Trondheim kommunerevisjon har i denne etterlevelseskontrollen undersøkt roller og tilganger i It-systemer for å sikre at rettigheter i systemet er i samsvar med tjenestlig behov og regelverk.

Last ned rapporten her:

Konklusjon med forbehold 

Finansbyråden har i sitt tilsvar av 19. mai 2025 gitt en overordnet tilbakemelding på funnene i vår rapport. Han opplever rapporten som ryddig og nyttig, og den vil være et praktisk og godt arbeidsverktøy i videre oppfølging av rutiner og tilganger for IT-systemene som forvaltes i ulike byrådsområder. Han mener at arbeidet de har startet er en god begynnelse som møter flere av revisjonens vurderinger og anbefalinger.

I tilbakemeldingen fra finansbyråden er det ikke gitt konkret tilbakemelding på hvordan funnene i rapporten skal følges opp. Rapporten viser at:

● kommunen har ikke etablert overordnede skriftlige retningslinjer for hvordan tjenesteforvaltere skal administrere roller i og tilganger til IT-systemer.

● det ikke er etablert skriftlige rutiner for oppretting, endring, sletting og jevnlig evaluering av roller i IT-systemene i kommunen for å sikre at rollene er satt opp i henhold til kommunens behov og med riktig omfang som bidrar til betryggende sikkerhet.

● ikke alle rollene for de fem systemene som inngår i undersøkelsen er satt opp med riktig omfang som bidrar til betryggende sikkerhet.

● byggesakskontoret ikke har skriftlige rutiner for hvordan tjenesteforvalter skal administrere tilganger til eByggesak.

● tilgangene til tre av systemene i undersøkelsen ikke har vært satt opp i henhold til prinsippene om minst mulig privilegium.

● tilganger til Visma Velferd og Visma Flyvo ikke evalueres årlig.

● retningslinjer som beskriver hvordan tjenesteforvalter skal ivareta ansvaret for kommunens personopplysninger (GDPR) for sine IT-systemer ennå ikke er implementert.

● det ikke er gitt opplæring i informasjonssikkerhet til tjenesteforvaltere for systemene Visma Velferd, Visma Flyvo, Vigilo og Modulus Barn.

● det for systemene Visma Velferd, Visma Flyvo, Vigilo og Modulus barn ikke er utarbeidet skriftlige rutiner for gjennomgang av loggføring av bruk av systemene. Disse fire IT-systemene inneholder sensitive personopplysninger.

Basert på de utførte handlingene, innhentede bevis og byrådets svar, kan vi ikke konkludere med at kommunen har hatt tilfredsstillende kontroll med roller og tilganger for systemene Flyvo og eByggesak.

Denne uttalelsen er utelukkende utarbeidet for å gi kontrollutvalget et bedre grunnlag for å ivareta sitt påse ansvar med økonomiforvaltningen og til Trondheim kommunes informasjon, og er ikke nødvendigvis egnet til andre formål.