Varde har knækket GDPR-koden

I Varde kan sagsbehandlere nu logge på en app og skrive direkte til deres borgere uden at blive pustet i nakken af persondataforordningen (GDPR). De sender nemlig ikke længere sms'er som et led i sagsbehandlingen på jobcentret.

Dermed har kommunen løst et af de problemer, persondataforordningen førte med sig i maj 2018, da den blev indført i dansk lovgivning. Her blev det usikkert at bruge sms'er i arbejdet med borgerne, fordi der er en risiko for, at de indeholder fortrolige oplysninger.

- Det er et af de elementer, som virkelig har været et problem. Vi kan ikke stoppe borgerne i at spørge om noget, så når der kommer til at foregå egentlig sagsbehandling, kommer der automatisk fortrolige oplysninger undervejs, siger Thomas Neville, der er digitaliseringskonsulent i Varde.

Han har været med til at udvikle appen og er nu i kontakt med 45 kommuner, som er interesserede i at få den med hjem til sin egen forvaltning. Ifølge ham siger interessen noget om, hvor problematisk sms'erne gør det at overholde datasikkerheden i kommunerne.

- Når jeg har været ude og lave en lille demo for kommunerne, så ville de hellere have haft appen i går end i dag, siger han.

Ifølge Rasmus Styrk, som er produktionschef hos House of Code, der har udviklet appen for Varde, er timingen god, fordi den løser nogle lavpraktiske udfordringer med GDPR for kommunerne.

- Den er nem at komme i gang med og spiselig for både medarbejderne, brugere og kommune, og så er det ikke en 10 mia. kr. dyr løsning i forhold til mange andre offentlige it-systemer, siger han.

Auto-journalisering
Appen består af en medarbejderside og en borgerside. Første gang borgerne tilgår appen, skal de logge ind med NemID og lave en fircifret pinkode, som de kan logge ind med fremover. Appen kan også genkende fingeraftryk og ansigt.

Medarbejderen logger ind via computeren i kommunens systemer ved hjælp af et 24-timers login, som er en af appens sikkerhedsforanstaltninger.

- Vi har vurderet, at rådgiverne har adgang til mere data end den enkelte borger, som kun har adgang til sin egen. Så vi har hævet sikkerhedsniveauet ved at lave en tidsbegrænset kode, siger Rasmus Styrk.

Når borger og medarbejder er logget på systemet, kæder en administrator i kommunen dem sammen. De kan kun linkes sammen og have en fælles chat, hvis de i forvejen er tilknyttet hinanden i jobcentret. I appen kan de chatte videre, vedhæfte billeder og dokumenter, autosvare og lave gruppebeskeder. 

Samtidig har appen en automatisk journaliserings-funktion, så samtalerne lagres via serviceplatformen eller en softwarerobot i kommunens forskellige fagsystemer som fx KMD Momentum.

- Vi kan få journaliseret alle beskederne. Det skulle medarbejderne stå for før, og det tog op til tre gange så lang tid som at skrive selve beskeden. Det kan vi konvertere til socialfagligt arbejde, som er det, vores rådgivere brænder for, siger Thomas Neville. 

Når borgerens besked til sagsbehandleren finder sin vej over på serveren i kommunen, hvor medarbejderen åbner samtalen, og beskeden efterfølgende journaliseres, forsvinder den fra databasen i appen.

Herefter er det kun kommunens medarbejdere, som er certificeret til det, der kan tilgå journalerne, forklarer Rasmus Styrk.

Samtidig er det Varde Kommune, der ejer rettighederne, så eksterne ikke kan tilgå appen og beskederne med de fortrolige oplysninger. Det hele ligger i kommunens datacenter, forklarer han.

Safety first
Sms-beskeder er ifølge Datatilsynet ikke ulovlige i sig selv, men der er endnu kun få afgørelser fra tilsynet om, hvor grænsen går. Derfor er det svært for både kommunerne og tilsynet at vide, hvordan de skal gribe sms'erne an.

- GDPR siger, at du skal være i kontrol med dine data, og det skal du kunne påvise. Men det er jo op til fortolkning, hvordan man får det. I appen har vi fx mere kontrol over data, fordi vi har bestemt, hvor det skal hen i modsætning til en sms, som man sender ud i verden over netværket, siger Rasmus Styrk.

Nogle kommuner har derfor strammet deres brug af sms'er af frygt for, om de nu egentlig overholder datasikkerheden. Efterfølgende har socialpædagoger fortalt til deres fagblad, at GDPR på den måde står i vejen for arbejdet med bl.a. socialt udsatte eller hjemløse, og gademedarbejdere i Aalborg har helt stoppet sms-brugen.

Her har det betydet, at muligheden for at møde borgerne på deres præmisser er væk. Samme dilemma, som de stod over for i Varde.

- Vi ville sikre, at rådgivere fortsat kunne have den kontakt med borgerne. Det er så at sige et nødvendigt onde, som e-Boks ikke giver mulighed for. Og da vi ikke kan købe TDC’s netværk, fandt vi på at udvikle den her app, siger Thomas Neville.

- Vi vil gerne møde borgerne, hvor de er. Og det er ikke på e-Boks, siger han.

Derfor har sikkerhedsspørgsmålet været helt centralt for udviklingen af appen, som har en standard https-kryptering og altså ikke er dobbeltkrypteret som fx sikker post i netop e-Boks.

Det har Varde og House of Code besluttet ud fra en risikovurdering, som er baseret på typen af data, antallet af brugere og de andre foranstaltninger i systemet.

Fx skærper NemID-loginnet sikkerheden, fordi det er en juridisk binding, der betyder, at man altid kan spore personerne. Og har borgeren ikke været aktiv i en måned, bliver vedkommende logget ud.

- Gamle brugere bliver luget ud hen ad vejen. Hvis man fx får stjålet sin telefon, kan vi også gå ind og fjerne brugeren, og så forsvinder data automatisk, siger Rasmus Styrk.

Han forklarer, at det ikke er noget problem at udvide appen til andre forvaltninger eller kommuner.

- Den håndterer jo egentlig bare kommunikationen mellem to personer, så det vil bare kræve opsætning i databasen, siger han.