Informationssikkerhed handler også om kultur og viden om, hvordan man som medarbejder tackler dilemmaer

Medarbejdere og ledere bliver klædt på til at passe på borgernes data

Informationssikkerhed handler ikke bare om tekniske systemer og regler. Det handler i høj grad om bevidsthed om, hvordan man som medarbejder håndterer dilemmaer i borgerkontakten, som kan opstå, når man har med persondata at gøre.

Af Mia Dalby Larsen 13/12/2017
Fremfærd

En borger kommer hen til skranken i borgerservice og vil have medarbejderen til at logge på for sig med hans nem-id. Da han har fået et pænt afslag og hjælp til selv at logge på, så går han igen, men på vej ud smider han lige et brev i skraldespanden i borgerservice med sit cpr-nummer på.

Det er eksempler på dilemmaer og situationer, som medarbejdere med borgerkontakt oplever at stå i i en hverdag, hvor beskyttelsen af vores alle sammens data fylder mere og mere, og hvor man jævnligt kan læse om sikkerhedsbrud, hackerangreb og datalæk i aviserne. Borgerne har et retskrav på høj sikkerhed i behandlingen af de personoplysninger, som de afleverer til det offentlige, og samtidig er der krav om, at medarbejdere og organisationer skal kunne sagsbehandle helhedsorienteret og på tværs af afdelinger, forvaltninger og organisationer, så de kan arbejde effektivt med kerneopgaven i forhold til borgerne. For at kunne leve op til de krav, så skal medarbejdere og ledere i kommunerne være klædt godt på.

Hvad vil de sige at være ’aware’?

Projektet ’Awareness om informationssikkerhed i borgerbetjeningen’ i Fremfærd Borger er netop nu i gang med at indsamle viden i kommunerne om digital awareness – god praksis og adfærd - når man har med borgere og deres data at gøre. Syv kommuner, som har en særlig stærk kultur i forhold til informationssikkerhed og behandling af borgernes data, bidrager til projektet, og medarbejdere og ledere i andre kommuner skal kunne lade sig inspirere af de erfaringer, som projektet indsamler. Ambitionen er at kunne levere helt konkrete værktøjer, som medarbejdere og ledere kan bruge til at udvikle deres sikkerhedskultur. KL og HK Kommunal driver projektet i fællesskab.

- Digital awareness er vigtigt, fordi data kommer til at fylde mere og mere i takt med den øgede digitalisering af samfundet og af den offentlige sektor. I kommunerne indsamler vi mange personfølsomme data, og en vigtigt del af arbejdet med databeskyttelse handler om at være aware og opmærksom på sikkerhed, siger Mads Samsing, næstformand i HK Kommunal og næstformand i Fremfærd Borger.

Awareness er et begreb, som ikke er almindeligt brugt i Danmark, men det engelske aware kan oversættes til det at være bevidst – både i tanke og handling.

- Der er nogle sikkerhedsmæssige udfordringer, som man ikke har mødt før, og det kræver en ny type bevidsthed både hos medarbejderne og lederne - og i organisationerne i det hele taget, siger Pia Færch, der er kontorchef i KLs kontor for Digitalisering og Borgerservice og medlem af Fremfærd Borger.

Awareness er en del af kerneopgaven

At medarbejdere og ledere besidder digital awareness betyder, at de er bevidste om, hvordan de behandler borgernes data - ikke bare i forhold til, om de it-systemer, de bruger, nu også er sikret mod f.eks. hacker-angreb - men også, at man i den daglige omgang med data ved, hvad man må og ikke må, og hvordan man agerer i situationer, hvor borgerne f.eks. beder om noget, som kan udsætte dem selv for risiko for læk, eller at udefrakommende misbrug af deres data.

Projektet i Fremfærd Borger har fokus på den digitale awareness, som medarbejdere og ledere skal have i den direkte kontakt med borgerne f.eks. i borgerservice, hvor borgerne kan møde op og have personlig kontakt med medarbejdere. Projektet har også fokus på den awareness, som medarbejdere og ledere skal have, hvis de sidder i it-funktioner, der administrerer medarbejdernes adgang til systemerne. Ambitionen for projektet er, at medarbejdere og ledere får noget, de kan bruge i deres hverdag.

- Når vi taler om digital sikkerhed, så bliver der hurtigt malet fanden på væggen, og det bliver nemt noget skræmmende. Det er vigtigt at få det taget ud af den ramme og gjort det til noget håndgribeligt, som medarbejderne kan arbejde med. Fremfærd Borgers projekt leverer viden om, hvad det vil sige at være aware og nogle værktøjer til at arbejde med awareness, siger Pia Færch,

Øgede krav med persondataforordningen

Den nye persondataforordning træder i kraft den 25. maj 2018, og for kommunerne betyder det, at der er krav om øget sikkerhed i håndteringen af borgernes personoplysninger. Som medarbejder kan man måske komme i tvivl om, hvordan man skal agere i forskellige situationer, og skræmmebillederne kan gøre, at man ikke tør at handle, og der skal vi ikke hen, påpeger Pia Færch.

