Digital säkerhet
Enligt ramarna för offentlig förvaltning omfattar digital säkerhet riskhantering, kontinuitetshantering och beredskap, informationssäkerhet och dataskydd samt cybersäkerhet. Med cybersäkerhet avses säkerheten i ett digitalt och nätverksbaserat samhälle eller i en organisation och säkerhetens inverkan på dess funktioner (källa: Digital säkerhet inom den offentliga förvaltningen).
Cybersäkerhet är alltså ett delområde inom den nationella säkerheten. Inom cybersäkerhet strävar man efter att garantera säkerheten i ett elektroniskt och nätverksbaserat samhälle genom att identifiera, förebygga och förbereda sig på hur störningar i elektroniska och nätverksbaserade system påverkar samhällets kritiska funktioner. Säkerhetskommittén har utarbetat den nationella strategin för cybersäkerhet, som innehåller de mest centrala nationella målen för att utveckla cybermiljön och trygga de livsviktiga funktionerna i anslutning till den.
Bildkälla: Digital säkerhet inom den offentliga förvaltningen).
Termen digital verksamhetsmiljö kan användas som synonym till cybermiljö. Utvecklingen av cybermiljön och dess tillstånd följs upp och granskas på nationell nivå.
Ett säkert samhälle uppstår genom samarbete. Utvecklingen av den digitala säkerheten inom offentlig förvaltning följs upp på nivån för referensramen för den digitala säkerheten.
Organisationerna inom den offentliga förvaltningen främjar de olika delområdena inom digital säkerhet som en del av utvecklingen av sin egen verksamhet och verksamhetsmiljö. I praktiken inriktas kommunernas och de kommunala aktörernas arbete, resurser och investeringar på riskhantering, verksamhetens kontinuitet, återhämtning och beredskap samt på delområdena dataskydd och datasäkerhet.
Främjandet av den digitala säkerheten stöds bland annat av lagen om informationshantering inom den offentliga förvaltningen och Statsrådets principbeslut om digital säkerhet inom den offentliga förvaltningen (på finska).
Utredning över nio utmaningar inom digital säkerhet enligt kommunledningen
Under våren 2021 lät Kommunförbundet genomföra tre gruppintervjuer (focus group) som riktade sig till kommunledningen, och målet med dem var att få djupare insikter om kommunernas utmaningar i anslutning till digital säkerhet. I två av intervjuerna deltog kommunernas högsta ledning, och den tredje riktade sig till kommunernas chefer inom digital säkerhet och riskhantering. Intervjuerna genomfördes i samarbete med ett företag som specialiserat sig på djupgående kundförståelse, Kenno Anthropological Consulting.
Syftet med undersökningen var en djuputredning av kommundirektörernas tankar och erfarenheter. De som intervjuades kom från kommuner i olika delar av landet. I en del av kommunerna hade man erfarenheter av digitala säkerhetsincidenter, i andra inte. Intervjuerna genomfördes konfidentiellt och därför listas inte de kommuner och kommundirektörer som deltog.
De fynd som lyfts fram i rapporten är inte enstaka åsikter, utan resultaten av en kvalitativ analys. Diskussionerna har analyserats utgående från materialet. Undersökningens fokus ligger med andra ord på materialet, inte på en på förhand fastställd teori.
Under diskussionerna konstaterade man att debatter om digital säkerhet till stora delar domineras av sakkunniga i ämnet, och att kommunledningen, som bär ansvaret för säkerheten, knappt alls hörs i debatten. Kommunledningen har dock en avgörande roll när det gäller att identifiera organisationens risker, utveckla verksamhetsmodeller och en digitalt säker arbetskultur, se till att det finns tillräcklig kompetens i organisationen och se till att de resurser som krävs för det är tillgängliga.
Ledningen har en avgörande roll – erfarenhetsutbyte behövs
De iakttagelser som sammanställts utifrån intervjuerna har i den bifogade pdf-rapporten sammanfattats i form av nio utmaningar som särskilt kommunledningen möter. Utredningen lyfter fram kommunernas stödbehov inom ledningen av digital säkerhet.
”Ledningen har en avgörande roll! Med ledningens stöd och välsignelse sätts saker och ting i rörelse. Utan ledningen blir all verksamhet mest ett tidsfördriv.” - Sakkunnig i riskhantering och beredskap
Kommundirektörerna önskade att man skulle tala med dem om digital säkerhet på ledningens språk, eftersom sakkunnigjargong inom digital säkerhet upplevdes som svårförståelig. Ledningen upplevde temat som intressant och viktigt, men önskade att det skulle diskuteras i synnerhet tillsammans med kollegorna i de egna nätverken.
I direktörernas arbete ingår att balansera olika behov som konkurrerar om resurser, och för att kunna väga dessa frågor efterlyste direktörerna erfarenhetsutbyte tillsammans med övriga direktörer. Kommundirektörerna hinner sällan delta i evenemang som riktar sig till sakkunniga i olika sektorer, där information finns att tillgå. Också sakkunniga inom riskhantering och beredskap efterlyste erfarenhetsutbyte om hur frågor och verksamhetsförändringar kan föras vidare i organisationerna.
