Guide til systemejere

En systemejer har ansvar for at sikre, at Randers Kommune kan overholde krav til informationssikkerheden, herunder datasikkerhed, systemanvendelse, fejlhåndtering m.m., for det pågældende system.

Det er nødvendigt, at håndtere det ansvar og de opgaver, som er tilknyttet systemejerskabet professionelt. Randers Kommunes systemer er aktiver for kommunen, der skal forvaltes og beskyttes.

Systemejerskab er en ledelsesopgave og ansvaret er i Randers Kommune tillagt direktører, fag-, sekretariats- eller stabschefer eller ledere med direkte reference til fag- og stabschefer. Opgaver der følger systemejerskabet kan dog godt uddelegeres, mens ansvaret er pålagt systemejeren. Opgaverne kan også løses i samarbejde med IT & Digitalisering.

Længere nede på siden findes guiden m.m. i en printervenlig version (PDF).

Systemejerens ansvar og opgaver

Systemejeren har ansvaret for det enkelte it-system i hele dets livscyklus – og har dermed ansvaret for systemets drift, anvendelse, vedligeholdelse og kontraktlige forhold samt sikkerheden i systemet. Systemejeren sikrer fortløbende, at systemets funktionalitet fungerer effektivt og understøtter arbejdsprocesserne, herunder behandlingen og sikring af informationer og lovkrav. Det er systemejers ansvar, at udarbejde retningslinjer og procedurer samt at føre løbende kontrol med overholdelsen. Systemejere skal orientere sig i interne politikker og procedurer for informationssikkerhed samt kende kravene i databeskyttelsesforordningen.

Systemejer er ansvarlig for, at der er udarbejdes risikovurderinger inden systemet tages i brug. Systemejer er også ansvarlig for at disse bruges aktivt, for at sikre at de rette foranstaltninger er implementeret. Systemejer skal derudover sikre at risikovurderingerne ajourføres. Systemejer skal, i dialog med kommunens databeskyttelsesrådgiver, sikre om der skal udarbejdes en konsekvensanalyse, hvis der - ud fra de databeskyttelsesretslige regler - er krav om dette. Ved nyudvikling/ændringer i systemet skal systemejer sikre, om ændringen medfører et behov for en revideret konsekvensanalyse.

Systemejeren skal sikre, at data er tilstrækkelig beskyttet i systemet. Dette sker ved, at der er gennemført passende organisatoriske og tekniske foranstaltninger, både for at sikre de registreres rettigheder i forhold til systemets behandling af persondata og for at beskytte organisationens følsomme og fortrolige data. Systemejer skal sikre, at der tages backup af systemet, samt sikre, at backuppen testes regelmæssigt.

Ved indkøb, nyudvikling eller videreudvikling, stilles krav om overholdelse af organisatoriske og tekniske krav til informationssikkerhed jf. databeskyttelsesforordningen ("Privacy by design"). Derfor har systemejeren en aktiv rolle ved anskaffelse af systemer, da systemejeren skal sikre at kravene til informationssikkerhed aktivt tænkes ind fx ved standardprofiler i systemet ("Privacy by default").

I Randers Kommune, er systemejere som udgangspunkt også dataejere, derfor har systemejer også ansvaret for behandling af data i det pågældende system.

Systemejer har overordnet ansvaret for:

  • informationssikkerheden for systemet, herunder ansvar for at der bliver udarbejdet procedurer og retningslinjer for anvendelse og behandling af data i systemet
  • at der føres løbende kontrol med, at procedurer og retningslinjer overholdes, og sikre vedligeholdelse af overblik over systemet
  • at der tages backup af systemet, samt at backuppen tages regelmæssigt.
  • kontraktlige forhold, herunder indgåelse af databehandleraftale
  • at godkende risikovurderinger og eventuel konsekvensvurdering samt at sikre, at disse udarbejdes
  • at godkende anskaffelser og installation af disse
  • at give adgang til system og data
  • at sikre korrekt journalisering, arkivering og sletning
  • at godkende beredskabsplaner
  • at følge op på sikkerhedshændelser og brud på persondatasikkerheden.

