Oplæg fra Aabenraa kommune

Sådan udvikler man en kultur omkring informationssikkerhed i en travl hverdag

Medarbejdere og ledere skal passe godt på borgernes data. Men hvordan gør man? I Aabenraa Kommune har de arbejdet med fysisk indretning af Borgerservice og tidsbestilling som veje til bedre informationssikkerhed.

Af Irene Aya Schou 23/10/2018

Hvad gør man, hvis borgerne smider fortrolige papirer og breve i papirkurven i Borgerservice? Man fjerner papirkurvene.

Dette er bare ét eksempel på, hvad man har gjort i Borgerservice i Aabenraa Kommune for at sikre, at borgeres oplysninger håndteres mest muligt fortroligt i en travl hverdag.

Som medarbejder med borgerkontakt står man dagligt i dilemmaer, hvor man på den ene side skal sagsbehandle helhedsorienteret og på tværs af forvaltninger, og på den anden side skal sikre, at borgernes personfølsomme oplysninger behandles fortroligt.

Fysisk indretning er vigtig

I Aabenraa Kommune har de stor viden og erfaring med god praksis og adfærd, når man har med borgernes data at gøre. Af samme grund er kommunen blandt de syv kommuner, der har bidraget til Fremfærd-projektet "Awareness om informationssikkerhed i borgerbetjening" - et projekt, der på baggrund af erfaringer i de syv kommuner udvikler konkrete værktøjer, som medarbejdere og ledere kan bruge til at styrke deres sikkerhedskultur. 

I Aabenraa Kommune er erfaringen, at digital awareness handler om lige dele opmærksomhed, ændrede vaner, fysisk indretning og indførelse af konkrete systemer som f.eks. tidsbestilling.  

Noget handler om at ændre vaner: At man som medarbejder husker at bede borgeren om sundhedskortet frem for at spørge direkte til CPR-nummer, når borgeren står ved skranken. Det kan også være, at man i Borgerservice udvikler et håndtegn for, hvad man gør, hvis ens kollega skal tale lavere.

Noget helt andet er den fysiske indretning. Selvom man har optegnet en gul ventelinje i gulvet, er akustikken ofte så dårlig, at det er umuligt for ventende i køen ikke at høre, hvad der bliver sagt ved skranken. 

Tidsbestilling batter

Af samme grund har man i Aabenraa Kommune indført tidsbestilling, således at borgere ikke skal stå i kø for at få pas eller kørekort. Selvom det først lige er trådt i kraft, er erfaringen allerede, at det er effektivt, fortæller borgerservicechef Esben Krabbe Christiansen.

- Borgerne kommer i en jævn strøm. Der står ikke 50 i kø på én gang. Det betyder, at det er en helt anden måde, vi kan håndtere diskretionen på, siger han.

Borgere vil betjenes – ikke læse avis

Før Aabenraa Kommune gik over til tidsbestilling, eksperimenterede kommunen med at indrette en lokal borgerservice-afdeling i Bov, så borgerne i de minutter, de ventede på at komme til, var beskæftiget med noget andet og ikke havde tid til at være med på en lytter.

Man indrettede filialen i bibliotekets børneafdeling. Det gav anledning til mange overvejelser under overskriften 'diskretion'. Man indkøbte lydabsorberende reoler og skærme. Planen var, at borgerne i ventetiden, og efter at de havde trukket et nummer - skulle gå rundt og kigge på bøger eller sætte sig i en sofa og læse i en avis. Det kom dog aldrig til at ske.

- Vi havde mange forestillinger om, hvad borgeren skulle gøre. Men det viste sig, at når folk fik et nummer, stillede de sig op ved diskretionslinjen og holdt øje med, hvornår der var en ledig skanke. Derved hørte de alt, hvad der bliver sagt rundt omkring, siger Esben Krabbe Christiansen.

Helst telefonisk henvendelse

Selvom tidsbestilling via kommunens hjemmeside løser mange problemer omkring diskretion og datasikkerhed, ser man i Aabenraa Kommune allerhelst, at folk ringer til Borgerservice, der har åbent for telefonisk henvendelse 39 timer om ugen.

Gennem telefonen kan man nemlig beskytte alle oplysninger og samtidig afklare problemstillinger, så nogle borgere slet ikke behøver møde op i Borgerservice.

- Kommunen er stor rent arealmæssigt, så hvis vi kan klare noget over telefonen, er det kun godt. Samtidig kan vi tilbyde mere specialistviden, hvis man ringer, siger Yvonne Callesen, kontorleder i borgerservice i Aabenraa Kommune.

Der vil dog altid være brug for den gode personlige kontakt, hvor en borger møder op og drøfter komplekse spørgsmål med en kompetent medarbejder. Desuden er der sager, hvor en person skal møde personligt op f.eks. for at få pas, køreport, NemID eller fritagelse for digital post. Derfor skal akustikken være i orden, hvilket der endnu ikke helt er fundet en løsning på i Aabenraa.

