SLUTRAPPORT PROJEKT GDPR

Transkript

1 SLUTRAPPORT PROJEKT GDPR Ali Narimani december2018

2 Projektnamn Behandling av personuppgifter enlig dataskyddsförordning (GDPR) Projektledare Bijan Narimani Projektperiod till

3 Innehåll Inledning...3 Definitioner & förkortningar...3 Syfte & mål...3 Syfte...3 Mål...3 Omfattning & strategi...4 Omfattning...4 Strategi...4 Avgränsningar...4 Tidsplan...4 Organisation...5 Metod/Modell...6 Projektets genomförande...6 Resultat...6 Registerförteckningar...6 Utbildningar...7 Information till ledning...7 Erfarenheter...7 2

4 Inledning Nytt regelverk från våren 2018 har påverkat den kommunala verksamheten och dess bolag avseende intern och extern informationshantering av personuppgifter: Dataskyddsförordningen (EU) DSF 2016: hädanefter benämnd efter det engelska namnen General Data Protection Regulation (GDPR). De nya regelverken medför både ekonomiska och verksamhetsmässiga konsekvenser för kommunen. Definitioner & förkortningar GDPR - General Data Protection Regulation, Dataskyddsförordningen. Personuppgifter: Varje upplysning som avser en identifierad eller identifierbar fysisk person Behandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej Registerförteckning: Ett strukturerat register över behandling av personuppgifter DSO (Dataskyddsombud): Kontaktperson mellan kommunen och tillsynsmyndighet samt den registrerade PUL: Personuppgiftslagen 1995 PUA (Personuppgiftsansvarig): Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå i till. I kommunen är det nämnderna. PUB (Personuppgiftsbiträde): Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdesavtal: Biträdesavtal är ett tilläggsavtal mellan personuppgiftsansvarig och personuppgiftsbiträde som garanterar att personuppgifter behandlas enligt bestämmelserna i GDPR. Syfte & mål Syfte Syftet med projektet har varit att förbereda kommunen, dess nämnder, förvaltningar och verksamheter inför den nya förordningen. Det innebär att bygga grunden och skapa förutsättningar så att all personal i kommunen får lika information och utbildning inom GDPR, för att kunna tillämpa lagen i sitt dagliga arbete. Mål Målet med projektet har varit att: Alla förvaltningar, verksamheter och kommunala bolag ska ha definierat och upprättat en sammanhållen inventering (registerförteckning) av verksamhetens personuppgiftstillgångar. Alla förvaltningar, verksamheter och kommunala bolag ska identifiera vilka åtgärder som krävs för att uppfylla de nya lagkraven. Skapa organisation för dataskyddombud (DSO) och andra eventuella organisatoriska förändringar. 3

5 Omfattning & strategi Omfattning Strategi Projektet har omfattat hela kommunen enligt dess organisationsschema. Berörda parter skall ha fått information och kunskap om de nya reglerna samt vara bekväma i vad eventuella förändringar inneburit i termer av krav, arbetssätt, organisation och verksamhet. Upplägget för projektet var att följa de erfarenheter som fanns i Karlstad, vi benämner detta som Karlstadmodellen. Avgränsningar Primärt har varit att kommunen vid projektets slut har fått grunden för att kunna leva upp till GDPR och få in GDPR i vardagen. Följa upp och kvalitetssäkra genom regelbunden granskning och revision av personuppgiftsbehandling i de olika verksamheterna. Detta säkerställs genom att kommunicera effektivt och regelbundet för att skapa insyn, samsyn och helhet. Utbildning är också en framgångsfaktor. Ett inledande uppstartsmöte hölls tidigt i projektet för att skapa en gemensam utgångspunkt och målbild. Information om projektet har regelbundet kommunicerats till berörda parter med stöd av en kommunikationsplan. Projektet har inte hanterat aktiviteter eller det resursbehov som krävs i respektive förvaltning/bolag eller de kostnader som uppkommer vid nödvändiga förändringar inom verksamhetssystem samt verksamhetsprocesser. Projektet ansvarade för att förbereda och bygga grunden i kommunen för de nya regelverken. Respektive förvaltning och bolag ansvarade för att uppfylla och hantera de krav och förändringar som regelverken kan ha inneburit. Projektet hanterade de regelverk som fanns tillgängliga under projekttiden. Tidsplan Projektet statades november Det praktiska arbetet med registerförteckningar påbörjades i januari 2018 efter förberedelserna. 4

