Struer

Orientering: Databeskyttelsesrådgiverens Årsrapport 2025 (BY)

85.10.00-K01-1-25 -

Prompt resultater

Relevans v1

Relevans

Nej

Bilag

First-agenda Sagsfremstilling

Resume

Databeskyttelsesrådgiveren (DPO) fremlægger årsrapporten for 2025 med status på kommunens arbejde med databeskyttelse, borgerrettigheder og leverandørstyring i henhold til databeskyttelsesforordningen (GDPR).

Rapporten viser, at kommunen har et solidt og forbedret niveau af GDPR-overholdelse.
Særligt fremhæves:

  • 92 % opdaterede fortegnelser over behandlingsaktiviteter,
  • 14 nye risikovurderinger gennemført,
  • 96 hændelser rapporteret (11 anmeldt til Datatilsynet),
  • og 75 % gennemførte awarenessaktiviteter.

Kommunens samlede modenhed på informationssikkerhedsområdet er samtidig forbedret markant, jf. KL’s Baseline 2025, hvor Struer Kommune har rykket sig 10 pladser op i forhold til 2024 og nu vurderes som ”Fokuseret (Risk informed)”.

Rapporten indeholder konkrete anbefalinger til 2026, herunder styrket adgangsstyring, opfølgning på risikovurderinger, og en tydelig ramme for brug af kunstig intelligens (AI).

Der er desuden stor ros til de lokale databeskyttelseskoordinatorer, som i 2025 har haft en helt central rolle i at sikre lokal forankring af GDPR.

Sagsfremstilling

Databeskyttelsesforordningen (GDPR) stiller krav om, at den dataansvarlige (kommunen) skal kunne dokumentere overholdelse af reglerne.
Databeskyttelsesrådgiveren (DPO) skal jf. artikel 39 rapportere direkte til kommunens øverste ledelse og byråd.

Årsrapporten omfatter status på:

  • fortegnelser, risikovurderinger og awareness,
  • håndtering af hændelser og indsigtsanmodninger,
  • interne tilsyn,
  • samarbejde med Datatilsynet og Det Fælles Databehandlersekretariat (DBS),
  • samt anbefalinger og plan for 2026.

Der henvises samtidig til Ledelsesresuméet “Struer Kommunes arbejde med informationssikkerhed 2025 (KL Baseline 2025)”, hvor kommunen samlet set har opnået forbedret sikkerhedsmodenhed.

Rapporterne supplerer hinanden: Baseline fokuserer på teknisk og organisatorisk informationssikkerhed, mens DPO-rapporten fokuserer på persondatabeskyttelse og borgerrettigheder.

Hovedkonklusioner:

  • Kommunen har opnået solid fremgang og høj grad af dokumenteret compliance.
  • GDPR er blevet en integreret del af driften.
  • De lokale GDPR-koordinatorer er en central styrke i organisationen.
  • Næste skridt er at styrke Governance, risikostyring og AI-gennemsigtighed i 2026.

Ordforklaringer til “Struer Kommunes arbejde med informationssikkerhed 2025 (KL Baseline 2025)”: 

CIS18
Står for CIS Controls v8 (tidligere CIS Top 20) – et sæt af 18 konkrete sikkerhedskontroller, som organisationer kan følge for at forbedre deres IT-sikkerhed. Udviklet af Center for Internet Security (CIS). Kontrollerne hjælper med at beskytte mod de mest almindelige cyberangreb.

NIS
Står for Network and Information Security Directive – en EU-lov der stiller krav til cybersikkerhed, særligt for samfundskritiske sektorer (f.eks. energi, transport, sundhed). Formålet er at styrke IT-sikkerhed og beredskab i medlemslandene. Seneste version hedder NIS2.

NIST / NIST CSF
NIST = National Institute of Standards and Technology (USA).
NIST Cybersecurity Framework (CSF) er en rammemodel for cybersikkerhed, som hjælper organisationer med at identificere, beskytte, opdage, reagere og gendanne i forhold til cyberrisici.

ENISA
Står for European Union Agency for Cybersecurity. Det er EUs cybersikkerhedsagentur, som rådgiver lande og organisationer, udarbejder vejledninger og hjælper med lovgivning som NIS2.

ISMS
Står for Information Security Management System.
Et ISMS er et styringssystem for informationssikkerhed, typisk forbundet med standarden ISO 27001. Det handler om at arbejde systematisk med risikovurdering, kontroller og løbende forbedring af sikkerheden.

MDM
Står for Mobile Device Management.
Software/systemer, der styrer og sikrer mobile enheder (telefoner, tablets, laptops) i en organisation – f.eks. opsætning, adgangskontrol, fjernsletning ved tyveri m.m.

Beslutning fra Informationsikkerhedsudvalget, 28. oktober 2025, pkt. 138: 

Årsrapporten tages til efterretning. Udvalget ser positivt på, at Struer Kommune er rykket 10 pladser op i Baseline 2025. Udvalget ser, at der er igangsat initiativer til, at kommunen i 2026 forbedre de punkter som er taget op i årsrapporten - både gennem årshjulet for Informationsikkerhedsudvalget og igangværende projekter som AI.

