Revisionsrapport 2018 Genomförd på uppdrag av revisorerna September Karlskrona kommun. PM förberedelserna inför dataskyddsförordningen

Transkript

1 Revisionsrapport 2018 Genomförd på uppdrag av revisorerna September 2018 Karlskrona kommun PM förberedelserna inför dataskyddsförordningen

2 PM förberedelserna inför dataskyddsförordningen Datum 7 september 2018 Till Förtroendevalda revisorer i Karlskrona kommun Från Negin Nazari, EY Bakgrund Den 25 maj 2018 trädde dataskyddsförordningen (GDPR) i kraft och ersatte personuppgiftslagen (PUL). Förordningen innebär stärkta rättigheter och skydd för individen vad gäller information och samtycke samt ett ökat ansvar för personuppgiftsansvariga. Med behandling av personuppgifter avses varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte. Exempel är insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. De som behandlar personuppgifter ska inte bara följa den nya lagstiftningen utan ska också kunna visa att de uppfyller kraven. Ett sätt att säkerställa att personuppgiftsbehandlingen är i överensstämmelse med lagstiftningen kan vara att anta uppförandekoder, interna riktlinjer och förfaranden. De viktigaste principerna för skydd av personuppgifter är laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet samt ansvarsskyldighet. En hearing ägde rum den 1 juni Vid hearingen föredrog projektledaren för kommunens GDPR-arbete samt biträdande förvaltningschef för kommunledningsförvaltningen. Kommundirektören och kommunstyrelsens ordförande var inbjudna med kunde inte närvara. Representant för kommunstyrelsen i form av ledamot fanns närvarande. Iakttagelser I detta avsnitt redogörs för de iakttagelser som har gjorts i samband med hearingen och de dokument som vi har tagit del av med anledning av hearingen. Förarbeten och projektplan På uppdrag av kommundirektören genomfördes under kvartal en förstudie om informationssäkerhet. Förstudien berör flera områden såsom stärkt informationssäkerhet, plattform för säker inloggning och digitala signaturer, smarta kort och dataskyddsförordningen. Förstudien identifierar bland annat att det saknas styrdokument för arbetet kring informationssäkerhet och att arbetet med att genomföra anpassningar med anledning av dataskyddsförordningen bör starta omgående. I förstudien anges att det är ett omfattande arbete som väntar för nämnderna och bolagen fram till den 25 maj men att det inte kommer att vara fullt så omfattande efter lagens ikraftträdande. I förstudien anges även en sammanfattning av de åtgärder som behöver genomföras, men det hänvisas till bilagorna Övergång från personuppgiftslagen till dataskyddsförordningen en handlingsplan samt 1

3 checklista för mer information. Dokumentet Övergång från personuppgiftslagen till dataskyddsförordningen en handlingsplan är daterad till 24 februari Dokumentet beskriver mer ingående vad dataskyddsförordningen innebär och vad som behöver beslutas om och genomföras för att komma implementera förordningen. Checklistan är en lista med 19 punkter som anger vad som ska göras, vem som är ansvarig i tjänstemannaorganisationen, när det ska vara klart och vilken instans i den politiska organisationen som är ansvarig. Enligt checklistan ska allt vara klart senast april Checklistan låg till grund för projektbeställningen som avser kommunens GDPR-projekt. Det finns en projektbeställning som avser anpassningar till GDPR som är daterad till den 27 november Kommundirektören är projektbeställaren. Projektet är indelat i följande delar: Förbered verksamheten Organisera GDPR-arbetet Kartlägg Analysera Dokumentera Inför nya rutiner Leverantörer och avtal Säkerställ individens rättigheter Projektets styrgrupp består av: kommundirektör, biträdande förvaltningschef kommunledningsförvaltningen, IT-chef, kommunjurist och projektledaren. Projektgruppen består av representanter från samtliga förvaltningar. Enligt projektbeställningen kommer styrgruppen efter behov att löpande fatta beslut om mer resurser, utöver personalkostnaderna, behöver tillsättas för att säkerställa projektet. Projektets avslut var satt till den 31 maj Vid hearingen framkom att kommunens GDPR-projekt inte hann fullföljas i enlighet med den projektbeställning som gjordes i november Till följd därav har projektet förlängts till 31 december Projektets status vid hearingen 1 juni Nämnderna är egna personuppgiftsansvariga, men att kommunstyrelsen har det övergripande ansvaret för projektet som avser anpassningar i enlighet med GDPR. Detta innebär att nämnderna är ansvariga för att inventera personuppgifter, upprätta register och teckna personbiträdesavtal men att de övergripande styrdokumenten ska hanteras på central nivå. Ett exempel på detta är att kommunen har ingått ett avtal med kommunförbundet Sydarkivera, där samtliga nämnder har köpt tjänsten dataskyddsombud. Avtalet med kommunförbundet gäller till och med 31 december Vid hearingen framkom att informationsinsatser till medarbetarna har skett på flera sätt. Information om lagförändringarna har publicerats på intranätet, utbildningsinsatser ska ha genomförts på avdelningar inom kommunen och på kunskapscenter samt att respektive chef ska ha informerat sina medarbetare under arbetsplatsträffar och vid dessa tillfällen använt sig av SKL:s 1 webbutbildningar för ändamålet. Kontinuerlig uppföljning på kommunens ledningsgrupp ska också ha skett där alla förvaltningschefer ingår. Enligt tidplanen ska informationsinsatserna ha genomförts kontinuerligt från december 2017 till och med maj Därutöver framkom att vissa systemleverantörer har erbjudit utbildningar till systemanvändare. 1 Sveriges kommuner och landsting 2

