne, er

ikke budsjettene endelige for kommunestyret har behandlet budsjett etter KL § 45. Kommunestyret

156

http://www.styrevervregisteret.no/

Side 12 av 44

oppnevner kommunens representanter til representantskapet i IKS er, jfr. lov om Interkommunalt

selskap. § 6

Kommunestyret er beslutningsorgan ved etablering av aksjeselskap (AS), herunder ved kjøp og salg

av aksjer. Kommunestyret skal etter kommuneloven tilsvarende fatte vedtak vedrørende deltakelse i

vertskommunesamarbeid og andre juridiske enheter.

Kommunestyret som eierorgan fatter flertallsbeslutninger om eierstyring, etablering og avvikling av

selskaper, utformingen av kommunens eierstrategi, herunder overordnede prinsipper og

retningslinjer for kommunens eierstyring samt eierstrategi for det enkelte selskap. Kommunestyret

behandler eiermeldingen og driver oppfølging, tilsyn og kontroll med kommunens eierinteresser.

Det er rimelig at kommunestyret uttrykker politiske forventninger til eierskapet og økonomiske

disposisjoner.

Av hensyn til forutsigbarhet i selskapene skal kommunestyret behandle eierspørsmål i forkant av

selskapenes generalforsamling/representantskap.

Kommunestyret oppnevner et kontrollutvalg som fører kontroll med forvaltningen av kommunens

interesser i selskaper. Kontrollutvalget skal vurdere om eierstyringen og selskapenes virksomhet er i

tråd med de vedtak og forutsetninger som kommunestyret har gitt. Eierskapskontrollen omfatter

også hvorvidt representantskapsmedlemmer, styremedlemmer og fullmektiger på vegne av Halden

kommune i generalforsamling utøver sitt verv i samsvar med denne eiermeldingen og

kommunestyrets vedtak, både generelle og spesifikke.

Kommunestyret i Halden har følgende målsetting:

Hvert 4. år:

I konstituerende møte etter valg, å oppnevne styremedlemmer til kommunale foretak og medlemmer til generalforsamlinger/representantskap hvor Halden kommune har eierinteresser.

Oppnevne kontrollutvalg

Avholde eierseminar hvor kommunens eierskap er tema. Formannskapet bestemmer tidspunkt og program

157

Side 13 av 44

Årlig:

I første kvartal hvert år: Behandle saker til generalforsamling/representantskap og gi fullmakt til representantene i generalforsamlingene/representantskapene

I første kvartal hvert år: Behandle kommunale foretak. Formannskapet bestemmer hvordan sakene skal presenteres

Årlig gjennomgang av eiermeldingen

Etter behov:

Treffe vedtak om opprettelse av kommunale foretak

Fastsette vedtekter for kommunale foretak

Behandle lovpålagte oppgaver som ikke kan delegeres

Justere eiermeldingen

16. Administrasjonens oppgaver Etter kommuneloven har Rådmannen ansvar for at alle saker som fremmes til politisk behandling skal være fullt ut forsvarlig utredet. Dette gjelder også kommunens eierforhold og eierstyring, og Rådmannen skal derfor ha tilgang til selskapenes virksomhet, planer, budsjetter og regnskap. Rådmann vil ha fokus på eierskapspolitikk og vil hvert år legge fram en Eiermelding for kommunestyret i første halvår. Her vil endringer i kommunens eierskap i selskaper og foretak bli belyst, samt en vurdering av hvorvidt kommunen skal tre ut av selskaper eller opprette/bli medeier i selskaper. Videre vil aktuelle temaer tilknyttet kommunalt eierskap bli behandlet i meldingen. Protokollene fra samtlige generalforsamlinger legges fram for kommunestyret i september. Da vil Rådmann både gi kommentarer til enkeltselskap og til utviklingen av selskapene samlet sett. Målsetningen er at eiermeldingen skal oppdateres jevnlig, og Rådmann er ansvarlig for at oppdatert versjon av eiermeldingen er tilgjengelig på kommunens hjemmesider og i service senteret.

Rådmann vil oppfordre styrene til å gjennomføre egen opplæring. I tillegg vil Rådmann invitere til et felles seminar for styremedlemmer fra alle selskaper med kommunal eierandel. Her vil hovedtemaet være å informere om kommunens eierskapspolitikk og viktige retningslinjer fra kommunestyret, faglige seminarer, samt opplæring av nye styremedlemmer.

158

Side 14 av 44

Administrative ressurser

Rådmann oppretter et eierskapsteam på tre personer med kompetanse innen næring, økonomi og jus som følger opp kommunens eierinteresser, øvrig kompetanse blir innhentet etter behov. Teamet vil ha det faglige og administrative ansvaret i spørsmål og konkrete saker knyttet til eierskap.

Eierskapssteamet skal følge opp kommunale selskap og foretak, rekruttere nye styremedlemmer og bidra i planlegging og forvaltning av kommunens eierskapspolitikk. Gjennom kontakt med selskapene vil eierskapsteamet ha en rolle knyttet til de rutiner som legges for rapportering fra det enkelte selskap, herunder oppfølgning og rapportering til kommunestyret og eierskapskontroll.

4. Evaluering av det kommunale eierskapet. Kommunen skal foreta løpende evalueringer av sitt eierskap. Endringer eller forslag til endringer vil

bli lagt framfor kommunestyret i form av enkeltsaker eller i den årlige Eiermeldingen.

Flere forhold kan tale for å opprette eller avvikle et kommunalt eierskap:

Dersom markedet bidrar til å utsette kommunens virksomhet for vesentlig økonomisk risiko bør fortsatt eierskap vurderes

Dersom andre aktører kan produsere de aktuelle varer eller tjenester på en bedre måte enn hva kommunens selskap kan, bør kommunen stille spørsmål ved om selskapet skal avhendes.

Vesentlige endringer i forhold som påvirker verdiene i selskapet kan resultere i at kommunen må endre sin eierstrategi.

Deregulering som de senere år har funnet sted, for eksempel innen kraftsektoren, kollektivtransport og renovasjon, gjør det naturlig å stille spørsmål om kommunen bør være engasjert innenfor disse bransjene.

Kommunen bør ikke bare vurdere eierskapet i relasjon til egne behov, men også i forhold til de behov selskapene vil ha i konkurranse med andre markedsaktører. Relevante spørsmål er om kommunen kan bidra med nødvendig handlingsrom, kompetanse og kapital slik at selskapene får de samme rammevilkår og muligheter til å utvikle seg som andre markedsaktører.

Et særtrekk ved offentlig eierskap er den dobbeltrolle som kan oppstå ved at det offentlige er eier og samtidig myndighetsorgan. Dette må vurderes.

Stor kapitalbinding eller behov for betydelige økonomiske investeringer kan anses å ikke være ønskelig for kommunen.

Selskap med behov for aktiv og tett oppfølging med korte svarfrister kan være for krevende å følge opp for en kommune

Virksomhetsområdets utvikling og risiko – stort omstillingsbehov og høy risikoprofil gjør fortsatt eierskap mindre attraktivt.

Samfunnsmessig betydning – stor samfunnsmessig nytte innenfor for eksempel bolig, sysselsetting og lokal næringsutvikling, taler for fortsatt eierskap.

God lønnsomhet i dag og i fremtiden gjør fortsatt eierskap attraktivt. Ovennevnte punkter skal vurderes i evalueringen, hvorpå det gjøres en totalvurderinger av hensiktsmessigheten av eierskapet.

159

Side 15 av 44

5. Oversikt over Haldens kommunes eierskap og eierstrategi

En grunnleggende forutsetning for en aktiv eierstyring er at en tydelig og langsiktig eierstrategi

formuleres for hvert enkelt selskap. Eierstrategien gir en kort beskrivelse av den historiske

bakgrunnen for eierinteressen i det aktuelle selskapet, senere utvikling og hva kommunen ønsker å

oppnå som eier. Deretter bør strategien peke på aktuelle punkter for vurderingen av det fremtidige

eierskap.

Nedenfor følger en oversikt over interkommunale selskap og aksjeselskap Halden Kommune er

heleier eller deleier av, samt stiftelser og andre foretak som kommunen er engasjert i.

Halden Kommune har pr dd ingen kommunale foretak.

Oversikten er basert på Brønnøysundregistrene og kommunens regnskap, samt informasjon fra

Halden kommunes regnskap for øvrig (Spesielt art 11966 kontingenter og art 14715 andre

overføringskostnader). I forhold til selskaper / sammenslutninger / foreninger, er disse listet opp

dersom kommunens årlige bidrag er over kr 150 000,-, og dette er som følge av en «eierstruktur eller

inngått avtale.

160

Side 16 av 44

Oversikt over Halden kommunes eierskap og tilskudd over kr. 150.000 pr år:

Interkommunale selskap Eierandel

Østfold Interkommunale Arkivselskap Iks 6.12%

Østfold Kommunerevisjon Iks 14.00%

Driftsassistansen i Østfold Iks 9.71%

Interkommunalt utvalg mot akutt forurensning, IUA Østfold 5,5%

Øst 110-sentral Iks 4,32 %

Aksjeselskap AS

Halden Arbeid og Vekst AS 100.00%

Østfold Energi AS 7.14%

Haldenvassdragets Kanalselskap 15.48%

Halden Byutvikling AS 100.00%

Halden Utvikling AS 20,00 %

Smart Innovation Østfold AS 3,16%

Storgata 7 Halden AS (tidligere Halden Technology Center AS) 100.00%

Inspiria Eiendom AS 0.64%

Drivhuset Østfold AS 33,3%

Foretak som mottar fast støtte over kr 100.000 fra kommunen: Årlig beløp i 2018

Stiftelsen Halden Historiske Samlinger 200.000

Stiftelsen Rød Herregård 0

Stiftelsen Eva Krisesenter 2.887.000

Halden Frivilligsentral 473.000

Det norske Blåseensemble Anno 1734 5.305.000

Opera Østfold Fredriksten Festning 1.270.000

Halden Turist 685.415

Regionalpark Haldenkanalen 350.000

NCE Halden – registrert som Smart Innovation Østfold AS 1.000.000

161

http://www.purehelp.no/company/view/oestfoldinterkommunalearkivselskapiks/984789572

http://www.purehelp.no/company/view/oestfoldkommunerevisjoniks/987952423

http://www.purehelp.no/company/view/driftsassistansenioestfoldiks/989127241

http://www.purehelp.no/company/view/inspiriaeiendomas/988839590

Side 17 av 44

Østfold Kommunerevisjon IKS Selskapsform: Interkommunalt selskap Org nr. 987 952 423 Stiftelsesdato 18.11.2004 Kontaktperson Adm. dir. Laila J. Nagelhus Halden kommunes eierandel: Halden kommune eier 14%. Øvrige aksjonærer er Fredrikstad Kommune, Sarpsborg Kommune, Moss Kommune, Rygge Kommune, Råde Kommune og Hvaler Kommune Total aksjekapital: Kr. 0 Selskapets formål: Østfold kommunerevisjon IKS kan utføre de lovpålagte revisjonsoppgaver for deltakerne. Østfold kommunerevisjon IKS kan utføre andre revisjonsoppdrag og rådgivning for deltakerne. Østfold kommunerevisjon IKS kan utføre revisjonsoppdrag og rådgivning for andre oppdragsgivere. Utdrag fra selskapsavtalen datert 30.11 2004: Selskapet skal ha sitt hovedkontor i Fredrikstad. Halden Kommunes eierstrategi: Halden Kommunes forventninger til selskapet: Halden kommune forventer at selskapet leverer revisjonstjenester, både innenfor regnskapsrevisjon og forvaltningsrevisjon, av høy kvalitet og til konkurransedyktige priser. Haldens kommunes fortsatte tilstedeværelse som medeier: Rådmannen mener det er nødvendig å kjøpe tjenester av selskapet for å være medeier i selskapet. Kommunen kjøper i dag forvaltningsrevisjonstjenester, men ikke regnskapsrevisjonstjenester. Det er ingen medlemskontingent eller årlig kostnad ved å være medeier. Den 8.12 2016 behandlet kommunestyret i Halden PS 2016/129 med følgende vedtak:

1. Halden kommunestyre slutter seg til forslaget om selskapsavtale for Østfold Follo Kommunerevisjon IKS med organisasjonsnummer 987 952 423.

