Modenhedstilsynet i 2022 viser behov for øget fokus på bl.a. sletning og konsekvensanalyse

Dato: 23-02-2023

Datatilsynet gennemførte i 2022 et omfattende survey-baseret tilsyn. Tilsynet omfattede 50 kommuner og alle 5 regioner. Modenhedstilsynet giver Datatilsynet et værdifuldt indblik i modenhedsniveauet, og indsigterne herfra er inddraget i planlægningen af Datatilsynets tilsyns- og vejledningsaktiviteter for 2023.

Modenhedstilsynet viser et generelt behov for øget fokus på sletning, rettighedsstyring og foranstaltninger ved fremsendelse af mails med personoplysninger. Derudover indikerer tilsynet, at arbejdet med konsekvensanalyser og test af it-beredskab bør have mere opmærksomhed i kommunerne.

Datatilsynet har til alle de omfattede kommuner og regioner sendt en individuel rapport med en række konkrete anbefalinger til de problematikker vedrørende informationssikkerheden, som den enkelte organisation med fordel kunne fokusere mere på. 

Desuden har tilsynet på baggrund af resultaterne lavet målrettet vejledning vedrørende nedslag i fem udvalgte tendenser.

De udvalgte nedslag har følgende overskrifter:

  • Tag stilling til procedurer for sletning
  • Reducer risikoen for at personoplysninger sendes forkert
  • Kontrollér adgang til oplysninger
  • Adressér risikoen for de registrerede gennem konsekvensanalyse
  • Test IT-beredskabsplaner

FIND VEJLEDNINGEN PÅ BAGGRUND AF DE 5 TENDENSER HER

De 20 tekniske minimumskrav var integrerede i spørgerammen

Datatilsynet valgte i denne tilsynsrunde at integrere de 20 tekniske minimumskrav til it-sikkerheden. Kravene er ufravigelige for statslige it-løsninger og skal sikre et fælles højt sikkerhedsniveau i staten.

Persondatasikkerhed og it-sikkerhed er i vidt omfang to sider af samme sag, og derfor er de også relevante for persondatasikkerheden i kommunerne og regionerne.

Kravene omfatter således væsentlige tekniske og organisatoriske foranstaltninger, som er egnet til at imødegå informationssikkerhedsrisici og er dermed også centrale for it-sikkerheden omkring behandlingen af personoplysninger.

Baggrunden for modenhedstilsynet

Som led i Datatilsynets strategi om en mere data- og risikobaseret tilgang til vejledning og kontrol iværksatte tilsynet i 2020 sit første modenhedstilsyn og det andet i 2021. Modenhedstilsynet for 2022 er således det tredje af sin slags.

Udvælgelsen af kommunerne og regionerne til modenhedstilsynet i 2022 baserer sig bl.a. på omfanget af personoplysninger, herunder omfanget af følsomme personoplysninger, der behandles i kommuner og regioner. Tilsynet i 2021 omfattede også en række kommuner og indikerede, at der kunne være særlig grund til i øget grad at fokusere på kommuners modenhed på flere væsentlige områder indenfor persondatasikkerheden.

Den fortsatte digitalisering af forvaltningsprocessen betyder derudover, at der navnlig i kommuner og statslige myndigheder er behov for at have et særligt fokus på behandlingssikkerhed, som kan komme under pres, idet der samtidigt er krav til effektivisering og besparelser.

Formålet med modenhedstilsyn

Modenhedstilsyn er baseret på egen-evaluering, og giver Datatilsynet et værdifuldt indblik i modenhedsniveauet hos de dataansvarlige, der indgår i undersøgelsen.

Formålet med egen-evalueringen er at give Datatilsynet blik for bestemte emneområder med behov for øget indsats (tilsyn såvel som vejledning), men også at understøtte en mere forebyggende tilgang hos de dataansvarlige. Gennem den dataansvarliges interne proces med besvarelsen af de stillede spørgsmål, vil den dataansvarlige samtidig blive mere bevidst om relevante databeskyttelsesretlige overvejelser og forhold.