I maj år 2018 ska personuppgiftslagen, PUL, ersättas av en ny dataskyddsförordning som i flera delar ställer högre krav. Men framför allt innebär detta skärpta konsekvenser om en organisation inte uppfyller kraven.

Enligt Torbjörn Sundbrandt har organisationer och verksamhetsutövare inte fått någon sanktion tidigare om lagar och bestämmelser inte har följts, något som alltså ändras i och med den nya förordningen.

PUL har varit ganska tandlös. Nu kan det i stället röra sig om böter i mångmiljonsbelopp. Det kan vara uppemot fyra procent av årsomsättningen, så för exempelvis Googles del så skulle det innebära en stor summa pengar.

Förutom detta så finns det en ökad hotbild mot Sverige och en rad andra lagar och regelverk som ställer ytterligare krav på ett skärpt informationssäkerhetsarbete.

Aneby kommun började fila på en ny organisering av informationssäkerhets- och dataskyddsarbete i våras, något som tagit tid att kartlägga. Det är Marianne Cederqvist, avdelningschef för kommunserviceavdelningen, personalchefen Göran Tranell och kommunikationschefen Torbjörn Sundbrandt som är ansvariga för detta arbete.

Men vi är alla i kommunen ansvariga att uppehålla en personsäkerhet, understryker Sundbrandt.

Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för kommunens informationstillgångar. Information i det här sammanhanget är exempelvis kommunens diarie, patientjournaler, elevregister, lönesystem, servrar, e-postsystem och befolkningsregister.

Det händer att det kommer in mejl som ser väldigt autentiska ut och som någon råkar klicka på. Detta kan medföra virus, men vi har alltid lyckats åtgärda detta, poängterar Sundbrandt vidare.

Folk ska veta att vi hanterar informationen korrekt och riktigt. Det handlar om att få alla anställda på banan och rapportera vidare, förmodligen på sikt till datainspektionen. Det gäller inte än dock, att kommunen ska ha det kravet på sig.

Aneby kommuns informationssäkerhetspolicy ligger till grund för den nya organisationen, vilken kompletteras med dataskydd. Just nu är informationssäkerhetsgruppen i ett analyserande läge där man bland annat har sneglat på Nässjö kommuns arbete i detta.

Framöver ska Aneby kommun arbeta fram ett utbildningspaket där systemägare ska utses. Systemägarskap följer med verksamhetsansvar, medan systemansvariga ska tydliggöras.