2. Gjennom representasjon i selskapet, Østfold Follo Kommunerevisjon IKS, vil Halden kommune gjennom sin eierstyring arbeide for at kommunens ønsker om forbedring i selskapsavtalen blir tatt til følge i en revidert avtale. Om kommunens ønsker ikke etterkommes senest i året 2017 forbeholder Halden kommune seg retten til å vurdere å melde seg ut etter selskapsavtalen og IKS‐lovens bestemmelser - dog med virkning pr. krav om uttreden som da anses sendt før 31.12.2016.

Eierorgan: Representantskapet består av 7 medlemmer med personlig varamedlem som oppnevnes av vedkommende kommunestyre for valgperioden. Representantskapet velger selv leder og nestleder. Ordfører og administrasjonssjefer fra deltakerkommunene har møte- og talerett i representantskapets møter. Representantskapets leder og nestleder er valgkomite til styret. Leder av representantskapet er Sindre Martinsen-Evje, ordfører i Sarpsborg, og Tage Pettersen er nestleder, ordfører i Moss. Ordfører stiller i representantskapet fra Halden Kommune Styret: Styreleder er Svein Tindlund. Styret består av 6 medlemmer med personlige varamedlemmer og velges for to år av gangen. Kommunene Fredrikstad, Moss, Sarpsborg og Halden skal ha ett styremedlem hver. Halden Kommunes styremedlem: Inger Haugene (SP), vara Jan Moen (H) – valgt i kommunestyret i oktober 2015, velges for perioden 2016 og 2017. Disse er på valg fra våren 2018.

162


http://www.purehelp.no/role/viewBoardMember/39126111/annegropedersen

Side 18 av 44

Godtgjørelse til styremedlemmer og representantskap utbetales i hht gjeldende satser. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet Østfold Interkommunale Arkivselskap IKS Selskapsform: Interkommunalt selskap Org nr. 984 789 572 Stiftelsesdato 17.06.2002 Kontaktperson Adm. Direktør Lene Kari Bjerketvedt Halden kommunes eierandel: Halden kommunes eierandel er 6,12% pr 1.1 2012. Eierbrøken fastsettes hvert fjerde år ut i fra folketallet i eierkommunene/fylkeskommunen. Hovedaksjonær er Østfold Fylkeskommune med 57,84%. Øvrige aksjonærer er kommunene Sarpsborg, Moss, Askim, Rygge, Eidsberg, Rakkestad, Råde, Spydeberg, Trøgstad, Hobøl, Våler, Hvaler, Skiptvedt, Marker, Aremark og Rømskog Total aksjekapital: Kr. 0 Selskapets formål: Selskapets formål er å utføre følgende arbeidsoppgaver: 1. Medvirke til at eldre arkiver blir tatt vare på, ordnet, katalogisert og gjort tilgjengelige for offentlig virksomhet, forskning og andre administrative og kulturelle formål. 2. Bistå kommunene/ fylkeskommunen i arbeidet med å utvikle gode og rasjonelle rutiner for dokumenthåndtering og arkivskapende virksomhet. 3. Drive informasjons- og opplæringsvirksomhet i arkivfaglige spørsmål Utdrag fra udatert selskapsavtale: Selskapet skal ha sitt hovedkontor i Sarpsborg. § 5 Innskuddsplikt: Eierne skyter inn et årlig beløp til driften i samsvar med vedtak i representantskapet. Halden Kommunes eierstrategi: Medvirke til at selskapet blir gode og utvikler seg i forhold til å kunne betjene deltakerkommuner i fht våre forventninger og Statsarkivenes pålegg og rutiner. Som alle IKS’er som kommunen er med i , er det viktig å arbeide for at ressursbruk (nivå) ikke skal være vesentlig forskjellig fra Halden kommune. Halden Kommunes forventninger til selskapet: Halden kommune forventer at selskapet overtar oppgaver fra de deltakende kommuner, og blir en reell avlastning i forhold betjening av historiske arkiv og forespørsel i dette, fra så vel kommunen som andre samfunnsaktører og borgere. Haldens kommunes fortsatte tilstedeværelse som medeier: Halden kommune er en langsiktig deleier av selskapet. Det antas at oppgavene selskapet leverer, vil være behov for i et langt perspektiv, og selskapet har nå bygd opp så vel lokaler som kompetanse. En reversering av eieskapet vil eventuelt skje dersom selskapet har vedvarende avvik i tjenesteleveranse, og det vurderes til å være billigere å produsere disse i egen regi. Eierorgan: Representantskapet består av en representant fra hver av de 17 medlemskommunene med personlig varamedlem. Kommunestyrene/fylkestinget i eierkommunene/fylkeskommunen velger sine representanter og varamedlemmer. Valgperioden følger kommunevalgperioden. Representantskapet velger selv leder og nestleder. Representantskapet fastsetter godtgjørelse til representantskapets- og styrets leder, og til begge organers medlemmer.

163


http://www.purehelp.no/role/viewBoardMember/35966801/lenekaribjerketvedt

Side 19 av 44

Ordfører stiller i representantskapet fra Halden Kommune Styret: Styreleder: Hans Sigmund Vister Styret består av 5 medlemmer, 4 varamedlemmer. Halden Kommunes styremedlem: varamedlem Lars Thorbjørn Larsen. På valg etter kommunevalget i 2019. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet Driftsassistansen i Østfold IKS (DaØ) Selskapsform: Interkommunalt selskap Org nr. 989 127 241 Stiftelsesdato 24.2 2004 Kontaktperson Adm. Dir. Tor Gunnar Jantsch Halden kommunes eierandel: Halden kommune eier 9,85%. Øvrige aksjonærer er kommunene Fredrikstad, Sarpsborg, Moss, Askim, Rygge, Eidsberg, Rakkestad, Råde, Trøgstad, Hobøl, Spydeberg, Våler, Marker, Skiptvedt, Aremark og Rømskog Total aksjekapital: Kr. 0 Selskapets formål: Selskapet skal utføre og formidle tjenester og produkter knyttet til de kommunale vann og avløpstjenestene innen driftsassistanse/driftsansvar, planarbeid, kvalitetsarbeid, beredskap, prøvetaking og rapportering, kontroll og tilsyn, prisforespørsler, rådgivning og kompetanseutvikling.. Utdrag fra selskapsavtale av 1.1 2016: Selskapets hovedkontor er i Fredrikstad kommune. Deltakerkommunenes eierandel er bestemt ut ifra innbyggertall. Prosentvis innbyggertall justeres pr. 01.01. hvert fjerde år fra 2014. Finansieringsmodellen er tredelt:

1. Hver av eierne betaler et likt grunnbeløp som samlet utgjør inntil 5 % av selskapets brutto budsjett. Beløpet fastsettes av representantskapet hvert 4. år. 2. Innskudd etter eierandel, som fastsettes av representantskapet hvert år. 3. Salg av tjenester

Halden Kommunes eierstrategi: Halden kommune bruker spesialkompetansen til DaØ innen fagfeltet vann- og avløp og trenger dermed ikke å ansette egne personer til dette. Halden Kommunes forventninger til selskapet: Selskapet skal være aktiv bidragsyter vedr kompetanse på vann- og avløpsnettet og juridisk kompetanse i fht dette området. Det skal være lønnsomt for kommunen å bruke DaØ i forhold til å ansette egne folk eller kjøpe tjenesten hos andre konsulentselskap. Haldens kommunes fortsatte tilstedeværelse som medeier: Kommunen betaler en fast årlig medlemskontingent som i 2015 er kr. 281.489. I tillegg betaler kommunen for utførte tjenester. Dersom fastpris og kostnad for kjøpte tjenester overstiger det å ansette en egen person eller kjøpe tjenesten av andre, bør kommunen vurdere å tre ut av DaØ. Eierorgan: Representantskapet består av en representant fra hver kommune som til sammen utgjør selskapets øverste eierorgan. Vedkommende kommunestyre velger selv sitt

164

http://www.purehelp.no/role/viewBoardMember/20762911/hanssigmundvister


Side 20 av 44

representantskapsmedlem med personlige varamedlemmer. Funksjonstiden følger kommunestyreperioden. Representantskapet fastsetter godtgjørelse til styret og styreleder. Representantskapet velger både leder og nestleder og fastsetter bestemmelser for valgkomite. Ordfører stiller i representantskapet fra Halden Kommune Styret: Styreleder: Frøydis Irene Kristiansen Styret skal ha 7 eiervalgte medlemmer og 3 numerisk valgte varamedlemmer. Styremedlemmene velges for 2 år av gangen. Representantskapet velger styrets leder og nestleder. Halden Kommunes har 3. vara til styret som er Ann-Charlott Kristiansen, Prosjektingeniør VA, Enhet kommunalteknikk, Halden kommune Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet Interkommunalt utvalg mot akutt forusensing (IUA Østfold) Selskapsform: Interkommunalt selskap Org nr. Stiftelsesdato: November 2000 Kontaktperson: Jørn Bustgaard, Beredskapsansvarlig IUA Østfold, Fredrikstad brann og redningskorps Halden kommunes eierandel: Samarbeidskommuner er: Aremark, Askim, Eidsberg, Fredrikstad, Halden, Hobøl, Hvaler, Marker, Moss, Rakkestad, Rygge, Rømskog, Råde, Sarpsborg, Skiptvedt, Spydeberg, Trøgstad og Våler Total aksjekapital: Kr. 0 Selskapets formål: Kommunene har ifølge forurensningslovens § 43 plikt til å sørge for nødvendig beredskap mot mindre tilfeller av akutt forurensning. Videre har kommunene plikt til å samarbeide regionalt om beredskap mot akutt forurensning. I henhold til revidert samarbeidsavtale, vedtatt på årsmøtet i 2010, organiseres IUA Østfold som et interkommunalt samarbeid etter kommunelovens § 27 og Fredrikstad er vertskommune. Utdrag fra selskapsavtale fra 2011: Vertskommune og sekretæriat for IUA er Fredrikstad kommune. Hver deltakerkommune betaler kr. 4 pr innbygger pr år fra 2011 til drift av IUA. Halden Kommunes eierstrategi: Halden kommune bruker spesialkompetansen til IUA innen fagfeltet akutt forurensning og trenger dermed ikke å ansette egne personer til dette. Halden Kommunes forventninger til selskapet: Selskapet skal være aktiv bidragsyter vedr kompetanse på akutt forurensning. Det skal være lønnsomt for kommunen å bruke IUA i forhold til å ansette egne folk eller kjøpe tjenesten hos andre konsulentselskap. Haldens kommunes fortsatte tilstedeværelse som medeier: Kommunen betaler en fast årlig medlemskontingent som i 2015 er kr. 4 pr innbygger. Driftstilskuddet fastsettes årlig av representantskapet. Så lenge driftstilskuddet til IUA gir bedre og rimeligere tjenester enn å drifte dette selv eller kjøpe tjenesten av andre, vil kommunen fortsette samarbeidet. Eierorgan:

