Gå til hovedindhold
/ Informationssikkerhed
Databeskyttelse

Partnerskab om informationssikkerhed

Partnerskabet startede september 2020 og sluttede maj 2022. I partnerskabet blev der arbejdet indenfor syv hovedområder, der kort beskrives nedenfor. Resultaterne af partnerskabet er kommet alle kommuner til gode, idet de produkter, der er udarbejdet i samarbejdet, er stillet til rådighed for alle kommuner. Nedenfor kan du læse en kort beskrivelse af projekterne og se hvor de tilgængelige materialer og værktøjer kan findes.

19. jun. 2023

Indhold

    Partnerskabet om informationssikkerhed

    Partnerskabet om informationssikkerhed bestod af følgende kommuner: Fanø, Skive, Esbjerg, Hedensted, Skanderborg, Lyngby-Taarbæk, Ringkøbing-Skjern, Randers, Herning, Sorø, Billund, Bornholm, Brøndby, Favrskov, Frederiksberg, Gentofte, Gladsaxe, Haderslev, Holstebro, Horsens, Ikast-Brande, Kolding, København, Lolland, Læsø, Middelfart, Odder, Odsherred, Rudersdal, Silkeborg, Stevns, Svendborg, Syddjurs, Thisted, Tønder, Taarnby, Varde, Vejle, Vesthimmerland, Viborg, Aabenraa, Aalborg, Aarhus og KL.

    Databehandleraftaler

    Kommunerne i partnerskabet valgte at etablere en forening Det fælleskommunale Databehandlersekretariat (DBS). Alle kommuner blev indbudt til at blive medlem af foreningen. 61 kommuner har tilsluttet sig foreningen, der skal danne rammen om et fælleskommunalt samarbejde om forhandling af samt tilsyn med overholdelse af databehandleraftaler.

    Samarbejdet i regi af foreningen har til formål at sikre en ensartet praksis for tilsynet med databehandleraftaler, styrke kompetencerne på området og at sikre en bedre forhandlingsposition for medlemskommunerne ved indgåelse af nye databehandleraftaler. DBS har hjemsted på rådhuset i Viborg kommune, hvor foreningen lejer sig ind.

    Bestyrelsen består af 9 personer, der er ansatte i en medlemskommune, og som har erfaring med og indsigt i de problemstillinger, der er på området.

    Kompetenceudvikling, videndeling og netværk mellem medlemskommunerne og sekretariatet er også en del af sekretariats kerneopgaver. Alle medlemmerne har derfor udpeget en fast kontaktperson til sekretariatet med indsigt i området og som har ansvaret for implementering af foreningens fælles initiativer i egen kommune.

    Databehandlerskabelon

    For at sikre et optimalt samarbejde om databehandleraftalerne blev det besluttet at arbejde med en standardiseret udfyldelse af Datatilsynets standardkontraktsbestemmelser. Målgruppen for denne vejledning er dem, der skal implementere brugen af standardskabelonen i kommunerne.

    Det fælleskommunale Databehandlersekretariat (DBS) vedligeholder den forudfyldte skabelon og den tilhørende vejledning. Ligesom der vil blive afholdt kurser i brugen af skabelonen for medlemskommunerne i DBS.

    Du kan hente skabelonen og den tilhørende vejledning på KL Videnscenter under Databeskyttelse og jura.

    Risikovurderinger

    I samarbejdet om delprojektet Risikovurderinger blev der arbejdet med en fælles tilgang for risikovurderinger, der skal gøre det muligt i højere grad at genbruge viden og kompetencer på tværs af kommuner. Udgangspunktet var, at man risikovurderer med afsæt i 90 behandlingsaktiviteter. Antallet kan evt. tilpasses et andet ønsket antal behandlingsaktiviteter, hvis den enkelte kommune ønsker det. Leverancen i projektet bestod i en større skabelon, der er skabt i Excel, med det formål at gøre risikovurderinger mere ensartede og sammenlignelige på tværs af kommuner. Regnearket udgør rammen for alle de oplysninger, der tilsammen udgør en risikovurdering.

    Du kan se en introduktionsvideo og hente materialet på KL Videnscenter under Informationssikkerhed.

