30. april 2019

Kommunale topledere har sat sig i spidsen for at sikre større sikkerhed om borgernes informationer

De kommunale lederes opmærksomhed på styring af borgernes informationssikkerhed er steget markant de seneste to år, og generelt set har kommunerne forbedret deres indsats på området, viser ny omfattende KL-undersøgelse. Blandt andet er uddannelse og oplysning til medarbejderne også steget markant, men der er fortsat en gruppe kommuner, der bør forbedre deres indsats for god informationssikkerhed.

Der skal være styr på de tusindvis af personlige oplysninger, som de danske kommuner hver dag håndterer i hjemmeplejen, på jobcentrene og i daginstitutionerne, og det er en opgave, som kommunaldirektørerne i stigende grad har sat sig selv i spidsen for.

Det viser en ny omfattende KL-undersøgelse, der ser på, hvordan det går med at sikre informationssikkerheden i kommunerne. Her er området ’Ledelsens styring af informationssikkerhed’ steget med hele 35 procent fra 2016-2018. Området er et af i alt seks indsatsområder, der måles ud fra en række parametre på en skala fra ét til fem, hvor tre er det acceptable niveau. Ledelsens styring er steget fra 2,3 i 2016 til 3,1 sidste år.

Søjlediagrammer

At informationssikkerhed fylder mere hos de kommunale topledere, genkender Niels Ågesen, der er kommunaldirektør i Vejle Kommune og næstformand i Kommunaldirektørforeningen i Danmark.

»Det var en organisatorisk opgave, som kom til at fylde meget op til, at de nye GDPR-regler trådte i kraft i 2018, og som vi i direktionen tog og siden har taget meget seriøst,« siger Niels Ågesen.

Det har blandt andet udmøntet sig i, at direktionen i Vejle Kommune hver måned deltager i et møde, hvor de bliver orienteret om, hvilke eventuelle store og små hændelser i relation til informationssikkerhed, der har været den seneste tid.

»Det er vigtigt for mig er at få et indtryk af, hvad det er for en slags sager, der dukker op undervejs, og hvilke erfaringer min organisation gør sig. Samtidig er det vigtigt for mig at finde ud af, om det er noget, vi skal være særligt opmærksomme på og følge op på,« siger Niels Ågesen.

I 2017 iværksatte KL 40 initiativer, der samlet set skulle bidrage til bedre informationssikkerhed i kommunerne. Nogle af de områder, der især var fokus på, skulle styrke områderne ’Ledelsens styring af informationssikkerhed’ og ’Uddannelse og oplysning’, der begge haltede bagefter i kommunerne. Den nye rapport viser, at indsatsen har haft god effekt, da ’Ledelsens styring’ som nævnt er steget med 35 procent, mens ’Uddannelse og oplysning’ er steget med hele 68 procent. Alle seks områder, der måles på, scorer i 2018 for første gang over det acceptable 3 med området ’Implementering og drift’ i top med et gennemsnit på 3,9. Resultatet glæder Thomas Kastrup-Larsen, der er formand for Arbejdsmarkeds- og Borgerserviceudvalget i KL.

Søjlediagram»Borgerne skal kunne stole på, at kommunerne behandler deres oplysninger sikkert og korrekt, men der er ingen tvivl om, at det er en stor opgave for kommunerne at sikre, at alle medarbejdere på alle niveauer overholder reglerne, og derfor er det meget positivt med fremgang over hele linjen. Det er helt afgørende for succesen, at lederne tager opgaven på sig, og derfor er det særligt positivt med så stor fremgang på det område,« siger Thomas Kastrup-Larsen.

Søjlediagram

Sidstnævnte pointe er Pernille Kræmmergaard helt enig i. Hun er direktør i forsknings- og kompetenceudviklingshuset, Digitaliseringsinstituttet, og tidligere professor ved Aalborg Universitet og IT-universitetet. Hun beskæftiger sig blandt andet med ledelsens rolle i den digitale transformation, og understreger, at det er afgørende, at de kommunale ledere har digitalisering og herunder også informationssikkerhed højt på deres dagsorden.

»Hvis ledelserne her sætter sig i spidsen, så bliver man i stand til at lave bedre analyser og få det bedste udbytte. Samtidig er man også mere sikker på, at den måde, man håndterer data, som bruges i analyserne, er både sikker og lovmæssig og ikke mindst etisk korrekt,« siger Pernille Kræmmergaard.

Medarbejderne skal uddannes

I undersøgelsen dækker området ’Uddannelse og oplysning’ blandt andet over, om kommunerne sikrer, at ledere og medarbejdere kender reglerne for datahåndtering og ved, hvilke faldgruber der er. Det handler ikke kun om IT-løsninger og firewalls, men også om at skabe bevidsthed om helt almindelig adfærd som, hvornår og hvordan man taler om borgeres personlige oplysninger, og hvilke papirer man har liggende på sit skrivebord. I 2016 scorede kommunerne i gennemsnit kun 1,9 på dette område, mens det i 2018 var steget til 3,2.