165

Side 21 av 44

Representantskapet er samarbeidets øverste myndighet. Deltakerkommunene velger èn representant hver. Representantskapet velger selv sin leder og nestleder. Styret: UIA har et arbeidsutvalg bestående av følgende personer: Leder Brannsjef i Fredrikstad Jørn Bustgaard Brannsjefene i Sarpsborg, Moss, Halden og Askim Rapportering til kommunen: Beredskapsansvarlig skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet

166

Side 22 av 44

Øst 110-sentral Iks Selskapsform: IKS Org nr. 820 351 282 Stiftelsesdato 27.10.2017 Kontaktperson Adm. Direktør Øyvind Arntzen Halden kommunes eierandel: 4,32% Øvrige eiere er: Nedre Romerike Brann- og Redningsvesen Iks (24.94%), Follo Brannvesen Iks (17,19%), Øvre Romerike Brann og Redning Iks (14,43%), Fredrikstad kommune (11.24%), Movar Iks (10.95%), Sarpsborg Kommune (7.73%), Indre Østfold Brann og Redning Iks (7,18%), Rakkestad kommune (1,14%), Hvaler kommune (0,63%), Aremark kommune (0,19%), Andre (0,06%) Total aksjekapital: Selskapets formål: Utføre deltakernes plikter knyttet til brann- og eksplosjonsvernlovens § 16 nødalarmeringssentral, med plikt om tilknytning til en sentral for mottak av meldinger om branner og andre ulykker innenfor en fastsatt region. Oppgavene er å kunne opprettholde kommunikasjon med den som melder ulykken, mottak og registrering av nødmeldinger, alarmering av mannskaper og kommunikasjon med innsatsstyrkene, samt samordning med nødalarmeringssentralene for helse og politi. Selskapet skal sikre alarmering og utkalling av tilstrekkelig innsatsstyrke og overordnet vakt etter mottak av nødmelding, samt sikre best mulig støtte, informasjon, og samordning til innsatsstyrke, stab og relevant ledelse. Selskapet skal begrense sin sekundærvirksomhet til brann- og redningsrelaterte oppgaver og som bidrar til å nå hovedmålet. Selskapet skal gi samme tjenestenivå hos alle deltakerne. En deltaker skal i tillegg ha anledning til å få levert tjenester utover dette nivået, mot kostnadsdekkende godtgjørelse til selskapet. Slike tjenester krever godkjenning av de øvrige deltakerne. I forbindelse med politireformen ble det besluttet at brannvesenets 110-sentraler skulle samlokaliseres med politiets operasjonssentraler i de 12 nye politidistriktene i Norge. I Øst politidistrikt skjedde dette i nye lokaler i politihuset i Ski sentrum varen 2018, og det nye selskapet Øst 110-sentral IKS erstattet tidligere 2 sentraler (Alarmsentral Brann Øst og Romerike 110-sentral). Halden Kommunes eierstrategi: Å sikre en rask, effektiv og kvalitetsmessig varslingstjeneste i forhold til brann og ulykke for kommunens innbyggere. Kommunen betaler en årlig sum pr innbygger for tjenesten. Halden Kommunes forventninger til selskapet: Selskapet skal løse de lovpålagte oppgavene som er tillagt nødmeldetjenesten Haldens kommunes fortsatte tilstedeværelse som medeier: Tjenesten er regulert av lov og forskrift som har satt krav til både driftsmåte og organisering, og det er uforholdsmessig dyrt å drifte dette i egen regi.

167

http://www.purehelp.no/role/viewBoardMember/16814541/terjesurdal

http://www.purehelp.no/company/view/fredrikstadkommune/940039541

http://www.purehelp.no/company/view/movariks/959272204

http://www.purehelp.no/company/view/movariks/959272204

http://www.purehelp.no/company/view/sarpsborgkommune/938801363

Side 23 av 44

Eierorgan: Representantskapet består av en representant fra hver kommune som til sammen utgjør selskapets øverste eierorgan. Vedkommende kommunestyre velger selv sitt representantskapsmedlem med personlige varamedlemmer. Funksjonstiden følger kommunestyreperioden. Representantskapet fastsetter godtgjørelse til styret og styreleder. Representantskapet velger både leder og nestleder og fastsetter bestemmelser for valgkomite. Ordfører stiller i representantskapet fra Halden Kommune Styret: Antall styremedlemmer og styreleders navn: Styreleder: Jan Gaute Bjerke Øvrige styremedlemmer er nestleder Kaja Svenneby, Mette Rogn, Thore Ottar Vestby, Anita Eidsvold Grønli (varamedlem), Atle Holten (varamedlem), Dag Christian Holte (varamedlem) Halden Kommunes representant i generalforsamling er Ordfører Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet.

168

http://www.purehelp.no/role/viewBoardMember/35714171/kristinraanaasreklev

Side 24 av 44

Østfold Energi AS Selskapsform: Aksjeselskap Org nr. 879 904 412 Stiftelsesdato 27.05.1998 Kontaktperson Adm. direktør Oddmund Kroken Halden kommunes eierandel: Halden kommune eier 7,14%. Hovedaksjonær er Østfold Fylkeskommune med 50,0%. Øvrige aksjonærer er kommunene Sarpsborg, Moss, Askim, Fredrikstad, Eidsberg, Skiptvedt, Aremark, Spydeberg, Våler, Marker, Hobøl og Rømskog Total aksjekapital: Kr. 70.000.000,- Selskapets formål: Forestå kjernevirksomheten produksjon, kjøp, salg og distribusjon av ulike energiformer, samt bygging, eie og drift av anlegg i den forbindelse. Utvikling av annen lønnsom forretningsvirksomhet basert på selskapets ressurser og kompetanse, samt deltakelse i relevant forskning, utvikling og innovasjon. Deltakelse i andre selskap som fremmer de formål som er nevnt i punktene 1 og 2 over. Utdrag fra selskapets vedtekter: Pr oktober 2016 pågår en prosess med hensyn til styrets sammensetning, størrelse og endring i aksjonæravtale mht sammenslåing av kommuner/fylkeskommuner. Halden Kommunes eierstrategi: Halden kommune ønsker å fortsette som langsiktig eier i Østfold Energi AS med mål om å utvikle verdiene i selskapet samtidig som man på sikt ønsker å ha en mulighet til å selge seg ut av Østfold energi AS, der man f.eks. åpner for eksterne eier på inntil 1/3-del av aksjene i selskapet. Halden kommune arbeider for at selskapet bidrar i forsknings og utviklings-sammenheng i NCE-klyngen. Halden Kommunes forventninger til selskapet: Det forventes et forsvarlig langsiktig utbytte. Selskapet følger de linjene styret har presentert i «Melding til eierne» datert mars 2017. Gjennom samarbeidet i NCE-klyngen forventes en økt aktivitet i Halden, og en langsiktig effekt på selskapsetableringer innenfor dette kompetansemiljøet. Haldens kommunes fortsatte tilstedeværelse som medeier: Halden kommune ønsker å fortsette som langsiktig eier i Østfold Energi AS med mål om å utvikle verdiene i selskapet fram til det foreligger en mulighet for å kunne få inn eksterne eiere på inntil 1/3-del av aksjene i selskapet og derved åpne for muligheten til nye eiere med nye ambisjoner og kompetanse som selskapet kan dra nytte av. Samtidig åpner dette for at de av nåværende eiere som ønsker å selge sine aksjer kan gjøre dette i samme omfang. Eierorgan: Generalforsamling Ordfører stiller i generalforsamlingen fra Halden Kommune Styret: Styreleder: Marthe Lie. Styret består av styrets leder, nestleder og 5 styremedlemmer, 9 varamedlemmer. Halden Kommunes styremedlem: Styrets leder Marthe Lie Honorar pr 2015: Styreleder kr. 183.000, nestleder kr. 85.000 og styremedlemmer kr. 53.000. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet.

169

http://www.purehelp.no/role/viewBoardMember/32274481/oddmundkroken

Side 25 av 44

Halden Arbeid og Vekst AS Selskapsform: Aksjeselskap Org nr. 917 715 378 Stiftelsesdato 02.01.1965 Kontaktperson Hanne Anette Lind Halden kommunes eierandel: 100% Total aksjekapital: Kr. 2.000.000,- Selskapets formål: Selskapet formål er å kartlegge, kvalifisere og formidle arbeidssøkere gjennom arbeidsrettede tiltak og annen næringsvirksomhet til ordinært arbeid eller utdanning. Selskapet kan også gi tilbud om varig arbeid. Utdrag fra selskapets vedtekter datert 1. april 2014: Selskapets overskudd skal bli i bedriften og disponeres til formål som styrker framtidig drift. Selskapet skal ledes av et styre på seks medlemmer med seks varamenn. Fem styremedlemmer og to varamedlemmer velges av generalforsamlingen for en funksjonstid på to år. To styremedlemmer og fire varamenn velges av og blant de ansatte for en funksjonstid på ett år. Halden Kommunes eierstrategi: Selskapet skal gis rom til å utvikle sine forretningsområder på selvstendig basis. Halden kommune skal gjennom «skjermede kontrakter» sikre en basis i driften. Dette må imidlertid baseres på en effektiv drift. Kommunen vil årlig, gjennom en dialog med HAV AS, vurdere utvidelser av tjenesteområder. Selskapet skal tilstrebe å bygge opp under og bidra til positive arrangement i Haldensamfunnet. Halden Kommunes forventninger til selskapet: Eier forventer at selskapets kapital forrentes tilsvarende KPI. Det er også en forventning at HAV formidle arbeidskraft til arbeidsmarkedet og gir tilbud om varig sysselsetting for utsatte grupper. Det forventes at selskapets ansatte i produksjonen, har en turnover på årlig 5%. Haldens kommunes fortsatte tilstedeværelse som medeier: Det vil alltid være behov for skjermede arbeidsplasser for en kommune. I så måte er det ikke tenkelig på nåværende tidspunkt, og under nåværende statlige støtteordninger, at selskapet endres eller opphører. Eierorgan: Generalforsamlingen Ordfører stiller i generalforsamlingen fra Halden Kommune Styre pr mai 2019: Styreleder: Carsten Dybevig (valgt for to år til 2021) Styremedlemmer Henrik Bjørneby (valgt for to år til 2021), Ann-Sofie Therese Næss (valgt for to år til 2020), Elin Lexander (valgt for to år til 2020) og Stein Cato Røsnæs (valgt for to år til 2020). Ansattes styrerepresentanter er Tor Bjarne Buckholm og Leif Erik Johansen. Kommunestyret har oppnevnt Fredrik Holm (H) og Arve Sigmundstad (A) som bisittere i generalforsamling i kommunale AS med Elin Lexander (H) og Kirsti Brække Myrli (A) som vara Honorar: Styreleder: kr. 60.800 pr år Styremedlemmer: kr. 28.400 pr år Vararepresentanter: kr. 1.000 pr møte Rapportering til kommunen:

