Hopp til hovedinnhold
NHN

Med Styringssystem eller internkontroll menes formalisering av hvordan virksomheten planlegger, gjennomfører, evaluerer/ kontrollerer og korrigerer etterlevelse av relevant regelverk, krav og avtaler.

Den som har det overordnede ansvaret for virksomheten, skal sørge for at det etableres og gjennomføres systematisk styring av virksomhetens aktiviteter. Det er et krav at dokumentasjon om dette til enhver tid skal være oppdatert og lett tilgjengelig for alle ansatte. Det må også etableres rutiner for å sikre at styrende dokumenter til enhver tid er oppdaterte i tråd med krav i gjeldende lovverk, beslutninger, organisatoriske løsninger, rutiner og andre relevante styringsdokumenter. Informasjonssikkerhet og personvern bør inngå som en del av den totale interkontrollen i virksomheten.

En måte å jobbe med internkontroll er å dele det inn i tre deler:

1. Styrende del

Den styrende delen inneholder ledelsens krav til personvern og informasjonssikkerhet og beskriver de overordnede føringene som gjelder i virksomheten. Videre beskrives sikkerhetsorganisasjonen med hvilke roller som er ansvarlig for oppgavene på ulike nivåer. Som utgangspunkt for arbeidet med personvern og informasjonssikkerhet utarbeides og vedlikeholdes det en oversikt med hvilke behandlinger av helse- og personopplysninger virksomheten utfører.

2. Gjennomførende del

Den gjennomførende delen inneholder alle detaljerte regler og krav for personvern og informasjonssikkerhet som skal følges i virksomheten og skal dekke kravene i den styrende del. Reglene og kravene gjelder både ledelsen, den enkelte ansatte og medarbeider og ansvarlige for informasjonsteknologi.

3. Kontrollerende del

Den kontrollerende delen inneholder kontrollmekanismene som skal benyttes for å kontrollere at kravene blir oppnådd og at rutinene følges.

Beskrivelse av styringssystemets innhold finner du iveileder om internkontroll i informasjonssikkerhet og personvern


Malverk og sertifiseringer

Det finnes en rekke ulike malverk og standarder for styringssystem. En mye brukt standard er som et eksempel ISO 27001. Dette er en omfattende standard som også tilbyr sertifisering. Hvis virksomheten benytter en anerkjent standard og er sertifisert i henhold til dette vil sertifikat for oppnådd sertifisering kunne holde som dokumentasjon på styringssystemet.

Normen har utarbeidet noen veiledere som inneholder et malverk for styringssystem basert på Normens krav. Det er fult mulig for en leverandør å ta utgangspunkt i en slik mal for selv å tilpasse denne til egen virksomhet. Husk imidlertid at det er like viktig at styringssystemet er implementert i virksomheten som at man kan fremvise god dokumentasjon.