Godt samarbejde med IT-afdeling

En anden ting, der har været afgørende for informationssikkerhedskulturen i Aabenraa Kommune er samarbejdet med kommunens IT-afdeling og indførelsen af Citrix, en softwareløsning som alle kommunens ansatte har installeret på deres computer.

Systemet betyder bl.a., at der skal logges ind ad to omgange, og at skærmen automatisk lukker ned, hvis medarbejderen går fra computeren bare få minutter.

Pas og kørekort, der endnu ikke er blevet afhentet, opbevares i en 800 kilo tung bankboks, der tilmed er videoovervåget.

Men ét er sikre IT-systemer, elektronisk sagsbehandling og e-post, der alt sammen mindsker risikoen for nedbrud, hackerangreb og datalæk – noget andet er menneskelig uopmærksomhed - både fra borgernes og fra medarbejdernes side. 

Borgerne er en sikkerhedsrisiko for sig selv

Selvom Borgerservice har fjernet papirkurve og scanner og markulerer papirdokumenter på daglig basis, kan der ligge glemte papirer med personfølsomme oplysninger i en kopimaskine eller i et printerrum. Og der kan være borgere, der glemmer at logge ud af den digitale postkasse eller pludselig forlader computeren midt i en ansøgning om boligstøtte.

- Det er svært at ændre borgernes adfærd. For nylig skulle en borger vælge ny læge og spurgte: 'Hvem kan du anbefale?', Det kunne medarbejderen ikke svare på, men det kunne en borger, der blev ekspederet ved en anden skranke, siger Joan Mathinussen, der er IT- og projektkoordinator i Jobcenter og Borgerservice.

Derfor overvejer Borgerservice i forbindelse med overgangen til tidsbestilling at tage endnu et sikkerhedsskridt for at øge diskretionen nemlig at reducere antallet af skranker og rykke ventende ud i en mellemgang.

Awareness er en ledelsesmæssig udfordring

Informationssikkerhed skal derfor hele tiden italesættes af ledelsen og være noget, medarbejdere snakker med hinanden om i personale- og teammøder.

- Det skal være et tema overalt, og det er uden tvivl den største ledelsesmæssige udfordring hele tiden at aktivere medarbejderne til at reflektere både sammen og hver for sig over, hvad de kan gøre, siger Esben Krabbe Christiansen.

I forbindelse med Fremfærd-projektet om digital awareness er der blevet udviklet tre små film, der beskriver nogle af de dilemmaer, som medarbejdere og ledere oplever i forbindelse med borgerbetjening.

Dilemmafilm øger dialogen

I Aabenraa har medarbejdere og ledere set og talt sammen om filmene i Borgerservice. Det handler nemlig om hele tiden at være 'aware', forklarer Yvonne Callesen.

- Som medarbejder skal man tænke sin arbejdsdag igennem – hvordan agerer jeg, når jeg forlader mit arbejde? Hvor står jeg og snakker om en sag? Jeg har selv prøvet at sidde i et tog, hvor der blev snakket om en sag, og hvor alle lyttede med, siger Yvonne Callesen.

Awareness ind med modermælken

Foruden de tre dilemmafilm er de syv kommuner i Fremfærd-projektet godt i gang med et udvikle et kompetenceværktøj, der beskriver, hvad medarbejdere og ledere på forskellige niveauer f.eks. elever, sagsbehandlere og ledere, skal vide og kunne arbejde med, når det gælder borgerdata og informationssikkerhed.

Dette værktøj vil blive tilgængeligt for alle kommuner om kort tid. I Aabenraa Kommune har de brugt kompetencebeskrivelsen i forhold til nyuddannede. Har de de rette kompetencer? Her viser det sig, at den unge generation er godt klædt på.

- De nyuddannede og eleverne har en helt andet fokus på informationssikkerhed. Det er en cadeau til uddannelserne, at de unge har fået awareness ind med modermælken. Mange af os ældre skal først aflære dårlige vaner, siger Esben Krabbe Christiansen.   

"Vi er blevet bekræftet i, at vi er rigtig godt med"

For Joan Martinussen har det været spændende at arbejde med digital awareness i Fremfærd-regi.

- Vi er blevet bekræftet i, at vi er rigtig godt med. Vores personale i Borgerservice er branddygtige og gør en dyd ud af at passe godt på borgernes data, siger hun.

Det er Joan Martinussens opgave at undervise nye medarbejdere i kommunens ESDH-system. I undervisningen indgår også en introduktion til generelle sikkerhedsprocedurer og en beredskabsplan i tilfælde af, at der sker et læk. Her benytter hun sig af de sikkerhedsfilm, som Aabenraa Kommune har fået produceret.

