Dataskyddsombud

Eftersom samarbetet kring en gemensam DSO upphört vid årsskiftet, behöver Gnesta kommun utse en ny DSO. Genom kraven som kommer med införandet av NIS2- och CER-direktiven finns en ambition att knyta flera närliggande verksamheter till dataskyddsarbetet för att skapa synergieffekter och hålla nere arbetsbördan för verksamheterna. Upphandlingen innehåller därför två delar: Ett fast uppdrag som DSO samt råd och stöd kring informationssäkerhet och övriga närliggande verksamhetsområden. Vilken typ av uppdrag som den senare delen kommer att omfatta är inte klart i dagsläget, eftersom verksamheten är under utveckling. Dock anser vi att viktigt att DSO:n ingår i den paketlösning som håller på att arbetas fram och ingår i ett sammanhang med fler kompetenser som behövs för den verksamhet vi har ambition att bygga upp. Det grundläggande i upphandlingens andra del är att etablera ett systematiskt och riskbaserat informationssäkerhetsarbete, tydliggöra ansvar och roller sam att etablera en incidenthanteringsprocess och förstärka säkerheten i kommunens leveranskedja för information. Våren 2025 genomförde kommunen en GAP-analys inför den kommande cybersäkerhetslagen och som resulterade i ett antal rekommenderade åtgärder. Åtgärderna finns listade i bilaga 1. Åtgärdsförslag och ger en bild av vilken typ verksamhet som kommunen behöver råd och stöd kring i upphandlingens andra del. Dataskyddsarbete Sedan dataskyddsförordningens införande har Gnesta kommun samverkat med andra kommuner i Sörmland om ett gemensamt dataskyddsombud (DSO). Samarbetet upphörde vid årsskiftet. Inom kommunen finns ett etablerat närverk med utpekade personer med ansvar för dataskyddsverksamheten inom varje förvaltning och som hålls ihop av en central samordnare. Inom nätverket finns även de kommunala bolagen, men de kommer att ha en egen DSO efter årsskiftet. Informationssäkerhetsarbete Under våren 2025 genomfördes en GAP-analys av en extern konsult inför genomförandet av kraven som kommer inom NIS2- direktivet. Analysen kommer att ligga till grund för införandet av ett systematiskt informationssäkerhetsarbete inom kommunen. Arbetet är befinner sig enbart i startgroparna, men ambitionen är att integrera dataskyddsverksamheten med informationssäkerhetsarbetet. Ersättningen för uppdraget uppgår till den summa som budgeterats för uppdraget. Beloppet kan komma att ändras beroende på budgettilldelning. Upphandlingen omfattar två typer av tjänster: •Ett fast grunduppdrag som dataskyddsombud utifrån det uppdrag som finns stadgat i dataskyddsförordningen. •Tilläggstjänster kring informationssäkerhet och angränsande verksamheter, beroende av hur Gnesta kommun väljer att utforma verksamheten för att uppfylla kraven i NIS2- och CER-direktiven. Dataskyddsombudet ska ha en rådgivande, stödjande och granskande funktion i verksamheten. Ansvaret för att det dagliga dataskyddsarbetet ligger inom verksamheterna. Rollen som DSO ser vi i första hand som en person som dataskyddsansvariga inom verksamheterna kontaktar vid behov.