6 Projektplan har varit enligt nedanstående schema. Rubrik månad Beskrivning/uppstart Organisation* Skyddsombud Projekt G1 Inventering Analys/åtgärd samordning Regler och rutiner Slut rapport Organisation Organisationen består av Projektledare/Dataskyddsombud Projektgrupp bildades med representanter från varje förvaltning/verksamhet. De flesta av dessa medlemmar hade jobbat med PUL i kommunen innan projektstart. Roller, ansvar och befogenheter 1 Beställare/ägare Styrgrupp Projektbeställaren kan i samråd med styrgruppen besluta om ändringar eller avbryta projektet i förtid. Styrgruppen har till uppgift att svara för beslutsfattande inom projektet. Projektledare Projektgrupp Personal som hanterar frågan idag Referensgrupp Dåvarande PUL ansvarig informatör Projektledaren ansvarar för allt som ligger inom projektets ramar enligt projektspecifikation. Projektgruppen arbetar för att föra projekts operativa arbete framåt. Referensgruppens roll är att vara informationsbärare och ansvarar för att relevanta beslut tas i respektive verksamhet. Expertgrupp It enheten - konsult Expertgruppen bistår projektgruppen bl.a. med kunskap och kvalitetssäkring. Arbetar stödjande med expertkunskaper inom respektive område. 1 Referensgruppen har inte fungerat i den tilltänkta rollen I expertgruppen har inte IT-enheten påverkat på något sätt 5

7 Metod/Modell Då det inte fanns beskrivna projektmodeller i Forshaga kommun för att kunna kvalitetssäkra projektet, användes Karlstad kommuns projektmodell som stöd för beslut, resurstillsättning, kommunikation och dokumentation. Genom utbildning, kunskap och information underlättades projektets måluppfyllelse. Den valda metoden för att kunna lyckas med projektet skulle vara en beprövat metod och för det valdes MSB s systematiska metod som i sin tur baseras på ISO/IEC-standard. Projektets genomförande Alla förvaltningar och bolag har definierat och upprättat en sammanhållen inventering av respektive verksamheters personuppgiftstillgångar (Registerförteckningar) 2 som regleras enligt GDPR. Definierat termer och begrepp vilka sedan tillämpats i aktiviteter och kommunikation för att nå projektets mål 3. Inventering av personuppgiftstillgångar i syfte att identifiera tillgångar och processer som hanterade personuppgifter (nuläge, Gap-analys, anpassning). Alla förvaltningar och bolag har identifierat vilka åtgärder 4 som krävts för att uppfylla de nya lagkraven kopplat till den egna verksamheten. Samordning och stöd till kommunens verksamheter för att de ska ges förutsättningar att implementera GDPR genom utbildning, samverkan och informationsutbyte mellan berörda parter i projektet. Informera och stödja kommunens ledning (nämnder och kommunledningsgrupp) gällande de nya lagarna. Genomföra utbildnings- och kompetenshöjande insatser till alla tjänsteman i två omgångar. Resultat Registerförteckningar Nästan 200 stycken behandlingar av personuppgifter med olika ändamål i digital och manuellt format har identifierats och kartlagts. De nödvändiga åtgärderna för anpassningar till GDPR i form av ändamålsanpassning, principer, lagliga grunder enligt GDPR är registrerat. Genom kontakt med systemleverantörer har biträdesavtal tagits fram. Det finns ett 40 tal system som administreras av It- avdelning. Forshaga kommun har inte fått vare sig kartläggning eller biträdesavtal gällande dessa system. 2 Verktyget licenserades av Draftit AB, det rekommenderades av de flesta kommunerna i Värmland 3 Enligt definitioner i artikel 4 i GDPR 4 Biträdesavtal med systemleverantörer enligt artikel 28 i GDPR 6

8 Utbildningar Nästan all personal som hanterar personuppgifter i sitt arbete har fått utbildning. Projektgruppen har deltagit i utbildningar via SKL. Föreläsning gällande nämndens roll som personuppgiftsansvarig (utförd av projektledare). Internutbildning för personalen i form av föreläsningar under APT möten i två omgångar (utförd av projektledare). Framtagning av anpassat utbildningsmaterial med en avslutande test. All personal som behandlar personuppgifter kommer att genomföra utbildningen. Information till ledning Regelbunden information har lämnats till projektägare (kommunchefen) och styrgruppen (kommunledningsgruppen). Erfarenheter Forshaga kommun behöver ha en egen projektmodell. Det uppstår kvalitetsbristkostnader när vi tvingas anpassa oss utifrån andra kommuner med andra organisationer som ibland kräver andra arbetssätt. Uppdatering av befintliga policys, framtagning av nya riktlinjer och anpassning av befintliga dokument till GDPR måste utföras. Informationsflödet från kommunledningsgruppen till personalen i verksamheterna måste förbättras. En lärdom under projektet är att det finns brister i hanteringen av informationssäkerhet som måste hanteras. Här är MSB metod den enda metod som är kvalitetssäkrad. Räddningstjänstförbundet har under projektet uppmuntrats av kommunerna i Karlstadsregionen att utgöra en samordnande funktion för informationssäkerhet, bl.a. genom att likrikta ambitionsnivån i kommunernas arbete (GDPR är en del av Informationssäkerheten). 7