Revisionsrapport 2017 Genomförd på uppdrag av revisorerna oktober Sundsvalls kommun. Granskning av införandet av dataskyddsförordningen

Transkript

1 Revisionsrapport 2017 Genomförd på uppdrag av revisorerna oktober 2017 Sundsvalls kommun Granskning av införandet av dataskyddsförordningen

2 Innehållsförteckning 1 Sammanfattning Inledning... 3 Bakgrund... 3 Syfte... 3 Revisionsfrågor... 3 Revisionskriterier... 3 Ansvarig nämnd... 3 Genomförande... 4 Kvalitetssäkring Dataskyddsförordningen... 5 Datainspektionens vägledning Granskningsresultat... 7 Ansvarsfördelning avseende införandet av dataskyddsförordningen... 7 Verksamhetens arbete inför dataskyddsförordningen Sammanfattande bedömning, svar på revisionsfrågor och rekommendationer Källförteckning...16 Granskning av införandet av dataskyddsförordningen 1

3 1 Sammanfattning På uppdrag av kommunens revisorer har EY granskat arbetet med planering och anpassningar inför den nya dataskyddsförordningen. Syftet har varit att bedöma om kommunstyrelsen och nämnderna arbetar på ett ändamålsenligt sätt med planering och anpassningar inför införandet av den nya dataskyddsförordningen. Granskningen har även syftat till att bedöma om den interna kontrollen inom området är tillräcklig. Vår sammanfattande bedömning är att kommunstyrelsen och nämnderna inte arbetar på ett fullt ändamålsenligt sätt med planering och anpassningar inför införandet av den nya dataskyddsförordningen. Den interna kontrollen inom området bedömer vi inte vara tillräcklig. Granskningen visar att ansvarsfördelningen på tjänstemannanivå inte har tydliggjorts i tillräcklig omfattning. Vi uppmärksammar att ett arbete för att identifiera nödvändiga förändringar (kartläggning av befintliga system) i nämnderna/verksamheterna har påbörjats, men att omfattningen av arbetet skiljer sig mellan nämnderna. Sammantaget är vår bedömning att nödvändiga förändringar ännu inte har identifierats i tillräcklig omfattning i nämnderna/verksamheterna. På kommunövergripande nivå har arbetet med genomförande av nödvändiga anpassningar påbörjats men omfattningen av detta arbete behöver intensifieras och genomföras enligt plan, för att kunna färdigställas innan lagens ikraftträdande. Ute i nämnderna/verksamheterna har arbetet med nödvändiga anpassningar inte påbörjats i rimlig omfattning. Ett behov finns av information och stöd i detta arbete. Vi uppmärksammar att ett flertal nödvändiga anpassningar har identifierats inom ramen för det kommunövergripande HIT-projektets fas 1. Arbetet med genomförandet av anpassningarna har dock försenats, till stor del beroende på resurs- och kompetensbrist. Underlag för våra bedömningar samt svar på de uppställda revisionsfrågorna återfinns i avsnitt 3 och 4. Utifrån granskningens slutsatser, ger vi ett antal rekommendationer i det fortsatta arbetet: Kommunstyrelsen tydliggör hur styrelsens samordnande funktion ska fullgöras. tydliggör ansvarsfördelningen (utser dataskyddsombud). säkerställ att arbetet med de anpassningsbehov som identifierats genomförs innan förordningens ikraftträdande. följer upp det arbete nämnderna genomfört utifrån lagens krav ta fram och genomför utbildningsplan för personal som behandlar personuppgifter Samtliga nämnder tydliggör ansvarsfördelningen (utser dataskyddsombud). säkerställ att nödvändiga anpassningar identifieras och genomförs inom sina respektive verksamheter. Granskning av införandet av dataskyddsförordningen 2