170

http://www.purehelp.no/role/viewBoardMember/25460071/hanneanettelind

http://www.purehelp.no/role/viewBoardMember/42740271/carstendybevig

http://www.purehelp.no/role/viewBoardMember/33398771/eldarhagenorderhaug

http://www.purehelp.no/role/viewBoardMember/32526881/annsofietheresenaess

http://www.purehelp.no/role/viewBoardMember/46142801/elisabethsuther

http://www.purehelp.no/role/viewBoardMember/15650801/royhermansteen

Side 26 av 44

Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet.Selskapets tertial/kvartalsrapporter oversendes rådmannen. Halden Byutvikling AS Selskapsform: Aksjeselskap Org nr. 980 687 791 Stiftelsesdato 01.02.1999 Kontaktperson Styreleder Jan-Erik Erichsen Halden kommunes eierandel: 100% Total aksjekapital: Kr. 150.000,- Selskapets formål: Forestå byutvikling/planlegging med basis i politisk fattede vedtak. Utdrag fra vedtekter oppdatert 8. februar 2018 Selskapets styre skal ha en til fem medlemmer med personlige varamedlem. Halden Kommunes eierstrategi: Bruke selskapet aktivt til å gjennomføre de forpliktelser det har påtatt seg gjennom salg av Tyska og Hollenderen til Norsk helsehus AS/Fredrikshald Brygge AS. Halden Kommunes forventninger til selskapet: Forventningen er at selskapet følger opp forpliktelser i inngått avtale på en korrekt og selvstendig måte. Ifht forpliktelser forventes at disse løses på en økonomisk gunstig måte, slik at selskapets økonomiske forpliktelser overfor Halden kommune kan innfris. Haldens kommunes fortsatte tilstedeværelse som medeier: Selskapet avvikles når oppdraget i fht Tyska og Hollenderen er gjennomført. Eierorgan: Generalforsamlingen Ordfører stiller i generalforsamlingen fra Halden Kommune Styret valgt februar 2018: Styreleder: Jan-Erik Erichsen Styremedlem: Marthe Lie. Kommunestyret har oppnevnt Fredrik Holm (H) og Arve Sigmundstad (A) som bisittere i generalforsamling i kommunale AS med Elin Lexander (H) og Kirsti Brække Myrli (A) som vara. Honorar pr 2014: Styreleder kr. 100.000 pr år Styremedlem kr. 10.000 pr år Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet. Styret skal oversende kvartals-/tertialrapporteringer til Rådmannen.

171

http://www.purehelp.no/role/viewBoardMember/33621011/jan-erikerichsen

http://www.purehelp.no/role/viewBoardMember/33621011/jan-erikerichsen

Side 27 av 44

Halden Utvikling AS Selskapsform: Aksjeselskap Org nr. 96 681 254 Stiftelsesdato 05.01.2011 Kontaktperson Adm. Dir. Stian Gunnerius Aasterud Halden kommunes eierandel: 20% Øvrige eiere er Utstillingsplassen Eiendom AS, Siva Eiendom Holding AS og Ecapital Eiendom AS Total aksjekapital: Kr. 20.000.000,- Selskapets formål: Investeringsvirksomhet innen fast eiendom, herunder med deltagelse i andre selskaper. Utdrag fra vedtekter datert 26. mai 2014 Selskapets styre består av fem medlemmer. Enhver overgang av aksjer skal være betinget av styrets samtykke på forhånd med forkjøpsrett for aksjonærene etter aksjelovens bestemmelser, med mindre annet er skriftlig avtalt. Halden Kommunes eierstrategi: Gjennom eierskapet aktivt bidra til utvikling av Remmenområdet, i en takt som er økonomisk sett mulig for Halden kommune å være med på. Høsten 2016 varslet Ecapital eiendom AS at selskapet ønsker å selges ned deler av sin aksjepost i Halden Utvikling AS, fra 20% andel til 5% andel. Formannskapet i Halden kommune behandlet saken 27.10.2016 PS 2016/125 med følgende vedtak: Halden kommune kjøper seg ikke opp i Halden Utvikling AS. Halden kommune bifaller at Utstillingsplassen Eiendom kjøper Ecapital eiendoms aksjepost som ønskes solgt (15%). Halden Kommunes forventninger til selskapet: Det forventes at selskapet driver en aktiv profileringsvirksomhet i fht å få bedriftsetablering til området, som igjen vil generer økte utbygging med påfølgende økt virksomhet. Det er videre en forventing om at selskapet driver en forsvarlig utbyggingspolitikk. Haldens kommunes fortsatte tilstedeværelse som medeier: Halden kommune bør være en langsiktig eier. Eierorgan: Generalforsamling. Ordfører stiller i generalforsamlingen fra Halden Kommune. Styret: Styreleder: Per Kristian Andersen Styret består av styreleder og 4 medlemmer, ingen varamedlemmer. Halden Kommunes styremedlem: Roar Glomsrød Kristiansen. Det blir ikke utbetalt styrehonorar. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet. Selskapets halvårsrapportering oversendes rådmannen.

172

http://www.purehelp.no/role/viewBoardMember/19986911/stiangunneriusaasterud

http://www.purehelp.no/company/view/utstillingsplasseneiendomas/940615291

http://www.purehelp.no/company/view/sivaeiendomholdingas/984413807

http://www.purehelp.no/company/view/ecapitaleiendomas/988744263

http://www.purehelp.no/role/viewBoardMember/8586771/perkristianandersen

Side 28 av 44

Haldenvassdragets Kanalselskap AS Selskapsform: Aksjeselskap Org nr. 912 266 168 Stiftelsesdato 27.02.1852 Kontaktperson Direktør Steinar Magne Fundingsrud Halden kommunes eierandel: Halden kommune eier 15.48%. Øvrige aksjonærer er Østfold Fylkeskommune, Haldenvassdragets Brukseierforening, Marker Kommune, Haldenvassdragets Kanalselskap, Aremark Kommune, Aurskog-Høland Kommune, Stangeskovene AS og andre mindre aksjonærer Total aksjekapital: Kr. 356.998,- Selskapets formål: Selskapets formål er drift og vedlikehold av selskapets anlegg samt utvikling av Haldenvassdraget og det som står i forbindelse med dette formål, herunder ivaretakelse av de kulturhistoriske verdier selskapet representerer, og således kunne tilby allmennheten opplevelsesprodukter og berørte kommuner og fylkeskommuner tjenester/ytelser knyttet til Haldenvassdraget. Utdrag fra vedtekter datert 7. juni 2011: Selskapets virksomhet ledes av et styre på inntil 11 medlemmer. Fylkeskommuner og kommuner som eier aksjer i selskapet, framsetter forslag om hver å bli representert ved medlem og personlig varamedlem. De valgte styremedlemmer med varamedlemmer fungerer i to år. Hvert år trer halvparten av styremedlemmene med personlige varamedlemmer ut. Styret velger hvert år blant sine medlemmer styreleder og nestleder. Halden Kommunes eierstrategi: Gjennom eierskapet bidra til at selskapets virksomhet bygger opp under restaurering av kulturhistoriske objekter og sikrer at disse blir levende i miljøet. Brukervennlighet av kanalens fasiliteter og tilgjengeliggjøring. Halden Kommunes forventninger til selskapet: Det forventes at selskapet konkretiserer tiltak som bygger opp under eierstrategi. Eiermøte må foreta prioriteringer på sitt årsmøte og i forbindelse med rullering av vedlikeholdsplan. Haldens kommunes fortsatte tilstedeværelse som medeier: Vassdraget er viktig i Halden kommune sin historie, og rådmannen mener at dette er en viktig identitetsbrikke for samfunnet Halden. Av den grunn forblir Halden kommune eier. Eierorgan: Generalforsamlingen. Generalforsamlingen fastsetter godtgjørelse til styret Ordfører stiller i generalforsamlingen fra Halden Kommune Styret: Styreleder: Johan Edvard Grimstad Styret består av 7 medlemmer, 7 varamedlemmer. Styremedlem fra Halden: Anne Kari Holm, varamedlem Thor Edquist og Øivind Holt Samlet styrehonorar for 2014 var kr. 19.200. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet.