4 Projektledaren har besökt nämnderna för att medvetandegöra dem om GDPR och arbetet som genomförs vid en genomgång på cirka 30 minuter. Kommunstyrelsen informerades den 5 juni För att hantera den registrerades rättigheter ska en rutinbeskrivning för hantering av de registrerades rättigheter upprättats. För att hantera förfrågningar ska en e-tjänst utvecklas på hemsidan och för de som inte har möjlighet att göra en begäran via e-tjänst ska möjligheten finnas att skicka in en blankett och hämta ut registerutdraget i receptionen mot uppvisande av legitimation. I tabellen nedan redovisas statusen i juli månad 2018, en månad efter hearingen, för de styrande dokumenten som åsyftar GDPR-arbetet och kringliggande processer. Tabell 1. Status styrande dokument Policy och riktlinjer Status juli 2018 Dataskyddspolicy Dokumenthanteringsplan Riktlinjer för dataskydd Riktlinjer för e-post Riktlinjer för roller och ansvar inom systemförvaltning Rutinbeskrivning för hantering av de registrerades rättigheter Rutinbeskrivning för hantering av personer med skyddad identitet Rutin för incidenthantering Antagen av kommunfullmäktige den 24 maj Ska följas av samtliga nämnder. Är ut på remiss. Kommunfullmäktige ska behandla planen under hösten Är ute på remiss i styrgruppen, ska behandlas av styrgruppen i augusti. Är ute på remiss, flera synpunkter har inkommit som ska arbetas in i riktlinjen. Ska beslutas av styrgruppen i augusti. Är en riktlinje av bör-karaktär. Ej färdigställd vid hearingen. Styrgruppen ska hantera denna efter sommaren. Kommundirektören kommer att fatta beslut på delegation. Detta arbete är inte direkt en fråga för GDPR, men har uppkommit genom projekten. Är ute på remiss. Behandlas på styrgruppsmötet i augusti, därefter ska kommunstyrelsen fatta beslut om den. Finns rutiner för detta sedan tidigare men de ska uppdateras så att de är enhetliga och i överensstämmelse med den nya lagstiftningen. Arbetet med att ta fram rutinen har precis påbörjats. Projektgruppen för GDPR arbetar med IT- och säkerhetsavdelningen för att nå en gemensam rutin och ett gemensamt system för incidenthantering. Fram tills rutinen finns på plats hanteras eventuella incidenter manuellt och via säkerhetsledningen. Vi har inte fått ta del av arbetsmaterialet som avser de riktlinjer och rutiner som ännu inte är färdigställda. Upprättandet av nämndernas registerförteckningar har påbörjats men arbetet har inte slutförts i enlighet med projektbeställningen. Arbetet påbörjades via workshops i samband med genomförda utbildningar och vid arbetsplatsträffar. Kommunen använder sig av SKL:s mall för registerförteckning. I SKL:s mall finns följande rubriker som ska dokumenteras: Löpnummer/beteckning/ID Behandlingens namn Ingår i system Beskrivning av ändamålen med behandlingen Behandlingen omfattar kategorier av registrerade personer Behandlingen omfattar följande typer av personuppgifter Förekommer känsliga personuppgifter och vilka? Kategorier av mottagare av personuppgifterna internt och externt Dokumentation om överföring av personuppgifter sker till tredje land Tidsfrister för radering 3

