Sikkerhed og ansvar ved brug af de fælles digitale løsninger
I Økonomistyrelsen sætter vi sikkerheden i højsædet. Institutionerne skal trygt kunne anvende vores digitale løsninger, men samtidig kende, hvad de selv har ansvar for lokalt.
Sammen passer vi på vores data
I Økonomistyrelsen arbejder vi med at sikre, at den tekniske og administrative sikkerhed for de fællesstatslige digitale løsninger er i orden. Det gør vi i dialog med centrale aktører som Justitsministeriet, Datatilsynet, Digitaliseringsstyrelsen og Center for Cybersikkerhed.
Institutionerne skal samtidig kende deres rolle og ansvar, for at vi sammen passer bedst muligt på vores data. Ansvarsfordelingen fremgår blandt andet af servicebeskrivelser, cirkulærer og revisions- og ledelseserklæringer.
Økonomistyrelsens ansvar
Økonomistyrelsen er ansvarlig for at:
- stille de fællesstatslige digitale løsninger til rådighed
- sikre, at løsningerne er opdateret og vedligeholdt
- sikre compliance i forhold til en række krav inden for sikkerhed og GDPR
- sikre korrekt og dækkende aftalegrundlag med leverandører, herunder databehandleraftaler
- håndtere tilsyn og revision relateret til systemerne
- varetage leverandørstyring og opfølgning på revisionserklæringer
- udarbejde en ledelseserklæring til brug for selvejende institutioner
- vejlede de enkelte institutioner om sikkerhed, administration af brugeradgange mv.
- vedligeholde hjælpefortegnelser til institutionerne for standard-anvendelse af løsningerne.
Institutionens ansvar
Den enkelte institution er ansvarlig for at:
- anvende den enkelte løsning i overensstemmelse med det beskrevne formål
- gøre sig bekendt med ansvarsdeling mellem Økonomistyrelsen og institutionens eget ansvar, herunder servicebeskrivelserne og Cirkulæreskrivelse om fælles dataansvar for de fællesoffentlige systemer
- gennemføre relevante sikkerhedsforanstaltninger, som knytter sig til institutionens egen brug af systemerne. For eksempel egne processer, kontroller, fysisk sikkerhed og eventuelt lokale tilpasninger
- føre egne fortegnelser over den behandling af personoplysninger, som finder sted, når institutionen anvender systemerne
- håndtere databrud og sikkerhedshændelser, der skyldes uberettiget eller forkert brug af systemerne hos institutionen
- overholde den registreredes rettigheder. For eksempel vedrørende oplysningspligt, indsigtsret og sletning, når det henføres til institutionens brug af systemerne.