Lovgrundlag

Rapporten udarbejdes i henhold til databeskyttelsesforordningens artikel 39, der fastlægger DPO’ens opgaver:

  • rådgive og overvåge overholdelsen af forordningen,
  • bistå ved konsekvensanalyser (DPIA),
  • samarbejde med Datatilsynet,
  • og fungere som kontaktpunkt.

Kommunen er som dataansvarlig myndighed forpligtet til at dokumentere overholdelse af reglerne, jf. artikel 5, stk. 2 (ansvarlighedsprincippet).


Årsrapporten er en del af kommunens officielle ledelsesdokumentation og skal hvert år forelægges Byrådet. 

Økonomi

Der er ingen direkte økonomiske konsekvenser forbundet med forelæggelsen af rapporten.


De foreslåede anbefalinger for 2026 forventes gennemført inden for eksisterende budgetrammer.


Der kan dog på sigt blive behov for ressource tilpasning i forhold til de lokale databeskyttelseskoordinatorer, hvis opgaverne udvides yderligere.

Beslutning

Til efterretning.

Er du enig eller uenig?

22 items
  • Lydfiler null
  • Ressourcer null
  • Felter 1 items
    1. 6 items
      • Navn ""
      • Html "<div><div id='sagsfremstillingContainer'> <div><h3>Resume</h3> <span class='resume'><p>Databeskyttelsesrådgiveren (DPO) fremlægger årsrapporten for 2025 med status på kommunens arbejde med databeskyttelse, borgerrettigheder og leverandørstyring i henhold til databeskyttelsesforordningen (GDPR).</p><p>Rapporten viser, at kommunen har et solidt og forbedret niveau af GDPR-overholdelse.<br>Særligt fremhæves:</p><ul type="disc"><li>92 % opdaterede fortegnelser over behandlingsaktiviteter,</li><li>14 nye risikovurderinger gennemført,</li><li>96 hændelser rapporteret (11 anmeldt til Datatilsynet),</li><li>og 75 % gennemførte awarenessaktiviteter.</li></ul><p>Kommunens samlede modenhed på informationssikkerhedsområdet er samtidig forbedret markant, jf. KL’s Baseline 2025, hvor Struer Kommune har rykket sig 10 pladser op i forhold til 2024 og nu vurderes som ”Fokuseret (Risk informed)”.</p><p>Rapporten indeholder konkrete anbefalinger til 2026, herunder styrket adgangsstyring, opfølgning på risikovurderinger, og en tydelig ramme for brug af kunstig intelligens (AI).</p><p>Der er desuden stor ros til de lokale databeskyttelseskoordinatorer, som i 2025 har haft en helt central rolle i at sikre lokal forankring af GDPR.</p></span> </div> <h3>Sagsfremstilling</h3> <span><p>Databeskyttelsesforordningen (GDPR) stiller krav om, at den dataansvarlige (kommunen) skal kunne dokumentere overholdelse af reglerne.<br>Databeskyttelsesrådgiveren (DPO) skal jf. artikel 39 rapportere direkte til kommunens øverste ledelse og byråd.</p><p>Årsrapporten omfatter status på:</p><ul type="disc"><li>fortegnelser, risikovurderinger og awareness,</li><li>håndtering af hændelser og indsigtsanmodninger,</li><li>interne tilsyn,</li><li>samarbejde med Datatilsynet og Det Fælles Databehandlersekretariat (DBS),</li><li>samt anbefalinger og plan for 2026.</li></ul><p>Der henvises samtidig til Ledelsesresuméet “Struer Kommunes arbejde med informationssikkerhed 2025 (KL Baseline 2025)”, hvor kommunen samlet set har opnået forbedret sikkerhedsmodenhed.</p><p>Rapporterne supplerer hinanden: Baseline fokuserer på teknisk og organisatorisk informationssikkerhed, mens DPO-rapporten fokuserer på persondatabeskyttelse og borgerrettigheder.</p><p>Hovedkonklusioner:</p><ul type="disc"><li>Kommunen har opnået solid fremgang og høj grad af dokumenteret compliance.</li><li>GDPR er blevet en integreret del af driften.</li><li>De lokale GDPR-koordinatorer er en central styrke i organisationen.</li><li>Næste skridt er at styrke Governance, risikostyring og AI-gennemsigtighed i 2026.</li></ul><p>Ordforklaringer til “Struer Kommunes arbejde med informationssikkerhed 2025 (KL Baseline 2025)”: </p><p><strong>CIS18</strong><br>Står for CIS Controls v8 (tidligere CIS Top 20) – et sæt af 18 konkrete sikkerhedskontroller, som organisationer kan følge for at forbedre deres IT-sikkerhed. Udviklet af Center for Internet Security (CIS). Kontrollerne hjælper med at beskytte mod de mest almindelige cyberangreb.