Første kommune offentliggør lister over datahændelser

Første kommune offentliggør lister over datahændelser

Gladsaxe vælger som den første kommune at offentliggøre de lister, som kommunen har ført over sikkerhedsbrud, siden GDPR-datasikkerhedsreglerne trådte i kraft. Listerne vil fremover kunne ses på kommunens hjemmeside. Samtidig hyres eksterne eksperter til at skærpe datasikkerheden

Gladsaxe Kommune har siden GDPR-reglerne trådte i kraft i maj 2018 registreret de konstaterede sikkerhedsbrud, også dem, der ikke skal indberettes til Datatilsynet. Listerne, som Gladsaxe har valgt at offentliggøre, indeholder 32 sikkerhedsbrud i 2018, hvoraf 7 er vurderet til at være omfattet af indberetningspligten til Datatilsynet og 9 sikkerhedsbrud i 2019, hvoraf 3 er vurderet til at være omfattet af indberetningspligten. Hændelserne omfatter alt fra en mail med cpr-nummer, der ved en fejl ikke er sendt via en sikker forbindelse og til hændelsen med computeren med personfølsomme oplysninger, der blev stjålet i december 2018.

- Datahåndtering er et stort og komplekst område med kæmpe udfordringer, ikke bare for kommuner, men for alle offentlige institutioner og private virksomheder, der opbevarer og håndterer data. Vi ved, at vi aldrig kan undgå, at der sker fejl. Men vi mener, at åbenhed fremmer omstillingen og udviklingen i samfundet i forhold til at arbejde med borgernes data. Vi har som kommune et stort og inderligt ønske om, at vores borgere skal kunne være sikre på, at vi gør, alt, hvad vi kan, for at behandle deres data sikkert, siger borgmester Trine Græse.

Indberet sikkerhedsbrud

Listerne over sikkerhedsbrudene i 2018 og 2019 er blandt andet et resultat af, at medarbejderne i Gladsaxe Kommune i flere sammenhænge opfordres til at anmelde, hvis der er sket brud på datasikkerheden. Det sker blandt andet gennem datakoordinatorer i de enkelte afdelinger, gennem kommunens interne kommunikationskanaler samt i det generelle awareness-arbejde vedrørende databeskyttelsesforordningen.

Det kan for eksempel være fejl, hvor der er sendt en mail med personoplysninger til en uvedkommende, ved systemnedbrud, datalæk eller lignende. Opfordringen til medarbejderne skal gerne skabe en kulturforandring i organisationen, hvor man ud fra et reelt billede af omfanget af sikkerhedsbrud bedre kan målrette sikkerhedsarbejdet og kollektivt lære af de fejl, der sker i datahåndteringen.

- Vi lægger stor vægt på, at vi har en organisation, der er åben overfor at der sker fejl. Vi har ikke en nul-fejls kultur, hvor der iværksættes sanktioner hver gang der sker en fejl. Derfor er listen også udtryk for, at vores medarbejdere fortæller os, når der er sket fejl. Det skal vi holde fast i, for det er den eneste måde vi kan lære af fejlene, siger Trine Græse. 

Datasikkerheden skærpes

Et enigt Økonomiudvalg i Gladsaxe har besluttet at hyre ekstern sikkerhedsekspertise til at foretage en gennemgribende analyse af informationssikkerheden i kommunen, herunder håndtering af personfølsomme oplysninger.

Det sker på baggrund af, at kommunen to gange det seneste halve år har fået stjålet computere, som indeholdt personfølsomme oplysninger. Siden de to tyverier er alle kommunens administrative computere blevet krypterede. Det betyder, at uvedkommende ikke kan få adgang til de data, der ligger på computerne.

Samtidig skal kommunens databeskyttelsesrådgiver stå i spidsen for en undersøgelse af samtlige indberetninger til Datatilsynet, som er sket siden den nye datasikkerhedsforordning, GDPR, trådte i kraft.

- Vi har hidtil gjort en stor indsats for at have sikre retningslinjer og rutiner samt at oplyse og undervise vores medarbejdere i sikker datahåndtering. Nu graver vi så et spadestik dybere, hvor vi både kigger fremad og tilbage for at lære af vores fejl og skærpe sikkerheden yderligere, siger Trine Græse.

Listerne over datahændelser opdateres ugentligt og kan findes på gladsaxe.dk/dpo

- lb