En del av den kritiken som lyfts i rapporten är att kommunen har odefinierade ansvarsområden och rapporteringsvägar när det gäller informationssäkerhet.
– Man konstaterar att vi har påbörjat vissa saker som vi inte fullföljt. Vi har strategidokument på plats men inte fått ut dem i organisationen. Vi visste att vi hade en del brister i det här området, så vi sa att innan vi fullföljer det som vi ser att vi har behov av, så väntar vi in den här rapporten för att få skarpa rekommendationer, säger Peter Ingesson, kommundirektör, och fortsätter:
– Det här är ingenting som sticker ut. Det har funnits en fokusering här under 2018 och 2019 som har handlat om persondatahantering, GDPR. Det skymmer sikten för att jobba övergripande med informationssäkerhet.
Informationssäkerhet innebär att kommunen ska ha åtgärder för att skydda och förvara information på ett säkert sätt. Granskningen visar även på att kommunen inte haft något ramverk för hanteringen och att man inte haft någon övergripande riskanalys.
– Det krävs att vi har tydliga roller och ansvar i organisationen. Jag kan instämma i den kritiken att det finns en del tydlighet som saknas där, säger Peter Ingesson.
Har det varit så att information har hamnat fel händer i och med bristerna?
– Nej, egentligen inte. Vi har haft en del incidenter genom åren som har handlat om just att uppgifter riskerar att bli tillgängliga eller öppna, men vi har ofta kunnat agera innan någon skada har skett. Det man lyfter fram här i rapporten är framförallt att det finns risker, och det är ju riskerna vi ska jobba bort. Det är ju ett område där det kan bli stora konsekvenser om det skulle inträffa.
Behöver kommuninvånarna känna sig oroliga över att information kan ha läckt ut?
– Nej, absolut inte. Vi har ändå en grundfråga och en grundstruktur som fungerar i det dagliga. Men det är viktigt att ta de här potentiella riskerna på större allvar än vad vi har gjort.
Hur kommer ni gå tillväga för att säkerställa informationssäkerhet?
– Vi ska sätta oss ned och fatta ett svar till revisionen, som ska behandlas nu i ledningen av 2020. I det tänker jag också att vi förklarar litegrann hur vi ska gå tillväga för att följa de rekommendationer som revisionen har ställt. Jag har inte riktigt svar på varje delfrågor så, det här ska vi sätta oss samman och värdera.