- Det er vigtigt, at vi har en god sikkerhedskultur, så vi kan fastholde den høje tillid og tryghed, som danskerne har til kommunerne. Vi må ikke ødelægge den tillidsbaserede kultur vi har i og omkring offentlige organisationer og gøre det hele mere bureaukratisk. Digital sikkerhed skal i stedet være noget, som hele tiden er til stede i bevidstheden hos medarbejderne, siger hun.

Historier om datalæk eller uheld med data i offentlige organisationer peger nogle gange tilbage på medarbejdere, der får trykket på en forkert knap eller får sendt data i en mail, man ikke skulle have sendt. Og dette projekt lægger vægt på, at digital awareness drejer sig om god kultur i organisationerne, og for Mads Samsing er det en vigtig pointe.

- Vi skal passe på ikke at individualisere ansvaret for sikkerhed, så det er den enkelte medarbejder, der står med ansvaret alene, men i stedet arbejde med det som en kultur og i forhold til hele organisationen. Vi skal tilrettelægge arbejdet sådan, at sikkerhed kommer helt ind i kernen af opgaveløsningen, siger han.

En genvej for medarbejdere til digital awareness kan være at tænke på sig selv som borgere.

- Det er medarbejderne, der er i berøring med de mange data, og i virkeligheden skal de tænke på det som deres egne data. Medarbejderne skal behandle andres data, som de selv ønsker, at deres data bliver behandlet. Det er et interessant perspektiv at bringe ind i debatten: Hvis du er aware som borger, så bliver du også aware som medarbejder, siger Mads Samsing.

Det er ikke bare medarbejderne, der skal besidde digital awareness - lederne spiller også en vigtig rolle er man enige om i KL og HK Kommunal.

Konkret skal projektet gennem feltstudier, interviews og workshops i de medvirkende syv kommuner afdække, hvilke typer af dilemmaer som medarbejdere og ledere står i, når de er i kontakt med borgernes data, og hvilke kompetencer der er til stede i en kultur, hvor digital awareness er en integreret del af arbejdet. Endelig skal projektet afprøve processer, hvor medarbejdere og ledere gennem samarbejde og dialog kan styrke deres kultur i forhold til digital awareness.

- Det, vi er gode til i Fremfærd, er at få en fælles forståelse for fælles udfordringer og arbejde med fælles løsninger. I et projekt som det her indsamler vi viden om god praksis fra syv kommuner, og så kan vi hjælpe med at få erfaringerne spredt til de øvrige kommuner, siger Mads Samsing.

Dilemmaer og værktøjer vil blive gjort tilgængelige på vpt.dk i løbet af det kommende år.

Digital awareness

Den digitale udvikling stiller krav til medarbejdere og ledere udviser en høj grad af awareness i omgangen med borgernes data. Men begrebet er diffust, og projektet skal bidrage til en bedre forståelse af, hvad det vil sige at være aware, og det skal bidrage til at medarbejdere og ledere kan udvikle en sikkerhedskultur, som på den ene side understøtter en helhedsorienteret sagsbehandling, og på den anden side sikrer borgernes retssikkerhed i forvaltningen af personoplysninger.

Begrebet ”awareness” forstås som viden om og uddannelse i informationssikkerhed på den ene side, samt en etisk, ansvarlig og værdibaseret adfærd på den anden side.

Om projektet Awareness om informationssikkerhed i borgerbetjeningen
Fremfærd

Projektet Awareness om informationssikkerhed i borgerbetjeningen skal:

  • Afdække hvilke kompetencer og adfærd medarbejderne skal have for at være ”aware”
  • Identificere eksempler på dilemmaer mellem brugen af persondata i borgerbetjeningen og fokus på informationssikkerhed
  • Identificere nøgleelementer i god sikkerhedsadfærd på baggrund af best practise cases
  • Udvikle og afprøve processer for, hvordan ledere og medarbejdere gennem dialog, samarbejde og tillid kan skabe en kultur for sikkerhed og awareness

Til projektet er der knyttet en referencegruppe, som skal sikre tværfaglighed og bidrage med viden, der kan kvalificere projektet og de produkter, der kommer fra det.

Gruppen består af repræsentanter fra:

  • De faglige organisationer Djøf og Dansk Socialrådgiverforeningen
  • MED-udvalg i kommunerne
  • Foreningen af Kommunale IT-chefer
  • Borgerservice Danmark
  • Læreanstalter
  • Fageksperter

Projektet er en del af Fremfærds ramme projekt ’Mere kerneopgave – mindre bureaukrati’.