Förstudierapport. Dataskyddsförordningen

Transkript

1 Förstudierapport Dataskyddsförordningen Rapport Förstudie om införandet av Dataskyddsförordningen på Göteborgs universitet Sida: 1 (21) Delprojektrapport Dnr: Y 2017/1

2 Innehåll 1 Sammanfattning Bakgrund Dataskyddsförordningen i korthet Grundläggande principer Missbruksregeln försvinner Personuppgiftsansvariges ansvar Personuppgiftsombud blir dataskyddsombud Personuppgiftsbiträdets ansvar Register över personuppgiftsbehandling Inbyggt dataskydd och dataskydd som standard Säkerhet i samband med behandlingen Rapportering av personuppgiftsincidenter Konsekvensbedömning Sanktionsavgift Förstudiens omfattning Nuläge Organisation Dokumentation Leverantörsavtal Krav på IT-system Personuppgiftsbehandling i praktiken Börläge Organisation Dokumentation Leverantörsavtal Krav på IT-system Personuppgiftsbehandling i praktiken Osäkerheter Avgränsningar Beroenden och samarbeten Organisation Resultat Leveranser Ekonomiskt utfall Lösningsförslag Dataskyddsombud Roller och kompetenser Styrande och stödjande dokument Laglig behandling av personuppgifter Kontroll över all behandling av personuppgifter Registrerades rätt till information om behandling av personuppgifter Incidentrapportering Konsekvensbedömning Krav på IT-system och tjänster Realisering i framtida projekt och förvaltning Sida: 2 (21)

3 7.1 Projektorganisation Tidplan Resursbehov Uppskattad projektbudget Framtida förvaltningsorganisation Intressenter Risker för projekt Bilagor Sida: 3 (21)

4 1 Sammanfattning Denna rapport redogör för det arbete som genomförts i Förstudie Dataskyddsförordningen. Dataskyddsförordningen (DSF) träder ikraft 25 maj 2018 och i samband med det upphävs Personuppgiftslagen (1998:204) (PuL) och Personuppgiftsförordningen (1998:1191). Kapitel 2 redogör kort för bakgrunden till att en förstudie initierats. I kapitel 3 har huvuddragen i DSF lyfts och kort beskrivits. I kapitel 4 beskrivs förstudiens omfattning och upplägg. Upplägget har varit att beskriva ett nuläge avseende personuppgiftsbehandling vid Göteborgs universitet (GU) för att därefter jämföra det mot ett börläge, det vill säga de DSF- krav GU ska efterleva. Förstudiegruppen har valt att beskriva nuläget ur följande perspektiv: Organisation: inrättade roller/ funktioner/ arbetssätt på GU som har bäring på personuppgiftsbehandling. Dokumentation: styrande och stödjande dokument för personuppgiftsbehandling på GU Leverantörsavtal: de avtal GU har med leverantörer där personuppgiftsbehandling ingår i leverantörens åtagande ska åtföljas av ett PuBa. Krav på IT-system: krav som särskilt adresserar personuppgiftsbehandling.. Personuppgiftsbehandling i praktiken: hur ser verksamheten på personuppgiftsbehandling, vilka utmaningar och eventuella osäkerheter upplever de att de har då personuppgifter ska behandlas. Leverantörsavtal är en viktig aspekt eftersom GU:s personuppgiftsansvar inkluderar att ha kontroll även över de personuppgiftsbehandlingar som görs av andra s.k. personuppgiftsbiträden (PuB) på GU:s uppdrag. De slutsatser som förstudien dragit i beskrivningen av nuläget är bland annat att medarbetare ofta känner sig osäkra på vad som är rätt avseende personuppgiftsbehandling. Det saknas och finns behov av stöd både i form av dokument till exempel rutiner, checklistor och i form av lättillgänglig support att ställa frågor till. Då det gäller leverantörsavtal blev slutsatserna att dessa inte är lätta att återsöka eftersom de inte förvaras på samma plats och att det inte alltid finns personuppgiftsbiträdesavtal. GU har ett personuppgiftsombud (PuO) men uppdraget utförs inom ramen för en annan anställning så det finns lite tid för annat än att svara på frågor. I börlägesbeskrivningen återfinns de huvudsakliga kraven i DSF under respektive område; organisation, dokumentation, leverantörsavtal, krav på IT-system och personuppgiftsbehandling i praktiken. Några osäkerheter som förstudien har tagit hänsyn till finns också i kapitel 4. Kapitel 5 visar förstudiens resultat i form av leveranser enligt samma upplägg som förstudieplanen och det ekonomiska utfallet. Förstudien har gjort de planerade leveranserna. Det ekonomiska utfallet ligger obetydligt över den detaljerade förstudiebudgeten som togs fram i förstudieplanen men väl inom ramen för den preliminära budgeten som beviljades i samband med uppdraget att påbörja förstudien. Kapitel 6 innehåller förstudiens rekommendationer för att lösa de gap som utgör skillnaden mellan nuläge och börläge avseende personuppgiftsbehandling vid GU. Förstudien vill speciellt lyfta fram vikten av styrningen av personuppgiftsbehandling på GU i form av tydliga roller, styrande och stödjande dokument, kontroll över all personuppgiftsbehandling. Det är förutsättningar för att möjligheten att efterleva övriga krav i DSF. Sida: 4 (21)

