GDPR og IT-sikkerhed

Borgere og virksomheder skal have tillid til, at kommunen behandler personoplysninger på betryggende vis og overholder den gældende lovgivning. Det stiller krav til udformning af offentlige udbud og it-kontrakter. Derfor er det afgørende, at der fastsættes passende sikkerhedskrav i kontrakter med leverandører.

For at sikre, at der bliver udarbejdet dækkende sikkerhedskrav, skal IT & Digitalisering tages med på råd allerede i opstarten. Opgaven her er at identificere de områder, der skal beskyttes og de risici, som skal forebygges i din kommende it-løsning. Det gøres bl.a. ved at kigge på dine krav til tilgængelighed, troværdighed og integriteten af oplysningerne. Dette munder ud i en Risikovurdering, som kan bruges til at skabe en god dialog med leverandøren, og sikre at din kommende it-løsning overholder de krav som kommunen stiller til GDPR og informationssikkerhed generelt.

For it-systemer, som indeholder personoplysninger og skal driftes hos leverandøren, skal der indgås en Databehandleraftale med leverandøren inden kontrakt-underskrivelsen. Databehandleraftale udarbejdes i samarbejde med IT & Digitalisering.

Efter indgåelse af kontrakten og databehandleraftalen skal leverandøren årligt dokumentere, at vedkommende anvender IT- og sikkerhedsmæssigt forsvarlige foranstaltninger ift. den anskaffede it-løsning. Derfor foretages tilsyn af Randers Kommune for at kunne dokumentere, at leverandøren lever op til de i databehandleraftalen aftalte tekniske og organisatoriske sikkerhedsforanstaltninger. Dette foregår ud fra en hyppighed fastlagt ved en risikoanalyse i relation til risikoen set i forhold til borgerne.

Det er vigtigt at tænke på Exit-strategi og dokumentere i kontrakten, hvem der ejer de oplysninger, som bliver behandlet af systemet/leverandøren på vegne af kommunen, hvad der skal ske med disse hvis samarbejdet med leverandøren stopper, samt hvordan leverandøren skal være behjælpelig med udlevering til kommunen eller flytte dem til en anden leverandør.

• Risikovurdering (krav til tekniske og organisatoriske sikkerhedsforanstaltninger), udarbejdes sammen med IT og Digitalisering, så snart der kendes til systemet
• Databehandleraftale (inkl. type af tilsyn samt hyppighed) sammen med kontrakt, udarbejdes af IT og Digitalisering når system og leverandør er valgt
• Udfyldelse af systembeskrivelse inkl. klassifikation, udarbejdes af systemejer inden systemet sættes i drift (skabelon til systembeskrivelse findes i SBSYS under Ny kladde fra skabelon, vælg Økonomi, Personale og IT, vælg IT og Digitalisering, vælg Systembeskrivelse (intern)).

Oplysningspligt, udarbejdes af systemejer og systemforvalter inden systemet sættes i drift (info, vejledning og skabelon kan findes her på Broen).

Du skal tage stilling til informationssikkerhedskrav og funktionelle krav for at understøtte og efterleve GDPR. Du kan se mere om informationssikkerhed i IT- sikkerhedspolitik og håndbog.