4 2 Inledning Bakgrund Den 25 maj 2018 kommer den nya europeiska dataskyddsförordningen att ersätta den svenska personuppgiftslagen (PUL) och bli lag i Sverige. Förordningen innehåller bestämmelser om hur personuppgifter får behandlas av myndigheter. Det nya regelverket kan, enligt Datainspektionen, innebära stora förändringar för den kommunala verksamheten, vilket gör det angeläget med noggrann planering och förberedelse för anpassning till det nya regelverket. Det finns annars en risk att den enskildes personliga integritet kränks eller att kommunen tvingas betala sanktionsavgifter, om reglerna inte följs. De förtroendevalda revisorerna i Sundsvalls kommun har efter genomförd risk- och väsentlighetsanalys valt att granska kommunens arbete med förberedelse, anpassning och införande av den nya dataskyddsförordningen. Syfte Granskningens syfte är att bedöma om kommunstyrelsen och nämnderna arbetar på ett ändamålsenligt sätt med planering och anpassningar inför införandet av den nya dataskyddsförordningen. Granskningen syftar vidare till att bedöma om den interna kontrollen inom området är tillräcklig. Revisionsfrågor I granskningen ska följande revisionsfrågor besvaras: Har styrelsen/nämnden tydliggjort ansvaret? (T.ex ansvar för förändringsarbete samt att utsett dataskyddsombud och tydliggjort dennes roll och uppgifter). Har nödvändiga förändringar med anledning av införande av förordningen identifierats? Har nödvändiga anpassningar påbörjats i rimlig omfattning? Finns aktuella och ändamålsenliga rutinbeskrivningar för hur personuppgifter ska hanteras i verksamheterna? Har styrelsen/nämnderna informerat nyckelpersoner i verksamheterna om förändringarna och dess innebörd på ett tillräckligt sätt? Revisionskriterier Med revisionskriterier avses bedömningsgrunder som används i granskningen för analyser, slutsatser och bedömningar. Revisionskriterierna kan hämtas från lagar och förarbeten eller interna regelverk, policyer beslutade av fullmäktige. Kriterier kan också ha sin grund i jämförbar praxis eller erkänd teoribildning. I denna granskning utgörs de huvudsakliga revisionskriterierna av: Dataskyddsförordningen samt styrande och stödjande material från Datainspektionen ( Kommunallagen 6 kap. 7 Ansvarig nämnd Granskningen omfattar kommunstyrelsen och samtliga nämnder. Granskning av införandet av dataskyddsförordningen 3

5 Genomförande Granskningen har genomförts genom dokumentanalys samt intervjuer. Intervjuerna har huvudsakligen genomförts i juni 2017 och därefter har kompletterande intervjuer genomförts i oktober Se bilaga Källförteckning, för specifikation av intervjupersoner och granskade dokument. Kvalitetssäkring Utöver vår interna kvalitetssäkring har samtliga intervjuade givits möjlighet att komma med synpunkter på rapportutkastet. Detta för att säkerställa att revisionsrapporten bygger på korrekta fakta och uttalanden. Granskning av införandet av dataskyddsförordningen 4