5 Kapitel 7 innehåller förstudiens förslag på hur lösningsförslagen ska realiseras, i första läget i ett framtida projekt och därefter en tänkt förvaltning. 2 Bakgrund Det huvudsakliga syftet med den nya EU-förordningen är att skapa enhetliga dataskyddsregler inom hela EU. Lagstiftningen träder ikraft 25 maj 2018 och i samband med det upphävs Personuppgiftslagen (1998:204) (PuL) och Personuppgiftsförordningen (1998:1191). Den svenska benämningen på lagstiftningen är Dataskyddsförordningen (DSF). DSF kommer att träda ikraft samtidigt i hela EU utan några övergångsbestämmelser. Den engelska benämningen är General Data Protection Regulation (GDPR). DFS reglerar all behandling av personuppgifter varhelst personuppgifter behandlas. Det kan konstateras att bestämmelserna i DFS i stort överensstämmer med vad som redan är känt genom PuL. I vissa fall har lagstiftningen skärpts och det har även införts ett fåtal nya bestämmelser som kommer att innebära vissa förändringar vid behandling av personuppgifter i universitetets verksamhet. Den personuppgiftsansvariges ansvar och skyldigheter har förtydligats och utökats samtidigt som de registrerades rättigheter förstärkts. Det är viktigt att i god tid påbörja arbetet med att se över vilken påverkan DFS kommer att få för universitetets verksamhet. För att kunna anpassa GU:s verksamhet är det viktigt att arbetet ges uppmärksamhet inom universitetets hela verksamhet och dess stödjande funktioner. I februari 2017 fattade Portföljledningen beslutet att inleda en förstudie. 3 Dataskyddsförordningen i korthet DSF omfattar alla medarbetare som utför någon form av personuppgiftsbehandling. Med personuppgiftsbehandling avses i stort sett allt vi gör med personuppgifter till exempel samla in, registrera, lagra, bearbeta, ändra, sammanföra, sprida, radera. All behandling omfattas oavsett om behandlingen sker automatiserat eller inte. Med personuppgift avses information som direkt eller indirekt kan hänföras till en identifierbar fysisk person som är i livet. Exempel är namn, personnummer, e-postadress, nätidentifierare (till exempel IP-adress, cookies), bilder. Med särskilda kategorier av personuppgifter avses uppgifter som avslöjar någons ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska personuppgifter, biometriska personuppgifter och personuppgifter som avser hälsa. DSF omfattar ett antal kapitel som benämns artiklar. Till varje artikel finns ett så kallat skäl (beaktandesats). Skälen beskriver det som artikeln reglerar och har till syfte att underlätta förståelsen för respektive artikel. 3.1 Grundläggande principer Utgångspunkten är de principer för behandling av personuppgifter som presenteras i artikel 5.1. under rubriken Principer för behandling av personuppgifter. Sida: 5 (21)

6 Laglighet, korrekthet 1 och öppenhet det vill säga uppgifterna ska behandlas lagligt, korrekt och öppet i förhållande till den registrerade. Ändamålsbegränsning det vill säga det ska finnas ett tydligt ändamål med behandlingen och ändamålet får inte förändras. Uppgiftsminimering det vill säga uppgifterna ska vara relevanta och inte för omfattande i relation till ändamålet. Korrekthet 2 det vill säga uppgifterna ska vara riktiga och om nödvändigt uppdaterade. Lagringsminimering det vill säga uppgifterna får inte förvaras längre än nödvändigt. (Här medges undantag för till exempel arkivändamål, statistiska ändamål och för forskningsändamål.) Integritet 3 och konfidentialitet det vill säga lämpliga tekniska och organisatoriska åtgärder ska vidtas för att säkerställa tillräckligt skydd för uppgifterna. Grundprinciperna utgör utgångspunkten för all personuppgiftsbehandling. Därtill måste en laglig grund kunna anges. Laglig grund utgörs av: samtycke från den registrerade, nödvändigt för att kunna fullgöra ett avtal, nödvändigt för att fullgöra en rättslig förpliktelse, nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller annan fysisk person nödvändig för att kunna utföra en uppgift av allmänt intresse eller myndighetsutövning om behandlingen är nödvändig för personuppgiftsansvarigs eller tredje parts berättigade intresse såvida den registrerades grundläggande rättigheter inte väger tyngre. Myndigheter kan inte stödja sig på sista punkten det vill säga en intresseavvägning mellan den personuppgiftsansvariges intresse framför den registrerades. Till grundprinciperna kan också läggas artikel 5.2: Ansvarsskyldighet det vill säga personuppgiftsansvariga ska ansvara för och kunna visa att principerna efterlevs. Nedan, i , följer korta beskrivningar av huvuddragen i DSF. Beskrivningarna gör inte anspråk på att vara heltäckande utan ska ge en fingervisning om innehållet. 3.2 Missbruksregeln försvinner I PuL finns ett undantag för behandling av personuppgifter i ostrukturerat material som löpande text i e-post, på webbsidor eller i enklare listor över till exempel studentgrupper. Undantaget benämns missbruksregeln. Missbruksregeln försvinner i och med att DSF träder ikraft vilket innebär att samma regler som gäller generellt för behandling av personuppgifter även gäller för behandling av ostrukturerat material. Det kommer innebära krav på att bland annat. rättslig grund, information till de registrerade och registerskyldighet. 1 I den svenska översättningen återfinns korrekthet två gånger. I den engelska versionen är det första begreppet fairness vilket betyder ärlighet, rättvisa, öppenhet. Behandlingen ska vara korrekt i betydelsen rättvis och juste gentemot den registrerade. 2 I den engelska versionen är begreppet accuracy. Uppgifterna ska vara korrekta i betydelsen inte vara felaktiga. 3 Integritet i det här fallet handlar om riktighet och dataintegritet det vill säga skydd mot förvanskning av personuppgifterna. Sida: 6 (21)