Resultaten kommer att gås igenom i Kommunförbundets olika nätverk under hösten, och ska förhoppningsvis väcka diskussion om digital säkerhet och ledningen av den som en del av kommunernas riskhantering och övergripande säkerhet. Olika åtgärder för att stärka den digitala säkerheten i kommunerna övervägs tillsammans med kommunerna och olika intressentgrupper. Vi diskuterar gärna resultaten i rapporten med er.
Digital säkerhet inom den offentliga förvaltningen
Förvaltning och styrning
Informationshanteringsnämnden och sektioner som den tillsatt
Strategiska ledningsgruppen för den offentliga förvaltningens digitala säkerhet
Digital säkerhetspolitisk samordningsgrupp
Ledningsgruppen för digital säkerhet inom den offentliga förvaltningen (VAHTI)
Styrgruppen för utvecklingsprogrammet för digital säkerhet inom den offentliga förvaltningen (Judo)
Kommunsektorns styrgrupp för dataskydds- och informationssäkerhetsansvariga (KunTTO) (under uppbyggnad)
Riskhantering
Med riskhantering avses systematisk verksamhet som inbegriper riskanalys samt planering, genomförande, uppföljning och korrigering av nödvändiga åtgärder (källa: Digital säkerhet inom den offentliga förvaltningen).
Läs mer på sidan om intern kontroll och riskhantering (på finska).
Kontinuitetshantering och beredskap
Med kontinuitetshantering avses en sådan process inom organisationen genom vilken man identifierar hot mot verksamheten och bedömer hotens konsekvenser för organisationen och dess nätverk av aktörer samt skapar en modell för störningssituationer (källa: Digital säkerhet inom den offentliga förvaltningen).
Beredskap är åtgärder för att säkerställa att uppgifterna sköts så störningsfritt som möjligt och att eventuella behövliga åtgärder som avviker från det normala vidtas i störningssituationer och under undantagsförhållanden (källa: Digital säkerhet inom den offentliga förvaltningen).
Beredskap inom social- och hälsovården (på finska)
Kurser i beredskap och kontinuitetshantering inom social- och hälsovård (2019, på finska)
Beredskap och kontinuitetshantering i social- och hälsovårdsstrukturerna / Projektet Sotekuja (på finska)
Informationssäkerhet
Med informationssäkerhet avses sådana arrangemang som syftar till att säkerställa sekretess, integritet och tillgänglighet (källa: Digital säkerhet inom den offentliga förvaltningen). Nätverket för kommunernas informationssäkerhetsansvariga som inrättats av Kommunförbundet stöder utvecklingen av kommunernas informationssäkerhet. Även Myndigheten för digitalisering och Befolkningsdata får stöd för informationssäkerhetsarbetet i kommunerna.
Dataskydd
Med dataskydd avses skydd för människors privatliv och skydd mot obehörig användning av uppgifter om individer vid behandling av personuppgifter (källa: Digital säkerhet inom den offentliga förvaltningen).
Dataombudsmannens webbplats (anvisningar, rekommendationer)
Behandling av personuppgifter i kommunen
Offentlighet i kommunala myndigheters verksamhet
Särskilda fall inom webbkommunikation
Mer information om offentlighets- och dataskyddslagstiftningen i kommunen finns också på Kommunförbundets webbplats för lagfrågor.
Styrande lagstiftning och utveckling
Lagen om informationshanteringen inom den offentliga förvaltningen
EU 2016/679 (artiklarna 42–43) / Allmänna dataskyddsförordningen
Lagen om tillhandahållande av digitala tjänster
Lagen om sekundär användning av personuppgifter inom social- och hälsovården
Lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården
Rekommendationssamling om tillämpningen av vissa bestämmelser om informationssäkerhet (informationsförvaltningsnämndens rekommendationer)
Informationsskyldighet och rätt att få information (på finska)
Findata - Tillståndsmyndigheten för social- och hälsovårdsdata
Samarbeten, arbetsgrupper och nätverk
Kommunförbundet är en inflytelserik partner i kommunernas arbete med att utveckla den digitala säkerheten. Vi samarbetar med myndigheter, i synnerhet med Myndigheten för digitalisering och befolkningsdata, Försörjningsberedskapscentralen och Traficom.
Nätverket för kommunernas dataskyddsombud
Nätverket för kommunernas informationssäkerhetsansvariga (Kun-TVV)
Kaffe med Uffe
En gång per månad bjuder Ulf Stenman, direktör för Kommunförbundet svenska verksamhet på ett virtuellt, aktuellt och spirituellt morgonkaffe på Teams.
Läs mera: Kaffe med Uffe
Digifika - nätverk för digitalisering
Kommunförbundet arrangerar korta sessioner med presentationer och diskussioner om digitalisering på svenska i nätverket för Digifika.