Systemejerens opgaver

Det kræver ikke særlig teknisk indsigt at være systemejer, men det kræver et godt overblik over de forretningsprocesser systemet understøtter. Systemejeropgaven varierer i indhold og omfang alt efter systemets størrelse og omfang.

Ifm. fastlæggelse af systemejerskabets opgaver, er der udarbejdet en oversigt over opgaver, samt hvor der skal findes sparring, rådgivning og vejledning i opgaverne.

Gennemgang af de opgaver som følger systemejerskabet

Databeskyttelsesforordningen

Hvis du er systemejer for et system, der behandler personoplysninger, skal dit system overholde reglerne i EU's databeskyttelsesforordning (GDPR) og den danske databeskyttelseslov.

Generel sikkerhed og dokumentation

Systemejer har ansvaret for at der udarbejdes og følges op på dokumentation i ift. sikkerhed. Dette giver bl.a. følgende opgaver:

  • at der er udfyldt en fyldestgørende systembeskrivelse for systemet
  • at der er dokumenteret procedurebeskrivelse af brugerstyring (oprettelse, ændring og sletning af bruger)
  • at der er dokumenteret procedurebeskrivelse af kontrol af brugeradgange jf. reglerne for informationssikkerhed og at proceduren følges
  • at der er dokumenteret slettefrister af personoplysninger og at sletning varetages
  • at der er en dokumenteret risikovurdering i forhold til eventuelle personoplysninger i systemet (den registreredes synspunkt)
  • at der er en dokumenteret risikovurdering i forhold til integritet, tilgængelighed og fortrolighed og sikring af tilstrækkelig tekniske og organisatoriske foranstaltninger herfor.
  • at der ved behov er en dokumenteret konsekvensanalyse
  • at der ved behov er dokumenteret it-beredskab med manuelle procedurer, så kommunen kan håndtere fortsat nødvendig drift, hvis systemet helt eller delvist er utilgængeligt på grund af fx nedbrud, opdatering eller lignende.

Drift og daglig brug

Systemejer har ansvaret for drift af systemet og derved også det daglige brug. Dette ansvar medfører en række opgaver:

  • Systemet bedst muligt opfylder fagområdets og brugernes behov og dermed understøtter udviklingen af fagområdet og kommunens opgaveløsning
  • Sikre at systemet anvendes optimalt og korrekt
    • Sager og dokumenter er korrekt mærket op i systemet, fx jævnfør KLE, hvis systemet benytter denne klassifikationsmetode
    • Relevant materiale journaliseres og arkiveres i henhold til henholdsvis slettefrister, GDPR, offentlighedsloven og arkivloven
    • Aktive sager og dokumenter overdrages til en anden medarbejder, når en medarbejder fratræder sin funktion
  • Have det overordnede overblik i, hvordan systemet fungerer (fejlhåndtering m.m.)
  • Have det overordnede overblik over videreudvikling og ændringer af systemet
  • Sikre at der løbende sker opdatering af anvendt software
  • Håndtere systemet i forhold til sikkerhedsbrud.

Afvikling af system (exitstrategi)

Når et system ikke længere skal anvendes, har systemejer ansvar for at systemet afvikles korrekt, herunder at:

  • Kontrakt med leverandør opsiges, når systemet ikke længere skal anvendes
  • Data som fortsat skal anvendes migreres til andet system
  • Ansvar for at data slettes hos evt. leverandør
  • Arkivpligtigt materiale arkiveres.

Når et system afvikles, skal IT og Digitalisering have besked. Skal systemet afløses af nyt system, skal indkøbet følge Randers Kommunes indkøbsguide for it-indkøb.

Randers Kommunes indkøbsguide

Mere information om systemejerskab

Systemejerskab

Gå til side

Organisering af sikkerhedsarbejdet i Randers Kommune

Som en del af informationssikkerhedsarbejdet i Randers Kommune udpeges system- og dataejere som bl.a. har ansvar for retningslinjer og instrukser for egne systemer.

Gå til side

Informationssikkerhed og databeskyttelse - for systemejere

Som systemejer i Randers Kommune, har man ansvaret for at sikre informationssikkerheden i det enkelte system.

Gå til side