7 3.3 Personuppgiftsansvariges ansvar Göteborgs universitet är personuppgiftsansvarig (PuA). PuA ansvarar för och ska kunna visa att regelverket efterlevs. DSF stadgar att PuA ska kunna redogöra för vilka personuppgifter som behandlas, syftet med personuppgiftsbehandlingen, på vilken laglig grund personuppgifterna behandlas och även vilka säkerhetsåtgärder som vidtagits Personuppgiftsombud ersätts av dataskyddsombud En myndighet ska ha ett dataskyddsombud. Dataskyddsombudet motsvarar personuppgiftsombudet i PuL. Dataskyddsombudet ersätter personuppgiftsombudet och har getts en starkare ställning i DSF. Får inte ta emot instruktioner Får inte avsättas eller blir föremål för sanktioner Ska rapportera direkt till högsta förvaltningsnivå och uppgifterna har utökats Informera och ge råd till organisationen och medarbetarna. Övervaka efterlevnaden av förordningen Övervaka efterlevnaden av organisationens dataskyddsstrategier Ge råd avseende konsekvensbedömningar Informera och ge råd till de registrerade Samarbeta med och fungera som kontaktpunkt för tillsynsmyndigheten (Datainspektionen). 3.5 Personuppgiftsbiträdets ansvar Personuppgiftsbiträden (PuB) får i DFS ett utökat ansvar jämfört med tidigare. Ett PuB ska garantera att de genomför lämpliga tekniska och organisatoriska åtgärder för att säkerställa att registrerades rättigheter skyddas. Ett PuB får inte anlita underleverantörer (underbiträden) utan skriftligt förhandstillstånd från PuA. PuA har också rätt att invända mot ev. nya underleverantörer. Ett PuB ska föra ett register över alla kategorier av behandlingar som utförs för den personuppgiftsansvariges räkning. Se 3.6. I de fall en PuA anlitar ett PuB ska det alltid upprättas ett skriftligt personuppgiftsbiträdesavtal (PuBA) såvida det inte finns någon annan rättsakt (lag eller annan juridiskt bindande bestämmelse inom EU) att hänvisa till. PuBA ska bland annat omfatta: Föremålet för behandlingen Behandlingens varaktighet, art och ändamål Typen av personuppgifter Kategorier av registrerade Personuppgiftsansvariges skyldigheter och rättigheter 3.6 Register över personuppgiftsbehandling PuA ska föra register över vilka personuppgiftsbehandlingar som görs. Registret ska innehålla: Namn och kontaktuppgifter till personuppgiftsansvarig och dataskyddsombud Ändamålen med behandlingen Beskrivning över kategorierna av registrerade Beskrivning över kategorierna av personuppgifter Mottagare till vilka personuppgifterna lämnas ut Överföringar till tredjeland och dokumentation av lämpliga skyddsåtgärder Sida: 7 (21)

8 Tidsfristerna för radering Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder 3.7 Inbyggt dataskydd och dataskydd som standard För att kunna efterleva DSF:s bestämmelser om integritet och konfidentialitet ska den personuppgiftsansvarige se till att genomföra lämpliga tekniska och organisatoriska åtgärder för ett effektivt och tillräckligt dataskydd. I det ingår att integrera nödvändiga skyddsåtgärder i behandlingen. Den engelska benämningen privacy by design används ofta. Av samma anledning, att kunna efterleva bestämmelserna om integritet och konfidentialitet ska den personuppgiftsansvarige se till att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast nödvändiga personuppgifter behandlas och för rätt ändamål. Den engelska benämningen privacy by default används ofta. 3.8 Säkerhet i samband med behandlingen Utöver det som anges i artikel 25 om inbyggt dataskydd och dataskydd som standard finns också artiklar som adresserar säkerhet för personuppgifter. Både PuA och PuB ska säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som ev. finns i samband med personuppgiftsbehandlingen. Både PuA och PuB ska kunna visa förmåga att:: säkerställa säkerheten i system och tjänster, återställ tillgängligheten inom en rimlig tid i samband med en incident, regelbundet testa och utvärdera både tekniska och organisatoriska åtgärder. Som exempel på skyddsåtgärder anges pseudonymisering (kodning) och kryptering av personuppgifter. 3.9 Rapportering av personuppgiftsincidenter Vid en säkerhetsincident hos PuA där det är troligt att personuppgifter påverkats ska incidenten anmälas till Datainspektionen. Påverkan kan betyda att personuppgifter förstörts eller förlorats oavsiktlig eller olagligt, att personuppgifter ändrats eller röjts till obehöriga. Anmälan till Datainspektionen ska ske utan onödigt dröjsmål dock inte senare än 72 timmar från det att incidenten upptäckts. En rapport över incidenten ska också lämnas till Datainspektionen. Om incidenten inträffar hos ett PuB måste PuA meddelas Konsekvensbedömning Om en typ av personuppgiftsbehandling sannolikt leder till en hög risk ska PuA före personuppgiftsbehandlingen utföra en konsekvensbedömning. Det kan till exempel vara nödvändigt då det gäller behandling av särskilda kategorier av personuppgifter eller uppgifter rörande personliga aspekter hos enskilda individer. Det är också viktigt att göra konsekvensbedömningar vid användning av ny teknik för en personuppgiftsbehandling till exempel innan ett nytt system eller ny tjänst ska börja användas Sanktionsavgift Tillsynsmyndigheten i respektive medlemsstat inom EU kommer att kunna ta ut en så kallad administrativ sanktionsavgift av en personuppgiftsansvarig som bryter mot vissa av de regler som omfattas av DSF. Det är upp till varje medlemsstat att utreda och bestämma om avgiften även ska Sida: 8 (21)