    Tekniske Minimumskrav

    I partnerskabet har det været et ønske, at der udarbejdes et sæt tekniske minimumskrav, som kommuner kan anvende som ramme for deres it-infrastruktur. Minimumskrav for teknik kan medvirke til at forhindre sikkerhedsbrud, og dermed aflaste kravene til de kommunale medarbejderes viden og brug af ressourcer ift. informationssikkerhed.

    Du kan hente materialet på KL Videnscenter under Cybersikkerhed.

    Kompetencer: Ledelse af Informationssikkerhed

    I partnerskabet blev der efterspurgt materiale til at øge viden om og kompetencer ift. informationssikkerhed, så kommunens politikere og administrative ledelse har den nødvendige viden, uden at være specialister i informationssikkerhed. Leverancen er to skabeloner til PowerPoint-præsentationer. En skabelon til præsentation for den kommunale direktion og en skabelon til præsentation for kommunalpolitikerne. Præsentationerne formidler blandt andet hvad informationssikkerhed er, hvorfor det er vigtigt, dilemmaer om informationssikkerhed og hvilke roller og ansvar ledelsen har i arbejdet med informationssikkerhed. Som en del af præsentationerne findes 2-3 korte animationsvideoer, der bidrager til en mere visuel formidling af emnerne.

    Du kan hente materialet på KL Videnscenter under Informationssikkerhed.

    Kompetencer: Forvaltnings- og Offentlighedslov

    Det kan være svært og i visse tilfælde umuligt at øge informationssikkerheden, hvis der ikke er en grundlæggende forståelse for forvaltnings- og offentlighedslovens krav til beskyttelse af personoplysninger. Med det afsæt er der udviklet e-læringsmoduler om emnet forvaltnings- og offentlighedslov, der er målrettet henholdsvis sagsbehandlende og ikke sagsbehandlende medarbejdede og udarbejdet så medarbejderne får den nødvendige viden tilpasset deres hverdag.
    Modulerne tilpasser sig desuden kursusdeltagerens vidensniveau, sådan at de, der allerede har et tilstrækkeligt niveau, kommer hurtigt igennem modulerne.

    Moduler målrettet sagsbehandlende medarbejdere er klar til salg.
    Moduler målrettet ikke sagsbehandlende medarbejdere forventes klar ultimo 2022/primo 2023. 

    Modulerne udbydes via leverandøren MOCH.

    Beredskab i forhold til Cyber- og informationssikkerhed

    KL’s Sikkerhedsprogram har de seneste år udarbejdet vejledninger og skabeloner til brug for etablering og test af beredskabsplaner, men i praksis har der vist sig udfordringer ift. implementeringen. Materialet er blevet revideret og strammet op. Siden på KL’s videncenter om beredskab er blevet omstruktureret, så den tager afsæt i de skridt man skal igennem, når der udarbejdes beredskabsmateriale. 

    Du kan hente materialet på KL Videnscenter under Cybersikkerhed.

    Databeskyttelsesforordningens dokumentationskrav

    I partnerskabet har der været efterspurgt vejledning om, hvordan kommunerne lever op til de nye påvisnings- og dokumentationskrav i databeskyttelsesforordningen for at undgå over- eller underimplementering af kravene. Der foreligger pt. ikke officiel vejledning fra Datatilsynet om emnet, og GDPR-bestemmelserne giver ikke i sig selv megen hjælp til niveauet for dokumentation. Partnerskabskommunerne har derfor udarbejdet kommunernes bedste bud på, hvad der skal til for at leve op til kravene. Anbefalingerne har været forelagt Datatilsynet. Da der endnu ikke er tilstrækkelig praksis vedrørende dokumentationskravene, har tilsynet imidlertid ikke kunnet vejlede generelt om de nye krav. Tilsynet har dog afgivet bemærkninger til anbefalingerne, som er indarbejdet. Anbefalingerne skal derfor ses som kommunernes bedste bud på, hvad der som minimum skal til for at leve op til påvisningskravene i databeskyttelsesforordningens artikel 5, stk. 2, og artikel 24.

    Du kan hente materialet på KL Videnscenter under Databeskyttelse og jura.

    Kontakt

    Konsulent

    Jette Larsson

    Digitalisering & Teknologi

    Telefon: +45 3370 3227

    E-mail: jela@kl.dk