Informationssicherheit flächendeckend fördern
Heiraten, Baubewilligungen beantragen oder soziale Unterstützung erhalten – Gemeinden und Städte bieten viele Dienstleistungen an. Dafür bearbeiten Gemeinden und Städte Sachdaten, Personendaten, aber auch vertrauliche Dokumente oder besondere Personendaten wie Informationen über Massnahmen der Sozialhilfe. Die Datenschutzbeauftragte konnte bis jetzt in 62 der 160 Gemeinden im Kanton Zürich einen Datenschutzreview mit Selbstdeklaration starten.
Eine Auslagerung der Daten bedeutet nicht auch eine Auslagerung der Verantwortung.
Daten sind mit angemessenen organisatorischen und technischen Massnahmen zu schützen. Um eine nachhaltige Informationssicherheit gewährleisten zu können, müssen Gemeinden und Städte strukturiert vorgehen. Die Grundlage dafür sind Dokumente auf der strategischen, taktischen sowie auf der operativen Ebene. Darin werden die Sicherheitsstrategie definiert, die Informationssicherheitsorganisation aufgebaut sowie das Risiko und der Schutzbedarf der Daten, Anwendungen und Systeme analysiert und beurteilt.
Die Datenschutzbeauftragte unterstützt Gemeinden und Städte beim Aufbau einer nachhaltigen Informationssicherheit. Sie lancierte im Jahr 2021 den Datenschutzreview mit Selbstdeklaration für Gemeinden und Städte. Dafür stellt sie Anleitungen und Vorlagen zur Verfügung. Anhand der Anleitungen können die Gemeinden und Städten die Dokumente selbstständig bearbeiten.
Für die Umsetzung der technischen Schutzmassnahmen wird die Vorlage Technische Richtlinie zur Verfügung gestellt. Sie kann für Gemeinden und Städte genutzt werden, die ihre Daten lokal bearbeiten, wie auch für solche, die sie an einen externen Betreiber ausgelagert haben. Bei einer Auslagerung definiert die Gemeinde oder die Stadt anhand der technischen Richtlinie organisatorische und technische Massnahmen. Diese müssen durch den externen Betreiber umgesetzt werden.
Selbstdeklarationen in 62 Gemeinden und Städten gestartet
Der Kanton Zürich zählt 160 Gemeinden. Seit der Lancierung konnte die Datenschutzbeauftragte den Selbstdeklarationsprozess in 62 Gemeinden und Städten starten. Die Rückmeldungen zeigen, dass die Anleitungen und Vorlagen als hilfreiche Unterstützung bei der Dokumentation und der Umsetzung der organisatorischen und technischen Massnahmen beurteilt wurden. Die Dokumente geben eine Übersicht und ermöglichen damit die Risikobewertung der eingesetzten Geräte, Software und Dienstleister. Zudem sind die Rollen und die Verantwortlichkeiten klar definiert. So ist eine bleibende Grundsicherheit gewährleistet und ein kontinuierlicher Verbesserungsprozess wird angestossen.
Die Datenschutzbeauftragte wird 2024 weitere Gemeinden und Städte in den Prozess der Selbstdeklaration einbinden.