In der Direktion JI kam es vor rund 15 Jahren zu einem Datensicherheitsvorfall. Das ist schon eine ganze Weile her. Mein Ansatz heute: Ich will wissen, wo wir in Sachen Datenschutz und Informationssicherheit stehen und wo wir uns noch verbessern müssen. Das Beratungsunternehmen KPMG hat uns im vergangenen Jahr durchleuchtet und legt jetzt einen Bericht vor. Sie finden ihn hier.
Staatliche Institutionen haben in ihrem Umgang mit Datenschutz und Informationssicherheit eine Vorbildrolle. Das betrifft den Kanton Zürich als Ganzes und ebenso die Direktion der Justiz und des Innern (JI), welche aufgrund ihrer Zuständigkeiten als «Datendirektion» gilt. Mit dieser Vorbildrolle ist eine Verantwortung verbunden. Diese Verantwortung wollen wir wahrnehmen, indem wir einen Bericht zum Stand der Dinge in Sachen Datenschutz und Informationssicherheit (D&I) in der Direktion JI vorlegen.
In der JI ist es zu einem Datenvorfall gekommen, der zwar bereits rund 15 Jahre zurückliegt, der aber gleichwohl eine gründliche Analyse der Organisation verlangt. Nur so lässt sich sicherstellen, dass wir aus den gemachten Erfahrungen die richtigen Schlüsse gezogen haben. Aus diesem Grund haben wir das Beratungsunternehmen KPMG im vergangenen Jahr beauftragt, die JI mit Blick auf Datenschutz und Informationssicherheit zu durchleuchten. Ziel war es festzustellen, wie es um D&I in den einzelnen Organisationseinheiten der JI bestellt ist. Gestützt darauf wollen wir ein D&I-Regelwerk etablieren.
Wir gehen vorwärts
Mit dem Auf- und Ausbau der digitalen Kommunikation sind die Anforderungen an den Datenschutz und die Informationssicherheit sowie an das Datenmanagement und den Umgang mit Daten gestiegen. Nun geht es darum, die Strukturen, das Bewusstsein und das Knowhow auf kantonaler Ebene – innerhalb der Direktionen sowie in den einzelnen Organisationseinheiten – den Anforderungen anzupassen. Die JI ist bestrebt, hier vorwärts zu gehen. Dabei haben wir den Anspruch, dass andere Bereiche der kantonalen Verwaltung von dieser Arbeit profitieren können. Der jetzt publizierte Bericht zeigt auf, wo unsere Bemühungen schon Früchte tragen und wo noch Handlungsbedarf besteht.
Konkret wurde überprüft, ob und wie die Empfehlungen der Administrativuntersuchung umgesetzt sind, die ich Ende 2020 in Auftrag gegeben hatte. Da sich diese Untersuchung auf die vom Datenvorfall direkt betroffenen Organisationseinheiten beschränkt hatte, soll der vorliegende Bericht aber einen Schritt weiter gehen und sich auch dazu äussern, wo die Direktion insgesamt punkto Datenschutz und Informationssicherheit steht.
Das Thema Datenschutz und Informationssicherheit ist insbesondere in den Einheiten mit besonders sensiblen Daten wie der Strafverfolgung, dem Strafvollzug oder dem Staatsarchiv bereits breit beachtet und organisatorisch abgebildet. Die direktionsweite Etablierung gelingt, wenn alle Mitarbeitenden davon überzeugt und motiviert sind, sich auf diesem Weg weiterzuentwickeln. Voraussetzung für eine solche Haltung der Mitarbeitenden ist eine offene Fehlerkultur. Ohne sie ist keine Vorwärtsentwicklung möglich. Diese möchten wir mit dem Bericht unterstreichen. Unsere Botschaft ist: Gemeinsam wollen wir uns in diesem zentralen Thema vorwärtsbewegen. Gemeinsam wollen wir verändern.
Vieles läuft schon gut
Wir werden Erfolg haben, wenn wir neben der Fehlerkultur auch unser Knowhow und unsere Prozesse stärken. Es braucht ein solides Wissen bei den Mitarbeitenden. Und es braucht klare, einfache Vorgaben und Prozesse. Auf dieser Basis können die Mitarbeitenden die neuen Möglichkeiten in der Kommunikation und der Zusammenarbeit nutzen und gleichzeitig dem Datenschutz und der Informationssicherheit gerecht werden.
Vor rund einem Jahr habe ich im Kantonsrat gesagt, dass ich an einer Aufarbeitung der damaligen Vorkommnisse interessiert bin und dass ich wissen will, wo die Direktion JI heute in Sachen Datenschutz und Informationssicherheit steht. Voilà ein Bericht aus unabhängiger Warte. Vieles läuft schon gut, an ebenso vielem arbeiten wir weiter, immer mit dem Ziel, hier eine Vorbildrolle einnehmen zu können.
Bild: Mit dem Auf- und Ausbau der digitalen Kommunikation sind die Anforderungen an Datenschutz, Informationssicherheit und Datenmanagement gestiegen. (Quelle: PD)
Schreibe einen Kommentar