Nr.4 - Redegørelse om informationssikkerhed i Fredensborg Kommune

Sagsnr.: 14/13

 

Beslutningstema

Økonomiudvalget forelægges i henhold til den vedtagne informationssikkerhedspolitik en redegørelse om informationssikkerhedsarbejdet i kommunen i henhold til delegationsplanen.

Sagsfremstilling og økonomi

Grundlaget for informationssikkerhedsarbejdet i Fredensborg Kommune er Dansk Standard for informationssikkerhed. I den daglige sikkerhedsadministration indgår kontroller af autorisationer som fastlagt af den ansvarlige leder for det enkelte system samt behandling af henvendelser vedrørende informationssikkerhed.

 

Der er i perioden siden seneste redegørelse ikke registret alvorlige sikkerhedsbrud i kommunens systemer om tab af data, fejl i registrerede data samt brud på fortroliglighed i opbevarede data.

 

Fredensborg Kommune arbejder dagligt med informationssikkerhed på mange felter. Både i forhold til den daglige drift, i forbindelse med anskaffelse og opgradering af systemer, og til det strategiske arbejde, der pågår om digitalisering.

 

Dette arbejde understøttes både i adfærdsregulerende og tekniske tiltag som spam og virusbeskyttende programmer. Retningslinjer for brug og adfærd er tilgængelig på kommunens intranet og i personalepolitikken. Der afholdes endvidere kurser om informationssikkerhed for kommunens medarbejdere.

 

 

It leverandører

Der er ikke foretaget indberetning om sikkerhedshændelser fra leverandører, der behandler persondata på vegne af kommunen. Reglerne for behandlingen af persondata er reguleret i en databehandleraftale, der indgås mellem kommune og leverandøren. 

 

Medarbejdere

I forhold til medarbejderens brug af systemerne er der kun konstateret et tilfælde af alvorligt brud på sikkerhedsreglerne om adgang til personhenførbare oplysninger og overtrædelse af tavshedsforpligtelsen, som har medført bortvisning.

 

Der har været tilfælde af utilsigtet offentliggørelse af personhenførbare oplysninger på kommunens hjemmeside i forbindelse med offentliggørelse af referater. Fejlene er blevet rettet umiddelbart efter at de er konstateret. Disse hændelser er blevet indberettet til Datatilsynet. Datatilsynet har taget disse indberetninger til efterretning, og der er ikke foretaget yderligere.

 

Der har endvidere været overtrædelser, hvor medarbejdere har fremsendt personhenførbare oplysninger til borgere som mails. Disse overtrædelser er blevet påtalt. I et enkelt tilfælde er der klaget til Datatilsynet, der har taget kommunens redegørelse til efterretning.

 

I forbindelse med en masseudsendelse via Digital Post af til ca. 1600 borgere, blev brevet ved en beklagelig menneskelig fejl stilet til forkerte modtager. Brevet indeholdt ikke følsomme oplysninger. Datatilsynet er blevet orienteret og foretager sig ikke yderligere i sagen. Der vil fremadrettet være fokus på kvalitetssikring af forsendelser til Digital Post.

 

 

Styring af informationssikkerhedspolitikken

Den nuværende standard for informationssikkerhed DS:484 skal udfases til fordel for den internationale standard ISO 27001. ISO 27001 har i lighed med DS:484 et grundlæggende regelsæt; men suppleres med et fokus på organisation herunder til faktisk implementering og opfølgning.

 

Der er igangsat en proces, for indførelsen af den ISO 27001 standarden for informationssikkerhed. Denne proces gennemføres i 2015 og vil som konsekvens af ovenstående medføre ændringer af sikkerhedspolitikken. I forbindelse med indførelsen vil der blive gennemført kampagner og kurser for kommunens medarbejdere.

Bevilling

Sagen har ingen bevillingsmæssige konsekvenser.

Retsgrundlag

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (Persondataloven)

 

Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles inden for den offentlige forvaltning.

 

Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

 

DS:484 dansk standard for informationssikkerhed.

 

Informationssikkerhedspolitikken i Fredensborg Kommune vedtaget af byrådet 21. august 2007.

Kompetence

Økonomiudvalget

Indstilling

  1. At redegørelsen om informationssikkerhed tages til efterretning.

Beslutning i Økonomiudvalget den 19-01-2015

Redegørelsen blev taget til efterretning.