173

http://www.purehelp.no/role/viewBoardMember/20333501/steinarmagnefundingsrud

http://www.purehelp.no/company/view/oestfoldfylkeskommune/842952972

http://www.purehelp.no/company/view/haldenvassdragetsbrukseierforening/940190193

http://www.purehelp.no/company/view/markerkommune/964944334

http://www.purehelp.no/company/view/markerkommune/964944334

http://www.purehelp.no/company/view/haldenvassdragetskanalselskap/912266168

http://www.purehelp.no/company/view/aremarkkommune/940875560

http://www.purehelp.no/company/view/aurskog-hoelandkommune/948164256

http://www.purehelp.no/company/view/stangeskoveneas/916193971

http://www.purehelp.no/role/viewBoardMember/40078981/helgejohanneskolstad

Side 29 av 44

Smart Innovation Norway AS (tidligere Inkubator Halden AS og Smart Simulation Østfold AS) Selskapsform: Aksjeselskap Org nr. 986 258 191 Stiftelsesdato 05.11.2003 Kontaktperson Adm. direktør Thor Bjarne Mosaker Halden kommunes eierandel: Halden kommune eier 3,16% Øvrige eiere er Ecapital AS, Energy & Ict Invest, Siva - Selskapet for Industrivekst Sf, Østfold Energi AS, Halden Sparebank og Andre. Halden kommune takket nei til å delta i siste kapitalutvidelse og har dermed redusert sin eierandel. Total aksjekapital: Kr. 1.264.000,- Selskapets formål: Selskapet skal stimulere til bedriftsetableringer og til vekst i mindre bedrifter i hovedsak innenfor IKT (informasjons- og kommunikasjonsteknologi) og energi ved å tilby kapital og et godt tilrettelagt fysisk, faglig og sosialt miljø. Etablerere og småbedrifter skal tilbys tilgang til kapital, service, veiledning, kompetanse og nettverk. Selskapet skal ha forskning og teknologiske utviklingsaktiviteter som et av sine hovedformål og det skal fremme innovasjon innenfor næringsliv og forvaltning gjennom forskning og utvikling samt utredning og informasjon vedrørende produksjon, omforming, overføring/distribusjon, omsetning og sluttbruk av energi og vedrørende informasjonsteknologi. Selskapet skal virke for helhetssyn og nye initiativ nasjonalt og internasjonalt. Utdrag fra vedtekter datert 16. juni 2015: Selskapets forretningskontor er i Halden kommune. Ved overdragelse av aksjer har de øvrige aksjonærer forkjøpsrett på like vilkår. Styret skal bestå av fra tre til åtte medlemmer. Styret velges av generalforsamlingen for en periode på to år, gjenvalg kan finne sted. Styret velger selv sin leder. Ved overdragelse av aksjer har de øvrige aksjonærer forkjøpsrett på like vilkår. Halden Kommunes eierstrategi: Gjennom eierskapet medvirke til positiv vekst av nye mindre IKT-bedrifter, gjerne innenfor spesielle nisjer. Aktivt spille inn kommunes behov knyttet til fremtidig samfunnsutvikling. Halden Kommunes forventninger til selskapet: Halden kommune forventer at selskapets forretningside bidrar til økt etablering, og at kapital forblir i bedriften for å genere ytterligere bistand og fart. Haldens kommunes fortsatte tilstedeværelse som medeier: Gjennom årlige analyser og vurderinger av selskapets måloppnåelse vurderes videre eierskap. Eierorgan: Generalforsamling. Ordfører stiller i generalforsamlingen fra Halden Kommune Styret: Styreleder: Oddmund Kroken Styret består av 4 medlemmer inkl. styreleder, ingen varamedlemmer.

174

http://www.purehelp.no/role/viewBoardMember/5131681/knuthhellandjohansen

http://www.purehelp.no/company/view/siva-selskapetforindustrivekstsf/966703032

http://www.purehelp.no/company/view/oestfoldenergias/879904412

http://www.purehelp.no/company/view/oestfoldenergias/879904412

Side 30 av 44

Halden Kommunes styremedlem: Halden kommunes engasjement er pr i dag fokusert på NCE prosjektet hvor kommunen er en betydelig bidragsyter. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet. Styret oversender halvårsrapporteringer til rådmannen. Storgata 7 Halden AS, (tidligere Halden Technology Centre AS) Selskapsform: Aksjeselskap Org nr. 987 584 947 Stiftelsesdato 20.11.2004 Kontaktperson Morten Andrè Øraas Halden kommunes eierandel: 100% Total aksjekapital: 3.000.000 Selskapets formål: Eiendomsforvaltning. Utdrag fra vedtekter datert 4. juni 2015 Selskapets styre skal ha 2 til 6 medlemmer. Styret velges for ett år om gangen. Styrets leder velges av generalforsamlingen. Styremedlemmer kan ta gjenvalg. Halden Kommunes eierstrategi: Være en stabil eier, og utvikle selskapets eiendom på en slik måte at det blir en helhet i bygningsmassen ved Wiels plass. Bygget er pr november 2016 fullt utleid til teknisk avdeling i Halden kommune. Halden Kommunes forventninger til selskapet: Selskapets driftes forsvarlig. Haldens kommunes fortsatte tilstedeværelse som eier: Vil være det så lenge behovet for kommunal virksomhet i bygget er tilstede. Pr dd er det økonomisk mest gunstig for Halden kommune å opprettholde Storgata 7 som eget AS fremfor å innlemme bygget i egen virksomhet. Eierorgan: Generalforsamling. Ordfører stiller i generalforsamlingen fra Halden Kommune Styret: Antall styremedlemmer og styreleders navn: Styreleder: Maria Moltubakk Hanto Styremedlemmer: Morten André Øraas og Sven-E Holter-Tollefsen. Ingen vara Hele styret ble valgt ved årsskiftet 2016/2017 og velges for ett år om gangen. Kommunestyret har oppnevnt Fredrik Holm (H) og Arve Sigmundstad (A) som bisittere i generalforsamling i kommunale AS med Elin Lexander (H) og Kirsti Brække Myrli (A) som vara Styregodtgjørelse er kr 80.000 i 2019, hvorav kr. 40.000 til styreleder og kr. 20.000 til hver av styremedlemmene. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet. Styret skal avgi kvartalsvis rapportering til RLG.

175

http://www.purehelp.no/pro/diagnose/viewBoardMember/15099521



Side 31 av 44

Inspiria Eiendom AS Selskapsform: Aksjeselskap Org nr. 988 839 590 Stiftelsesdato 05.10.2005 Kontaktperson Adm. Direktør Geir Endregard Halden kommunes eierandel: 0,64% Hovedaksjonærer er Østfold Fylkeskommune og Sarpsborg Kommune med hhv 47,5% hver. Øvrige Østfold kommuner har ubetydelige aksjeposter Total aksjekapital: Kr. 106.250,- Selskapets formål: Drive allmennyttig virksomhet ved å virke for kunnskapsbygging, økt interesse og motivasjon til utdanning innen teknologi og naturvitenskap, særlig blant barn og unge i Østfold. Selskapet ønsker herunder å bygge og drive et vitensenter (science center) i nært samarbeid med offentlige og private interesser. Selskapet kan delta i andre selskaper eller foreninger for å fremme sitt formål. Selskapet har ikke økonomisk gevinst som formål og kan ikke utdele utbytte til aksjeeiere. Utdrag fra vedtekter oppdatert 26. mai 2015 Selskapets forretningskontor er i Sarpsborg kommune. Selskapets styre skal ha mellom fire og åtte medlemmer etter generalforsamlingens nærmere beslutning. Styremedlemmer kan ta gjenvalg. Generalforsamlingen velger styrets leder og nestleder. Halden Kommunes eierstrategi: Kommunen strategi er til enhver tid å vurdere, og deretter eventuelt stille seg bak hovedaksjonærs strategier. Halden Kommunes forventninger til selskapet: Selskapet skal tilpasse sin drift de økonomiske realiteter. Haldens kommunes fortsatte tilstedeværelse som medeier: Halden kommune er medeier med denne beskjedne aksjeposten så lenge grunnskolen finner å nyttiggjøre seg av de tilbud senteret gir. Eierorgan: Generalforsamling. Ordfører stiller i generalforsamlingen fra Halden Kommune Styret: Styreleder: Stein Lier Hansen Styret består av 6 medlemmer, 3 varamedlemmer. Halden Kommunes styremedlem: Halden har ingen representant i styret. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet.

176

http://www.purehelp.no/role/viewBoardMember/11115901/geirendregard

http://www.purehelp.no/role/viewBoardMember/12869391/steinlierhansen

Side 32 av 44

Drivhuset Østfold AS Selskapsform: Aksjeselskap Org nr. 998 251 346 Stiftelsesdato 15.03.2012 Kontaktperson Hilde Wold Halden kommunes eierandel: 33,3% Høyskolen i Østfold (33,4 %) og Fredrikstad kommune (33,3%) er de øvrige aksjeeiere. Total aksjekapital: Kr. 30.000,- Selskapets formål: Å danne infrastruktur og utgjøre en kjerne for koordinering av Innovasjon og vekst i Østfold ved å gi studenter et sted å videreutvikle prosjekter, gi forskere en mulighet til å kommersialisere sine ideer, samt gi gründere et forum/miljø for videreutvikling av sine ideer og prosjekter. Utdrag fra vedtekter datert 12. september 2014 Selskapet skal ha sitt forretningskontor i Fredrikstad kommune. Selskapet skal ikke betale utbytte til eierne. Selskapets styre skal ha fra fire til seks medlemmer og inntil tre varamedlemmer. Halden Kommunes eierstrategi: Gjennom eierskapet sikre selskapet grobunn ifht selskapets strategi. Halden Kommunes forventninger til selskapet: Selskapet fyller rollen som samlingspunkt og koordinator for innovative krefter. Haldens kommunes fortsatte tilstedeværelse som medeier: Halden kommune er medeier så lenge virksomhetene leverer positive resultater ifht dannelse av miljøer og positive bidrag til vekst. Eierorgan: Generalforsamling. Ordføreren representerer Halden kommune i generalforsamlingen. Styret: Antall styremedlemmer og styreleders navn: Styreleder: Carl-Morten Gjeldnes Styret består av 6 medlemmer. Halden Kommunes styremedlemmer: Øyvind Stokseth og Gina Brekke. Varamedlem Henrik Bertelsen. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret etter generalforsamling i selskapet.

177

Side 33 av 44

Foretak som mottar årlig tilskudd fra Halden Kommune uten at kommunen er eier:

Stiftelsen Halden Historiske Samlinger Selskapsform: Stiftelse Org nr. 861 703 312 Stiftelsesdato 01.01.1988 Kontaktperson Dag Strømsæther Halden kommunes eierandel: Stiftelsen er selveiet, og kommunen har derfor ingen eierandel Aksjekapital: Kr. 0 Selskapets formål: Å være forvaltningsorgan for museer og historiske arkiver. Drift av Haldens Minders museum, Fredrikshalds Teater, Stiftelsen Rød Herregård med De Ankerske Samliger. Industrimuseum under etablering. Halden Kommunes formål med å være delaktig/forventninger til selskapet: Kommunen gir ca kr. 300.000 i støtte i 2014 Haldens kommunes fortsatt tilstedeværelse i stiftelsen: Stivelsen forvalter viktige og historiske perler, som er viktige identitetsbærere for vårt samfunn. Dette skal forvaltes på en korrekt måte, og stiftelsen har opparbeidet kompetanse på dette. Rådmannen anser denne virksomheten som viktig. Styret: Antall styremedlemmer og styreleders navn: Styreleder: Dag Strømsæther Styret består av 4 medlemmer, 4 varamedlemmer. Halden Kommunes styremedlem er Jens Bakke, varamedlem Torbjørn Østby som ble valgt inn i 2016. Pr februar 2017 er ikke dette registrert i Brønnøysundregistrene. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret.

178

http://www.purehelp.no/role/viewBoardMember/27058271/dagstroemsaether

http://www.purehelp.no/role/viewBoardMember/27058271/dagstroemsaether

Side 34 av 44

Stiftelsen Rød Herregård Selskapsform: Stiftelse Org nr. 941 325 254 Stiftelsesdato 09.10.1985 Kontaktperson Styreleder Jan Petter Anker-Rasch Halden kommunes eierandel: Stiftelsen er selveiet, og kommunen har derfor ingen eierandel Aksjekapital: Kr. 0 Selskapets formål: Stiftelsen står oppført under bransjen «Drift av historiske steder og bygninger og lignende severdigheter». Formål er ikke oppgitt i Brønnøysundregisteret Halden Kommunes formål med å være delaktig/forventninger til selskapet: Rød Herregård er et viktig parkanlegg for innbyggere i Halden - og en turistattraksjon. Gjennom deltakelse i stiftelsen kan Halden kommune være med på å utvikle attraksjonen. Haldens kommunes fortsatt tilstedeværelse i stiftelsen: Langsiktig. Styret: Antall styremedlemmer og styreleders navn: Styreleder: Jan Petter Anker-Rasch. Styret består av 4 medlemmer, 4 varamedlemmer. Halden Kommunes styremedlem er Jan Moen (H), varamedlem Sverre Stang (V) valgt i 2016 Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret.

