Datasikkerhed og GDPR i kommunerne

Datasikkerhed og GDPR i kommunerne

Kit-Magasinet har tema om datasikkerhed og EU’s databeskyttelsesforordning. Den røde tråd i historierne er, at anvendelsen af standarden for datasikkerhed ISO 27001 er et meget godt fundament at stå på for kommunerne, når de skal være klar til at håndtere EU’s databeskyttelsesforordning, der træder i kraft den 25. maj 2018.
”ISO 27001 er et godt sted at starte for organisationer, når de indfører GDPR,” siger chefkonsulent Anders Linde, Dansk Standard, som hjælper store organisationer med at anvende og implementere ledelsesstandarder i danske organisationer.
KMD har de seneste par år opbygget en ny stabsfunktion inden for sikkerhed, der samtidig udgør et beredskab for hele organisationen i tilfælde af databrud eller udefrakommende cyberangreb. KMD er certificeret i ISO 27001 og har udpeget en DPO.
Tønder Kommune er ligeledes på vej til at blive ISO 27001 certificeret. ”En formel certificering er et meget stærkt og tillidsskabende bevis på, at vi rent faktisk gør det, vi siger, vi vil gøre på sikkerhedsområdet,” siger Lars Møldrup, Fagchef for Sekretariat, IT og Borgerservice i Tønder Kommune.
Brøndby Kommune har etableret en tværkommunal sikkerheds-
koordinatorgruppe, der forankrer ISO 27001   i organisationen – uden at kommunen er certificeret. I økonomiforhandlingerne mellem kommunerne og Finansministeriet i 2015 blev parterne enige om at kommunerne skal ”følge principperne” i ISO 27001.
Når kommunerne gør det er de også langt bedre forberedte på at beskytte personfølsomme data.
På skoleområdet har KL taget initiativ til at anvende det samme redskab, som er blevet anvendt i kommunerne, men med et specielt fokus på skoleområdet og de udfordringer, der er dér.. Kommunerne opfordres derfor til at tilslutte sig anvendelsen af dette redskab, så skolerne også kan lave en opfølgende indsats for datasikkerheden.
Det er blevet obligatorisk for det offentlige at udpege en databeskyttelsesrådgiver – en DPO. KL’s juridiske afdeling har skrevet en artikel om dette emne. ”Det er KL’s opfattelse, at kommunerne allerede nu kan forberede sig på implementering af databeskyttelsesforordningens krav om at udpege en databeskyttelsesrådgiver (DPO)”.
IT-advokat Kasper Ingemann opfordrer i kronikken kommunernes dataansvarlige til at gå databehandleraftalerne efter i sømmene.
Og så publicerer Justitsministeriet fem vejledninger om databeskyttelsesforordningen i december måned. Det er et varsel om ekstraordinær travlhed i julemåneden.