HK.dk logo

Fagligt: Sådan får du styr på datasikkerheden

14. december 2016  |  HK Kommunal  |  Mogens Jepsen

Datatilsynet gennemfører jævnligt besøg i kommuner og regioner for at undersøge, hvordan datasikkerheden har det. Læs om de seneste fund og få vigtige eksempler på, hvad du som medarbejder skal være ekstra opmærksom på.

Ingen personfølsomme data på usb

Datatilsynet kritiserede en kommune i en sag, hvor en ansat havde taget personfølsomme data med sig på en usb-stick og derefter havde haft dem liggende hjemme på en privat server, som i øvrigt senere blev hacket af en ukendt person.

Persondata på privat udstyr var i øvrigt slet ikke tilladt ifølge kommunens egne regler, men Datatilsynet vil have kommunen til at sørge for, at reglerne er kendte og overholdes af alle medarbejdere. Desuden opfordres kommunen til at fastsætte retningslinjer for hvorvidt og i givet fald under hvilke sikkerhedsforanstaltninger oplysninger fra kommunens systemer må kopieres over på usb-nøgler.

Sjusket omgang med adgang

En simpel test af Datatilsynet afslørede, at tre kommuner udviste en temmelig lemfældig omgang med, hvem der havde adgang til personfølsomme data.

Tilsynet bad medarbejdere, som ikke havde med det pågældende område at gøre, om at søge på ordet ”magtanvendelse” på deres computer. Hos alle tre kommuner gav søgningen adgang til oplysninger, som de pågældende medarbejdere ikke burde have adgang til.

En næsten lignende sag fra hospitalsverdenen afslørede, at regionen ikke havde ajourført adgange for eksempelvis medarbejdere, som ikke længere var ansat.

Har alle systemer et kodeord?

Det er ikke mange måneder siden, at Ekstra Bladet kunne afsløre, hvordan avisen med et enkelt søgeord via Google kunne få adgang til et internt system fra en kommunal institution, hvor medarbejdere for eksempel indrapporterede arbejdsskader og alvorlige konflikter med beboere.

Send oplysninger krypteret

Hvis en myndighed sender mail med fortrolige eller personfølsomme oplysninger, skal det foregå via en krypteret mail. Særlig opmærksomhed skal der være, hvis en medarbejdere benytter personlige mailadresser.

Det kan ses på hjemmesiden

En række kommuner har ikke været tilstrækkelig opmærksom på, om borgeres personnumre kan findes på en kommunes hjemmeside. Det gælder især i byggesagsarkivet, hvor man ikke har været tilstrækkelig omhyggelige med at fjerne disse personfølsomme oplysninger.

Hvilke ord fanger scanningen?

Ovennævnte problemstilling får Datatilsynet til at påpege vigtigheden af at have fokus på den automatiske skanning af dokumenter, som skal kunne findes via en myndigheds hjemmeside.

Indgår personnumre som ord, der søges efter i scanningen?

1. Køres der test for at sikre at skanningen reelt fanger de ønskede ord.

2. Suppleres og opdateres listen med ord jævnligt.

3. Kan scanneren også læse håndskrevne ord og tal.

Hvordan informeres medarbejdere?

Er der procedurer for, hvordan medarbejdere – herunder nyansatte – får kendskab til kommunens retningslinjer for god datasikkerhed.

Er der faste procedurer for dokumenter?

En myndighed bør have en fast procedure for, hvordan dokumenter undersøges for personfølsomme oplysninger forud for, at disse offentliggøres på hjemmesiden. For eksempel i form af et byggesagsarkiv. Desuden skal der være en ansvarsperson herfor. Sikkerhedsregler skal generelt gennemgås og ajourføres en gang årligt.

Kontrol med eksterne databehandlere

Hvis den dataansvarlige i kommunen overlader visse opgaver til eksterne databehandlere, er kommunen forpligtiget til at kontrollere sikkerhed med videre hos denne. Blandt andet skal der foreligge en aftale.

Logning skal kunne foretages

Det er et krav, at myndigheden kan foretage logning på deres IT-systemer, så man for eksempel kan se, hvem der har logget ind i hvilke systemer og hvornår. Ikke alle systemer kan honorere det krav, hvilket den dataansvarlige skal sikre.

Få styr på fælles login

Datatilsynet har observeret en række udfordringer, som kan opstå i forbindelse med anvendelse af fælles log in-løsninger. Et problem er for eksempel, at et fælles login kan gøre det umuligt at efterleve krav om logning af, hvem der har anvendt hvilke data. Det er den dataansvarliges ansvar at sikre, at fælles login kun anvendes, når det kan ske forsvarligt og lovligt. To råd lyder for eksempel: Vurdér om den dataadgang, som opnås ved fælles login, kan begrænses, og om det er muligt fysisk eller tidsmæssig at begrænse af brugen af fælles login.

Send besked til forfatter


Annuller

Brug for HK?

Skriv til os

Brug formularen her, så får du hurtigt svar.

SKRIV TIL OS

Følg os på Facebook

Få tips til dit arbejdsmiljø, viden om arbejdsmarkedet, karriereudvikling samt kontante medlemsfordele

Følg os

Ring til os

Vi er ved telefonerne mandag til torsdag kl. 8-17. Fredag kl. 8-16.

HK's fagforening: 7011 4545

HK's a-kasse: 7010 6789

Ved tekniske problemer på hjemmesiden, ring til 4437 1563. Åbent 6-24.

Mit HK

Mit HK er din personlige side, hvor du kan fx kan se dine medlemsfordele, kurser og overenskomst.

Log på Mit HK

Brug for HK?

Skriv til os

Brug formularen her, så får du hurtigt svar.

SKRIV TIL OS

Følg os på Facebook

Få tips til dit arbejdsmiljø, viden om arbejdsmarkedet, karriereudvikling samt kontante medlemsfordele

Følg os

Ring til os

Vi er ved telefonerne mandag til torsdag kl. 8-17. Fredag kl. 8-16.

HK's fagforening: 7011 4545

HK's a-kasse: 7010 6789

Ved tekniske problemer på hjemmesiden, ring til 4437 1563. Åbent 6-24.

Mit HK

Mit HK er din personlige side, hvor du kan fx kan se dine medlemsfordele, kurser og overenskomst.

Log på Mit HK

DU ER IKKE LOGGET IND

Du skal være logget ind for at udføre den ønskede handling.

LOG IND

Du kan logge ind i toppen under “Mit HK”.



OPRET PROFIL

Hvis ikke du er medlem, kan du oprette en profil ved at bruge dit facebook login.


Du er nu logget ud.

Log ind som medlem

Har du glemt din adgangskode?

Få tilsendt en ny kode på sms eller email.

 Luk


Der vil blive sendt en mail eller sms med info om login

 Luk


Der er opstået en uventet fejl. Prøv evt. igen senere.

 Luk