Esbjerg tog konsekvens af datarod: Regelmotor finder følsomme filer og løbske CPR-numre
Siden 2007 har Esbjerg Kommune haft som ambition, at skaffe sig af med ringbind og sagsmapper og digitalisere al sagsbehandling. Strategien har været krævende, og i 2015 fik kommunen et revisionsfirma til at gennemgå datakvaliteten i sagsarbejdet.
»Og vi kan lige så godt sige det, som det er: Det så ikke godt ud.«
Sådan fortæller Henriette Spang Sørensen, der er ESDH-konsulent i Esbjerg Kommune, ved Devoteams ESDH-konference, der fandt sted i København tidligere på måneden.
»Næste morgen blev jeg indkaldt til et møde med kommunaldirektøren, der ville vide, hvad det var for noget. Vi fik 14 dage til at iværksætte en handlingsplan,« beretter hun.
Planen var klar: øget support, kontrol og kurser med mere. Men med 10.000 brugere på kommunens ESDH-system – herunder over 2.000 daglige brugere med skriveadgang – spredt i institutioner og skoler fordelt ud over hele kommunen, løb Henriette Spang Sørensen ind i en udfordring: Hvordan får man fat i den enkelte sagsbehandler?
Vold eller jordvold?
Løsningen blev en regelmotor, der konstant kan tjekke, om sagsbehandlere efterlader åbne filer med følsomme oplysninger – og bede dem om at ændre det.
»Det kan være, der er åbne emnesager med CPR-data. Det kan være åbne sager med personfølsomme ord – ord, som vi selv går ind og definerer,« forklarer Henriette Spang Sørensen.
Reglerne – som der p.t. er omkring 30 af – kan hele tiden justeres på baggrund af feedback fra sagsbehandlerne:
»Vi havde for eksempel valgt et ord som ‘vold', for det er ikke godt, hvis det står i et åbent dokument. Men det resulterede i, at teknik og miljø blev helt nedlagt af mail, fordi de havde en masse jordvoldssager.«
Den situation blev fikset ved at undtage det sagsnummer, der vedrører jordvoldssager.
Ikke optimal oplæring
Systemet EKkvalitet – der er leveret af Formpipe – indhenter materiale fra kommunens ESDH-system Acadre.
Hver gang en regel fanger en sag, får sagens ejer – en sagsbehandleren – besked. På et dashboard kan brugeren til enhver tid få overblik over de potentielle problematiske filer, og ved hver enkelt meddelelse kan brugeren klikke sig ind på det dokument, der f.eks. indeholder personlige oplysninger eller mangler kodeord.
»Vores sagsbehandlere er ud over hele Esbjerg Kommune, og de har måske ikke alle fået den mest optimale oplæring, og det må jeg også tage skylden for,« forklarer Henriette Spang Sørensen.
»Men jeg kan heller ikke være overalt. Så derfor forsøger vi at flytte ansvaret ud til den enkelte sagsbehandler, så de også får ejerskab over data.«
Ansvar for data
Systemet har kørt siden en big bang-implementering i april, men har højnet datakvaliteten signifikant, vurderer ESDH-konsulenten.
Antallet af tilfælde hvor systemet har fundet CPR-numre i dokumenter, der er markeret åben for aktindsigt gik på kort tid fra 471 til 54. Antallet af aktive sager, hvor en part er død, var på 221, men er nu bragt ned på fire.
»Det er vejen frem, men det kræver hård arbejde, en super organisation og tillid til at folk vil det,« lyder det fra Henriette Spang Sørensen.
Mens det er sagsbehandlerne, der får besked om de specifikke sager – og retter op på dem – kan afdelingsledere også bruge informationen til at følge med i udviklingen i datakvalitet.
»Det giver dem et ejerskab over, hvad der foregår i afdelingen,« påpeger Henriette Spang Sørensen.
Kommuner skal dele regler
Softwaren er i høj grad gearet til at hjælpe virksomheder og kommuner med at være i stand til at følge reglerne i EU’s nye persondataforordning. For eksempel kan man vælge at sende de observerede regelbrud direkte videre til en DPO – frem for til sagsbehandlerne, som man har valgt at gøre i Esbjerg.
»Det er GDPR, vi alle sammen er bange for,« bemærkede Troel Tino Anzie, chefarkitekt og produktleder ved Formpipe, på ESDH-konferencen.
Fordi det er de samme regler, som alle myndigheder lige nu har fokus på, vil selskabet lade kommuner dele de regler, som de implementerer i regelmotoren, med hinanden ved at up- og downloade dem i et forum.
Et andet perspektiv i systemet er ifølge Formpipe at bruge regelmotoren mere proaktivt f.eks. ved at sende forespørgsler til systemet om, hvorvidt en given sag må åbnes for aktindsigt.
»Når vi scanner de mails, der allerede er sendt ud, så er det på bagkant. Vi arbejder på, at systemet kan lave live-tjek, så når jeg formulerer en mail og sender et internt dokument ud af huset, så kommer der en besked fra kvalitetskontrol,« forklarer Troels Tino Anzie.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
