4.1. Internkontroll

Med internkontroll menes formalisering av hvordan virksomheten planlegger, gjennomfører, evaluerer/ kontrollerer og korrigerer etterlevelse av relevant regelverk, krav og avtaler.

Den som har det overordnede ansvaret for virksomheten, skal sørge for at det etableres og gjennomføres systematisk styring av virksomhetens aktiviteter (internkontroll). Det er et krav at dokumentasjon om dette til enhver tid skal være oppdatert og lett tilgjengelig for alle ansatte.

Det må også etableres rutiner for å sikre at styrende dokumenter til enhver tid er oppdaterte i tråd med krav i gjeldende lovverk, beslutninger, organisatoriske løsninger, rutiner og andre relevante styringsdokumenter.

Informasjonssikkerhet og personvern bør inngå som en del av den totale interkontrollen i virksomheten.

En måte å jobbe med internkontroll er å dele det inn i tre deler; styrende del, gjennomførende del og kontrollerende del. Kort oppsummert:

Styrende del – noen viktige områder

• Definer ansvar, funksjoner og ha en god oversikt over virksomhetens mål, oppgaver og tjenester, organisering og ansvarsfordeling

Oversikt over behandlinger av helse- og personopplysninger (protokoll)Gjennomførende del noen viktige områder

• Tilgangsstyring
• Opplæring og kompetanse
• Avtaler

Kontrollerende del – noen viktige områder

• Scenarioliste over hva galt som kan skje, og risikovurdering
• Avvikshåndtering av uønskede hendelser
• Årlig sikkerhetsprat i virksomheten (som i Normen omtales som ledelsens gjennomgang)

Virksomheten skal ha en oversikt over ansatte, funksjoner og hvilke oppgaver de har ansvar for. Oversikten skal være oppdatert og lett tilgjengelig for alle ansatte.