Datatilsynet har afsluttet skriftlige tilsyn med behandlingssikkerheden i 48 kommuner

Dato: 15-10-2024

Tilsynet med kommunernes modenhed på behandlingssikkerhedsområdet giver både kommunerne og Datatilsynet et overblik over, hvor kommunerne konkret bør sætte ind her og nu for at leve op til reglerne.

Datatilsynet iværksatte den 7. maj 2024 et tilsyn hos 48 kommuner. Indsatsen ligger i forlængelse af lignende tilsyn i 2022, hvor Datatilsynet førte tilsyn med 50 kommuner og fem regioner. Datatilsynet har dermed fået et overordnet indblik i behandlingssikkerheden hos alle kommunerne i landet.

Tilsynene med kommunerne blev gennemført skriftligt, og er baseret på kommunernes egen-evaluering i forhold til grundlæggende behandlingssikkerhed. 

Resultatet af de 48 tilsyn indikerer, at der på visse områder fortsat er udfordringer, der kræver mere opmærksomhed blandt kommunerne. Det er generelt de samme områder som i 2022.

Datatilsynet har på baggrund af resultaterne lavet målrettet vejledning vedrørende nedslag i fem udvalgte tendenser. Tilsynet viser bl.a., at der fortsat er behov for øget fokus på:

  • Procedurer for sletning
  • Foranstaltninger som skal sikre, at der ikke sker utilsigtet deling af personoplysninger i forbindelse med udgående mails
  • Rettighedsstyring
  • Konsekvensanalyse
  • Domænesikkerhed

FIND VEJLEDNINGEN PÅ BAGGRUND AF DE 5 TENDENSER HER

Alle kommuner har modtaget en individuel rapport indeholdende en række konkrete anbefalinger vedrørende behandlingssikkerhed, som den pågældende kommune skal arbejde videre med. Derudover har kommunerne modtaget en samlet oversigt over alle de anbefalinger, som Datatilsynet har givet til kommunerne som led i dette tilsyn.

De tekniske minimumskrav indgik i spørgsmålene

En række af spørgsmålene i tilsynet med kommunernes modenhed i forhold til grundlæggende behandlingssikkerhed var baseret på de tekniske minimumskrav for statslige myndigheder.

Selv om kravene i udgangspunktet er rettet mod statslige myndigheder, har Datatilsynet valgt at lade dem indgå i tilsynet med kommuners modenhed i forhold til grundlæggende behandlingssikkerhed. Dette skyldes, at kravene må anses for at være udtryk for best practice, og i mange tilfælde allerede følger af gældende praksis fra Datatilsynet og vejledninger, anbefalinger og standarder på området fra relevante myndigheder og instanser som f.eks. Center for Cybersikkerhed, Digitaliseringsstyrelsen, NIST Cyber Security Framework mv.

De tekniske minimumskrav omfatter således væsentlige tekniske og organisatoriske foranstaltninger, som er egnet til at imødegå informationssikkerhedsrisici og er dermed også centrale for IT-sikkerheden omkring behandlingen af personoplysningerne.