Internkontrollsystem

Sikre at nettselskapet etablerer et system som legger til rette for at personvern, konfidensialitet, integritet og tilgjengelighet ivaretas for alle aspekter av driften.

Den enkelte virksomhet må selv bestemme hvor omfattende systemet skal være. Bestemmelsen gir ingen avgrensning med hensyn til å bruke eller tilpasse allerede etablerte internkontrollsystemer, så lenge bestemmelsens vilkår er oppfylt gjennom å dokumentere at alle krav til sikkerhet i lov og forskrift er oppfylt.

For å være sikre på å kunne dokumentere hvordan krav i §4-6 første til fjerde ledd er oppfylt, har nettselskapet valgt å etablere et eget internkontrollsystem i henhold til anbefalinger fra Datatilsynet. Nettselskapet skaffer seg tilstrekkelig kunnskap om personvern og informasjonssikkerhet gjennom å engasjere en ekstern konsulent for å gjennomføre et opplæringsopplegg, og ledelsen tar ansvar for at det utarbeides retningslinjer/rutiner og at internkontrollaktiviteter gjennomføres. Formålet med internkontrollen dokumenteres, sammen med vurdering av lovlighet, nødvendighet og proporsjonalitet av tiltak. Nettselskapet beskriver de overordnede rammer for internkontrollen, og tilhørende plikter. Nettselskapet bruker malene til Datatilsynet for å lage styrende, gjennomførende, og kontrollerende dokumentasjon, og sørger for at malene tilpasses nettselskapets lokale forhold.