På to år har Syddjurs rapporteret 46 brud på persondatasikkerheden: »Alt over 0 er for meget«
Det skyldes som oftest menneskelige fejl, når der sker brud på persondatasikkerheden i Syddjurs Kommune. I 2022 og 2023 har kommunen indberettet i alt 46 tilfælde af brud på datasikkerheden.
De danske kommuner ligger inde med store mængder af data på deres borgere, og Syddjurs Kommune er ingen undtagelse.
I en ny opgørelse fra Datatilsynet, som DR har fået indsigt i, tikker der hver eneste uge 50 anmeldelser ind fra landets kommuner om brud på datasikkerheden, skriver mediet.
Derfor har Lokalavisen spurgt Syddjurs Kommune om, hvor mange datalæk og brud på sikkerheden, kommunen har indberettet de seneste to år. I et skriftligt svar meddeler Syddjurs Kommune, at der i 2022 blev indberettet 22 brud på persondatasikkerheden, og at det foreløbige tal for i år er 24.
Samtidig oplyser kommunen, at der er tale om afgrænsede brud på sikkerheden, og at den ikke har kendskab til, at der i nogen af tilfældene skulle være blevet decideret delt data. De personfølsomme data varierer over alt fra mindre fortrolige oplysninger som navn og adresse til meget følsomme oplysninger såsom helbredsoplysninger.
Skyldes oftest mennesker
Afdelingsleder for It og Digitalisering Jon Badstue Pedersen forklarer, at det oftest er egentlige menneskelige fejl, der er skyld i brud på persondatasikkerheden.
»Det er typisk tilfælde af forkert modtager; hvis en lærer kommer til i Aula at sende en besked til et forkert forældre. Eller at et brev ender på den forkerte adresse. Den slags,« siger han.
I alt er 11 af de anmeldte brud på sikkerheden i 2023 – altså lidt under halvdelen – denne type. Jon Badstue Pedersen forklarer, at ambitionen altid er at nå 0 læk.
»Det er jo vores ambition, at der ikke skal ske fejl. Det gør vi blandt andet ved at opfordre til øget opmærksomhed i de her forsendelsessituationer, men vi arbejder også med at indføre flere digitale redskaber såsom fagsystemer, der er indstillet sådan, at man slet ikke kan sende information til personer, der ikke er part i en sag. Vi forsøger at lave rammerne, så de her fejlforsendelser ikke er mulige,« siger han.
Ifølge afdelingslederen er antallet af læk i Syddjurs Kommune ikke alarmerende.
»Det er ikke mange, når man sammenligner andre steder, men det er altid for mange. For den enkelte, det kan gå ud over, så er det jo træls. Alt over 0 læk er for mange – ambitionen er jo, at vi slet ikke behøver at rette henvendelse til Datatilsynet, fordi der ikke er brud,« siger han.
Fire indsatsområder
Afdelingen for It og Digitalisering arbejder konkret med fire indsatsområder for at sikre borgernes data og medarbejdernes håndtering af samme, forklarer afdelingslederen.
De fire områder er: øget bevidsthed, organisatorisk mitigering, tekniske værktøjer og stramme krav til indkøb af fagsystemer.
Den øgede bevidsthed går ud på at undervise medarbejderne i forsvarlig databehandling og at undgå fejl. Det kan blandt andet være obligatoriske e-learning-forløb og en øget fokus på borgernes rettigheder i forhold til håndteringen af deres data. Eksempelvis var uge 43 i Syddjurs Kommune ’cybersikkerhedsuge’, hvor afdelingen turnerede rundt i bus i de decentrale afdelinger af kommunen og lavede læringsforløb.
Organisatorisk mitigering er et kedeligt ord, men dækker over de sikkerhedspolitikker og retningslinjer, kommunen har på området, og at disse er tilgængelige for medarbejderne, så de kan se, hvordan det skal gribes an. Data er ikke kun digitalt – der er også fysisk og mundtlig håndtering af data, og det er lige så vigtigt at sikre, siger Jon Badstue Pedersen.
Med tekniske værktøjer menes der programmer og opsætning af systemer, så de nedbringer mulighederne for at lave fejl så meget som muligt. Som eksempelvis et kvalitetssikringssystem, der påpeger over for en medarbejder, hvis der er sket en journaliseringsfejl. Og netop de kommunale systemer, der rummer mange af de data, er der derfor også skrappe krav og procedurer til, når der skal købes nye ind, fortæller afdelingslederen.
»Kommunen har 1.200 medarbejdere, der arbejder med digitale fagsystemer, og der vil ske fejl en gang i mellem. En sikkerhedshændelse kan også være en medarbejder, der taber en arbejdstelefon. Det er ikke nødvendigvis et udtryk for et egentlig læk, men vi skal indberette det, og det er godt, der ligger regler og procedurer for, hvad man skal gøre,« siger han og fortsætter:
»Det kan vi jo så bruge til at blive klogere. Eksempelvis hvis der er tre medarbejdere, der taber deres telefoner, hvordan kan vi så sætte ind? Vi har for eksempel enhedsstyring på, der gør, at vi kan slette telefoners indhold fra afstand, hvis den skulle være tabt.«