6 3 Dataskyddsförordningen Dataskyddsförordningen blir, efter beslut i EU, svensk lag den 25 maj 2018 och ersätter därmed personuppgiftslagen (PUL) i Sverige. Dataskyddsförordningen reglerar, i likhet med PUL, grundläggande bestämmelser om enskildas rätt till skydd av personuppgifter. Att skydda enskildas grundläggande rättigheter och friheter kopplat till personuppgiftshantering är således ett av syftena med dataskyddsförordningen. En stor del av bestämmelserna i dataskyddsförordningen överensstämmer med tidigare bestämmelser enligt PUL, men några viktiga förändringar finns. Nedan sammanfattas de huvudsakliga förändringarna för organisationer 1 i korthet. Samtycke - Dataskyddsförordningen bygger i stor utsträckning på aktivt samtycke till registrering. I förordningen ställs särskilda krav på hur samtycke ska lämnas, i synnerhet vid behandling av känsliga personuppgifter (såsom uppgifter om hälsa eller religiös åskådning). Den som behandlar personuppgifter måste kunna visa att giltigt samtycke har lämnats av den som har registrerats. Ökade rättigheter - Enligt dataskyddsförordningen har den registrerade rätt att när som helst begära att få sina uppgifter raderade, med undantag för om det inte föreligger någon rättslig grund för behandlingen. Undantagsfall kan uppstå i de fall organisationen som hanterar personuppgifter behöver dessa för exempelvis bokföringsändamål. Med tanke på de ökade kraven som ställs på att de registrerade enkelt ska kunna få sina uppgifter raderade bör organisationen enligt Datainspektionen se över rutiner gällande hur en sådan begäran hanteras. Dataportabilitet när uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter som lämnats för att överföra dem till en annan tjänst. Konsekvensbedömning innan man planerar en ny personuppgiftsbehandling, vilken innebär särskilda risker för den registrerade, ska en bedömning göras av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska risker för den enskilde. Anmälan om personuppgiftsincident vid händelse av säkerhetsincident, exempelvis dataintrång eller oavsiktlig förlust av uppgifter, måste det anmälas till Datainspektionen inom 72 timmar. Vid risk för exempelvis id-stöld eller bedrägeri kan de personer vars personuppgifter berörs behöva informeras. Dataskyddsombud vissa organisationer, myndigheter eller andra former som behandlar känsliga uppgifter, eller är involverade i särskilt riskfylld behandling av personuppgifter, måste utse en person i organisationen som har som särskild uppgift att bevaka dataskyddsfrågor ett dataskyddsombud. Ombudet har bland annat till uppgift att utföra kontroller och informationsinsatser. Ombudet ska vara väl insatt i de lagar som gäller för personuppgiftsbehandling. 1 Dataskyddsförordningen gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. I detta avsnitt används begreppet organisation, vilket även innefattar kommuner. Granskning av införandet av dataskyddsförordningen 5

7 Missbruksregeln försvinner När dataskyddsförordningen träder ikraft kommer den så kallade missbruksregeln inte längre finnas kvar. Missbruksregeln innebär att man idag kan använda enklare regler för personuppgifter i ostrukturerat material, exempelvis information om personer i e-post, på internet eller i en enkel lista som man har i datorn. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser. Sanktionsavgift vid brytande mot förordningens regler kan Datainspektionen ålägga en sanktionsavgift. Avgiftens storlek är bland annat beroende av hur allvarlig överträdelsen är, om det skett avsiktligt eller inte samt vilka åtgärder som vidtagits för att minska skadan. Vid mindre förseelser riskerar den som bryter mot förordningen ett påpekande eller föreläggande om eventuella brister. Anses brottet däremot vara allvarligare, eller om organisationen anses ovillig att vidta nödvändiga åtgärder, riskeras böter upp till 20 miljoner euro eller 4 % av företagets/organisationens eller moderbolagets globala omsättning. Datainspektionens vägledning Datainspektionen är tillsynsmyndighet när det gäller kommunernas hantering av personuppgifter. Enligt Datainspektionens vägledning behöver kommunerna bl.a. förbereda sig inför Dataskyddsförordningens ikraftträdande på följande vis: Försäkra er om att beslutsfattare och nyckelpersoner inom organisationen är medvetna om att personuppgiftslagen kommer att ersättas av dataskyddsförordningen. Undersök hur organisationen kommer att påverkas av förordningen och identifiera de områden som ni måste arbeta särskilt med. Inventera och dokumentera vilka personuppgifter som hanteras, hur de samlas in och till vem uppgifterna lämnas ut. Gör en bred översyn för att ta reda på vilka uppgifter som hanteras inom de olika delarna av organisationen. Undersök om verksamheten har utnyttjat personuppgiftslagens undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln. Denna regel kommer inte att finnas kvar i förordningen. Undersök särskilt om behandling som idag stödjer sig på missbruksregeln är förenlig med dataskyddsförordningens bestämmelser. Granska den information som lämnas till de registrerade och fundera över vilka förändringar av den informationen som kan bli nödvändig att göra. Se över rutiner för att säkerställa att alla rättigheter som de registrerade har enligt dataskyddsförordningen kan uppfyllas, som exempelvis hur personuppgifter raderas och hur uppgifter lämnas ut elektroniskt i ett allmänt använt format. Undersök vilka olika typer av uppgifter som behandlas och med vilket rättsligt stöd detta görs. Dokumentera slutsatserna. Granskning av införandet av dataskyddsförordningen 6