9 omfatta offentlig verksamhet. I Dataskyddsutredningen (SOU 2017:39) föreslås att sanktionsavgifter ska gälla även offentlig verksamhet. Detta innebär att för mindre allvarliga överträdelser ska avgiften uppgå till högst kronor och för allvarligare överträdelser till högst kronor. Exempel på mindre allvarlig händelse är brister i registerförteckning, säkerhetsbrister, utebliven anmälan vid personuppgiftsincident. Exempel på allvarlig händelse är brister i efterlevnaden av de grundläggande principerna inklusive villkoren för samtycke. 4 Förstudiens omfattning Förstudien delades upp i etapp 1 och etapp 2 enligt GU:s förstudieramverk. Under etapp 1 skedde planeringen av förstudien och hur de fortsatta aktiviteterna och leveranserna skulle genomföras. Riskanalysen genomfördes också under etapp 1. Under etapp 2 skedde det huvudsakliga genomfördandet av alla aktiviteter och leveranser. 4.1 Nuläge I tidigt skede identifierade förstudiegruppen vikten av att kunna översiktligt beskriva den aktuella statusen på behandling av personuppgifter vid GU det vill säga graden av efterlevnad av kraven i PuL. Den beskrivningen utgör nuläget. Den övervägande delen av reglerna i PuL och DSF överensstämmer med varandra. Vissa krav har dock skärpts, vissa har tillkommit och viss behandling av personuppgifter som tidigare var undantagen reglering enligt PuL omfattas nu av DSF. Mot bakgrund av de nya kraven i DSF valde projektgruppen att beskriva nuläget ur följande perspektiv: Organisation: inrättade roller/ funktioner/ arbetssätt på GU som har bäring på personuppgiftsbehandling. Dokumentation: styrande och stödjande dokument för personuppgiftsbehandling på GU Avtal: de avtal GU har med leverantörer där personuppgiftsbehandling ingår i leverantörens åtagande ska åtföljas av ett PuBa. Krav på IT-system: krav som särskilt adresserar personuppgiftsbehandling.. Personuppgiftsbehandling i praktiken: hur ser verksamheten på personuppgiftsbehandling, vilka utmaningar och eventuella osäkerheter upplever de att de har då personuppgifter ska behandlas. Nuläget skulle sedan ställas mot ett beskrivet börläge det vill säga hur tillämpningen av DSF bör se ut på GU Organisation På GU finns ett personuppgiftsombud (PuO) utsett men omfattningen på uppdraget är inte definierad och utförs inom ramen för en annan anställning (förvaltningsjurist). Ett PuO ska fungera som Datainspektionens förlängda arm, svara på frågor om personuppgiftsbehandling och bistå verksamheten med stöd i personuppgiftsfrågor i övrigt. GU:s PuO hinner i praktiken inte med så mycket mer än att svara på inkommande frågor. Många frågor rör personuppgiftsbehandling i forskningsprojekt och GU:s säkerhetsfunktion och IT-enhet kontaktar PuO då behov av bedömning avseende personuppgiftsbehandling uppstår inom ramen för deras respektive ansvarsområde. Mycket liten tid går att avsätta för proaktivt arbete till exempel för utbildningsinsatser. Att korrekt behandla personuppgifter ingår informationsägarrollen. Informationsägare är den som är utfärdare och/ eller fastställare av viss information och som svarar för att informationen är riktig, tillförlitlig och på det sätt på vilken den får sin spridning. Exempel på informationsägare är chefer i linjen, systemägare, processägare, utfärdare av ett dokument. Vad informationsägarrollen innebär och omfattar uppfattas som oklart på många håll inom verksamheten. Det finns ett sedan tidigare Sida: 9 (21)

10 identifierat behov av att förtydliga och i möjligaste mån förenkla de regler som styr informationsklassning och informationsägarrollen vid GU. Slutsatsen blev att det finns behov av både centrala och verksamhetsnära stödfunktioner. Den centrala stödfunktionen kommer att omfattas av Styrning av GU-gemensamma System, Processer och Projekt (GUSPP). Utgångspunkten är att alla medarbetare på något sätt kommer att behandla personuppgifter. Därför blir det nödvändigt med verksamhetsnära stödfunktioner som känner verksamheten och som har större kunskap i regelverket än medarbetaren i gemen. Det kommer att krävas nya rutiner och arbetssätt till exempel för att säkerställa att anmälan görs för registreringen av de personuppgiftsbehandlingar som görs inom GU sker, att GU kan lämna korrekt information till en registrerad vid förfrågan samt att GU rapporterar om inträffade incidenter inom 72 timmar etc Dokumentation De dokument som reglerar och stödjer personuppgiftsbehandling på GU är: Regler för behandling av personuppgifter Blanketter för anmälan och avanmälan av personuppgiftsbehandling Mall för Personuppgiftsbiträdesavtal Det finns en registerförteckning över personuppgiftsbehandlingar vid GU i form av en databas (Filemaker) som senast uppdaterades sommaren 2015, som genomfördes av inhyrd personal. Det finns i nuläget ingen möjlighet för medarbetare i verksamheten att digitalt rapportera in behandling av personuppgifter via webbformulär direkt i databasen. Behandling av personuppgifter adresseras i vissa styrande och stödjande dokument till exempel i regelverket för IT- och informationssäkerhet. Det saknas samlad information om personuppgiftsbehandling på Medarbetarportalen vilket gör informationen svårtillgänglig. Slutsatsen blev att det kommer att behövas betydligt fler stödjande dokument än det finns i nuläget. Med stödjande avses handledningar, checklistor, mallar och liknande, för att vägleda medarbetare i hur personuppgiftsbehandling ska utföras. Tydlig information på GU:s webb både för medarbetare och externa är nödvändigt. DSF ställer krav på en registerförteckning över alla personuppgiftsbehandlingar som förs. Någon typ av systemstöd kommer att krävas för att en sådan förteckning ska kunna göras någorlunda enkel, tillgänglig och hållas aktuell Leverantörsavtal Det finns ingen GU-gemensam avtalsdatabas. För att få en grov och översiktlig bild av status avseende PuBa gjordes en genomgång av de avtal som finns i diariet. Översikten gav indikationen att avtal finns för många PuB men att det troligen saknas för vissa. De avtal som finns är i viss mån sökbara i diariet, dock inte alla. Somliga ligger dolda tillsammans med andra avtal. Det kommer att krävas en fullständig genomgång av alla leverantörsavtal för att identifiera vilka PuBA som saknas och status avseende innehållet i de PuBA som finns. Se 3.3 och 3.5 Slutsatsen blev att det är nödvändigt med en inventering och genomgång av GU:s befintliga avtal för att identifiera vilka som omfattar personuppgiftsbehandling, om behandlingen regleras på något Sida: 10 (21)

