Datatilsynet har gjennomført kontrollene i to faser:

De har først gjennomført brevkontroller mot 93 kommuner og 5 fylkeskommuner. Datatilsynet ba da om informasjon og dokumentasjon innenfor nærmere angitte tema knyttet til personvern og personopplysningssikkerhet.

Deretter ble det gjennomført stedlige tilsyn med 10 kommuner, med samme tema som brevkontrollen. Formålet med de stedlige tilsynene var å kontrollere faktisk etterlevelse på de forskjellige områdene.

Datatilsynet har nå skrevet en samlerapport for de 98 brevkontrollene. Rapporten inneholder beskrivelse av kravene i personvernregelverket, oppsummering av besvarelsene de har mottatt og veiledning om de juridiske kravene og temaene som ble undersøkt. Noe av veiledningen har Datatilsynet skrevet selv, men har også henvist til andre aktører.

Noen stikkord fra funnene:

• Det gjøres mye godt personvernarbeid, til tross for begrensede ressurser.
• Det er stor forståelse for at personvern og informasjonssikkerhet er viktige verdier som må ivaretas
• De fleste har etablert gode verktøy for styringssystem/internkontroll og behandlingsprotokoller.
• Det er innført tekniske tiltak for å ivareta informasjonssikkerheten.
• Mange mangler overordnede retningslinjer og praktiske rutiner/prosedyrer innenfor de fleste temaene vi kontrollerte.
• Det uttrykkes behov for mer, bedre og samlet veiledning, og det er ønske om tilgang på gode eksempler.