Kommune-Sverige får nå råd om hvordan IT-skandaler der sensitiv informasjon kan komme på avveie, skal unngås. Rådene kommer fra Sveriges Kommuner och landsting (SKL) – søsterorganisasjon til KS her hjemme. Kommuner, landsting og regioner bes også sjekke sine aktuelle leverandører og deres underleverandører for å ta rede på i hvilke land de fins, samt forsikre seg om at også disse etterlever de rutinene som gjelder. Samtidig mener SKL at egenregi ikke nødvendigvis er bedre enn utkontraktering av IT-drift.
I kjølvannet av IT-skandalen knyttet til en anskaffelse i regi av svenske Transportstyrelsen har SKL gått ut med anbefalinger til sine medlemmer. De gjelder hvordan man bør arbeide i svenske kommuner og landsting (fylkeskommuner) for å hindre lignende lekkasjer som den hos Transportstyrelsen. Det siktes til at leverandørens og underleverandørenes – flere fra Øst-Europa – medarbeider hadde tilgang til sensitive opplysninger utenfor oppdragsgiverens kontroll.
Spørsmål om tillit
Informasjonssikkerhet er for en stor del et spørsmål om tillit, heter det, både fra individer som forvalter sensitiv informasjon knyttet til offentlig sektors virksomheter og mellom myndigheter som utveksler informasjon med hverandre. For å gjenvinne tilliten som kan blitt skadet i og med informasjonslekkasjen hos Transportstyrelsen, er det viktig å kunne gjøre rede for de sikkerhetsrutiner som gjelder i virksomheten for så vel organisasjonens medarbeidere som øvrige som skal håndtere slik informasjon.
I tillegg til å følge lover og regler er det nødvendig å drive et kontinuerlig sikkerhetsarbeid og en sterk sikkerhetskultur i hele virksomheten, skriver SKL. Virksomhetene bør arbeide for å skape et fungerende samarbeid mellom ledelse og kompetanser innenfor juss og informasjonssikkerhet for på den måten å underbygge sikkerhetsarbeidet i organisasjonen.
Egenregi eller utkontraktering?
Det er ikke åpenbart at intern informasjonshåndtering er bedre enn utkontraktering. Derimot bør alle informasjonsstrømmer kartlegges og sikkerhetsbehovene klargjøres med leverandørene ved anskaffelse av IT-drift. Sikkerhetskravene skal også gå tydelig fram av kontraktene for å garantere at leverandøren holder et tilstrekkelig høyt sikkerhetsnivå. Kommuner, landsting og regioner bør sjekke sine aktuelle leverandører og deres underleverandører for å ta rede på i hvilke land de fins, samt forsikre seg om at også disse etterlever de rutinene som gjelder.
Det er flere typer sensitiv informasjon, påpeker SKL. Det gjelder personopplysninger og f.eks. kritisk informasjon i forbindelse med større kriser som gjelder avfallshåndtering, legemiddelhåndtering, transporter og infrastruktur. Så er det en type informasjon som er ekstra sensitiv og som omfattes av spesiell sikkerhetslovgivning. Denne krever ekstra varsom håndtering og presise sikkerhetstiltak. Hver virksomhet har selv ansvaret for å avgjøre om de har den sistnevnte type høysensitiv informasjon. I så fall skal de sørge for å utføre en egnet sikkerhetsanalyse for å garantere en behandling som er i pakt med reglene, understreker SKL i sin redegjørelse.
Bli den første til å kommentere på "Kommune-Sverige får nå råd om hvordan de skal forhindre IT-skandaler"