11 sätt och i så fall om det är nödvändigt att förtydliga i ett PuBa. Det finns också behov av en GU-mall för PuBa Krav på IT-system Det ingick inte i förstudien att göra en översyn av GU:s IT-miljö med avseende på personuppgiftsbehandling. Vi kan anta att Dataskyddsförordningens påverkan på de IT- system och tjänster om GU använder kommer att variera. Det är avhängigt bland annat systemets eller tjänstens användningsområde till exempel om särskilda kategorier av personuppgifter behandlas, hur och var drift, support och lagring sker, hur status avseende informationssäkerheten är i nuläget. Inga IT-system eller - tjänster kan sägas vara exkluderade från DSF- kraven; som allra minst innehåller systemen uppgifter om användare av systemen vilket kan härledas till en person och därmed är en personuppgift. Dokumentet Regler för nyttjande och hantering av programvaror och programvarulicenser tar upp frågor avseende personuppgiftsbehandling. Personuppgifter tas upp som en informationsmängd i regelverket för IT- och informationssäkerhet till exempel i regler för informationsklassning. Slutsatsen blev att GU ska genomföra en inventering av vilka IT-system och tjänster som används för personuppgiftsbehandling samt göra en översyn av det integritetsskydd som finns i dessa system/ tjänster. Det krävs styrande dokument för att reglera hur IT-system och tjänster ska designas och sättas upp med avseende på personuppgiftsbehandling. Vid nyanskaffning av systemstöd till exempel vid upphandling måste integritetsfrågor avseende personuppgiftsbehandling adresseras som särskild punkt Personuppgiftsbehandling i praktiken I förstudien genomfördes några intervjuer i verksamheten i syfte att ge en grov och översiktlig bild av regelefterlevnaden. Fem intervjuer genomfördes; två i forskningsprojekt, två i systemförvaltningar och en med verksamhetsföreträdare för administration. Nedanstående punkter var gemensamma för i stort sett alla intervjuade Det är svårt att veta vad som gäller oavsett vilket regelverk det handlar om. Personuppgiftsbehandling är bara ett av områdena. Svårt att veta vad man måste veta. Vi skulle behöva checklistor och handledningar. Svårt att veta vart man ska vända sig med frågor. När måste man ha samtycke? Utöver ovanstående citat konstaterade vi även via intervjuerna att personuppgifter överförs mellan olika system och skickas ofta med e-post. Uttag av personuppgifter ur system görs och då hanteras personuppgifterna utanför systemen till exempel på utskrivna listor. Det finns en osäkerhet vid behandling av personuppgifter och informationsbehovet är stort. Slutsatsen blev att behovet av stödfunktioner och dokumentation är stort. Dessutom behövs informations- och utbildningsinsatser för att skapa ett personuppgiftsbehandlingsmedvetande bland alla medarbetare. Sida: 11 (21)

12 4.2 Börläge Det börläge som beskrivs nedan har fortsatt fokus på organisation (behov av kompetenser), styrande och stödjande dokument, översyn av leverantörsavtal samt krav på IT-system och tjänster. Nedan följer en mer detaljerad beskrivning av DSF- krav med hänvisningar till Datainspektionens webbsidor om DSF. De lösningsförslag som förstudien rekommenderar för att nå fram till börläget presenteras under avsnitt Organisation Med organisation avses dels rollen dataskyddsombud och dels övriga roller och kompetenser som kommer att krävas inom GU för att efterleva DSF. Dataskyddsombud En myndighet måste ha ett dataskyddsombud enligt DSF. Rollen dataskyddsombud ska innehas av en (1) medarbetare. Dataskyddsombudets uppgifter har utökats i relation till PuO. Dataskyddsombudets utnämnande, ställning och uppgifter regleras i avsnitt 4, art i DSF. Dataskyddsombud ersätter det nuvarande Personuppgiftsombudet. 4 Dataskyddsombudet ska ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt. Dataskyddsombudet ska involveras i god tid i alla frågor som rör skydd för personuppgifter och ska ges nödvändiga resurser för att utföra sina arbetsuppgifter. Ombudet ska rapportera direkt till högsta ledningen. Dataskyddsombudets uppgifter är bland annat att informera och ge råd inom den egna organisationen om vilka skyldigheter som gäller enligt såväl förordningen som nationella bestämmelser. Ombudet ska också bevaka att dessa regler följs och ge råd om den konsekvensbedömning avseende dataskydd som ska göras enligt förordningen. Ombudet ska fungera som kontaktpunkt för Datainspektionen och samarbeta med denna. Kontroll över all behandling av personuppgifter Som personuppgiftsansvarig måste GU ha kontroll över alla personuppgiftsbehandlingar som görs inom ramen för GU:s verksamhet. Ansvarsskyldigheten är en av grundprinciperna, artikel 5.2. För att kunna leva upp till sitt ansvar måste GU känna till alla personuppgiftsbehandlingar som görs inom ramen för verksamheten. Kännedom om personuppgiftsbehandlingarna är också en förutsättning för att efterleva andra krav i DSF. Se även En inventering av de personuppgiftsbehandlingar som görs på GU är nödvändigt att genomföra på längre sikt. Ett problem som GU delar med många av lärosätena är att GU har en delvis decentraliserad IT-miljö. GU bedriver även forskning där data inklusive personuppgifter behandlas gemensamt av olika huvudmän. 4 Sida: 12 (21)