Uddannelse af medarbejderne har også været et stort fokuspunkt for ledelsen i Vejle Kommune, forklarer kommunaldirektør Niels Ågesen.

»Som ansvarlig leder skal man altid sørge for, at ens medarbejdere behandler data ordentligt i dagligdagen. Vi er i Vejle kommune en organisation med 10.000 medarbejdere, så der er mange steder en medarbejder kan gemme et cpr-nummer eller nogle gamle data på en harddisk eller computer, hvor de ikke hører hjemme,« siger Niels Ågesen.

Derfor brugte man GDPR-reglernes ikrafttræden som anledning til at gå meget systematisk til værks.

»Vi underviser vores folk, kontrollerer og følger op på, om de håndterer det rigtigt. Man kan have dårlige vaner i dagligdagen, men vi har italesat meget kraftigt, at dem skal man lægge fra sig, og har også brugt meget tid og fantasi på at finde ud af, hvordan man mere systematisk kan undgå, at de bliver et problem,« siger Niels Ågesen.

Mens der generelt er fremgang i kommunernes håndtering af informationssikkerheden, så er der en gruppe på 20 procent af kommunerne, som fortsat mangler at komme helt med, og det kendetegner dem især, at de ikke har udviklet sig nævneværdigt fra 2017 til 2018. Kommunerne har svaret anonymt på KL’s undersøgelse, så det er ikke muligt at se, hvilke kommuner det gælder, men de kan selv måle sig op mod de andre kommuner og se, at de ligger lavt.

»Det er vigtigt, at alle kommuner er med, og derfor vil vi fra KL’s side også iværksætte en handleplan, så de sidste får hjælp til at komme med på fuld omgangshøjde,« siger Thomas Kastrup-Larsen, formand for KL’s Arbejdsmarkeds- og Borgerserviceudvalg.

Skal turde bruge teknologien

Det stigende fokus på informationssikkerhed er især affødt af den stigende digitalisering af både arbejdsgange i kommunerne og den service, de leverer til borgerne. Den åbner mange muligheder, men også overvejelser om, hvad det betyder for informationssikkerheden.

»I kommunerne skal vi være helt bevidste om, at vi kun får gevinster ud af de mange digitale løsninger, der kommer i fremtiden, hvis vi også tør tale om de risici, der er forbundet med dem. Det betyder, at vi selvfølgelig skal holde øjne og ører åbne for nye muligheder, men også handle ansvarligt og satse på de modne og velafprøvede løsninger,« siger Thomas Kastrup-Larsen.

Pernille Kræmmergaard er helt sikker på, at kommunerne i fremtiden skal have mere målrettede tilbud til borgerne, der er baseret på omfattende data.

»Hvis ikke det offentlige tilbyder en service, der passer til den enkelte, og man gøres opmærksom på eksistensen af den, så går de, der har mulighed for det, et andet sted hen for at få den. Når jeg holder foredrag om, hvorfor det overhovedet er vigtigt for lederne at fokusere på digital transformation, så er budskabet, at hvis man skal være tidssvarende og sikre sammenhængskraft i samfundet, så skal man transformere sig, og herunder også sikre bedre brug af data,« siger Pernille Kræmmergaard.

Kommunaldirektør i Vejle Niels Ågesen anerkender, at kommunerne selvfølgelig skal have øjnene åbne for nye løsninger, som kan give bedre service til borgerne og bidrage til en effektiv drift af kommunen, men han påpeger samtidig, at udviklingen sætter kommunerne i et dilemma.

»Jeg har et rum, hvor jeg skal sørge for, at vi overholder reglerne og herunder også databeskyttelsesreglerne. Der er et andet rum, der handler om penge, hvor jeg skal sørge for, at min organisation er effektiv. Endelig er der et rum, der handler om, at kommunen skal være udviklende og innovativ, og hvor man ser på, at data giver adgang til ny viden, som vi skal bruge aktivt,« siger Niels Ågesen og fortsætter:

»Data er både noget, vi skal passe på og holde hemmeligt, og samtidig noget, vi skal bruge til at blive klogere og udvikle os via. Det er et åbenlyst dilemma, som jeg over for mine medarbejdere ikke kan gøre andet ved end at italesætte. Vi skal kunne være i alle de her rum, selvom jeg godt ved, at de kan være indbyrdes modstridende,« siger Niels Ågesen.

Af Rasmus Giese Jakobsen, ragj@kl.dk 

YDERLIGERE MATERIALE