4 minute read
Nyt samarbejde om databehandleraftaler
61 kommuner har fra marts 2022 dannet Foreningen Det Fælleskommunale Databehandlersekretariat (DBS), der skal føre tilsyn med de databehandleraftaler, medlemskommunerne har indgået med it-leverandører. Danmarks it- og medievejlederforening har længe haft fokus på de tids- og kompetencemæssige udfordringer i kommunerne i forhold til kompetent kontrol med databehandling. Vi hilser derfor det nye initiativ velkommen, som kan lette arbejdsbyrden og sikre højere kvalitet i forhold til dette arbejde.
Af Hanne Voldborg Andersen, næstformand i Danmarks it- og medievejlederforening
Advertisement
Med indførelsen af EUs persondataforordningi 2018 fik kommunerne til opgave at kontrollere, at it-leverandørerne behandler kommunens og borgernes data korrekt. Det er et stort og omfattende arbejde, der bl.a. indbefatter en årlig gennemgang og kommentering af revisionserklæringer af alle kommunens indgåede databehandleraftaler. Ofte er det de samme aftaler og erklæringer, som kommunerne hver for sig gennemgår, fordi de bruger de samme it-systemer.
KL og 43 kommuner har siden 2020 samarbejdet i Partnerskabet om informationssikkerhed om at finde fælles løsninger og udnytte hinandens kompetencer i indsatsen for øget informationssikkerhed i kommunerne. Som resultat af partnerskabets arbejde foreligger der nu en række anbefalinger, materialer til kompetenceudvikling af medarbejdere og skabeloner til at lette arbejdet med informationssikkerhed i de enkelte kommuner (Se Faktaboks).
Initiativet har været tilrettelagt således, at der kunne drages erfaringer på tværs af de deltagende kommuner inden for 8 forskellige spor. Et af disse omhandlede databehandleraftaler, og partnerskabet har udarbejdet et fælleskommunalt bud på, på hvilket niveau, der skal laves databehandleraktiviteter. Kommunerne kan starte med at anvende de fælles, generelle databehandleraktiviteter og nøjes med at bruge tid på tilpasninger.
Erik Sørensen, der er it- og digitaliseringschef i Viborg Kommune og formand for den nye forenings bestyrelse, forklarer, at kommunerne savnede en fælles model for arbejdet med kontrol af databehandleraftaler og underbehandleraftaler. Med etableringen af Foreningen Det Fælleskommunale Databehandlersekretariat (DBS) tager partnerskabet derfor et skridt videre: Fremadrettet vil 61 kommuner håndtere GDPR-regler og databehandleraftaler via det fælles sekretariat.
Sekretariatet placeres fysisk på Rådhuset i Viborg og bliver ifølge Erik Sørensen bemandet af en sekretariatschef og 3-4 medarbejder. De kan løse følgende opgaver på vegne af medlemskommunerne:
• føre tilsyn med de databehandleraftaler, som medlemskommunerne har indgået med leverandører og øvrige samarbejdsparter
Foreningen det Fælleskommunale Databehandlersekretariat (DBS) Foreningens vedtægter Pris for medlemskab (årligt): • Under 6.000 indbyggere - 25.000 kr. • 6.000-50.000 indbyggere - 90.000 kr. • 50.000-100.000 indbyggere - 110.000 kr. • 100.000-200.000 indbyggere - 125.000 kr. • Over 200.000 indbyggere - 150.000 kr.
• føre forhandlinger om medlemskommunernes databehandleraftaler, herunder foretage risikovurderinger af de databehandlinger, som aftalerne omhandler
Som udgangspunkt udføres kun opgaver for databehandleraftaler, som mindst 20 medlemskommuner indgår aftale med foreningen om at bistå med. Medlemskommunerne må således selv føre kontrol med databehandleraftaler og risikovurderinger på it-systemer, som mindre end 20 kommuner i foreningen anvender.
Databehandleransvaret ligger fortsat i den enkelte kommune, som skal gennemgå, underskrive, kommentere og journalisere kontrolrapporterne. Men det er ressourcemæssigt en helt anden opgave, når de ikke længere selv skal foretage kontrollen, men blot modtager kontrolrapporter fra det nye sekretariat.
Da de nuværende 61 medlemskommuner har over 300 fælles databehandleraftaler, vil der ifølge Erik Sørensen være en stor ressourcebesparelse i den nye organisering af opgaveløsningen. Han påpeger, at andre opgaver, som fx. NIS2-direktivet, SCHREMS II udfordringerne eller NSIS-implementeringen kunne være hjulpet godt på vej af et lignende partnerskab.
Partnerskabet for informationssikkerheds 8 arbejdsområder
Databehandleraftaler
Et nyt fælleskommunalt databehandlersekretariat skal føre tilsyn med databehandlere og indgå databehandleraftaler for alle medvirkende kommuner.
Risikovurderinger
Med afsæt i 90 behandlingsaktiviteter er der udarbejdet en skabelon til at gøre risikovurderinger mere ensartede og sammenlignelige på tværs af kommuner. Et regneark udgør rammen for de oplysninger, der tilsammen udgør en risikovurdering.
Kompetencer: Forvaltnings- og offentlighedsloven
Der udvikles en række e-læringsmoduler om forvaltnings- og offentlighedslov, som er målrettet henholdsvis sagsbehandlende og ikke sagsbehandlende medarbejder. E-læringsmodulerne giver en grundlæggende forståelse for forvaltnings- og offentlighedslovens krav til beskyttelse af personoplysninger tilpasset medarbejdernes hverdag og vidensniveau. Modulerne kan indkøbes af kommunerne som licenser.
Tekniske minimumsstandarder
Der er udarbejdet en liste med 36 anbefalinger til tekniske minimumsstandarder, som kommuner kan anvende som ramme for deres it-infrastruktur. Minimumsstandarderne kan medvirke til at forhindre sikkerhedsbrud, og aflaste kravene til de kommunale medarbejderes viden og brug af ressourcer ift. informationssikkerhed. Anbefalingerne er inddelt i følgende kategorier: PC’er/klienter, Mail, Mobiltelefoner, Netværk, Websider og Diverse.
Beredskab ift. Cyberangreb
Der er udarbejdet en operationel drejebog i forhold til udarbejdelse af beredskabsmaterialer og test af beredskabsplaner.
Dokumentationskrav i Databeskyttelsesloven
Der arbejdes på at skabe et overblik over omfanget af krav til dokumentation i Databeskyttelsesloven, så overfortolkning og overimplementering undgås.
Kompetencer: Ledelse af informationssikkerhed
Der er udarbejdet to præsentationer, som kan give politikere og administrative ledelse øget viden og kompetencer i forhold til informationssikkerhed. Præsentationerne beskriver hvorfor informationssikkerhed er vigtigt, dilemmaer samt ledelsens roller og ansvar. Der er ligeledes udarbejdet korte animationsvideoer til understøtter af formidlingen.
Øget samarbejde med - og inddragelse af Datatilsynet
Kilde: https://www.kl.dk/nyheder/digitalisering-og-teknologi/2021/oktober/ stor-indsats-i-partnerskabet-om-informationssikkerhed/
