Data og sikkerhed

Siden giver en detaljeret gennemgang af kompetenceområdet Data og sikkerhed

""

Data og sikkerhed

Data er en central komponent i løsningen af de statslige kerneopgaver og vil i fremtiden blive det i endnu højere grad. Samtidig er truslen fra cyberangreb stigende, ligesom GDPR og det generelle fokus på datasikkerhed har øget kravene og forventningerne til håndtering af borgernes data. Dette et behov for kompetencer til både at agere sikkert, at anvende data til løsning af kerneopgaven og til at kende til etiske og retlige problemstillinger ved brug af data.

I en digital virkelighed er det nødvendigt at sikre sig mod blandt andet cyberangreb og datalæk. Derfor skal myndighederne besidde kompetencerne til at agere cybersikkert, ligesom der skal være en bred viden om og evne til at agere henhold til GDPR og ISO 27001.

1. Agere cybersikkert
Statslige myndigheder skal være i stand til at beskytte data og sikre, at digitale løsninger er beskyttet mod cyberangreb. Dette kræver: 

  • Viden om cyber- og informationssikkerhed, samt hvad der definerer sikker digital adfærd
  • Kompetencer til at kunne bidrage til at understøtte et løbende arbejde med at forbedre informationssikkerheden og herunder at kunne identificere, mitigere og styre efter sikkerhedsrisici, så staten kan arbejde med at digitalisere myndighederne med det nødvendige sikkerhedsniveau
  • Viden om de væsentligste risikoelementer i forbindelse med udvikling eller videreudvikling af it-løsninger
  • Sikring af løsninger, overvåge aktivitet og respondere på hændelser
  • At medarbejderne kan balancere mellem behovet for et højt sikkerhedsniveau og brugervenlighed
  • Kompetencer til at kunne indtænke sikkerhed i kontrakter.

2. Agere i henhold til GDPR
Statens medarbejdere skal være i stand til at overholde de gældende regler i persondataforordningen. Dette kræver:

  • Et kendskab til og forståelse af reglerne i persondataforordningen og supplerende databeskyttelseslovgivning samt de praktiske implikationer i en digital hverdag
  • Evnen til at agere ansvarligt i forhold til data, hvilket kræver at medarbejderne er i stand til at afgøre, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger
  • At medarbejderne er i stand til at udføre rollerne som databehandler og dataansvarlig.

3. Agere i henhold til ISO 27001
Alle offentlige myndigheder skal følge principperne i standarden ISO 27001, der har til formål at sikre en effektiv informationssikkerhedsledelse. Dette stiller krav til offentlige myndigheder om: 

  • Kendskab til og forståelse af forskrifter i ISO 27001
  • Kompetencer til efterlevelse af standardens forskrifter til krav om risikostyring, dokumentation af processer og fordeling af roller samt ansvar for informationssikkerhed
  • Kompetencer til etablering, implementering, vedligehold og videreudvikling af ledelsessystem for informationssikkerhed
  • At kunne beskytte informationer mod uautoriseret videregivelse eller adgang
  • At kunne beskytte informationer mod uautoriseret ændring eller ødelæggelse af informationens nøjagtighed og pålidelighed.

Data er afgørende for statens løsning af kerneopgaven, og i fremtiden vil data være en afgørende driver i forandringen af løsningen af kerneopgaven. Det er derfor afgørende, at myndighederne kan anvende data til at udvikle kerneopgaven ved at give bedre indsigt, mere velinformerede beslutninger og mere effektive processer.

4. Anvende data til udvikling af kerneopgaven
Staten ligger inde med store datamængder. For at udnytte potentialet i dette, skal statens medarbejdere være i stand til at gøre bedre brug af data, eksempelvis for at tage mere velinformerede beslutninger samt skabe bedre processer og i sidste ende en bedre løsning af kerneopgaven. Udvikling af kerneopgaven gennem anvendelsen af data kræver, at medarbejdere:

  • Har indsigt i, hvordan data understøtter og kan være med til at udvikle kerneopgaven. Dette gælder både i forhold til at anvende data til en bedre driftsstyring, men også til at udvikle kerneopgaven gennem fx automatisering
  • Skaber og efterspørger data og forstår muligheder og begrænsninger i anvendelsen heraf
  • Er i stand til at analysere data i forskellige afskygninger, anvende disse til at understøtte beslutningsprocesser samt vurdere kvaliteten af data
  • Kan formidle og visualisere dataanalyse som et led i at synliggøre anvendelsen og mulighederne i data
  • Er i stand til at identificere og anvende relevante dataanalytiske værktøjer.

5. Skabe overblik over data og dataflow
Staten skal være i stand til at dele data mellem myndigheder, når dette er relevant, således at brugerne ikke skal bruge tid på at indberette de samme oplysninger flere steder og indhente dokumentation for oplysninger, som findes i registre. Dette kræver, at medarbejdere:

  • Kender til og forstår den tilgængelige data indenfor myndigheden og i offentlige registre
  • Er i stand til at indhente data fra andre myndigheder
  • Kan kritisk vurdere muligheder og begrænsninger i dataflow og samkøring af data
  • Kan bistå borgere med at få adgang til deres egne data.

Det er afgørende, at borgerne har tillid til, at statslige myndigheder behandler data på forsvarlig vis. Dette kræver, at statslige myndigheder er transparente og har et stærkt fokus på dataetik i anvendelsen af borgernes data. Dette kræver kendskab til etiske og retlige problemstillinger ved anvendelsen af data.

6. Kende til etiske problemstillinger og vurdere retlige problemstillinger ved brug af data
Det er afgørende, at borgere har tillid til, at statslige myndigheder behandler data på forsvarlig vis. Dette kræver, at statslige myndigheder er transparente og har et stærkt fokus på dataetik i anvendelsen af borgernes data. Dette kræver, at medarbejdere:

  • Har kendskab til de etiske problemstillinger vedrørende anvendelsen af data
  • Er i stand til kritisk at reflektere over og vurdere retlige problemstillinger vedrørende anvendelsen af data.