179

http://www.purehelp.no/role/viewBoardMember/38608531/wencheanker-rasch

http://www.purehelp.no/lists/sector/91030/0101


http://www.purehelp.no/role/viewBoardMember/38608531/wencheanker-rasch

Side 35 av 44

Eva Krisesenter Stiftelse Selskapsform: Stiftelse Org nr. 971 480 939 Stiftelsesdato 25.03.1985 Kontaktperson Mona Irene Bråthen Halden kommunes eierandel: Stiftelsen er selveiet, og kommunen har derfor ingen eierandel Selskapets formål: Stiftelsen står oppført under bransjen «Omsorgsinstitusjoner ellers». Formål er ikke oppgitt i Brønnøysundregisteret Halden Kommunes formål med å være delaktig/forventninger til selskapet: Sikre at Halden kommune gjennom stiftelsen kan tilby lovpålagt tilbud til personer som er i behov av tjenesten. Haldens kommunes fortsatt tilstedeværelse i stiftelsen: Kommunen vil være delaktig så lenge stiftelsen gir gode tjenester til en fornuftig økonomisk kostnad. Styret: Antall styremedlemmer og styreleders navn: Styreleder: Kari Sofie Jacobsen Styret består av 5 medlemmer, 5 varamedlemmer. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret.

180

http://www.purehelp.no/role/viewBoardMember/4245331/monairenebraathen


http://www.purehelp.no/role/viewBoardMember/1787141/karisofiejacobsen

Side 36 av 44

Halden Frivilligsentral Selskapsform: FLI (Registrert i Frivilligregisteret) Org nr. 994 540 548 Stiftelsesdato 31.12.1996 Kontaktperson Adm. Direktør Wenche Erichsen Styreleder Reidun Ingerø Halden kommunes har gitt støtte siden år: Selskapets formål: En frivillighetssentral/nærmiljøsentral er en lokalt forankret møteplass, åpen for alle som har lyst til å delta innen frivillig virksomhet. Sentralen utvikles av menneskene som er tilknyttet sentralen. Sentralen skal også være et kraftsenter og kontaktpunkt for mennesker, foreninger/lag og det offentlige i lokalmiljøet. I motsetning til de tradisjonelle humanitære frivillige organisasjonene opererer frivillighetssentralene ikke med medlemskap, men har inntekter fra stat og kommune. Halden Kommunes formål med å gi støtte: Formålet med å gi støtte er bl.a. forebyggende tiltak, folkehelse og integrering Bør Halden Kommune opprettholde støtten?: Ja. Frivilligsentralen gjør en utmerket jobb i fht å arrangere og koordinere ulike aktiviteter. Dette bygger opp under folkehelse, forebyggende tiltak og integrering. Kommunens representant i styret: Ingen oppnevnt. Det er totalt seks styremedlemmer inkl. styreleder og ingen varamedlemmer. Halden kommune bør be om å få en observatør i styret. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret.

181

http://www.purehelp.no/role/viewBoardMember/25565891/wencheerichsen

http://www.purehelp.no/role/viewBoardMember/22517271/nilswilhelmvattekar

Side 37 av 44

Stiftelsen Det Norske Blåseensemble Anno 1734 (DNBE) Selskapsform: Stiftelse Org nr. 985 278 016 Stiftelsesdato 01.01.2003 Kontaktperson Adm. Direktør Thorstein Granly Styrets leder Kari Agerup Halden kommunes har gitt støtte siden år: 2003 Selskapets formål: Stiftelsen skal være et ensemble med høyt kunstnerisk nivå. Gjennomføre ulike tiltak skal ensemblet være til inspirasjon for unge utøvere og det frivillige musikkliv i regionen. Ensemblet skal fremme god nasjonal og internasjonal musikk innen ulike genre. Ensemblet kan delta i samarbeidsprosjekter med ulike kunstformer. Utdrag fra vedtekter datert 25. august 2010 Stiftelsens kontor skal ligge i Halden kommune. Stiftelsen ledes av et styre med 7 faste styremedlemmer med personlig varamedlem. Østfold fylkeskommune oppnevner styreleder og to styremedlemmer. Halden kommune oppnevner tre ordinære medlemmer. De ansatte i stiftelsen velger selv sin representant til styret. Styret i stiftelsen velger selv sin nestleder blant styremedlemmene. Virketid for faste styremedlemmer er normalt to år med mulighet for gjenvalg. Halden Kommunes formål med å gi støtte: Sikre ensemblets tilhørighet til Halden. Gjennom dette bidra til at flere kulturarrangement blir lagt til Halden. Bør Halden Kommune opprettholde støtten?: Saken ble behandlet i Kommunestyret 06.11.2014 med følgende vedtak: 1. Kommunestyret i Halden vedtar at Halden skal være vertskommune for DNBE. 2. Halden kommune opprettholder sitt bidrag i henhold til inngåtte avtaler. Rådmannen pålegges

å ta initiativ til å revidere avtalen mellom Halden kommune og DNBE om Brygga kultursal, samt dekning av alle faktiske utgifter.

3. Administrasjonen gis fullmakt til å forhandle med mulig andre tilskuddsparter om funksjonsdelingsavtalen om Halden kommunes andel av offentlig tilskudd.

4. Situasjonen med Halden kommunes bidrag for 2014 må løses. Om økt tilskudd for 2014 ikke kan løses på annen måte, må beløpet belastes formannskapets konto med det aller første.

Kommunens representant i styret: Halden kommune har oppnevnt styremedlemmene Bjørn Edvardsen, Elisabeth Giske og Else-Marie Andersen Guldahl med personlig vara Wenche Erichsen, Roger Jensen og Therese Diesen. Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret.

182

http://www.purehelp.no/role/viewBoardMember/43168581/geirarnerebbestad

Side 38 av 44

Opera Østfold Fredriksten Festning Selskapsform: AVD (avdeling under Østfold Fylkeskommune) Org nr. 996 052 869 Stiftelsesdato 13.10.2010 Kontaktperson Pål Scott Hagen Halden kommunes har gitt støtte siden år: Den første operaoppsettingen på Fredriksten festning var i 2005 Selskapets formål: Selskapets formål er å sette opp operaforestillinger ved Fredriksten Festning annen hvert år. Utdrag fra samarbeidsavtalen datert 11. august 2014

Samarbeidsavtalen om Opera Østfold er mellom Østfold fylkeskommune og Halden kommune og omhandler et kulturelt og økonomisk samarbeid om fremtidige utendørs operaoppsettinger på Fredriksten festning. Halden kommune og Østfold fylkeskommune skal normalt utgjøre 30% av de samlede offentlige tilskuddene. Ingen av partene forplikter seg til å øke sin andel selv om en av partene gjør endringer. Samarbeidet ledes av en styringsgruppe bestående av seks medlemmer. 2 politikere fra Halden kommune og to politikere fra Østfold fylkeskommune, samt en fra hver av partenes administrasjoner. Østfold fylkeskommune bør ha ledervervet i styringsgruppen ..(…) Opera Østfold har sitt arbeidssted i Halden. En endring i avtalen kan foreslås av en av partene varslet ett år før eventuell iverksettelse. Det er et mål at fylkeskommunen og kommunen skal bidra med like store bidragsbeløp etter en opptrappingsplan som gjøres gjeldende fra 2018. Halden Kommunes formål med å gi støtte: Sikre opera-aktivitet i festningen. Bør Halden Kommune opprettholde støtten?: Ja. Kommunens representant i styret: Halden kommunes representanter virker fra 2016 til nytt kommunestyrevalg i 2019, Thor Edquist (Anne Kari Holm personlig vara) og John Østensvig (Elisabeth Giske personlig vara), samt Stein Wilhelmsen fra administrasjonen. Rapportering til kommunen: Selskapet oversender årsregnskap og årsmelding til Halden kommune.

183

Side 39 av 44

Halden Turist Selskapsform: FLI (Registrert i Frivilligregisteret) Org nr. 970 493 328 Stiftelsesdato 20.02.1995 Kontaktperson Adm. Direktør Liv Ottersen Lindskog Halden kommunes har gitt støtte siden år: 1957 Selskapets formål: Selskapet står ikke oppført med formål i Brønnøysundregisteret. Halden Kommunes formål med å gi støtte: Halden kommune ønsker gjennom samarbeidsavtalen å sikre en samlet markedsføring av Halden som turistdestinasjon. Dette skal også videreutvikles i et samarbeid med kommunens servicesenter, i forhold til å markedsføre Halden som bostedskommune. I januar 2017 er det inngått dialog med Halden Turist med hensyn til innsatsområdet «Arrangement» i næringsutviklingsprosjektet til Halden kommune. Formålet er å øke antall arbeidsplasser i forbindelse med arrangement. Bør Halden Kommune opprettholde støtten?: Ja. Kommunens representant i styret: Thor Edquist (H) med Anne Kari Holm som personlig vara. Gina Finsrud fra administrasjonen er observatør i styret Rapportering til kommunen: Styret skal avgi årsmelding og årsregnskap til kommunestyret.

184

http://www.purehelp.no/role/viewBoardMember/10497061/livottersenlindskog

Side 40 av 44

Regionalpark Haldenkanalen – Marker kommune er vertskapskommune, ikke registrert i Brønnøysundregisteret Selskapsform: Vertskapskommune samarbeid Org nr. Stiftelsesdato: 2012 Kontaktperson: Daglig leder Vidar Østenby Halden kommunes har gitt støtte siden år: 2012. Årlig medlemskontingent er kr. 350.000. Selskapets formål: Å skape økt samarbeid om ivaretakelse og videreutvikling av natur- og kulturverdier langs Haldenkanalen. Dette som grunnlag for nærings- og stedsutvikling. Halden Kommunes formål med å gi støtte: Formålene med støtte er å bidra til realisering av selskapets formål. Bør Halden Kommune opprettholde støtten?: Det ble avholdt evaluering etter tre års drift i 2015. Evalueringsrapporten konkluderte med at det var behov for endringer i organisasjonen og at det var grunnlag for videre drift. Hovedutvalg for Næring og eiendom sluttet seg til konklusjonen om videre drift og opprettholder støtten. Det legges opp til en ny evaluering innen 2018. Charteret Halden kommune har signert gjelder i 10 år fra 2012 til 2022. Kommunens representant i rådet, styret og arbeidsgruppen: Halden kommunes representanter i rådet er Anne Kari Holm (SP) som også er leder i rådet. Ingrid Solberg Sætre er næringslivsrepresentant i rådet. Vara i rådet er Tor Frydenberg. Representant i styret Liv Lindskog med vara Inger Midttun. Representanter til råd og styre ble valgt i 2016 for to år. Representant i arbeidsgruppen: Gina Finsrud og Liv Lindskog Rapportering til kommunen: Rådet avgir årsregnskap og årsmelding til deltakerkommunene.