8 Undersök på vilket sätt samtycke inhämtas, vilken information som lämnas och hur uppgiften om att samtycke har lämnats av den registrerade sparas. Fundera på hur kontroll av en persons ålder ska göras och hur vårdnadshavares samtycke inhämtas i samband med behandling av barns personuppgifter online. Se till att det finns tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter. Fundera på om personuppgiftsbehandlingen är förenad med särskilda risker för enskildas fri- och rättigheter och om det i så fall behöver göras en konsekvensbedömning avseende dataskydd Ta hänsyn till dataskyddsförordningens regler när nya IT-system tas fram eller befintliga förändras. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader. Bestäm var i organisationen som ansvaret för dataskyddsfrågor ska ligga. Utse ett dataskyddsombud. 4 Granskningsresultat Ansvarsfördelning avseende införandet av dataskyddsförordningen Politisk nivå Av kommunallagen 6 kap. 7 framgår att nämnderna var och en inom sitt område ska se till att verksamheten bedrivs i enlighet med de mål och riktlinjer som fullmäktige har bestämt samt de föreskrifter som gäller för verksamheten. Av kommunstyrelsens reglemente (Kf januari 2016) framgår att styrelsen har ett samordnande ansvar inom den kommunala koncernen. Vidare framgår att kommunstyrelsen ansvarar för att leda och samordna utveckling av informationssystem, IT och kommunikation, samt effektivisering av administration. Av informationssäkerhetspolicy för Sundsvalls kommun (Kf januari 2008) framgår att kommunstyrelsen har det yttersta ansvaret för informationssäkerheten inom kommunkoncernen. Av samtliga nämnders reglemente framgår att respektive nämnd är personuppgiftsansvarig för behandling av personuppgifter enligt personuppgiftslagen Tjänstemannanivå Av intervjuer framgår att det inom samtliga förvaltningar finns personuppgiftsombud (PUL 2 - ombud). Ingen av nämnderna har dock ännu utsett dataskyddsombud, enligt den nya dataskyddsförordningen. Av våra intervjuer framgår att PUL-ombuden har uppfattat sig som 2 PUL - Personuppgiftslagen Granskning av införandet av dataskyddsförordningen 7

9 ansvariga för arbetet med anpassningar efter den nya förordningen, med anledning av sin funktion som personuppgiftsombud. Av intervjuer framgår vidare att ett dataskyddsombud har rekryterats till Medelpads räddningstjänstförbund. Avsikten är att dataskyddsombudet ska vara placerat vid förbundet men fungera som ombud för Sundsvalls kommun. Enligt uppgift har förvaltningarna informerats om möjligheten att köpa denna tjänst via förbundet. Hittills har dock inget beslut fattats i frågan. Vi uppmärksammar, från våra intervjuer, att det upplevs finnas en otydlighet när det gäller det kommunövergripande, samordnande ansvaret för arbetet med införandet av dataskyddsförordningen. Otydligheten består i om koncernstaben, under kommunstyrelsen, har någon samordnande funktion i arbetet och i så fall hur omfattande denna samordnande funktion ska vara. Verksamhetens arbete inför dataskyddsförordningen Organisation av arbetet samt resurser Granskningen visar att arbetet med anpassningar inför dataskyddsförordningen bedrivs dels i projektform på kommunövergripande nivå dels på förvaltningsnivå, via personuppgiftsombuden. Hållbar informationsförvaltning i tiden (HIT) Under våren 2016 beställde koncernstaben (IT-direktören) HIT-projektet. Projektet startades upp under hösten 2016 och projektledare, styrgrupp och projektgrupp tillsattes. I styrgruppen ingick IT-direktör, kanslichef, chef servicecenter IT, säkerhetschef, stadsjurist, stabschef, kommunikationsdirektör. I projektgruppen ingick tre IT-strateger, jurist och IT jurist. Av projektdirektivet framgår att införandet av Dataskyddsförordningen var en av anledningarna till att projektet startade. Projektdirektiv och projektplan har godkänts på tjänstemannanivå. Projektets övergripande syfte är att kommunkoncernen ska ha en kvalificerad informationsförvaltning. Ett av projektets effektmål är att: Sundsvalls kommunkoncern ska uppfylla gällande lagstiftning för lagring av personuppgifter (PUL) samt den kommande lagstiftningen för dataskyddsförordning. Projektet har delats upp i två faser, varav den förberedande fas 1 skulle vara färdigställd i mars Av våra intervjuer framgår dock att kommunstyrelsens personuppgiftsombud (tillika jurist med specialkompetens inom området) avslutat sin anställning, vilket resulterat i att projektet påverkats mycket av kompetensbrist. Även projektledaren har avslutat sin anställning varför projektarbetet avstannade under våren Arbetet med projektets fas 2 har dock återupptagits i oktober 2017, då också en extern konsult har tagits in för att leda projektet. Representanter för koncernstaben och servicecenter upplever att det har förekommit många frågor från verksamheterna men att de på grund av kompetens- och resursbrist inte har haft Granskning av införandet av dataskyddsförordningen 8

