Godt nytår. I dette nye magasin fra KITA leverer vi dugfriske historier om kommunernes digitalisering som fortsat buldrer derudad. Denne gang har vi sat spot på informationssikkerheden, et emne som fylder mere og mere i kommunerne.
Vi siger også velkommen til 2022 med en ny national cybersikkerhedsstrategi, som jeg i sidste magasin skrev, at jeg ventede på. Nu efter strategien er udkommet, undrer jeg mig over, hvor lille en rolle kommuner og regioner spiller i den. De er stort set skrevet ud af den nationale strategi. Begge sektorer repræsenterer de mest datatunge fagområder med håndteringen af kritiske personoplysninger. Der er ingen i dette land, der leverer flere velfærdsydelser til borgere ved hjælp af følsomme persondata. Derfor hører kommuner og regioner naturligt hjemme i den nationale startegi for cybersikkerhed.
Som nævnt buldrer digitaliseringen derudad, flere og flere serviceydelser leveres digitalt, og kunderne (borgerne, virksomheder og patienter) har deres data liggende i kommunale og regionale it-systemer, som vi som databehandlere har ansvaret for at håndtere professionelt. Det er bemærkelsesværdigt, at de millioner af personrelaterede kontakter, der er reguleret af GDPR, ikke kvalificerer til mere omtale, bevågenhed og medfinansiering i den nationale cybersikkerhedsstrategi. Der arbejdes seriøst og professionelt med cybersikkerhed i alle kommuner og der ydes en stor indsats, men trusselsbilledet ændres stadigt hastigere og det kræver et stadigt øget fokus.
Formanden for Rådet for Digital Sikkerhed Henning Mortensen, siger i magasinets tema, at “digitalisering af serviceeydelser og investering i datasikkerhed bør følges ad af hensyn til borgernes tillid til de offentlige myndigheder”.
Men det kan godt være en udfordring at få digitalisering og datasikkerhed til at følges ad, da datasikkerheden koster ekstra og der ikke er bevilget finansiering til det på nuværende tidspunkt. Andre hævder, at pengene til datasikkerhed skal findes i de kommunale basisbevillinger.
Fhv. Chefrevisor i BDO, Anders Ganer, skriver i sit indlæg “Kommunaldirektørens dilemma”, at opgaven med at fremskaffe millioner til beskyttelse af personfølsomme data, skal hentes andre steder i budgetterne.
“Kravene vokser i samme takt som trusselsbilledet. Men der følger sjældent penge med øgede krav, og dermed bliver finansiering og opmærksomhed en del af det store nulsumsspil.”
Men uanset penge eller ej, så har vi en forpligtelse til at løfte udfordringerne med informationssikkerhed. Derfor er det befriende at læse om to kommuners (Ballerup og Nyborg) løsning af opgaven. Begge kommuner slår fast, at det er pinedød nødvendigt at levere professionel databeskyttelse for at borgerne kan bevare tilliden til myndighederne.
Når alt det er sagt, kommer hele diskussionen efter EU-domstolens Schrems II afgørelse fra 2020 oveni. Alt juristeriet og besværet, som er nødvendigt af hensyn til beskyttelse af personfølsomme data. Men jeg spørger – hvor ligger data om borgerne mest sikkert og trygt i forhold til den øgede cyberrisiko? Ligger de bedst i maven på europæiske datacentre, som er ejet og drevet af de store amerikanske virksomheder, på servere i kommunernes kælder, eller hos mindre lokale leverandører? Ja, jeg hælder nok mest til det første.
Det er der helt sikkert nogen, der ikke vil være enige med mig i. Men det er bemærkelsesværdigt, at 87 danske kommuner netop har tilsluttet sig en SKI aftale om indkøb af Microsoft365 licenser i de kommende tre år.
Problemet er ikke de amerikanske leverandørers løsninger. Det er ikke dem der er årsagen til dem. Det er den amerikanske lovgivning, der skaber problemerne. Derfor sætter jeg min lid til, at EU-Kommissionen og USA finder et nyt dataoverførselsgrundlag, som flugter med EU-domstolens afgørelse og som kan “legitimere” cloudløsninger drevet af amerikanske leverandører.