185

Side 41 av 44

NCE Halden, registrert som Smart Innovation Norway (tidl. Inkubator Halden og Smart Innovation Østfold) Selskapsform: Aksjeselskap Org nr. 986 258 191 Stiftelsesdato 05.11.2003 Kontaktperson Adm dir Knut H. Helland Johansen Styrets leder Benedicte K Fasmer Waaler Halden kommunes har gitt støtte siden år: 2007 Selskapets formål: Selskapet skal stimulere til bedriftsetableringer og til vekst i mindre bedrifter i hovedsak innenfor IKT (informasjons- og kommunikasjonsteknologi) og energi ved å tilby kapital og et godt tilrettelagt fysisk, faglig og sosialt miljø. Etablerere og småbedrifter skal tilbys tilgang til kapital, service, veiledning, kompetanse og nettverk. Selskapet skal ha forskning og teknologiske utviklingsaktiviteter som et av sine hovedformål og det skal fremme innovasjon innenfor næringsliv og forvaltning gjennom forskning og utvikling samt utredning og informasjon vedrørende produksjon, omforming, overføring/distribusjon, omsetning og sluttbruk av energi og vedrørende informasjonsteknologi. Selskapet skal virke for helhetssyn og nye initiativ nasjonalt og internasjonalt. Halden Kommunes formål med å gi støtte: Bidra til en oppbygging av kompetansebedrifter innenfor NCE-klyngens fokusområder, IT og energi. Bør Halden Kommune opprettholde støtten?: Ja. Dette er nedfelt i Halden kommunes målsetting i Strategisk Næringsplan for 2015 – 2020. NCE er et 10-årig program, og kommunen bør stå med støtte i dette tidsrommet. Kommunens representant i styret: Martin Vik Rapportering til kommunen: Styret skal oversende årsregnskap og årsmelding til Halden kommune.

186

Side 42 av 44

6. Oppsummering Årshjul:

Opplæring i den politiske eierrollen hvert fjerde år etter et valg

Velge styremedlemmer minimum hvert fjerde år etter et valg

Årlig settes det av en dag til eierstyring, kombinert med at selskapet informerer kommunestyret om strategi, utvikling og drift.

Administrasjonen legger opp til at Eiermeldingen skal rulleres årlig og at det i tilknytning til dette arbeidet holdes et styreseminar for styremedlemmer i kommunale selskaper. I tillegg vil administrasjonen legge opp til en årlig gjennomgang årsmøtedokumentene til kommunalt eide selskaper og stiftelser.

I første halvår behandler Kommunestyret eiermeldingen og gir instrukser i forhold til generalforsamlinger og representantskapsmøter

September: Årsmelding og årsregnskap for selskaper, foretak og stiftelser behandles i kommunestyret

Eiermeldingen skal revideres fortløpende og minimum for hver valgperiode. Oppdatert versjon skal

være tilgjengelig på kommunens hjemmesider.

7. Lover og forskrifter: Lov om kommuner og fylkeskommuner av 25. september 1992 nr. 107 (kommuneloven) Lov om behandlingsmåten i forvaltningssaker av 10. februar 1967 (forvaltningsloven) Lov om interkommunale selskaper av 29. januar 1999 nr. 6 (IKS-loven) Lov om aksjeselskaper av 13. juni 1997 nr. 44 (aksjeloven) Lov om stiftelser av 15. juni 2001 nr. 59 (stiftelsesloven) Forskrift av 22. juni 2004 nr. 905 Forskrift om kontrollutvalg i kommuner/fylkeskommuner (KU-forskriften). Halden, april 2019 Jens-Petter Berget Avdeling for Samfunnsutvikling

8. Vedlegg – Beskrivelse av ulike organisasjonsformer Når oppgaver skilles ut i egne selskap, vil det juridiske ansvaret ligge i selskapene og være unntatt fra de alminnelige styringslinjene etter kommuneloven. I figuren under er selskaper på høyre side selvstendige rettssubjekt utenfor kommuneloven. Selskapene i den grønne boksen på venstre side er underlagt kommuneloven og har kommunal/interkommunal organisering.

187

Side 43 av 44

Kommunale foretak - KF I 1999 ble kommuneloven endret og kommunene fikk mulighet for å etablere kommunale foretak (KF). Kommunale foretak gir mulighet for mer selvstendig organisering av kommunale oppgaver og brukes som regel når både forretningsmessige og samfunnsmessige hensyn skal ivaretas. Foretaket er en del av kommunen som juridisk person og er underlagt kommunestyrets budsjettmyndighet, men foretaket har en selvstendig stilling i forhold til kommunens administrasjon. Styret i foretaket er bundet av budsjettets rammer. Foretaket ledes av et styre og en daglig leder. Kommunestyret er foretakets øverste organ, og kommunestyret velger styre, styreleder og nestleder. Hensikten med å bruke KF kan være:

Kortere tjenestevei slik at tjenesten blir utført på en mer effektiv måte

Økt fokus på fag

Lage et klart skille mellom bestiller og utfører av tjenesten Interkommunale selskap - IKS Samarbeid mellom flere kommuner kan organiseres som IKS. Dette er egne rettssubjekter som er rettslig og økonomisk adskilt fra deltakerkommunene. Hver deltakerkommune har ubegrenset ansvar for en andel av selskapets samlede forpliktelser. Dette skiller et IKS fra et aksjeselskap hvor eierne kun har et begrenset ansvar. Hensikten med å bruke IKS kan være:

Å etablere faglige kompetanseenheter og profesjonalisere tjenesten

188

Side 44 av 44

Å heve kvaliteten på tjenesten, drive mer effektivt og redusere kostnadene Selskapets øverste myndighet er representantskapet. Hver deltakerkommune skal ha minst ett medlem i representantskapet, og representantskapet skal bl.a. fastsette budsjett, regnskap, retningslinjer og vedtak som styret må følge. Styret og daglig leder står ansvarlig for forvaltningen av selskapet. Aksjeselskap - AS Et aksjeselskap er et eget rettssubjekt. Eierne betaler inn en aksjekapital på minimum kr. 30.000 og bestemmer hvor mange aksjer selskapet skal ha. Eierandelen bestemmes ut i fra prosentvis innskudd av aksjekapitalen. Man kan senere skyte inn mer aksjekapital ved en emisjon, og aksjer kan kjøpes og selges i hht aksjeloven. Eierne har ikke noe personlig ansvar for selskapets gjeld ut over den aksjekapital som eierne har skutt inn. Kommunen kan være medeier i et AS sammen med private eller offentlige rettssubjekter. Aksjeselskapets øverste organ er generalforsamlingen, hvor aksjonærene har stemmerett vektet etter andelen av aksjene de eier. Styret skal bestå av minst tre personer, og de har det overordnede ansvaret for forvaltning av selskapet. Styret ansetter daglig leder. Hensikten med å bruke AS kan være:

Redusere økonomisk risiko

Lage et klart skille mellom bestiller og utfører av tjenesten

AS blir ofte brukt der man ønsker å konkurrere med andre aktører i et marked.

Et aksjeselskap som har over 50% offentlig eierskap, er underlagt offentlighetsloven mht offentlige anbudsregler, arkiveringsregler og offentlig støtte. I aksjeselskap der èn eier har mer enn 1/3 av aksjene, kan eieren nekte vedtektsendringer, såkalt negativ kontroll For selskaper der Halden kommune har minst negativ kontroll, dvs. der kommunens eierandel er mer enn en tredjedel av aksjene (33,33 prosent), og for kommunale foretak, skal Rådmannen påse at det blir utarbeidet styreinstruks. Stiftelse En stiftelse er et eget rettssubjekt, men til forskjell fra andre organisasjonsformer er det ingen eiere, den er selveiet. Ofte er utgangspunktet at blir det avsatt en formuesverdi til å fremme et nærmere fastsatt ikke-økonomisk formål, f. eks et kulturelt eller sosialt formål. Kommunen kan opprette en stiftelse alene eller sammen med andre. En stiftelse er ikke egnet til å utøve eierstyring eller opprettholde en økonomisk interesse i verdier. Styret er stiftelsens øverste organ. En eventuell oppløsning må skje gjennom Fylkesmannen. Pensjonskassen Halden Kommunale Pensjonskasse er et selvstendig rettssubjekt som er selveiet og atskilt fra Halden Kommune. Kommunen bokfører egenkapitalen, men uten at det gir kommunen noen styringsrett. Kommunale pensjonskasser er regulert i forsikringsvirksomhetsloven kapittel 7 og er underlagt tilsyn av Kredittilsynet.

189

http://no.wikipedia.org/wiki/Aksjekapital

http://no.wikipedia.org/wiki/Gjeld

http://no.wikipedia.org/wiki/Generalforsamling_(aksjeselskap)

http://no.wikipedia.org/wiki/Stemmerett



Prinsippavklaringssak

Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Saken legges frem uten forslag til innstilling.


Vedlegg Ingen

Andre saksdokumenter (ikke vedlagt) Ingen

Saksopplysninger Det fremkommer av kommunelovens §13-1 at kommunedirektøren/rådmannen har møte- og talerett i alle kommunale eller fylkeskommunale folkevalgte organer, med unntak av kontrollutvalget. Det vil likevel være hensiktsmessig at rådmannen er til stede i enkelte av kontrollutvalgets møter og saker. Dette for blant annet å gi informasjon og eller besvare spørsmål. Kontrollutvalget bør ta stilling til om rådmannen skal ha en løpende invitasjon til å stille i samtlige kontrollutvalgsmøter, eller om rådmannen kun skal bli invitert inn til de saker kontrollutvalget ser det som formålstjenlig.

Vurdering Sekretariatet vurderer ved at rådmannen har en løpende invitasjon til kontrollutvalgets møter, så har likevel ikke rådmannen talerett, så sant ikke kontrollutvalget ber om dette. Det kan være hensiktsmessig at rådmannen er til stede i kontrollutvalgets møter. Sekretariatet vurderer imidlertid at hvis rådmannen skal gi informasjon eller svare på detaljerte spørsmål i kontrollutvalget, så bør rådmannen være kjent med dette i forkant av møtet. Dette så rådmannen kan stille forberedt. Sekretariatet vurderer at kontrollutvalget enten kan fatte vedtak om at rådmannen har en løpende invitasjon til kontrollutvalgets møter, eller fatter vedtak om at rådmannen skal bli invitert til enkeltsaker/enkeltmøter. Sekretariatet legger frem saken uten forslag til innstilling.

190



Møteplan for 1. halvår 2020

Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Med forbehold om endringer, fastsetter kontrollutvalget følgende møtedatoer for sin

virksomhet for 1. halvår 2020: 6. februar 12. mai (regnskapsmøte) 11. juni

Møtestart kl.


