Bemærkninger til Datatilsynets udkast til vejledning om rettighedsstyring
Rettighedsstyring er et vigtigt emne for kommunerne – både for at leve op til kravene om behandlingssikkerhed i databeskyttelsesforordningen, anbefalingerne til informationssikkerhed samt for at sikre sig mod de tiltagende hackerangreb, som er blevet en del af den kommunale hverdag. Det er derfor positivt, at Datatilsynet vil udarbejde vejledning om emnet.
./. KL har en række både generelle og tekstnære bemærkninger til det frem- sendte materiale. Nærværende høringssvar er derfor bilagt kommenterede udgaver af udkastet til vejledning om rettighedsstyring og udkastet til katalog over foranstaltninger. En betydelig andel af KL´s bemærkninger handler om formidling og strukturering af materialet. KL vil derfor opfordre til en gennem- skrivning heraf.
Samspillet mellem vejledning og katalog
KL vil foreslå, at vejledningen om rettighedsstyring indeholder en beskrivelse af de relevante foranstaltninger i selve vejledningen. Sådan, at vejledningen kan læses uden at skulle slå op i foranstaltningskataloget. En opdeling i to dokumenter gør stoffet sværere tilgængeligt. Eventuelt kan de relevante for- anstaltninger opregnes sidst i vejledningen i bilagsform.
Fokus på rettighedsstyring
I både vejledningen og kataloget nævnes en række emner og foranstaltninger, som ligger i periferien af emnet rettighedsstyring. KL vil anbefale, at disse emner i stedet medtages i andet vejledningsmateriale fra Datatilsynet for at styrke vejledningens fokus. Det drejer sig om afsnittet: "Hvornår går det galt? Eksempler fra danske virksomheder og myndigheder " samt foranstaltningerne "Awareness", "Pseudonymisering, anonymisering”, "Ændringsstyring (Change Management) samt dele af dele af tiltagene opregnet under "Tilpasning af adgangsrettigheder ved ændring af ansættelse", fx inddragelse af stole og borde, udskiftning af låsecylindre og ophævelse af medlemsskaber.
Målgruppe og sprogbrug
De kommunale medarbejdere, som vil have glæde af vejledningen vil være systemejere, it-medarbejdere og evt. medarbejdere, der sidder med projekter om brugerstyring. Typisk medarbejdere, der ikke arbejder med jura. KL vil derfor foreslå, at vejledningens gengivelse af bestemmelser fra databeskyttelsesforordningen samt henvisninger til EDPB´s retningslinjer flyttes til bagerst i vejledningen, eventuelt i bilagsform, igen med henblik på at øge tilgængeligheden af vejledningen. I forlængelse heraf kan de databeskyttelsesretlige underoverskrifter i afsnittet "Hvornår går det galt? Eksempler fra danske virksomheder og myndigheder" med fordel slettes.
Desuden vil KL anbefale, at det overvejes, om benævnelsen af foranstaltningerne (den blå tekst i kursiv) kan gøres mindre sprogligt "tung". Fx kan "For- lods angivelse af adgangslukning" eksempelvis omdøbes til ”Sæt slutdato for brugeradgang ved oprettelse", "Kontrolleret/forhindret dublering af adgangsrettigheder" kunne hedde "Undlad at kopiere adgangsrettigheder” og "Kontrolleret/forhindret genanvendelse af autorisation" og "Forhindring af anonym adgang" kan ligeledes også med fordel få mere mundrette og umiddelbart forståelige benævnelser.
Benævnelserne "Adgangsrettigheder efter behov" og "Dataadgang efter behov" giver generelt anledning til tvivl – hvis "behov" tænkes der på?
Det er KL´s opfattelse, at umiddelbart forståelige benævnelser evt. suppleret med sigende illustrationer vil medvirke til at øge forståelsen af vejledningen.
I forhold til vejledningens sprogbrug vil KL også gøre opmærksom på, at titlen "autorisationsansvarlig" ikke er en benævnelse, der kendes fra kommunerne. I kommunalt regi vil det typisk være systemejerne (fagchefer), der tager stilling til, hvilke rettigheder og adgange de enkelte brugere skal have. Dette sker automatisk via digitale templates. Herefter opretter en it-medar- bejder (evt. kaldet brugeradminstrator) brugerne i de relevante systemer.
Centraliseret brugerstyring som overordnet princip
I kommunerne vil rettighedsstyring typisk være koblet op på en centraliseret brugerstyring. Dette giver bedre mulighed for styring af rettigheder, idet autoritative kildesystemer (typisk HR-systemet) altid vil være opdateret i forhold til hvilke brugere, der arbejder i hvilke afdelinger samt oplysninger om med arbejder til- og fragang, herunder vikarer og eksternt tilknyttede konsulenter.
KL vil derfor anbefale, at centraliseret brugerstyring i vejledningen præsente- res som et centralt udgangspunkt for arbejdet med rettighedsstyring.