13 Registrerades rätt till information Korrekt information avseende behandling av personuppgifter måste lämnas till de registrerade. 5 Incidentrapportering Personuppgiftsincidenter måste rapporteras och utredas inom de tidsfrister som finns. 6 Konsekvensbedömning Personuppgiftebehandling som är förenad med integritetsrisker måste föregås av en konsekvensbedömning och eventuellt samråd med Datainspektionen Dokumentation Arbetet med de dokument som påverkar och påverkas av införandet av DSF bedömer förstudien vara så pass omfattande att det beskrivs i en egen punkt även om behov av styrande och stödjande dokument lyfts upp i andra punkter. Målet med all dokumentation kring personuppgiftsbehandling på GU ska vara att hela organisationen är medveten om att en ny lagstiftning trätt i kraft och vad den innebär. Förutom att upprätta nya dokument måste andra delar av GU:s regelverk ses över så att de dels inte refererar till PuL och dels att de justeras för att möta de nya kraven. Dokument är också det som visar både utåt mot omvärlden och inåt mot medarbetarna att GU arbetar med tillämpningen av DSF och anpassningen till de nya kraven. Det är viktigt att ha det regelverket på plats så tidigt som möjligt. Jämte roller och kompetenser är det regelverket som ska styra och vägleda GU fram till att efterleva DSF Leverantörsavtal Kontroll över all behandling av personuppgifter Som personuppgiftsansvarig måste GU ha kontroll över alla personuppgiftsbehandlingar som görs inom ramen för GU:s verksamhet. Ansvarsskyldigheten är en av grundprinciperna, artikel 5.2. För att kunna leva upp till sitt ansvar måste GU känna till alla personuppgiftsbehandlingar som görs inom ramen för verksamheten. Kännedom om personuppgiftsbehandlingarna är också en förutsättning för att efterleva andra krav i DSF Krav på IT-system I DSF har krav på integritet och konfidentialitet lyfts upp som en av de grundläggande principerna. När personuppgifter behandlas ska lämpliga tekniska och organisatoriska åtgärder vidtas för att uppfylla kraven i förordningen både när beslut fattas om hur behandlingen ska genomföras och även under hela den fortsatta behandlingen. 8 En översyn av GU:s befintliga IT-system och tjänster med avseende på integritetsskydd ska genomföras på sikt. Precis som i fallet med inventering av personuppgiftsbehandlingar är detta ett arbete som inte ryms i sin helhet inom ramen för projektet. De pilotprojekt som förstudien rekommenderar i 6.5 kommer att involvera en granskning även av de Sida: 13 (21)

14 IT-system och tjänster som används som stöd för de personuppgiftsbehandlingar som ingår i inventeringen Vid nyanskaffning av IT-system och tjänster bör integritetsskydd lyftas som särskild punkt Personuppgiftsbehandling i praktiken Laglig behandling av personuppgifter All behandling av personuppgifter måste ske på laglig grund. 9 De villkor som utgör laglig grund anges i artikel 6 i DSF. Se även 3.1. Eftersom GU:s verksamhet är både mångfacetterad och decentraliserad kommer arbetet med anpassningen till DSF innebära att medarbetare inom hela GU bör känna till regelverket som styr personuppgiftsbehandling. 4.3 Osäkerheter En osäkerhet då det gäller börläget är hur DSF ska tillämpas i Sverige. Ett antal statliga utredningar har tillsatts i syfte att utreda den påverkan DSF kommer att ha inom olika verksamheter och behovet av kompletterande lagstiftning. De utredningar som är intressanta för GU är: SOU 2017:39 Dataskyddsutredningen. Utredningen har sett över vilka kompletterande bestämmelser som behövs på generell nivå till följd av dataskyddsförordningen. Utredarna har gett förslag till ny Dataskyddslag som ska innehålla de kompletterande bestämmelserna. Betänkandet är ute på remiss till den 1 september SOU 2017:50 Personuppgiftsbehandling för forskningsändamål. Utredningen har bland annat analyserat vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen föreslår. Betänkandet är ute på remiss till den 15 september SOU 2017: 49 EU:s dataskyddsförordning och utbildningsområdet. Utredningen har bland annat undersökt vilken reglering av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen föreslår. Betänkandet är ute på remiss till den 15 september Ambitionsnivån för ett börläge ska naturligtvis vara att GU ska följa DSF då den träder ikraft nästa år. Vad detta innebär och vilka förändringar i detalj avseende GU:s arbetssätt, kompetenser, IT-stöd m.m. som krävs ska klargöras i kommande projektplan. Se vidare avsnitt 6 Lösningsförslag. 4.4 Avgränsningar Förstudiens syfte har varit att planera för framtida projekt för att förbereda GU för DSF. Förstudiens omfattning har varit att identifiera avgränsningarna och beroenden för framtida projekt. I förstudien har det inte ingått att se över vilka IT-system eller tjänster som kommer att behöva förändras avseende funktionalitet för att uppfylla de nya kraven i DSF. 9 Sida: 14 (21)

15 Det har inte ingått utreda behov av eventuellt framtida systemstöd för registerförteckning över personuppgiftsbehandlingar eller hur kravställningen för ett sådant systemstöd skulle kunna se ut. 4.5 Beroenden och samarbeten Förstudien har tagit hänsyn till externa pågående arbeten i form av de statliga utredningar som pågått. Se Förstudien har också varit aktiv när det gäller att ta del av andras pågående arbeten med anpassningen till DSF till exempel från Lunds universitet och Chalmers. Flera av deltagarna i förstudiegruppen tar också del av en e-postlista som skapats på initiativ av Sunet där medlemmarna kan lyfta diverse frågor. Arbetet har inte varit beroende av information från andra men det har påverkat hur vi tolkat vissa krav i DSF och därmed har det påverkat till exempel hur vi gjort prioriteringar. 4.6 Organisation Projektbeställare: Marie Smedbro Projektägare: Dan Ekstrand Styrgrupp: Dan Ekstrand, Sören Ehrnberg och Max Petzold Förstudieledare: Carin Norlin Arbetsgrupp: Kristina Ullgren, Jörgen Svensson, Anders Ideskog, Maria Elmlund, Anna Mybeck och Marta Petrides 5 Resultat 5.1 Leveranser Leveranser etapp 1 Beskrivning Resultat 1. Intressent- och målgruppsanalys Intressentanalys är genomförd vid workshop 11 april. Upprättad intressentlista tas med in i projektet. 2. Riskanalys Vi har gjort riskanalys vid ett tillfälle upp uppdaterat risklistan ytterligare några tillfällen. Aktuell risklista tas med in i projektet. 3. Nulägesbeskrivning Att identifiera och planera de aktiviteter som var nödvändiga för att beskriva nuläget avseende personuppgiftsbehandling på GU var det arbete som tog mest tid och fokus i anspråk under etapp 1. Både intressentanalys och andra aktiviteter med koppling till nuläget visar att det finns många intressenter till arbetet. Primära grupper är forskare och den mera allmängiltiga alla anställda/ medarbetare. Vi har identifierat två huvudsakliga risker; att vi inte når ut i verksamheten med information om förstudien och kommande projekt samt att vi fokuserar arbetet på fel områden. Vi ansåg det nödvändigt att beskriva nuläget både utifrån ett teoretiskt perspektiv (organisation/ roller/ ansvar och dokumentation) och ett verksamhetsnära perspektiv (hur fungerar det i praktiken). 4. Börlägesbeskrivning Genomförd övergripande Börlägesbeskrivningen följde samma Sida: 15 (21)

