Esbjerg tog konsekvens af datarod: Regelmotor finder følsomme filer og løbske CPR-numre

30 regler holder i realtid styr på, at persondata ikke flyder og forvaltningsregler overholdes i Esbjerg. Det er vejen frem, men kræver hårdt arbejde, siger ESDH-konsulent.

Siden 2007 har Esbjerg Kommune haft som ambition, at skaffe sig af med ringbind og sagsmapper og digitalisere al sagsbehandling. Strategien har været krævende, og i 2015 fik kommunen et revisionsfirma til at gennemgå datakvaliteten i sagsarbejdet.

»Og vi kan lige så godt sige det, som det er: Det så ikke godt ud.«

Læs også: Det flyder med persondata i kommunerne - her er seks skridt til rene data

Sådan fortæller Henriette Spang Sørensen, der er ESDH-konsulent i Esbjerg Kommune, ved Devoteams ESDH-konference, der fandt sted i København tidligere på måneden.

»Næste morgen blev jeg indkaldt til et møde med kommunaldirektøren, der ville vide, hvad det var for noget. Vi fik 14 dage til at iværksætte en handlingsplan,« beretter hun.

Planen var klar: øget support, kontrol og kurser med mere. Men med 10.000 brugere på kommunens ESDH-system – herunder over 2.000 daglige brugere med skriveadgang – spredt i institutioner og skoler fordelt ud over hele kommunen, løb Henriette Spang Sørensen ind i en udfordring: Hvordan får man fat i den enkelte sagsbehandler?

Vold eller jordvold?

Løsningen blev en regelmotor, der konstant kan tjekke, om sagsbehandlere efterlader åbne filer med følsomme oplysninger – og bede dem om at ændre det.

»Det kan være, der er åbne emnesager med CPR-data. Det kan være åbne sager med personfølsomme ord – ord, som vi selv går ind og definerer,« forklarer Henriette Spang Sørensen.

Læs også: Hverken offentlige eller private sagssystemer er gearet til krav i ny persondataforordning

Reglerne – som der p.t. er omkring 30 af – kan hele tiden justeres på baggrund af feedback fra sagsbehandlerne:

»Vi havde for eksempel valgt et ord som ‘vold', for det er ikke godt, hvis det står i et åbent dokument. Men det resulterede i, at teknik og miljø blev helt nedlagt af mail, fordi de havde en masse jordvoldssager.«

Den situation blev fikset ved at undtage det sagsnummer, der vedrører jordvoldssager.

Ikke optimal oplæring

Systemet EKkvalitet – der er leveret af Formpipe – indhenter materiale fra kommunens ESDH-system Acadre.

Hver gang en regel fanger en sag, får sagens ejer – en sagsbehandleren – besked. På et dashboard kan brugeren til enhver tid få overblik over de potentielle problematiske filer, og ved hver enkelt meddelelse kan brugeren klikke sig ind på det dokument, der f.eks. indeholder personlige oplysninger eller mangler kodeord.

Læs også: Datatilsynet: Vi bliver sat skakmat, når myndigheder ignorerer vores kritik

»Vores sagsbehandlere er ud over hele Esbjerg Kommune, og de har måske ikke alle fået den mest optimale oplæring, og det må jeg også tage skylden for,« forklarer Henriette Spang Sørensen.

»Men jeg kan heller ikke være overalt. Så derfor forsøger vi at flytte ansvaret ud til den enkelte sagsbehandler, så de også får ejerskab over data.«

Ansvar for data

Systemet har kørt siden en big bang-implementering i april, men har højnet datakvaliteten signifikant, vurderer ESDH-konsulenten.

Antallet af tilfælde hvor systemet har fundet CPR-numre i dokumenter, der er markeret åben for aktindsigt gik på kort tid fra 471 til 54. Antallet af aktive sager, hvor en part er død, var på 221, men er nu bragt ned på fire.

Læs også: Drøje persondata-hug til flere kommuner fra Datatilsynet

»Det er vejen frem, men det kræver hård arbejde, en super organisation og tillid til at folk vil det,« lyder det fra Henriette Spang Sørensen.

