04. juni 2018

Kommunerne knokler for borgernes informationssikkerhed

Kommunerne har arbejdet hårdt for at blive klar til den nye databeskyttelsesforordning. Det er en stor opgave, men ny opgørelse viser, at det går frem på de fleste områder, men at det er en udfordring at sikre, at alle dele af organisationen og alle medarbejdere forstår, hvordan de skal agere for at minimere risikoen for datalæk.

Når fru Jensen får besøg af hjemmesygeplejersken, eller hr. Hansen sender en byggeansøgning, så skal de være sikre på, at de personlige oplysninger, de afleverer, bliver behandlet fortroligt af kommunen og ikke ender i de forkerte hænder.

Det blev understreget, da EU’s nye persondataforordning for nylig trådte i kraft, og det er et tiltag, der har sat sit præg på arbejdet med informationssikkerhed i kommunerne. Det viser en ny KL-undersøgelse, hvor kommunerne giver en status på, hvor langt de er. Undersøgelsen viser, at en række kommuner allerede var godt i gang med at forberede sig på de nye regler i 2016, og at mange af kommunerne allerede var kommet langt i 2017.

Undersøgelsen er delt ind i seks indsatsområder for informationssikkerhed og måles ud fra en række parametre på en skala fra ét til fem, hvor tre er det acceptable niveau. I gennemsnit scorede kommunerne i 2017 3,6 på ”Implementering og drift”, 3,5 på ”Ressourcer og kompetencer” og ”Teknik og drift”, mens kommunerne landede på 3,0, når det gjaldt ”Politikker for informationssikkerhed”. Trods betydelig fremgang fra 2016 til 2017 mangler der dog lidt for at være på et godt niveau, når det gælder ”Styring af informationssikkerhed” og ”Uddannelse og oplysning”, som scorer henholdsvis 2,6 og 2,4.

I KL er man glad for, at kommunerne på de fleste områder ligger på et acceptabelt niveau, fordi det er vigtigt at sikre informationssikkerheden i en tid, hvor den teknologiske udvikling går rigtig stærkt. Det forklarer kontorchef for Digitalisering og Borgerbetjening Pia Færch.

»Vi skal ikke være bange for at bruge ny teknologi, men vi har et stort ansvar for at tænke informationssikkerhed ind, hver gang vi tager ny teknologi i brug, ligesom vi skal være opmærksomme på, at trusselsbilledet hele tiden ændrer sig. Derfor er det godt, at undersøgelsen bekræfter, at alle kommuner arbejder aktivt med at styrke informationssikkerheden. Det tegner et billede af, at kommunerne er fint med ift. implementering af databeskyttelsesforordningen og arbejder med at komme helt i hus,« siger Pia Færch.

Hun påpeger, at det er en stor opgave for kommunerne at sikre, at medarbejderne helt ud i de yderste led overholder reglerne og giver den rette information til borgerne om håndteringen af deres personfølsomme oplysninger. Det kan man tale med om i Herning Kommune, hvor man allerede satte gang i arbejdet for tre år siden, da EU bekendtgjorde, at der ville komme skærpede regler på området. Kommunen gennemførte både anmeldte og uanmeldte besøg i alle typer af afdelinger for at få et præcist indtryk af, hvordan det stod til informationssikkerheden.

»Vi brugte rent faktisk ni måneder på at komme rundt i afdelingerne, for det er et meget omfattende arbejde. Vi har 37 skoler og rigtig mange daginstitutioner, hvor vi endda kun tog ud på halvdelen og tjekkede, om der var styr på den tekniske- og IT-mæssige del, og om der helt lavpraktisk lå papirer med personfølsomme data fremme,« forklarer Poul Venø, der er IT- og digitaliseringschef i Herning Kommune.

Antallet af afdelinger i en kommune er noget af det, der gør det svært at implementere de nye EU-regler. Det forklarer Anders Ganer, der har næsten 40 års erfaring som chefrevisor i BDO og nu er selvstændig rådgiver til den kommunale sektor med speciale i blandt andet persondatabeskyttelse.

