Datatilsynets modenhedstilsyn 2022 peger på væsentlige mangler i kommuner og regioner om sletning, adgangsstyring, sikker afsendelse af mails, konsekvensanalyser og test af it-beredskab. Anbefalingerne retter sig mod at løfte behandlingssikkerheden og efterlevelsen af databeskyttelsesreglerne.
På baggrund af tilsynet fremhæver Datatilsynet fem centrale indsatsområder:
- Fastlæg klare procedurer for sletning og opbevaringsfrister.
- Minimér risikoen for fejlafsendelser af personoplysninger i mail.
- Sørg for effektiv adgangskontrol og rettighedsstyring.
- Udfør konsekvensanalyser for risikofyldte behandlinger.
- Test og vedligehold it-beredskabsplaner.
De deltagende myndigheder har modtaget individuelle rapporter med konkrete anbefalinger, og tilsynet har udarbejdet målrettet vejledning om de fem tendenser. Se vejledningen hos Datatilsynet.
Kravene fra statens tekniske minimumskrav var integreret i spørgerammen. Selvom de er bindende for statslige løsninger, er de relevante som tekniske og organisatoriske foranstaltninger ved behandling af personoplysninger i kommuner og regioner, jf. GDPR art. 32. Læs om minimumskravene hos sikkerdigital.dk.
Udvælgelsen var risikobaseret og tog udgangspunkt i mængden og følsomheden af de oplysninger, der behandles. Den fortsatte digitalisering og samtidige effektiviseringskrav skærper behovet for dokumenterede kontroller, løbende risikovurdering og styrket compliance i den offentlige sektor.