10 möjlighet att erbjuda det stöd som efterfrågas. Ersättare för kommunstyrelsens personuppgiftsombud, med rätt kompetens bedömdes, vid våra intervjuer i juni, mycket svår att få tag på. Enligt uppgift har ett nytt PUL-ombud för kommunstyrelsen nu (oktober) engagerats till en omfattning av 50% och denne kommer inom kort att påbörja utövandet av denna roll. Personuppgiftsombudens arbete ute i förvaltningarna Inom Sundsvalls kommunkoncern finns totalt 28 PUL-ombud 3, vilket motsvarar ett ombud i varje förvaltning/bolag. Dessa PUL-ombud har, enligt våra intervjuer, upprättat ett kommuninternt nätverk för att arbeta med införandet av dataskyddsförordningen. Nätverket initierades av kultur- och fritidsnämndens registrator, med anledning av införandet av dataskyddsförordningen. Servicecenter har, som enda verksamhet, avsatt 50 % av sitt PUL-ombuds tjänst för arbetet med dataskyddsförordningen. PUL-ombudet började sin nya roll i maj 2017 och beskriver att vissa områden i uppdraget är otydliga. Exempelvis är det otydligt huruvida rollen innefattar ett kommunövergripande samordningsansvar. Vid tidpunkten för våra intervjuer (juni 2017) upplever kommunens PUL-ombud att det varierar hur mycket tid varje enskilt ombud har att avsätta för att arbeta med de uppgifter de har i rollen som PUL-ombud. Detta eftersom uppdraget ska rymmas inom ombudens ordinarie tjänster. Det upplevs även finnas variationer när det gäller PUL-ombudens kompetens och även detta kopplas till att ombuden har olika möjlighet att avsätta tid för frågan. Erfarenheter från nätverket är att vissa kommunala bolag i högre utsträckning har prioriterat arbetet med anpassningar inför Dataskyddsförordningen, både kompetensmässigt och i form av avsatta resurser. Nätverket beskrivs av de intervjuade PUL-ombuden som informellt och möjligheten att delta i de koncerngemensamma träffarna upplevs begränsad. Ett annat problem som upplevs av PUL-ombuden är att det inte finns någon representant från koncernstaben som är drivande i frågan. Det får konsekvenser både samordningsmässigt och kompetensmässigt, då det numera inte upplevs finnas någon ansvarig som håller samman arbetet i koncernen. Resurser Av projektdirektiv för HIT-projektet fas 2 framgår att projektet har tilldelats drygt 200 tkr för år För år 2018 finns ännu inga medel budgeterade för projektet. I övrigt noterar vi att styrelsen och nämnderna inte har budgeterat särskilda resurser för arbetet med införandet av dataskyddsförordningen. De intervjuade PUL-ombuden bekräftar att det inte tillförts extra resurser för ändamålet. Det arbete som bedrivits har skett inom beslutad ram Har nödvändiga förändringar med anledning av införande av förordningen identifierats? Kommunstyrelsen har i januari 2017 behandlat återrapportering från personuppgiftsombudet (som ej längre arbetar kvar). Rapporten avsåg arbetet med behandling/inventering av 3 Personuppgiftsombud. Granskning av införandet av dataskyddsförordningen 9

