Få styr på datasikkerhed i kommunerne

På netmediet Version2 og netmediet ComputerWorld kan man læse, at Datatilsynet har kritiseret 16 danske kommuner efter, at Datatilsynet har gennemført kontroller af kommunernes praksis for håndtering af persondata. Det er under alle omstændigheder kritisabelt at offentlige myndigheder ikke har styr på datasikkerhed, og det er under alle omstændigheder et emne som kommunerne skal prioritere væsentligt højere end det gøres i dag.

Den enkelte kommune kan gøre en del for at få bedre styr på datasikkerhed og ikke alle aktiviteterne behøver at være komplicerede eller besværlige at få gennemført. I dette blogindlæg forudsættes at den enkelte kommune i forvejen har et vist kendskab og overblik over sine IT-systemer og kontrakter med IT-leverandører. Ligeledes forudsættes det at den enkelte kommune kan anskaffe sig medarbejdere med de fornødne forretningsmæssige- og tekniske kompetencer.

Trin 1 – Alloker ansvaret højt og centralt

Det er vigtigt at der allokeres ansvar centralt i kommunen. Ansvaret bør være helt på direktionsniveau og ansvaret bør skrives ind i den pågældende direktørs kontrakt, så det er muligt at sanktionerer direktøren. Det operationelle ansvar kan også delegeres til andre medlemmer af kommunens direktion med henblik på at manglende overholdelse og overblik over data vil kunne sanktionere den pågældende direktør betydeligt. Den enkelte kommune bør sidestille manglende overblik og effektiv IT- og datasikkerhed med et niveau som svarer sig til et manglende overblik og kontrol med kommunens budgetter og regnskaber.

Trin 2 – Etabler en kontrolmyndighed

Kommunens direktion skal have etableret en kontrolmyndighed der rapporterer direkte til direktionen, så mellemledere m.v. ikke har mulighed for at påvirke rapporterne om kommunens sikkerhedstilstand som skal forelægges direktionen minimum engang om måneden.

Trin 3 – Operationel sikkerhed adskilles fra kontrolmyndighed

I tilfælde af kommunen har et kontor (eller afdeling) med ansvar for digitalisering og IT, så skal kontrolmyndigheden ikke placeres i samme kontor som dem der udarbejder kravspecifikationer, kontrollere drift eller uddanner brugere i anvendelse af fagsystemer m.v.

Kontrolmyndigheden kan trække på kompetencerne i de førnævnte kontorer, men hvis kompetencerne ikke separeres så vil data antageligvis blive farvet for positivt.

Trin 4 – Stil krav om sikkerhed

Kommunens kontor (eller afdeling) for digitalisering (og IT) skal stille krav om at alle IT-løsninger der anskaffes overholder datapersistens, linje og diskkryptering samt at en central brugerdatabase anvendes. Ligeledes skal der i hver kontrakt skrives ind at kommunen kan kontrollere overholdelsen af IT-sikkerhed hos leverandøren i forhold til den eller de IT-løsninger der er driftet hos den pågældende leverandør.

Trin 5 – Kontinuerlig uddannelse

Kontrolmyndigheden skal sammen med kontoret for digitalisering sikre at alle nyansatte bliver trænet i IT-sikkerhed og datasikkerhed og grundelementerne i persondataloven. Ligeledes bør eksisterende ansatte blive introduceret til loven og gennemføre et tilsvarende kursus. Kommunen kan med de to programmer understøtte flere forskellige hastigheder for træning i IT- og datasikkerhed, hvortil uddannelsen af de eksisterende medarbejdere kan varetages af et eksternt konsulentbureau.

Trin 6 – Gennemfør leverandørkontrol

Kontrolmyndigheden skal påbegynde leverandørkontrol, hvortil den enkelte kommunens indkøbsafdeling (eller kontor for indkøb og kontraktstyring) skal bistå med at få holdt kontrakterne ajourført med databehandleraftaler. Kontoret for digitalisering kan eventuelt bistå med kompetencer om systemernes opbygning og historikken for hvert system.

Trin 7 – Risikovurderinger

Kontrolmyndigheden skal foretage risikovurderinger af data såvel som IT-systemer der påvirker den enkelte kommunens forretningsdrift. Risikovurderingerne skal foretages minimum engang i kvartalet. Risikovurderingerne bør forelægge direktionen og kommunalbestyrelsen til nærmere granskning og allokering af midler til begrænse at de relevante risici ikke realiseres.

Trin 8 – Procesafklaring

Kontrolmyndigheden og kontoret for digitalisering skal sammen udarbejde oplæg til processer der støtter op håndtering af kommunens data herunder persondata. Processerne skal jævnligt kommunikeres ud af henholdsvis kontrolmyndigheden og kontoret for digitalisering; hvor det er vigtigt   at processerne er tilgængelige for alle kommunens medarbejdere og at processerne er visuelt formidlede (diagrammer, billeder og videoer).

Chefkonsulenter og kontorchefer i de enkelte kontorer i kommunen skal kunne finde processerne og håndhæve disse, hvis de bliver opmærksomme på overtrædelser af persondataloven eller lemfældig omgang med kommunens data.

Trin 9 – Etabler whistle blower ordning

Kontrolmyndigheden skal etablere en whistle blower ordning, så kommunens ansatte eller borgere anonymt kan kontakte kontrolmyndigheden om tilfælde der omhandler persondata eller andre af kommunens data.

Konklusion

Den enkelte kommune sikre borgernes data i vidt omfang og samtidigt leve op til persondataloven. Det er vigtigt at den enkelte kommune forstår, at IT- og datasikkerhed ikke er noget der kan outsources, og det er ligeledes vigtigt at den enkelte kommune arbejder aktivt med at fremme sine kompetencer, kontroller og kravstilling samt anskaffelser i forhold til IT- og datasikkerhed.

De ni trin kan bruges af kommunerne som inspiration til at få bedre styr på deres håndtering af vigtige data herunder persondata.