Fra avmakt til kontroll: Om informasjonssikkerhet og personvern i kommunene

Blogg
Kommuner står i dag i et krysspress. Kravene til arbeidet med informasjonssikkerhet og personvern blir stadig mer omfattende, og de kan føles umulige å følge opp i praksis når ressursene er knappe, organisasjonene komplekse og hverdagen travel.
Utfordringen er sjelden mangel på vilje eller forståelse. De fleste kommuner erkjenner at informasjonssikkerhet og personvern er et tydelig ledelsesansvar. Men for mange ledere fremstår det som et komplekst og fragmentert fagområde, preget av teknologiske og juridiske detaljer, ofte uten en tydelig kobling til kommunens faktiske tjenesteleveranser. 

Ofte havner informasjonssikkerhet og personvern i et motsetningsforhold, der fagspesialistene og lederne blir stående i hver sin leir. Krav og risiko beskrives gjerne i et språk som blir for juridisk eller teknisk, og vanskelig å omsette i praksis. Samtidig ser vi av og til at ledelsen betrakter dette som noe jurister og IT miljøer skal løse, og dermed distanserer seg fra ansvaret. 

I tillegg forutsetter fungerende informasjonssikkerhet og personvern et samspill mellom teknologi, jus, organisasjon, beredskap og ledelse, som regel på tvers av etablerte strukturer og fagmiljøer. Dette gjør ansvaret vanskelig å håndtere som ren linjeoppgave.  
Det er i dette landskapet både resignerte sukk og utsagn som «vi bryter loven hver dag» begynner å dukke opp i ledermøtene.
 

Et utsagn som fortjener å bli tatt på alvor

Når behovet for etterlevelse møtes med slike utsagn, sier det noe viktig. Ikke nødvendigvis om likegyldighet eller manglende respekt for regelverket, men om en opplevelse av avmakt i møte med stadig voksende krav og høy kompleksitet. Dette er godt kjent for sikkerhetsledere, personvernombud og andre fagroller. 

I en slik virkelighet blir etterlevelse ofte oppfattet som et enten-eller: enten etterlever kommunen reglene, eller så gjør den det ikke. For mange ledere fremstår etterlevelse som et uoppnåelig ideal, løsrevet fra praktisk virksomhetsstyring og fjernt fra kommunale realiteter. 

Ledelsen har det formelle ansvaret for informasjonssikkerhet og personvern, men den har ofte ikke tilstrekkelig støtte og kompetanse til å kunne utøve ansvaret i praksis. Når dette gapet ikke blir tatt tak i, risikerer kravene i for eksempel sikkerhetsloven, digitalsikkerhetsloven, GDPR og NIS2-direktivet å bli avfeid som «enda et sett med krav» snarere enn områder som bør inngå i virksomhetsstyringen.
 

Fagroller som blir stående alene

I denne konteksten kan rollene som informasjonssikkerhetsleder (CISO) eller personvernombud oppleves som ensomme og på siden av den øvrige virksomhetsstyringen. Det er ikke det at kompetansen mangler, men det er fort gjort å ikke se skogen for bare trær når kravene er mange, detaljerte og i rask endring. Ressursene går til å løse operative oppgaver, mens det overordnede og strategiske tapes av syne.

Resultatet blir ofte sårbare og personavhengige nøkkelroller, der enkeltpersoner forventes å bære et stort og sammensatt ansvar alene. 
 

La oss endre fokus i ledergruppene

I dette landskapet ender dialogen med ledelsen gjerne opp med å handle om enkelttiltak, avvik og detaljer, når den kanskje helst burde dreid seg om retning og strategi. Fokuset må endres til å stille grunnleggende spørsmål om risikoer for virksomhetsdriften.

Har vi oversikt over de mest kritiske digitale risikoene for kommunens kjerneleveranser? Har vi kapasitet og evne til å agere i tide, før de blir til uønskede hendelser? Skal vi i det hele tatt jobbe proaktivt og systematisk med informasjonssikkerhet og personvern, eller betaler vi regningen først når personopplysningene er publisert på det mørke nettet og drikkevannet er blitt forgiftet? 
De aller fleste er nok enige om at en proaktiv og systematisk tilnærming er den minst smertefulle veien å gå.
 

En annen måte å organisere informasjonssikkerhet og personvern på

Når lederdialogen dreies mot å ligge ett skritt foran, jobbe systematisk og omsette innsikt til handling, blir det også tydelig at dette området krever mer enn bare én nøkkelperson. Det forutsetter samhandling på tvers, etablering av nye roller og faggrupper, og kompetanseheving internt i organisasjonen på alle nivåer.
 
Hvordan kan dette løses innenfor de rammene kommunene har?
 
Som et første steg må kommuneledelsen erkjenne at det ikke er et spørsmål om alvorlige hendelser vil skje, men når. Når det skjer, vil det påvirke kommunens evne til å levere på kjerneoppgavene. Å vente er derfor ikke et nøytralt valg, det vil bare øke risikoen.

Det betyr at kommunen må ha ressurser til å gjøre det grunnleggende arbeidet: etablere styring, gjennomføre risikovurderinger, foreta anskaffelser, bygge kompetanse og håndtere hendelser. 

For de fleste kommuner er det verken realistisk eller hensiktsmessig å bygge opp egne fagmiljøer med spesialiserte og fullverdige sikkerhets- og personvernfunksjoner. Et mer bærekraftig alternativ er samarbeid på tvers av kommuner, for eksempel gjennom felles funksjoner eller team, eventuelt supplert med eksterne ressurser. 

Det sikrer tilgang til nødvendig kapasitet og kompetanse, samtidig som den administrative belastningen for den enkelte kommune blir mindre. Samtidig gir det bedre forutsetninger for at nøkkelrollene kan arbeide strategisk og overordnet, og ikke bare reaktivt. 

Oppsummert bør ledelsen ikke overlate ansvaret og den interne dialogen til IT eller jurister, men selv ta overordnet styring og være aktivt på banen som øverste ansvarlige. Samtidig må den sørge for å ha de rette fagekspertene med på laget. Ledelsen må også kunne forvente at alle involverte klarer å løfte blikket, gjøre gode risikovurderinger og balansere nødvendige tiltak. 
 

Styr risiko, fremfor å bli styrt av den

Jobben med informasjonssikkerhet og personvern blir aldri ferdig, og etterlevelse handler ikke om å få til alt på én gang. Men forskjellen mellom avmakt og kontroll ligger i å styre risiko, fremfor å la seg styre av den. 

Risiko vil aldri la seg kontrollere fullt ut, men med tydeligere prioriteringer i ledergruppene, bedre samspill mellom fag og ledelse og smart organisering, kan den bli håndterbar. 


BDO bistår kommuner og fylkeskommuner i hele landet. Les mer om tjenestetilbudet vårt her.