Ud fra egen bitter erfaring kan jeg sige: tiden efter sommerferien er højsæson for sikkerhedsbrud i kommunerne!
Jeg går ud fra, at det skyldes, at de ansatte er mindre opmærksomme i lige efter ferien. Og generelt får de bare alt for travlt igen, alt for hurtigt, i de første måneder efter ferien.
Det er selvfølgelig ikke en undskyldning for de fejl, der kan ske i behandlingen af borgernes personoplysninger. Én fejl er altid én fejl for meget. Til gengæld kan jeg sige med sikkerhed, at ingen, INGEN, laver de her fejl med vilje.
Jeg ved, hvad jeg taler om. Jeg har siddet med kolleger, som var brødebetyngede og frygteligt kede af det, der var sket. Jeg har behandlet og vurderet hundredvis af databeskyttelsesretlige sikkerhedsbrud. Jeg har anmeldt næsten lige så mange af disse til Datatilsynet. Jeg har bistået ledelsespersoner på alle niveauer i at håndtere bruddene, og i at følge op med passende tekniske og organisatoriske tiltag. Jeg har været med til at afværge ting, som kunne have udviklet sig katastrofalt, måske endda fatalt, for de berørte borgere. Så jeg ved, hvad jeg taler om.
Datatilsynet har ført tilsyn med kommuners håndtering af sikkerhedsbrud
Datatilsynet har netop offentliggjort resultaterne af et større tilsyn med 16 kommuners og bankers håndtering af sikkerhedsbrud. I langt de fleste tilfælde, så har de omtalte kommuner og banker rigtig godt styr på tingene. Kun i to tilfælde er der behov for forbedringer i de omfattede kommuner.
Alt andet lige, så må det jo sådan set betyde, at den store viden og erfaring med håndteringen af sikkerhedsbrud, som efterhånden er tilstede i kommunerne, bestemt er værd at lægge mærke til. På den anden side giver det anledning til følgende spørgsmål:
Mon denne rigtigt gode historie kommer til at få megen omtale i pressen? Nej vel… 🙁
I stedet for at lytte til tavsheden, bør vi lære af alt det guld og de gode erfaringer, der også kan hentes i den gennemdigitaliserede kommunale sektor. Hver dag håndteres 10.000-vis af sager i landets kommuner, uden at der sker en eneste GDPR- eller informationssikkerhedsmæssig fejl.
Hvordan håndterer I sikkerhedsbrud i din virksomhed? Ved alle ansatte, hvornår I rent faktisk står med et databeskyttelsesretligt sikkerhedsbrud? Har I en fast procedure, som er kendt af alle? Ved I hvad, hvem der gør hvad? Er I klar over, hvad I skal dokumentere i forbindelse med et sikkerhedsbrud?
Det er vigtigt at have styr på disse ting, før I står midt i stormvejret.