Annonce
Annonce

Sådan får Fredensborg Kommune styr på adgang til data

Læs mere
Fold sammen

Et vigtigt skridt mod større datasikkerhed er at have styr på hvilke brugere, der har adgang til hvilke data.

Hvis du ikke har styr på, hvem der har adgang til dine data, så har du ikke styr på din datasikkerhed. Derfor har Thomas Fænø, IT-chef i Fredensborg Kommune, igangsat et projekt, der skal give bedre styring af adgangen til systemer og data i den Nordsjællandske kommune.

En kompleks organisation
Han betegner en kommune som en kompleks sammensat virksomhed med en masse centrale og decentrale ledere, hvor eksempelvis børnehaveledere, skoleledere og plejeledere løbende foretager brugeradministration.
- Vi har rigtig mange brugeroprettelser og nedlæggelser. I vores plejecenter er der næsten 900 ansatte inklusiv deltidsansatte. Der er et stort flow af mennesker, der løbende får adgang til mange vitale systemer. Det første en leder gør, når en ansat stopper, er at få lukket for den ansattes lønudbetalinger, og så er det ikke altid, at det huskes at lukke for adgangen til alle de andre systemer, forklarer Thomas Fænø.


Det skyldes blandt andet, at der ikke er sammenhæng mellem brugeroprettelse og brugernedlæggelse i alle kommunens systemer.
- I dag har vi en portal, hvor man kan kun lave delvis brugeroprettelse og brugernedlæggelse.
Oprettelse og nedlæggelse skal ske automatisk. Vi vil undgå et kæmpestort workflow, hvor der skal sendes en mail til HR, der skal oprette/nedlægge i eet system, en mail ud til støttesystemer om, at vedkommende skal oprettes/nedlægges i de her systemer, en mail ned til jobcenteret
for at give adgang til arbejdsmarkedssosftware, en mail til IT om oprettelse af mail og adgang til drev og så videre. Alle de ting skal foregå automatisk, beretter Thomas Fænø.

Rollebaseret adgang
Samtidig er kommunen også ved at etablere en ny rammearkitektur, der blandt andet skal kunne håndtere, at brugere godt kan have flere funktioner.
- Eksempelvis kan et byrådsmedlem også være ansat som lærer i kommunen og afhængig af, hvilken rolle han eller hun optræder i, skal der gives adgang til forskellige systemer og data.

Endelig lurer EU’s persondataforordning i horisonten.
- Forordningen stiller krav om bedre datasikkerhed og følgelig, hvem der har adgang til data, siger Thomas Fænø.
Kommunen startede projektet i foråret med en workshop med deltagere fra Fredensborg Kommune, KMD og CA, der leverer CA Identity Suite, som skal strømline brugeradministration og adgangskontrol i kommunen.

Datakilde-overblik
Kommunen har en fast deadline i form af et nyt system, der lanceres til foråret 2017.
- Kommunale ydelsessystemer tages i brug som pilot til foråret 2017, og det kræver, at brugerstyringen er klar til det.
Derfor planlægger Fredensborg Kommune at være færdige med fase 1 af projektet til efteråret i år. Her skal det klarlægges, hvilke datakilder der er i kommunen samt defineres, hvilke datakilder som skal føde andre.
- Det kan være, at økonomisystemet, hvor vi opretter brugere til lønudbetaling, indeholder data, der går igen i andre registre. Vi skal udvælge, hvilket register der er master, og hvilke der er slave. Vi skal definere, hvor data fødes, hvor de anvendes, og hvor de skal vedligeholdes, forklarer Thomas Fænø.

Data-ansvarliges ansvar
Når der er overblik over dataflowet i kommunen, etableres en ny brugerportal. Det sker i fase 2 af projektet, der kan deles op i to delfaser.
- En delfase i fase 2 er at klæde lederne på. Der bliver en række digitale parathedskurser for centrale og decentrale ledere. Her forklarer vi forskellige systembegreber, ligesom vi skal gøre det klart, hvad systemansvar indebærer for lederne. Er man data-ansvarlig eller data-ejer, har man også ansvaret for, hvem der har adgang til data, påpeger Thomas Fænø.

Det er eksempelvis vigtigt, at det registreres, hvilken institution en pædagog hører til.
- Hvis en pædagog i Hindbærhaven skifter til en anden institution i området, så er det sjældent, at vi får det at vide, da de tænker, at det ikke er nødvendigt, siger Thomas Fænø, der fremhæver vigtigheden af, at det registreres.
Han planlægger, at systemet udover at styre systemadgang også skal kunne styre adgang til fysiske lokationer.
- Det handler om at skabe transparens og have styr på, hvad brugeren har adgang til af data og fysiske lokationer, så man undgår unødig mistænkeliggørelse af medarbejderne.