16 kartläggning av förbättrade arbetssätt och processer struktur som nulägesbeskrivningen. 5. Eventuell GAP-analys Identifierat gap är mål för kommande projekt. Leveranser etapp 2 Beskrivning Resultat Hela förstudien gick ut på att identifiera hur stora skillnader det är mellan nuläget på GU och det önskade läget den 25 maj 2018 och därefter. Någon särskild workshop eller liknande i syfte att göra gapanalys genomfördes inte. 6. Fördjupad nulägesbeskrivning 7. Fördjupad börlägesbeskrivning Genomförd undersökning med exempel på nuvarande arbetssätt. Processbeskrivning av börläget nedbruten på aktivitetsnivå. 8. Begreppsdefinition Definiera personuppgifter och personuppgiftsbehandling enligt nya Dataskyddsförordningen. 9. Kravbeskrivning för funktionella krav 10. Kravbeskrivning för tekniska krav 11. Kravbeskrivning på integrationer och koppling till befintliga ITkomponenter 12. Arkitekturbeskrivning för ett framtida system 13.Nytto/effektvärdering 14. Identifierade kostnader Adresseras i projektet Adresseras i projektet Adresseras i projektet Adresseras i projektet Analys och beskrivning av identifierade nyttor, effekter och kostnader. I form av pengar eller merarbete som kan tänkas uppstå (lista över tänkbara resurser). 15. Budget och kalkyl För det eventuellt framtida projektet. 16. Förslag på framtida förvaltningsorganisation Förslag på framtida organisation för hantering av personuppgifter. 17. Förstudierapport En sammanfattning av vad förstudien kommit fram till i syfte att ge ett underlag till portföljledningen att besluta om ett framtida projekt ska starta. Se Vi insåg att processbeskrivningar och aktiviteter ligger på en sådan nivå att det hör hemma i det kommande projektet. Börläget beskrevs övergripande. Se Begreppsdefinition finns framtagen. Se bilaga 5 Beskrivning, analys och värdering av de nyttor och effekter påbörjades under etapp 1 och avslutades etapp 2. Se bil 1. Vi har inte uppskattat kostnad för framtida förvaltning, organisation eller utveckling av IT-system eller tjänster. Det är avhängigt dels hur GU beslutar om hur organisation ska se ut och dels den inventering av personuppgiftsbehandlingar som ska göras. Det senare ryms i sin helhet inte inom ramen för projektet. Budgetförslag presenteras för styrgruppen den 14 september. Se 7.5 Förstudierapport presenteras för styrgruppen den 14 september. Sida: 16 (21)

17 5.2 Ekonomiskt utfall Kostnader för: (belopp i tkr) Budget Utfall per aug 2017 (T1 och T2) Anställda GU Externa konsulter Övrigt Total Lösningsförslag Förstudien rekommenderar att GU inleder ett projekt i syfte att förbereda hela organisationen inför den DSF. Projektet bör, liksom förstudien har gjort, fokusera på organisation (behov av kompetenser), styrande och stödjande dokument samt fortsatt utredning av krav på IT-system och tjänster. Nedan följer en mer detaljerad beskrivning med hänvisningar till Datainspektionens webbsidor om DSF. 6.1 Dataskyddsombud Förstudien rekommenderar att ett dataskyddsombud utses och tillsätts. Dataskyddsombudet ska vara på plats den 25 maj Förstudien föreslår att dataskyddsombudet tillsammans med en stödorganisation ansvarar för verksamhetsstöd, utbildning och uppföljning avseende DSF. 6.2 Roller och kompetenser Förstudien rekommenderar att dataskyddsombudet ska stödjas av och ha nära samarbete med en stödorganisation bestående av flera medarbetare som tillsammans har bred kompentens inom det styrande regelverk som GU omfattas av. Förstudien rekommenderar att det utöver den centrala funktionen också på varje fakultet, institution, enheter eller motsvarande finns medarbetare som förutom kunskap om den verksamhet de verkar inom också ha en djupare insikt i frågor som rör personuppgiftsbehandling. Dessa medarbetare med kunskap om personuppgiftsbehandling kan fungera som en lokal support och ta hand om sådant som kan klassas som enklare frågor, hantera uppföljningen av personuppgiftsbehandling och förbättrande åtgärder. Dessa medarbetare ska ha fått en grundutbildning i DSF och personuppgiftsbehandling. Sida: 17 (21)

