Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Borgerservice

I forbindelse med et spørgsmål fra Folketingets Kommunaludvalg om, hvordan borgerservicecentrene skal fungere i praksis, har Datatilsynet i et høringssvar givet en række eksempler på, hvordan man kan styrke behandlingssikkerheden. Indenrigs- og Sundhedsministeriets besvarelse findes på Folketingets hjemmeside.

Medarbejdere i et borgerservicecenter har ofte bredere opgaver og adgang til flere personoplysninger end kommunale medarbejdere med mere afgrænsede opgaver. Derfor er det påkrævet, at der i forbindelse med servicecenterkonstruktionen og IT-understøttelsen af centrene sker en forøgelse af behandlingssikkerheden med hensyn til styring af brugerrettigheder og interne kontroller samt, at der er fokus på uddannelse og vejledning af medarbejderne.

Styring af brugerrettigheder

En sådan styrkelse kan ske på forskellig vis. Datatilsynet har peget på følgende muligheder, idet Datatilsynet har understreget, at der næppe er tale om en udtømmende oversigt over, hvorledes brugerrettigheder kan styres:

  • Det er vigtigt, at tildelingen af brugerrettigheder håndteres forsvarligt. Der skal være fastlagt en formel autorisationsprocedure- og arbejdsgang. Heri skal indgå, at der forud for tildelingen af autorisation foretages en vurdering af, hvad den enkelte bruger har behov for at være autoriseret til. Vurderingen og godkendelsen heraf skal foretages på funktionsniveau og af den pågældendes funktionschef.

  • Herudover kan der være behov for at etablere tekniske løsninger, der begrænser brugernes adgang til de oplysninger, der er nødvendige. En simpel løsning kan være koder, der kan anvendes til at begrænse adgangen til en konkret sag eller gruppe af sager.

  • I en række systemer sker der en teknisk afgrænsning af brugerens adgang ud fra en række kriterier. F.eks. begrænses adgangen til det fælles datagrundlag, der anvendes i Arbejdsmarkedsportalen, ud fra geografiske, tidsmæssige og opgavemæssige hensyn.

  • Begrænsningen af adgangen til personoplysninger ud fra geografiske hensyn finder i praksis sted i en række systemer, således at den enkelte myndighed kun har adgang til oplysninger om personer, hvor dette er relevant i forhold til det geografiske område, som myndigheden dækker.

  • Begrænsninger i adgangen ud fra tids- og opgavemæssige hensyn kan f.eks. ske ved, at der kun etableres adgang til de oplysninger, som er nødvendige i forhold til opgaver, myndigheden varetager, og kun så længe myndighedens opgaver begrunder adgang. Dette vil formentlig kunne være relevant i forhold til kommunernes adgang til andre myndigheders systemer.

Inden for myndigheden skal den enkelte medarbejders adgang ligeledes fastlægges i forhold til de behov, som medarbejderen har i forbindelse med de forskellige arbejdsopgaver, som han eller hun varetager.

Sagsbehandlingssystemer, der automatisk henter oplysninger i forskellige systemer, skal søges indrettet således, at der kun indhentes oplysninger, som er nødvendige i den pågældende sag. Hvilke oplysninger, der skal indhentes, kan evt. fastlægges i forhold til forskellige typer af ensartede sager.

  • Herudover kan det overvejes, om adgangen til oplysninger om en borger kan tilrettelægges således, at et kort, som borgeren har i sin besiddelse, skal aflæses, før end medarbejderen hos myndigheden får adgang til oplysninger om borgeren.

Datatilsynet har i den forbindelse henledt opmærksomheden på, at Rådet for IT-Sikkerhed i sin årsberetning for 2004 har anført, at Rådet mener, at den digitale signatur skal videreudvikles hen mod et egentligt chipkort eller lignende til alle borgere. Kortet bør kunne bruges af ejeren overalt i det danske samfund.

Interne kontrolordninger og fokus på uddannelse og vejledning

Med interne kontrolordninger sigtes f.eks. til muligheden for, at kommunerne foretager stikprøvevis kontrol af loggen i systemer med følsomme oplysninger; dels af præventive hensyn, dels med henblik på at opdage og undersøge eventuelt misbrug af adgang.

Datatilsynet har oplyst, at det også er relevant at overveje andre ordninger. En løsning, hvor det noteres i systemet, hvorfor der foretages opslag, kan efter Datatilsynets opfattelse medvirke til at sikre, at der kun behandles oplysninger, når det er nødvendigt. En lignende løsning anvendes i systemer på sundhedsområdet, hvor det registreres i systemet f.eks. i form af en tro og love erklæring, at der er givet samtykke, eller at den pågældende sundhedsperson har den registrerede person i behandling.

Yderligere oplysninger

Indenrigs- og Sundhedsministeriet, KL og Datatilsynet har i fællesskab udgivet en publikation om datasikkerhed i borgerservicecentre.

I publikationen kan kommunernes it-medarbejdere, sikkerhedsmedarbejdere og ledelse finde svar på, hvordan de kan leve op til de sikkerhedskrav, der gælder for borgerservicecentre.