- Jeg ser også frem til at gøre brug af de tre dilemmafilm, der er blevet produceret i Fremfærd-projektet. Så længe man hele tiden har sin bevidsthed på emnet og drøfter udfordringer og dilemmaer på ugentlige frontmøder, er man inde i det LEAN-princip, der handler om 'løbende forbedringer'. Og det er et godt sted at være, for vi kan hele tiden gøre det bedre, siger hun.

Gå til forsiden af ErDuAware.dk
  • Se dilemmafilm fra hverdagen i borgerservice
  • Læs om arbejdspladser, der arbejder med digital awareness
  • Få råd om god praksis

Gå til forsiden af ErDuAware.dk

Billedtekst

Yvonne Callesen, kontorleder i Borgerservice, og Esben Krabbe Christiansen, borgerservicechef, begge Aabenraa Kommune fortalte på KL's digitaliseringsmesse i Odense den 27. september om, hvordan man udvikler en informationssikkerhedskultur i en travl kommunal hverdag. Det sker på baggrund af erfaringer fra Fremfærd-projektet ’Awareness om informationssikkerhed i borgerbetjeningen’ som Aabenraa Kommune har deltaget i.

Baggrund:

Informationssikkerhed står højt på dagsordenen i kommunerne. Det kræver, at ansatte udviser en høj grad af awareness eller opmærksomhed i det daglige arbejde og især i behandlingen af borgernes data.

KL og HK Kommunal har startet et Awareness-projekt i regi af Fremfærd sammen med syv kommuner blandt dem Aabenraa Kommune.

Projektet har fokus på, hvordan man skaber en informationssikkerhedskultur i borgerservice, hvor beskyttelse af borgernes personoplysninger ikke bare er en pligt - men en naturlig del af de ansattes hverdagspraksis.

Læs mere om Awareness-projektet her og se tre små film om nogle af de dilemmaer, medarbejdere og ledere oplever i forbindelse med borgerbetjening. 

Eksempler på flere dilemmaer i arbejdet med persondata:

1. At andre borgere kan lytte med:

”Overholdelse af diskretion er den største udfordring ved, at vi har lagt opgaver ud på bibliotekerne. Borgerne overholder dem ikke. Vi kan ekspedere en borger, og så kommer der en anden borger og afbryder og siger: ’Jeg skal bare aflevere dette stykke papir’. Vi har også eksempler på, at borgerne står for tæt på hinanden, men den borger, der betjenes, siger ikke fra”. 

Fagchef i Borgerservice

2. Borgernes manglende awareness

"Vi oplever tit, at borgerne glemmer papirer med personfølsomme oplysninger i printeren, ved PC’erne osv. Vi bruger mange ressourcer på at rydde op”.

Borgerservicemedarbejder

3. Brug af NemID:

"Vi har en klar politik om, at vi ikke må hjælpe, hvis der er en borger, der bruger en andens f.eks. sin kones NemID. Vi oplyser, at det er dokumentfalsk. Det er en opdragelsesproces at få borgerne til at forstå det."

Borgerservicemedarbejder

4. Hvordan sikrer man en tillidsfuld kultur:

"Vi arbejder i Borgerservice løbende med opfølgning, og vi har en kultur med åbenhed, hvor det er helt legalt at sige, at der er noget, som man er usikker på. Det er vigtigt, at jeg som leder er opmærksom på, at medarbejderne til tider kan have frustrationer. Dem skal jeg tage alvorligt".

Borgerservicechef

5. Hvordan sikrer man, at alle altid er aware:

"Vi har et stort fokus på at få skabt en awareness omkring personfølsomme data. Vi har en særlig forpligtigelse. Vi må dog samtidig erkende, at det er svært at kontrollere, hvad den enkelte lægger på sit drev".

Informationssikkerhedskoordinator

6. Hvordan kommunikerer man bedst om IT-sikkerhed:

"Vi skal finde en måde at kommunikere om informationssikkerhed, der ikke drukner i alt den anden information, der udsendes via kommunens forskellige kommunikationskanaler og kommunikationsplatforme mv. Det er samtidigt vigtigt at være opmærksom på, at forskellige målgrupper taler forskellige sprog. Man kan derfor ikke bruge den samme vejledning til alle. Den skal tilpasses den enkelte målgruppe”.

IT-medarbejder

7. Samarbejde med parter udenfor kommunen

Hvad gør vi i de situationer, hvor vores samarbejdspartnere ikke er på samme digitaliseringsniveau som os, og hvor der ikke er den samme bevidsthed? Nogle boligselskaber beder f.eks. om borgerens fulde CPR-nr., men det udleverer vi ikke. De må kun få borgerens fødselsdato. Vi bruger en del tid på støtte og vejledning, men jeg har flere gange oplevet, at de tænker, at det ’bare er data’". 

Sagsbehandler

Citaterne stammer fra fokusgruppeinterviews med medarbejdere og ledere i forbindelse med Fremfærd-projekt "Awareness om informationssikkerhed i borgerbetjening".