18 6.3 Styrande och stödjande dokument Förstudien rekommenderar att Styrande och stödjande dokument för personuppgiftsbehandling tas fram. GUs webb uppdateras med tydlig information till och tydliga kontaktvägar för alla berörda personalgrupper till exempel medarbetare inom administration, inom utbildning, inom forskning och studenter. 6.4 Laglig behandling av personuppgifter Förstudien rekommenderar att alla medarbetare informeras om grunderna i DSF. Information sprids genom lämpliga kommunikationskanaler till exempel webb, riktad e-post till prefekter och administrativa chefer för spridning till medarbetare, medverkan från projektet på informationsmöten för administrativa chefer, projektkontorets informationsträffar m.m. 6.5 Kontroll över all behandling av personuppgifter Förstudien rekommenderar att det inom ramen för projektet initieras en eller flera pilotprojekt avseende personuppgiftsbehandling där inventering av personuppgifter, klassning av uppgifterna, riskanalys på behandlingen och eventuell konsekvensbedömning görs. Det arbetssätt som blir resultatet av pilotprojekten kommer projektet att presentera under våren 2018 för fortsatt arbete inom verksamheten. Förstudien rekommenderar att inom ramen för projektet: Ta fram en struktur för att förteckna de personuppgiftsbehandlingar som görs på GU och påbörja registerförteckningen. Önskvärt är att registerförteckningen hanteras av någon typ av systemstöd som är GU-gemensamt och där all behandling kan rapporteras. 10 Se Genomföra en översyn av befintliga personuppgiftsbiträdesavtal. I de fall de måste korrigeras för att uppfylla kraven i DSF ska detta göras och nya personuppgiftsbiträdesavtal ska upprättas i de fall det saknas. 11 Ta fram en mall för personuppgiftsbiträdesavtal på svenska och engelska. Förstudien rekommenderar att intern granskning av personuppgiftsbehandling i framtiden ingår i interrevisionens årliga revisionsplanering. 6.6 Registrerades rätt till information om behandling av personuppgifter Förstudien rekommenderar att inom ramen för projektet ta fram: Sida: 18 (21)

19 Styrande dokument för information till registrerade och hur GU tillgodoser de registrerades rättigheter. Rutin för att säkerställa att GU informerar om laglig grund för behandling, hur länge uppgifterna sparas och hur den registrerade kan lämna klagomål till Datainspektionen i de fall personuppgifter behandlas på ett felaktigt sätt. Riktlinjer för hur dokumentation av hur samtycke ska ske. 6.7 Incidentrapportering Förstudien rekommenderar att inom ramen för projektet ta fram: Styrande dokument för hantering av personuppgiftsincidenter. Det ska vara tydligt var i organisationen ansvaret för att göra en sådan anmälan ligger så att anmälan kan göras i rätt tid (inom 72 timmar). Rutin för de fall information måste ske till den registrerade i de fall incidenten kan leda till att den registrerade utsätts för allvarlig risk. 6.8 Konsekvensbedömning Förstudien rekommenderar att inom ramen för projektet ta fram styrande dokument för de fall då registring är förenad med särskilda risker för enskildas fri- och rättigheter. Exempel på detta kan vara storskaliga register som innehåller särskilda kategorier av personuppgifter. I vissa fall ska samråd ske med Datainspektionen innan behandlingen får påbörjas. 6.9 Krav på IT-system och tjänster Förstudien rekommenderar att inom ramen för projektet ta fram styrande dokument gällande krav på och utformning av IT-system och tjänster där personuppgiftsbehandling sker. 7 Realisering i framtida projekt och förvaltning Mot bakgrund av förstudieresultatet följer nedanstående förslag till framtida projekt. 7.1 Projektorganisation Projektbeställare: Marie Smedbro Projektägare: Dan Ekstrand Projektledare: Carin Norlin Styrgrupp: Dan Ekstrand, Sören Ehrnberg, Max Petzold och ytterligare 2-3 medlemmar till exempel två prefekter och en representant från GF. Arbetsgrupp: Kristina Ullgren, Jörgen Svensson, Anders Ideskog, Anna Mybeck, Ola Ljungkrona, Malin Brink. Arbetsgruppens medlemmar ansvarar till en del för respektive områden enligt kommande projektplan där de har möjlighet att tillsätta ad hoc-arbetsgrupper för att komma fram till leveranserna. Projektledaren ansvararför projektet i sin helhet. Sida: 19 (21)

20 Referensgrupp: personer som representerar utbildning, forskning, administration och IT. Här är det viktigt att projektet engagerar studentrepresentant och representant från UB. 7.2 Tidplan Detaljerad tidplan görs i samband med projektplanen. Den 25 maj 2018 införs DSF och då måste projektet vara avslutat med undantag av slutrapport. 7.3 Resursbehov Se 7.1. Utöver det kommer projektet troligen att engagera kommunikationsenheten, IT-enheten och administration på fakulteter och institutioner. I vilken utsträckning är det i nuläget svårt att beräkna. 7.4 Uppskattad projektbudget Se bilaga Framtida förvaltningsorganisation I DFS har de registrerades rättigheter förstärkts samtidigt som PuA:s skyldigheter har utökats. Det ställer högre krav på en fungerande organisation både för att tillmötesgå kraven och för att hantera skyldigheterna. Mot bakgrund av förstudieresultatet rekommenderar förstudien att organiseringen av personuppgiftsbehandling med avseende på roller och kompetensbehov uppmärksammas hos GU:s ledning. Förstudien förordar inte att GU upprättar en särskild enhet eller liknande för ändamålet. På central nivå kan personuppgiftsbehandling ingå i den framtida GUSPP-modellen i Portföljstödet. Se fig 1nedan. Fig. 1 Styrstruktur enligt GUSPP Tidplanen för GUSPP- projektet sträcker sig längre fram i tiden än den för anpassningen till DSF men arbetet med organisationen för DSF ska påbörjas oavsett. Sida: 20 (21)

21 7.6 Intressenter En genomgång och uppdatering av befintlig intressentlista kommer att göras vid projektstart. Se bilaga 2 för förstudiens intressentlista. 7.7 Risker för projekt En genomgång och uppdatering av befintlig risklista kommer att göras vid projektstart. Se bilaga 3 för förstudiens risklista. 8 Bilagor Lista de bilagor som hör till delprojektrapporten Ref. Dokumentnamn, beteckning och namn Utgåva, datum 1 Nyttovärdering Intressentlista Ver Risklista Ver Budget Ver Begreppsdefinition Sida: 21 (21)