Mens det er sagsbehandlerne, der får besked om de specifikke sager – og retter op på dem – kan afdelingsledere også bruge informationen til at følge med i udviklingen i datakvalitet.

»Det giver dem et ejerskab over, hvad der foregår i afdelingen,« påpeger Henriette Spang Sørensen.

Kommuner skal dele regler

Softwaren er i høj grad gearet til at hjælpe virksomheder og kommuner med at være i stand til at følge reglerne i EU’s nye persondataforordning. For eksempel kan man vælge at sende de observerede regelbrud direkte videre til en DPO – frem for til sagsbehandlerne, som man har valgt at gøre i Esbjerg.

»Det er GDPR, vi alle sammen er bange for,« bemærkede Troel Tino Anzie, chefarkitekt og produktleder ved Formpipe, på ESDH-konferencen.

Læs også: Kammeradvokaten: Tjek din GDPR-compliance på 10 minutter

Fordi det er de samme regler, som alle myndigheder lige nu har fokus på, vil selskabet lade kommuner dele de regler, som de implementerer i regelmotoren, med hinanden ved at up- og downloade dem i et forum.

Et andet perspektiv i systemet er ifølge Formpipe at bruge regelmotoren mere proaktivt f.eks. ved at sende forespørgsler til systemet om, hvorvidt en given sag må åbnes for aktindsigt.

»Når vi scanner de mails, der allerede er sendt ud, så er det på bagkant. Vi arbejder på, at systemet kan lave live-tjek, så når jeg formulerer en mail og sender et internt dokument ud af huset, så kommer der en besked fra kvalitetskontrol,« forklarer Troels Tino Anzie.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

Det lyder som et skridt på vejen, men slap nu ikke for meget af.

Hvordan ser det ud på kommunens skoler, anvender de tjenester (fx Facebook), hvor lærene deler billeder med forældrene, billeder hvor det er muligt at identificere børnene. Sådanne billeder er jf. Persondataloven og GDPR personhenførebare data. når der er tale om personhenførebare data, kræver det en databehandleraftale.

Kort sagt jeg tvivler på at kommunerne har så godt styr på persondata, som denne artikler ligger op til.

  • 8
  • 0
#4 René Nielsen

Som en anden skribent skriver, så er det et skridt på vejen. Og det er et stort skridt fordi man endelig forsøger at gøre noget ved problemet, og det især på det store problem som det er, at få hæftet ”ejerskabet” til de ulovlige data fast på den ansvarlige fagleder.

Men vi er også nødt til at være lidt brutal, for artiklen afslører at Esbjergs Henriette Spang Sørensen har en viden om dataanalyse på juniorkonsulentniveau.

Enhver som har arbejdet med datasets kender på forhånd de problemer som artiklen omtaler. Et fintmasket net – vil fange ”falske positive”. Og et for grovmasket net slipper de forkerte igennem. Det er kun ”trial & Error” som virker her imedens man gradvist ”snører nettet til”.

Bruger man et ord som ”vold” som retsstavningsmæssigt kan indgå i alt fra hustruvold over vold til jordvold, så er det logik for burhøns at man fanger mange ”falske positive”. Men det siger noget om den uvidenhed Esbjerg har udvist hidtil, hvis man på nogen måde er overrasket om at man ”lægger en afdeling ned” når man på produktionsmiljøet, uden forudgående tests, har oprettet en wildcard-søgning på vold.

Men lad os ”tage den positive hat på” og med glæde konstaterer at der trods alt en vilje i det offentlige til at overholde den lov, som alle andre under bøde og fængselstraf, skal overholde.

Til den næste kommune – sørg for at få en person ansat som har både forretnings viden og IT viden. En som er enten det ene eller det andet …. Duer ikke.

  • 1
  • 0
#5 Denny Christensen

Der er tale om en modningsproces, juniorkonsulent er lidt hård retorik, men at der er tale om en kommune der tager opgaven seriøst og undervejs afdækker opgaver der skal udføres er helt ok med mig - og i det lys er det dejligt at se at opgaven er i gang samt at Esbjerg kommune er åbne overfor indhold.

Så ingen grund til at skose fordi de ikke er i hus, mere et anerkendende nik for at være i gang.

  • 9
  • 0
Log ind eller Opret konto for at kommentere