Sikkerhed og ansvar ved brug af de fællesstatslige it-systemer

I Økonomistyrelsen sætter vi sikkerheden i højsædet. Det skal sikre, at vores kunder trygt kan anvende vores it-systemer, samtidig med at de er bevidst om, hvad de selv har ansvar for lokalt.

I Økonomistyrelsen arbejder vi med at sikre, at den tekniske og administrative sikkerhed for de fællesstatslige systemer er i orden.

På vegne af vores kunder – de institutioner, der anvender vores systemer – sikrer vi, at løsningerne løbende er vedligeholdt og opdateret. Vi håndterer tilsyn og revision relateret til systemerne, sikrer databehandleraftaler og compliance til en række lovkrav, så som GDPR, og vejleder de statslige institutioner om sikkerhed i forbindelse med anvendelsen af systemerne.

Vi arbejder løbende på at styrke det strategiske afsæt for sikkerhedsarbejdet. I dialog med centrale aktører som Justitsministeriet, Datatilsynet og Center for Cybersikkerhed sikrer vi løbende, at vi er opdateret i forhold til det aktuelle trusselsbillede og at vi arbejder med de nyeste metoder og værktøjer.

Tydelig rollefordeling er afgørende

Økonomistyrelsen og vores kunder – det vil sige de institutioner, som anvender vores systemer – skal kende deres roller og ansvar, for at vi sammen passer bedst muligt på vores data.

Vores ambition er gennem servicebeskrivelser, vejledning, cirkulærer og revisions- og ledelseserklæringer at tydeliggøre, hvad vi i Økonomistyrelsen løfter for vores kunder, og hvad vores kunder selv har ansvar for at sikre.

Økonomistyrelsens ansvar

Økonomistyrelsen er overordnet ansvarlig for at:

  • Stille de fællesstatslige systemer til rådighed.
  • Sikre, at systemernes tekniske og administrative sikkerhed er i orden.
  • Sikre korrekt og dækkende aftalegrundlag med leverandører, herunder databehandleraftaler.
  • Stå for leverandørstyring og opfølgning på revisionserklæringer.
  • Udarbejde en ledelseserklæring til brug for selvejende institutioner.
  • Vejlede de enkelte brugerinstitutioner om sikkerhed, administration af brugeradgange mv.

Det understøtter vi blandt andet ved at:

  • Udarbejde servicebeskrivelser, der dokumenterer ansvarsfordeling og anvendelseskrav for systemerne.
  • Udarbejde og vedligeholde hjælpefortegnelser til institutionerne for standard-anvendelse af vores systemer

Institutionens ansvar

Den enkelte institution er ansvarlig for at:

  • Gøre sig bekendt med ansvarsdeling mellem Økonomistyrelsen og institutionens eget ansvar, jævnfør Cirkulære om fælles dataansvar for de fællesoffentlige systemer.
  • Gennemføre relevante sikkerhedsforanstaltninger, som knytter sig til institutionens egen brug af systemerne. For eksempel egne processer, kontroller og eventuelt egne tilpasninger samt fysisk sikkerhed.
  • Føre egne fortegnelser over den behandling af personoplysninger, som finder sted, når institutionen anvender systemerne.
  • Håndtere databrud, der skyldes uberettiget eller forkert brug af systemerne hos institutionen.
  • Iagttage den registreredes rettigheder. For eksempel vedrørende oplysningspligt, indsigtsret og sletning, når det henføres til institutionens brug af systemerne.