Gå til hovedindhold

Fælleskommunal datastandard for revisionslog

Denne side giver indblik i en fælleskommunal datastandard for revisionslogs, der understøtter ensartet logning, styrket sikkerhed og effektiv revision på tværs af kommuner.

Indhold

    Materiale

    Begrebsliste revisionslog v.1.0.0
    Datamodel for revisionslog v.1.0.0
    Revisionslog eksempel i json

    Formål

    Formålet med den fælleskommunale datastandard for revisionslogs er at sikre, at kommunerne har en datastandard som beskriver de data og datastrukturer der er nødvendige, for at man som myndighed kan redegøre for hvilke medarbejdere der har foretaget hvilke aktiviteter i systemer med personoplysninger.

    Tilbage i 2022 identificerede kommunerne, i samarbejde med KL og KOMBIT, et behov for en fælles datastandard for revisionslogs og logdata. Behovet udspringer af, at mange kommuner i dag kæmper med tidskrævende- og manuelle arbejdsgange i forbindelse med tilsyn, adgangsstyring og revision af medarbejderes aktiviteter i de kommunale it-systemer.

    For at kunne løse disse opgaver er det nødvendigt at have adgang til logoplysninger fra it-systemernes revisionslogs. Der er en forventning om, at opgaveløsningen i- og på tværs af kommunerne vil blive betydeligt lettere, hvis disse oplysninger foreligger i et standardiseret format.

    Datastandarden er udarbejdet i et samarbejde mellem kommuner, KL og KOMBIT, med henblik på at styrke kommunernes arbejde med bl.a. revisionsformål, sikring af lovmedholdelighed samt lette opgaver med sikkerhed og adgangsstyring. Dette med henblik på at støtte arbejdet med at beskytte og sikre data, for både privatpersoner og medarbejdere i kommunerne. 

    Datastandarden består af to hoveddele:

    • En begrebsliste, der fastlægger fælles begreber og definitioner om logning

    • En datamodel, der beskriver, hvordan data om logning struktureres og hænger sammen

    Begrebslisten

    Begrebslisten definerer og beskriver centrale begreber relateret til logning. Hvert begreb er entydigt beskrevet med henblik på at sikre fælles forståelse og ensartet anvendelse.

    Begrebslisten kan anvendes som:

    • fælles terminologisk reference på tværs af organisationer

    • grundlag for fælles sprogbrug i it-løsninger og dataudveksling

    Begrebslisten er ikke knyttet til en bestemt teknisk implementering, men kan anvendes bredt i både digitale og organisatoriske sammenhænge.

    Datamodellen

    Datamodellen beskriver den logiske struktur for data om logning. Modellen angiver, hvilke informationer der kan registreres, og hvordan disse informationer relaterer sig til hinanden, herunder data om: 

    • Logs og logregistreringer: Registrering af hændelser med tidspunkt og sammenhæng.
    • Brugere og organisatorisk tilknytning: Hvem der har udført handlingen, og hvor de hører til.
    • It-systemer og anvendte systemer: Hvilket system handlingen er foretaget i.
    • Objekter (fx personoplysninger): Hvilke data eller oplysninger handlingen vedrører.
    • Typer af aktiviteter og behandlinger: Hvilken type handling der er udført.
    • Tilstande og følsomhed af data: Datastatus og hvor følsomme oplysningerne er.

    Anvendelse af datastandarden

    Begrebslisten og datamodellen kan anvendes til:

    • Dokumentation og kontrol af brugeraktiviteter: Redegøre for hvilke medarbejdere der har foretaget hvilke aktiviteter i systemer med personoplysninger.

    • Understøttelse af revision: Levere dokumentation om brugere og adgange til revisionsformål.

    • Understøttelse af tilsyn og kontrolforanstaltninger: Anvendes i forbindelse med tilsyn og systematiske stikprøvekontroller.

    • Standardisering af logdata: Sikre ensartet indhold og format i revisionslogs på tværs af kommuner.

    • Effektivisering af arbejdsgange: Reducere tidskrævende og manuelle processer i forbindelse med tilsyn og revision.

    • Detektion og opklaring af uregelmæssigheder: Muliggøre identifikation af hvilke medarbejdere der har foretaget bestemte handlinger.

    • Understøttelse af udbud og genudbud: Sikre fælles krav til logning i kommunale it-systemer.

    • Sikring af lovmedholdelighed og GDPR-compliance: Understøtte overholdelse af regler for databeskyttelse.

    • Forebyggelse af uautoriseret adgang: Bidrage til at modvirke ikke-autoriseret adgang til personoplysninger.

    Sammenhæng til andre byggeblokke i rammearkitekturen

    Aktivitet: Den handling der udføres i systemet, fx opslag, ændring eller sletning af data.

    Aktør: Den bruger (medarbejder eller system), der udfører aktiviteten.

    Person: Den person, som de tilgåede eller behandlede oplysninger vedrører.

    Myndighed: Den organisatoriske enhed eller organisation som er myndighedsansvarlig for den udførte aktivitet. 

    Objekt: Det dataobjekt (forretningsobjekt) som aktiviteten vedrører, fx en sag, et dokument eller personopslag. 

    It-system: Det system, hvor aktiviteten udføres, og hvor logningen registreres.

     

    Optaget i rammearkitekturen

    Generelle oplysninger om datastandarden

    Navn: Fælleskommunal datastandard for revisionslog 

    Modeltype: Begrebsmodel og logisk datamodel 

    Emne: KLE 85.15.25 - Logning

    Modelsprog: Dansk

    Godkendelsestatus: Godkendt

    Godkendt af: Kommunernes arkitekturboard (22. møde)

    Modelansvarlig: Udarbejdet af KL og KOMBIT samt gennemgået af udvalgte kommuner. KL er ansvarlig for vedligeholdelse af datastandarden.

    Modelstatus: Færdig

    Versionsnummer: 1.0.0

    Juridisk kilde: Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger:
    - Artikel 5, stk. 2 (Databeskyttelsesforordningen (GDPR))
    - Artikel 32 (Databeskyttelsesforordningen (GDPR))

     

    Kontakt

    It-arkitekt

    Jakob Eiby

    Digitale Projekter, Borgerservice & IT-Arkitektur

    Telefon: +45 3370 3890

    E-mail: jaei@kl.dk

    Chefkonsulent

    Peter Falkenberg

    Digitale Projekter, Borgerservice & IT-Arkitektur

    Telefon: +45 3370 3736

    E-mail: pfl@kl.dk