Knap 23 procent af de kommunalt ansatte kan ikke svare ja til, at de altid overholder sikkerhedsregler om, at man som sagsbehandler kun må slå op i de kommunale fagsystemer, hvis de har en gyldig arbejdsrelateret grund til det. Og det til trods for at fagsystemerne indeholder meget store mængder følsomme persondata om f.eks. borgernes sygdom, skilsmisser og økonomi.
Det viser en spørgeskema-baseret undersøgelse blandt 354 ansatte i Esbjerg Kommune, som er gennemført med digitaliseringskonsulent M.Sc. Marie Brodde fra kommunen i spidsen som led i kommunens forberedelse til den nye EU-databeskyttelsesforordning.
»Der er et overtal af ansatte, der er bekendt med it-sikkerhedspolitikken, men pointen er samtidig, at der er langt igen. For nogle ansatte har en tendens til et kunstnerisk islæt i forhold til reglerne: Man omgår dem, hvis man kan slippe afsted med det,« siger Marie Brodde.
Især galt uden for rådhusets mure
Undersøgelsen viser, at persondatasikkerhed generelt betragtes som relevant og meningsfuldt blandt de ansatte, og et flertal mener, at reglerne bør følges, især for borgernes skyld.
Men 11.000 ansatte har også adgang til it-systemer med persondata, selv om adgangen er begrænset af en relativt stram adgangsstyring.
Det er især i decentrale kommunale enheder som plejehjem og dagcentre, at der ifølge Marie Brodde er et behov for at øge opmærksomheden på, hvad der er rigtig og forkert.
Kommunen har for at stramme op udsendt en instruks til de ansatte her i marts, hvori det lyder, at ‘Du må kun slå op i fagsystemer, hvis det er i forbindelse med dine egne arbejdsopgaver. Du må fx ikke slå op på dine venners og families oplysninger’.
Tvivl om hvad gyldig grund er
Ud over informationskampagner bliver logs over de ansattes adfærd løbende tjekket. Marie Brodde afviser, at der er ansatte, der snuser rundt i borgerdata, hvor de ikke har noget at gøre.
»Men det kan ske, at man kommer til at åbne noget og så hov, så ser man, at man ikke har noget at gøre her – og man er klar over at det bliver registreret,« siger hun og tilføjer, at adfærden ofte bunder i, at mange ikke kender sikkerhedsreglerne, er i tvivl om hvad de rent faktisk har lov til eller ikke forstår meningen med dem.
Hvordan kan kommunen have ansatte, som ikke kender reglerne om, at de ikke må slå op i persondata uden en gyldig arbejdsgrund?
»Jeg mener ikke, at der er medarbejdere, som ikke er blevet orienteret om reglen. Men jeg mener, at der kan være tvivl om, hvad en ‘gyldig arbejdsgrund’ er.«
Lars Neupart, der er en af de it-fagfolk i Danmark, der ved mest om persondatasikkerhed i det offentlige, er enig i, at der er tilfælde, hvor en ansat har slået op på persondata uden en arbejdsgrund ved et uheld.
»Men jeg tror godt de fleste ved, at medarbejdere også slår op af nysgerrighed. Der er altså tale om en blanding af noget, man kan komme til, og noget man gør af nysgerrighed. Har man søgt specifikt på personer for at få noget at vide om f.eks. en nabo, så er det ikke noget man ‘kommer forbi’,« siger han.
Ifølge Lars Neupart kan en årsag til de forkerte handlinger være, at der mange steder er et misforhold mellem, hvad de centrale enheder på rådhuset tror, at de ansatte ved og er blevet undervist i af persondatasikkerhed, og så hvordan virkeligheden reelt er.
»It-chefen og andre ansvarlige mener, de ansatte er blevet undervist, mens en meget stor gruppe siger, de ikke er undervist i sikkerhed. Nogle ved endda ikke, om de har fået undervisning,« siger han og peger på, at logning af de ansattes opslag er det bedste middel mod ulovlige opslag.
Datalæk gælder overalt i landet
Marie Brodde mener ikke, at Esbjerg Kommune har en særlig udfordring. Hvad undersøgelsen generelt viser om persondatasikkerheden i kommunen, vil også gælde i resten af landet, vurderer hun:
»Der vil altid være nogle, som ikke kender reglerne godt nok. Måske fordi de ikke har sat sig ind i de risici, der er forbundet med dataopslag – det er ikke en del af deres hverdag, for de yder en service,« siger hun.
Desuden er det hendes erfaring, at gamle ansatte er de sværeste at få til at være opmærksom på beskyttelse af persondata:
»Det er en langt sværere opgave at præge dem, der har været ansat i mange år. Så jo mere det kommer fra nye medarbejdere, jo bedre. Det er vigtigt at opdrage dem til it-sikkerhed fra starten.«
Marie Brodde understreger, at overholdelse af persondataregler ikke alene handler om at beskytte den enkelte borgeres data mod misbrug. Det handler også om at sikre opbakning til digitaliseringen af den offentlige forvaltning.
»Det er vigtigt at borgerne har tillid til kommunen. Vi bygger velfærdssamfundet på data, og mister vi tilliden fra borgerne, så bliver det meget svært at yde en service digitalt,« siger hun.
Marie Broddes undersøgte både viden, adfærd og holdninger. I forhold til adfærd blev der spurgt ind til, hvordan det stod til med at overholde fem regler. Når det gælder tavshedspligt, at holde adgangskoder fortrolige og at bruge sikre mailtjenester, var et meget stort flertal på niveau med reglerne.
I forhold til den femte regel – nemlig om data, herunder de følsomme, altid gemmes på sikre systemer som ESDH frem for netværksdrev – svarede 30 procent, at de ikke altid overholdt. Her er vurderingen, at ESDH-systemerne kan være for besværlige og derfor vælger man dem fra.