»Kommunerne bør grundlæggende være i stand til at sikre persondata på forsvarlig vis, men det besværliggør implementeringen af nye regler, at alle kommuner er et konglomerat af forskellige opgaveområder lige fra vejfolk til dagplejemødre og ingeniører. De skal alle sammen forstå, hvad reglerne betyder for dem, og det er en udfordring,« siger Anders Ganer.

Derfor mener han også, at specialisterne skal møde medarbejderne.

»De mennesker, der sidder centralt og har en viden om det her, skal ud af rådhuset og på besøg i de enkelte afdelinger,« siger Anders Ganer.

I Herning Kommune har man også været udfordret af, at de vejledninger, som Justitsministeriet, Datatilsynet  og KL skulle levere til kommunerne med tips til en god implementering, har været forsinket. Og fire af dem er sågar endnu ikke udkommet.

»Vi har siddet og ventet rimelig lang tid, og det har gjort arbejdet med at nå at blive klar inden deadline besværligt. Vi har været klar på de væsentlige områder, og resten har vi en plan for, men vi mangler at få det udspecificeret, så vi kan svare på, hvad det betyder for det enkelte medarbejder,« siger Poul Venø.

Den gode implementering

Selvom KL-undersøgelsen altså viser, at der stadig mangler lidt for at være på et godt niveau, når det gælder ”Styring af informationssikkerhed” og ”Uddannelse og oplysning”, så er det til gengæld også de områder, hvor der er sket den største positive udvikling fra 2016 til 2017. Således var det i 2016 kun 20 procent af kommunerne, der havde vedtaget en procedure for uddannelse af medarbejdere i informationssikkerhed, mens det i 2017 var steget til 51 procent samtidig med, at yderligere 42 procent enten havde det under udarbejdelse eller var ved at planlægge det.

Det er en vigtig indsats, for hvis ikke den del er på plads, risikerer man, at det påvirker borgerne, forklarer Anders Ganer.

»Der er kommet en enorm pligt til at informere borgerne om, hvad der sker, når man samler informationer ind. Man skal være klar på, hvordan man vejleder medarbejderne om, hvordan de vejleder borgerne, så de ved, hvad der samles ind, og hvad det skal bruges til. Ellers får vi måske ikke skabt den tryghed, som borgerne forventer,« siger Anders Ganer.

I Herning Kommune har man grebet opgaven an ved at afmystificere reglerne om informationssikkerhed og ikke køre det op på et højt teknisk niveau.

»Vi har hele tiden holdt det på et lavt praktisk niveau, og jeg har sagt, at det her handler mere om mennesker, end det handler om teknik. Det handler om at bruge sin sunde fornuft og reagere, hvis der er noget på skærmen, der ikke er, som det plejer at være, og så huske at journalisere ud fra de nedskrevne retningslinjer,« siger Poul Venø.

Ledelsen spiller også en vigtig rolle for en god implementering af databeskyttelsesforordningen, og her har nogle kommuner også stadig et stykke arbejde foran sig. 14 procent svarede i 2017, at organisationen har en proces, hvor den øverste ledelse tager stilling til, hvorvidt der er en tilstrækkelig sikkerhed mod de identificerede trusler, mens 33 procent var delvist i mål, og 31 procent planlagde at få det. 19 procent svarede nej på spørgsmålet.

»Ledelsens involvering har en enorm stor betydning, for hvis man decentraliserer løsningen af en opgave, så skal man overveje, om de lokalt har rette kompetencer og den nødvendige hjælp for at løse en opgave. Samtidig skal de kommunikere reglerne som et positivt budskab, for det er nemmere at bringe videre, end hvis man præsenterer det som sure bureaukratiske regler, man er blevet pålagt,« siger Anders Ganer.

Selvom han havde håbet, at kommunerne var endnu længere på nuværende tidspunkt, så tror han, at det lykkes for dem at komme helt i mål.

»Der vil selvfølgelig ske uheld, for ting går galt, og sådan vil det altid være. Men jeg tror, det kommer til at gå rimelig godt,« siger Anders Ganer.

Af Rasmus Giese Jakobsen, ragj@kl.dk