Vedlegg Ingen

Andre saksdokumenter (ikke vedlagt) Kontrollutvalgets budsjettramme for 2020

Saksopplysninger Kontrollutvalget fastsetter en møteplan for ett halvt år av gangen. I kontrollutvalgets budsjett for 2020 er det innarbeidet en møtefrekvens på fem møter. I løpet av første halvår 2020 planlegges det med å avholde tre møter, henholdsvis i februar, mai og juni. Vedrørende forslag til møtedato for behandling av årsregnskapet (12. mai) kan formannskapets behandling av årsregnskapet være avgjørende om kontrollutvalget må eventuelt endre sin foreslåtte dato.

Vurdering Det foreslås torsdag som fast møtedag, med unntak av 12. mai som er tirsdag. Møtestart bestemmer kontrollutvalget i møte 26. november 2019. I budsjettforslaget er det innarbeidet en møtefrekvens på 5 til 6 møter. I første halvår foreslås det tre møtedatoer. Med forbehold om endringer, foreslår sekretariatet at kontrollutvalget fastsetter følgende møtedager for sin virksomhet for 1. halvår 2020:

6. februar 12. mai (regnskapsmøte) 11. juni

191

192



Referater og meldinger

Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Referater og meldinger kan tas til orientering


Vedlegg Møteprotokoll fra kontrollutvalgets møte 03.09 2019

Andre saksdokumenter (ikke vedlagt) Ingen.

Saksopplysninger Møteprotokoll fra kontrollutvalgets siste møte før nyvalg.

Vurdering Sekretariatet vurderer at referater og meldinger kan tas til orientering.

193

Møteprotokoll Kontrollutvalget Halden Møtedato: 03.09.2019, Tidspunkt: fra kl. 12.00 til kl. 14.30 Møtested: Rådhuset, møterom Formannskapssalen 1. etg Fra – til saksnr.: 19/29 – 19/40

Frammøteliste

Medlemmer Møtt Varamedlemmer

Torbjørn Østby (Ap), leder X

Jan Moen (H), nestleder X

Rannveig Lade (R) X

Eirik Milde (H) X (fra sak 19/31)

Turid Eriksen (Ap) X

Håvard Tafjord (H) Meldt forfall Arne Hornæs

Ellen Simensen (Ap) Meldt forfall Odd Riise

Antall stemmeberettigede fremmøtte 7 av 7 Møtende fra Østfold kontrollutvalgssekretariat: Daglig leder Anita Aannerød og Rådgiver Bjørn Gulbrandsen Møtende fra revisjon Deloitte AS: Kjartan Kvamme ØKR IKS: Jolanta Betker og Odd Henning Aure Møtende fra administrasjonen: Rådmann Roar Vevelstad, kommunalsjef undervisning og oppvekst Kent Arne Andreassen, Fra avdeling kommunalteknikk og renseanlegg møtte Asle Berg, Marit Nilsen og Rune Løkkeberg Andre: Ordfører

194

Kontrollutvalget Haldens møte 03.09.2019

Sakliste PS 19/29 Godkjenning av innkalling og saksliste

PS 19/30 Godkjenning av protokoll fra møte 18.06 2019

PS 19/31 Informasjon fra rådmann angående kommunens risikovurderinger av vannkilder

PS 19/32 Forvaltningsrevisjonsrapport "Investeringsprosjekters tidligfase"

PS 19/33 Statusrapport for utført forvaltningsrevisjon i 1. halvår 2019

PS 19/34 Informasjon - restanseprosjekter - forvaltningsrevisjon

PS 19/35 Workshop risiko- og vesentlighetsvurderinger

PS 19/36 Forslag til budsjettramme for kontroll- og tilsynsarbeidet 2020

PS 19/37 Revisjonskartlegging - Regelverksetterlevelse og budsjett

PS 19/38 Revisjonsplan 2019 - Regnskapsrevisjon

PS 19/39 Deloitte AS - Uavhengighetserklæringer

PS 19/40 Eventuelt

PS 19/29 Godkjenning av innkalling og saksliste

Sekretariatets innstilling

Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak:

1. (saken legges frem uten forslag til vedtak)

Kontrollutvalget Haldens behandling 03.09.2019:

Utvalgsleder orienterte om at grunnen til at møte ble endret fra 18.00 til 12.00 skyldes at kommunestyrets møte var blitt fremskyndet til 03.09 2019. Sak 19/35 flyttes frem og settes opp etter sak 19/32. Det ble diskutert hvorvidt sak 19/37 skulle behandles for åpne dører. Kontrollutvalget besluttet at saken skulle behandles åpent og at møtet skulle lukkes hvis enkeltpersoner ble nevnt. Utover dette var det ingen merknader til møteinnkalling eller saksliste.

Kontrollutvalget Haldens vedtak 03.09.2019:

Møteinnkalling og saksliste med den endring som fremkom i møte godkjennes.

195

PS 19/30 Godkjenning av protokoll fra møte 18.06 2019



1. Protokoll fra møte 18.06 2019, godkjennes


Som innstillingen.


1. Protokoll fra møte 18.06 2019, godkjennes

PS 19/31 Informasjon fra rådmann angående kommunens risikovurderinger av vannkilder



1. Saken legges frem uten innstilling fra sekretariatet.


Representanter fra kommunalteknikk og renseanlegg orienterte utvalget om sine risikovurdering og tiltak rundt kommunens vannkilder. Kontrollutvalget tok informasjonen til orientering


Kontrollutvalget tar informasjonen til orientering.

PS 19/32 Forvaltningsrevisjonsrapport "Investeringsprosjekters tidligfase"




Revisjonen orienterte om rapporten og om hvilke funn og anbefalinger som er gitt. Enkelte spørsmål ble stilt og besvart i møte. Kontrollutvalget bemerket at i vedtaket skal bystyret byttes ut med kommunestyret. Vedtaket ble som innstillingen med denne korrigering.


1. Kontrollutvalget tar forvaltningsrevisjonsrapport «Investeringsprosjekters tidligfase», samt rådmannens uttalelse til rapporten til orientering, og slutter seg til revisjonens anbefalinger.

2. Kontrollutvalgets innstilling til kommunestyret:

196

1: Kommunestyret tar forvaltningsrevisjonsrapport «Investeringsprosjekters tidligfase» til orientering, og ber administrasjonen følge opp de to anbefalinger som fremkommer av rapporten. Herunder skal kommunen:

utarbeide en prosjektmodell som etablerer rutiner for investeringsprosjekters tidligfase. En prosjektmodell bør, i tillegg til faseinndeling, inneholde elementer som; kostnadsestimering med usikkerhetsanalyse, konseptutredning, kvalitetssikring og risikovurderinger.

utarbeide rutiner/maler som beskriver hvilken informasjon saksframlegg i kommunestyret for større investeringsprosjekter skal inneholde. Dette vil bidra til å sikre at det framlegges et forsvarlig beslutningsgrunnlag for kommunestyret.

2: Kommunestyret ber rådmannen om å rapportere til kontrollutvalget våren 2020, om

sin oppfølging av rapportens anbefalinger.

Kommunestyret viser for øvrig til kontrollutvalgets ansvar for å påse at kommunestyrets vedtak i forbindelse med forvaltningsrevisjon blir fulgt opp.

PS 19/33 Statusrapport for utført forvaltningsrevisjon i 1. halvår 2019



1. Statusrapport etter utført forvaltningsrevisjon 1. halvår 2019, tas til orientering


Som innstillingen.


1. Statusrapport etter utført forvaltningsrevisjon 1. halvår 2019, tas til orientering

PS 19/34 Informasjon - restanseprosjekter - forvaltningsrevisjon



1. Informasjonen tas til orientering.


Revisjonen orienterte om hvilke prosjekter som står igjen på restanselisten og igangsetting av neste prosjekt. Vedtaket ble som innstillingen.


1. Informasjonen tas til orientering.

197

PS 19/35 Workshop risiko- og vesentlighetsvurderinger


Saken legges frem uten forslag til vedtak.


Kontrollutvalget spilte inn følgende områder til vurdering i den nye forvaltningsrevisjonsplan 2020-2021: Barn i fattigdom, sikkerhet og beredskap, ekstremvær, tildeling av helse og omsorgtjenester, skole – oppvekst (tidlig innsats), samt hvordan fremtidstrender vil påvirke kommunens rammebetingelser.

Kontrollutvalget Haldens vedtak/innstilling 03.09.2019:

Innspill som fremkommer under behandling tas med i det videre arbeid med overordnet analysen for forvaltningsrevisjonsplan 2020-2021.

PS 19/36 Forslag til budsjettramme for kontroll- og tilsynsarbeidet 2020



1. Forslag til budsjettramme for kontrollarbeidet for 2020 på kr. 2 523 700.-, godkjennes.

2. Kontrollutvalgets forslag til budsjett for kontrollarbeidet 2020 oversendes ordfører til videre politisk behandling etter § 2 i «Forskrift om kontrollutvalg og revisjon»


Vedtaket ble som innstillingen.


1. Forslag til budsjettramme for kontrollarbeidet for 2020 på kr. 2 523 700.-, godkjennes.

2. Kontrollutvalgets forslag til budsjett for kontrollarbeidet 2020 oversendes ordfører til videre politisk behandling etter § 2 i «Forskrift om kontrollutvalg og revisjon»

PS 19/37 Revisjonskartlegging - Regelverksetterlevelse og budsjett



1. Kontrollutvalget tar informasjonen til orientering.

2. Kontrollutvalget gjør en nærmere vurdering på hvorvidt det er risikoområder ved grunnskoleområdet som kan være vesentlige for å gjennomføre et forvaltningsrevisjonsprosjekt. Denne vurderingen gjøres i forbindelse med arbeidet med plan for forvaltningsrevisjon 2020-2021.

198


Revisjonen informerte om sin kartlegging og administrasjonen supplerte med sin informasjon. Med bakgrunn i kontrollutvalgets diskusjon vedtok utvalget forslag til vedtak med en tilleggs setning i punkt 2. om at «kontrollutvalget vil særlig henlede oppmerksomheten på tidlig innsats».


1. Kontrollutvalget tar informasjonen til orientering.

2. Kontrollutvalget gjør en nærmere vurdering på hvorvidt det er risikoområder ved grunnskoleområdet som kan være vesentlige for å gjennomføre et forvaltningsrevisjonsprosjekt. Denne vurderingen gjøres i forbindelse med arbeidet med plan for forvaltningsrevisjon 2020-2021. Kontrollutvalget vil særlig henlede oppmerksomheten på tidlig innsats.

PS 19/38 Revisjonsplan 2019 - Regnskapsrevisjon



1. Informasjon om revisjonsplan for 2019, tas til orientering


Som innstillingen.


1. Informasjon om revisjonsplan for 2019, tas til orientering

PS 19/39 Deloitte AS - Uavhengighetserklæringer



1. Uavhengighetserklæring fra oppdragsansvarlig i Deloitte AS, tas til orientering


Som innstillingen.


1. Uavhengighetserklæring fra oppdragsansvarlig i Deloitte AS, tas til orientering

PS 19/40 Eventuelt


Ingen saker.

199



Eventuelt

200

Documents

Møteinnkalling Kontrollutvalget Halden · videreføre arbeidet med databehandleravtaler, slik at kommunen har avtale med alle databehandlere se til at personvernombudet rapporterer