</p><p><strong>NIS</strong><br>Står for Network and Information Security Directive – en EU-lov der stiller krav til cybersikkerhed, særligt for samfundskritiske sektorer (f.eks. energi, transport, sundhed). Formålet er at styrke IT-sikkerhed og beredskab i medlemslandene. Seneste version hedder NIS2.</p><p><strong>NIST / NIST CSF</strong><br>NIST = National Institute of Standards and Technology (USA).<br>NIST Cybersecurity Framework (CSF) er en rammemodel for cybersikkerhed, som hjælper organisationer med at identificere, beskytte, opdage, reagere og gendanne i forhold til cyberrisici.</p><p><strong>ENISA</strong><br>Står for European Union Agency for Cybersecurity. Det er EUs cybersikkerhedsagentur, som rådgiver lande og organisationer, udarbejder vejledninger og hjælper med lovgivning som NIS2.</p><p><strong>ISMS</strong><br>Står for Information Security Management System.<br>Et ISMS er et styringssystem for informationssikkerhed, typisk forbundet med standarden ISO 27001. Det handler om at arbejde systematisk med risikovurdering, kontroller og løbende forbedring af sikkerheden.</p><p><strong>MDM</strong><br>Står for Mobile Device Management.<br>Software/systemer, der styrer og sikrer mobile enheder (telefoner, tablets, laptops) i en organisation – f.eks. opsætning, adgangskontrol, fjernsletning ved tyveri m.m.</p><p><strong>Beslutning fra Informationsikkerhedsudvalget, 28. oktober 2025, pkt. 138:</strong> </p><p>Årsrapporten tages til efterretning. Udvalget ser positivt på, at Struer Kommune er rykket 10 pladser op i Baseline 2025. Udvalget ser, at der er igangsat initiativer til, at kommunen i 2026 forbedre de punkter som er taget op i årsrapporten - både gennem årshjulet for Informationsikkerhedsudvalget og igangværende projekter som AI.</p></span> <h3>Lovgrundlag</h3> <span class='ukendt'><p>Rapporten udarbejdes i henhold til databeskyttelsesforordningens artikel 39, der fastlægger DPO’ens opgaver:</p><ul type="disc"><li>rådgive og overvåge overholdelsen af forordningen,</li><li>bistå ved konsekvensanalyser (DPIA),</li><li>samarbejde med Datatilsynet,</li><li>og fungere som kontaktpunkt.</li></ul><p>Kommunen er som dataansvarlig myndighed forpligtet til at dokumentere overholdelse af reglerne, jf. artikel 5, stk. 2 (ansvarlighedsprincippet).</p><p><br>Årsrapporten er en del af kommunens officielle ledelsesdokumentation og skal hvert år forelægges Byrådet. </p></span> <div><h3>Økonomi</h3> <span class='oekonomi'><p>Der er ingen direkte økonomiske konsekvenser forbundet med forelæggelsen af rapporten.</p><p><br>De foreslåede anbefalinger for 2026 forventes gennemført inden for eksisterende budgetrammer.</p><p><br>Der kan dog på sigt blive behov for ressource tilpasning i forhold til de lokale databeskyttelseskoordinatorer, hvis opgaverne udvides yderligere.</p></span> <h3>Beslutning</h3> <span><p>Til efterretning.</p></span> </div> </div></div>"
      • Tekst null
      • Id "00000000-0000-0000-0000-000000000000"
      • Link "https://dagsordener.struer.dk/Vis/Pdf/bilag/ac9e60c9-6caf-482f-b122-3fac077718aa"
      • DocumentId "ac9e60c9-6caf-482f-b122-3fac077718aa"
  • Presentations null
  • ItemDecision null
  • SagsNummer "85.10.00-K01-1-25"
  • Navn "Orientering: Databeskyttelsesrådgiverens Årsrapport 2025 (BY)"
  • Punktnummer "248"
  • Bilag 3 items
    1. 4 items
      • HarPdfVersion "true"
      • Order 0
      • Navn "Bilag 1 - Årsrapport 2025"
      • Id "71999c3d-1656-4593-bb37-599291e97e98"
    2. 4 items
      • HarPdfVersion "true"
      • Order 0
      • Navn "Bilag 2 - Registrering af Sikkerhedhændelser - Topdesk (afsluttede sager) 2023-2025"
      • Id "66835a85-6438-470a-b6cd-5dea011b482f"
    3. 4 items
      • HarPdfVersion "true"
      • Order 0
      • Navn "Bilag 3 - Ledelsesresume 06-10-2025"
      • Id "7a0c39d0-1e07-4470-9bcb-7ad774b563c7"
  • Documents null
  • Id "40b12f45-0ca1-4c79-914e-bead2252543e"
  • IntegrationUid "00000000-0000-0000-0000-000000000000"
  • CorporationUid "00000000-0000-0000-0000-000000000000"
  • AgendaUid "bd34b4ab-d8e9-4571-bf65-e80f11c9bf19"
  • Number "248"
  • Sorting 18
  • IsOpen false
  • CaseNumber "85.10.00-K01-1-25"
  • SourceId null
  • Caption "Orientering: Databeskyttelsesrådgiverens Årsrapport 2025 (BY)"
  • CasePresentationUid null
  • ExternalAgendaItemAttendees 0 items