Modenhedstilsynet viser et generelt behov for øget fokus på sletning, rettighedsstyring og foranstaltninger ved fremsendelse af mails med personoplysninger. Derudover indikerer tilsynet, at arbejdet med konsekvensanalyser og test af it-beredskab bør have mere opmærksomhed i kommunerne.
Datatilsynet har til alle de omfattede kommuner og regioner sendt en individuel rapport med en række konkrete anbefalinger til de problematikker vedrørende informationssikkerheden, som den enkelte organisation med fordel kunne fokusere mere på.
Desuden har tilsynet på baggrund af resultaterne lavet målrettet vejledning vedrørende nedslag i fem udvalgte tendenser.
De udvalgte nedslag har følgende overskrifter:
- Tag stilling til procedurer for sletning
- Reducer risikoen for at personoplysninger sendes forkert
- Kontrollér adgang til oplysninger
- Adressér risikoen for de registrerede gennem konsekvensanalyse
- Test IT-beredskabsplaner
FIND VEJLEDNINGEN PÅ BAGGRUND AF DE 5 TENDENSER HER
De 20 tekniske minimumskrav var integrerede i spørgerammen
Datatilsynet valgte i denne tilsynsrunde at integrere de 20 tekniske minimumskrav til it-sikkerheden. Kravene er ufravigelige for statslige it-løsninger og skal sikre et fælles højt sikkerhedsniveau i staten.
Persondatasikkerhed og it-sikkerhed er i vidt omfang to sider af samme sag, og derfor er de også relevante for persondatasikkerheden i kommunerne og regionerne.
Kravene omfatter således væsentlige tekniske og organisatoriske foranstaltninger, som er egnet til at imødegå informationssikkerhedsrisici og er dermed også centrale for it-sikkerheden omkring behandlingen af personoplysninger.
Baggrunden for modenhedstilsynet
Som led i Datatilsynets strategi om en mere data- og risikobaseret tilgang til vejledning og kontrol iværksatte tilsynet i 2020 sit første modenhedstilsyn og det andet i 2021. Modenhedstilsynet for 2022 er således det tredje af sin slags.
Udvælgelsen af kommunerne og regionerne til modenhedstilsynet i 2022 baserer sig bl.a. på omfanget af personoplysninger, herunder omfanget af følsomme personoplysninger, der behandles i kommuner og regioner. Tilsynet i 2021 omfattede også en række kommuner og indikerede, at der kunne være særlig grund til i øget grad at fokusere på kommuners modenhed på flere væsentlige områder indenfor persondatasikkerheden.
Den fortsatte digitalisering af forvaltningsprocessen betyder derudover, at der navnlig i kommuner og statslige myndigheder er behov for at have et særligt fokus på behandlingssikkerhed, som kan komme under pres, idet der samtidigt er krav til effektivisering og besparelser.