5 Ange vilka lagliga grunder som finns för behandlingen Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder Om personuppgiftsbiträden anlitas för att genomföra behandlingen, ange namn och kontaktuppgifter till dessa leverantörer Varje nämnd ansvarar för att färdigställa sina registerförteckningar. Projektets roll är att stödja nämnderna i arbetet. Hur långt nämnderna har kommit i arbetet ser olika ut, några är långt framme och några har längre kvar. Mycket av detta är avhängigt av hur uppdaterade registerförteckningar nämnderna hade sedan innan då den tidigare personuppgiftslagen gällde. För att informationssäkerhetsklassificera system har kommunen använt sig av SKL:s verktyg Klassa 2. Ett första steg har varit att informationssäkerhetsklassa Procapita 3, verksamhetssystemet som skolan använder sig av. Klassificeringen ledde enligt uppgift till en omfattande handlingsplan som kommunen vid hearingen fortfarande arbetade efter. För övriga verksamheter som också använder sig av Procapita, nämligen hälso- och sjukvård och socialtjänsten, har en liknande klassificering påbörjats. Vid sakgranskningen framkom att detta är en arbetsuppgift för den informationsansvarige, en funktion som kommer att finnas övergripande på kommunledningsförvaltningen från årsskiftet 2018/2019. Vidare framkom att kommunens metakatalog 4 och e-postsystem har klassificerats. Vad gäller personuppgiftsbiträdesavtalen är varje nämnd skyldig att tillse att avtal tecknas. Vid hearingen framkom att kommunstyrelsen har börjat att teckna avtal med leverantörer. Det saknas dock en överblick av antalet avtal i kommunen, vilket försvårar möjligheten att avgöra antalet leverantörer som kommunen bör teckna personuppgiftsbiträdesavtal med. Respektive förvaltningschef ska teckna avtalen men det har gått ut en uppmaning till samtliga systemägare att utgå från SKL:s mall vid avtalstecknandet. Uppfattningen är att de avtal som leverantörerna har inkommit med till kommunen inte har varit så kundvänliga och på så sätt lagt en stor del av ansvaret på kommunen. Vid hearingen framkom att hanteringen av personuppgiftsbiträdesavtal ska ske inom ramen för upphandlingsprocessen och att upphandlingsenheten sedan årsskiftet 2017/2018 har infört det som rutin. Styrgruppen har följt upp projektstatus, vilket framgår av styrgruppens minnesanteckningar. Vid det sista styrgruppsmötet innan hearingen, den 6 april 2018, redogjordes nedanstående statusläge för förvaltningarnas arbete med GDPR. 2 Med SKL:s KLASSA kan tre saker göras: Informationssäkerhetsklassa, därefter ta fram en handlingsplan med krav på förvaltning av systemet och hantering av dess informationsinnehåll samt få ut en lista med förslag på informationssäkerhetskrav som stöd vid upphandling. 3 Procapita är ett digitalt verksamhetssystem 4 En metakatalog lagrar och hanterar information kopplat till medborgare, medarbetare, elever och förtroendevalda vars huvudsakliga syften är automatisering av IT-administrationen och vidareutnyttjande av information. 4

6 Miljö och samhällsbyggnadsförvaltningen (bra koll på processer) Socialförvaltningen (ej inkommit med marerial) Funktionsstödsförvaltningen (ej inkommit med material) Drift- och serviceförvaltningen (Bra på väg, har verksamheter som dock inte gjort något alls, exempelvis Gata/Park) Kommunledningsförvaltningen (Kommunikationsavdelning, Mark- och exploatering och gruppen för digitalisering har knappt påbörjat jobbet. HR på god väg) Kunskapsförvaltningen (kommit igång med KLASSA) Kultur- och fritidsförvaltningen (Har kommit igång bra och är på god väg att bli klara i tid) Arbetsmarknadsförvaltningen (Har kommit igång och är på god väg att bli klara i tid) Äldreförvaltningen (Har god kännedom om vad som behöver göras och är på väg) Bilden ovan är en ögonblicksbild för förvaltningarnas arbete i början av april och inte en helhetsbild för hela projektet. Vid mötet den 6 april fastställdes även en lägstanivå som samtliga förvaltningar skulle uppnå innan förordningen trädde ikraft den 25 maj. Lägstanivån innebar att samtliga förvaltningar skulle vara klara med registerförteckningen, personuppgiftsbiträdesavtal med alla systemleverantörer och att KLASSA skulle vara påbörjat. Av minnesanteckningarna framgår inte om förvaltningarna har tillräckliga resurser för att genomföra arbetet eller om extra resurser behöver sättas in för att klara av att nå lägstanivån. Vid sakgranskningen framhölls att det är förvaltningarnas ansvar att säkerställa att tillräckliga resurser finns för att genomföra arbetet och inte projektstyrgruppens ansvar. Eftersom kommunens GDPR-projekt inte hann fullföljas i enlighet med den projektbeställning som gjordes i november 2017 förlängdes projektet till 31 december Enligt uppgift förlängs projekttiden för att ge förvaltningarna extra stöd över längre tid än vad som var sagt från början. Vid hearingen framställdes att projektets roll i kommunens fortsatta GDPR-arbete ska vara att: Stödja verksamheterna att systematiskt arbeta med informationssäkerhet. Implementera framtagna policys och riktlinjer så att de blir en naturlig del av arbetet och internkontrollprogrammet. Fortsätta penetrera personuppgiftsbehandlingarna så att de kan anses vara godkända. Att fortsätta informationssäkerhetsklassa system. Sammanfattning och förslag till vidare hantering Sammanfattningsvis kan vi konstatera att kommunen har påbörjat arbetet med att anpassa verksamheten efter dataskyddsförordningen med att det kvarstår en del arbete. Mot bakgrund av detta så vore det ändamålsenligt om revisionen genomför av uppföljande granskning efter projektets avslut för att bedöma om kommunen har genomfört tillräckliga anpassningar med anledning av förordningen. 5