Kommunane tek initiativ til og gjennomfører mange ulike tiltak for å trygge personvernet for den einskilde. Nokre av tiltaka vert gjennomførte av datahandsamarar på vegne av kommunen, i tråd med inngåtte avtalar.

Ein kan enkelt dele dei ulike typane tiltak i fem ulike kategoriar. Desse er kort skildra i oversynet nedunder. Av omsyn til tryggleiken vert detaljert informasjon om desse tiltaka kun delt med dei som måtte ha sakleg grunn til innsyn, til dømes tilsynsmyndigheiter.

Fysisk sikring av data

Utstyr som handsamar og lagrar data skal vernast mot uløyves innsyn og bruk gjennom ulike fysiske tiltak, som til dømes

  • låsing av lokala der utstyret er plassert
  • mellombels lukking av pc når brukar går frå arbeidsplassen sin
  • tiltak som førebyggjer brann, flaum og andre situasjonar som kan øydeleggje utstyret
  • tiltak som tek sikte på å minske konsekvensane av slike situasjonar, til dømes gjennom ei oppbyggjing av nettverk og servarpark som gjer at ein raskt kan ta i bruk reserveløysingar

Av tryggleiksgrunnar vert ikkje alle desse tiltaka spesifisert her.

Teknisk sikring av data

Datakriminalitet er ein viktig trussel mot datatryggleiken. Eit viktig forebyggjande tiltak er å sjå til at programvaren og utstyret programvaren vert køyrt på, så langt dette er mogleg er oppdatert slik at eventuelle tryggleikshol er tetta. 

Eitt av fleire tiltak er at nettverk og servarpark er seksjonert i fleire adskilte såkalla logiske nettverk, som er sett opp som sjølvstendige einingar. Dei ulike brukarane er knytt til eitt eller fleire av dei logiske nettverka.

Brukarane kan få tilgjenge til data på nettverka dei er knytt til, avhengig av tilgjenge dei vert gitt. Men dei har ikkje tilgjenge til data som ligg på dei andre nettverka.

Organisatorisk sikring av data

Eit overordna prinsipp i all forvaltning av data er at ingen skal ha høve til innsyn i og endring, eksport eller sletting av data - med mindre dei har sakleg grunn til det.

Høve til innsyn i og arbeid med bestemte data skjer ved at vedkomande som skal ha dette, vert gitt tilgangsrettar til dei aktuelle data. Slikt innsyn vert gitt på grunnlag av instruksar frå kommunen, og tilgangsrettane til kvar einskild tilsett vert revidert på dagleg basis.

Best praksis

Kvar einskild tilsett har ansvar for aktivt å forhindre at data kjem på avvegar, vert endra eller vert sletta utan at dei skal det. Det er den tilsette si plikt å opptre på ein slik måte at dette ansvaret vert skjøtta.

Det er det som ligg i omgrepet "best praksis" i denne samanhengen.

Kva som er best praksis, vil variere frå tenesteområde til tenesteområde. Men felles for alle tenesteområda er at best praksis vert bygd på risikovurderingar, i form av tiltak som vert fastsett av leiinga og fylgd av dei tilsette.

Bruk av samtykke, og dokumentasjon av dette

Når bruk av personinformasjon er basert på samtykke, er det kommunen sitt ansvar å dokumentere at slikt samtykke er gitt. 

Meir om dette står å lese på sida om den registrerte sine rettar.

Ofte vert samtykke gitt i samband med at den registrerte sjølv vender seg til kommunen. 

Dersom kommunen ynskjer å publisere fotografi som syner personar på nettet, må kommunen i dei fleste tilfella kunne dokumentere at dei som er attgitt på bileta, har gitt samtykke til publisering. Kommunen nyttar eigne generelle samtykkeskjema til dette føremålet.