11 personuppgifter inom koncernstaben. Av rapporten framgår att det i ett flertal av de inventerade systemen fanns otydligheter som bland annat rörde: Oklarheter kring hur länge och var personuppgifter lagras Personuppgifter lagras i vissa fall långt längre än nödvändigt Brist på biträdesavtal 4 trots att jurist bedömer att behov finns Otydligt hur relationerna mellan koncernstaben och servicecenter ser ut rättsligt i relation till reglerna om personuppgiftshantering, vilket skapar oklarheter kring ansvar Brister i informationstillgänglighet för registrerade personuppgifter I rapporten pekas tre problemområden ut; kunskapsnivå och organisationskultur, oklara ansvarsförhållanden (internt och externt) samt bristande information till de registrerade. I rapporten lämnas också information om vilka åtgärder styrelsen behöver vidta för att anpassa sig till kommande förändringar i lagstiftningen. Vi noterar att kommunstyrelsen i samband med behandling av rapporten beslutade att uppdra till avdelningschefer vid koncernstaben att i sin verksamhet arbeta med relevanta utvecklingspunkter samt noterade brister. Identifierade förändringar inom HIT-projektet Representanter för koncernstaben och servicecenter uppger att en majoritet av de nödvändiga förändringar som behöver göras inför införandet har identifierats. Arbetet upplevs dock ha varit svårt då kunskapen i hur frågan ska hanteras inte har funnits, och inte heller har kunnat erhållas externt, av exempelvis Sveriges Kommuner och Landsting (SKL). Av slutrapport för HIT-projektets fas 1 framgår att det inom ramen för projektet har identifierats ett antal åtgärder som återstår att genomföras på kommunövergripande nivå innan lagen träder i kraft. Följande kan nämnas: Uppdatera styrdokumenten utifrån beslutad styrmodell. Ta fram en samlad och tydlig (digital) plats med instruktioner över hur verksamheten ska gå tillväga för att följa gällande styrdokument och regleringar. o Ta fram en guide med informations-/utbildningsmaterial som ger verksamheten stöd kring frågor som rör informationsförvaltning och informationssäkerhet. o En genomgång för att strukturera Datainspektionens informationsmaterial om Dataskyddsförordningen Vidare framgår av rapporten att det tillkommer arbete med att säkra upp ytterligare styrdokument, informationssäkerhetspolicy och handbok. Koncernstaben avser även säkra upp avtal för utbildning inom området och revidera dokumenten Strategi för hantering av allmänna handlingar och Regler för e-arkiv. Detta ska genomföras i projektets fas 2, där införandet även kommer lägga fokus vid kommunikation och utbildning. Granskningen visar att projektslutrapporten har behandlats på tjänstemannanivå. Kommunstyrelsen har inte behandlat rapporten. 4 Ett personuppgiftsbiträdesavtal ska upprättas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Avtalet ska bl.a. föreskriva att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta lämpliga säkerhetsåtgärder. Granskning av införandet av dataskyddsförordningen 10

12 Identifierade förändringar i förvaltningarna Av våra intervjuer med personuppgiftsombuden framgår att den samlade bilden är att verksamheterna inte i tillräcklig omfattning har identifierat vilka förändringar som nödvändiga med anledning av införandet av Dataskyddsförordningen. Orsaken uppges vara att möjligheterna till att avsätta tid skiljer sig mellan ombuden. Vissa ombud avser att ta fram en handlingsplan för den nämnd som denne representerar, medan andra upplever det otydligt vem som bör ansvara för detta samt att arbetet försenats på grund av bristande resurser och otydlig ansvarsfördelning. Vi uppmärksammar att personuppgiftslagen finns med som ett kontrollområde i NAVIs 5 riskanalys inför internkontrollplan 2016 och Av riskanalysen framgick att dåliga kunskaper om PUL riskerar att leda till felaktig hantering av personuppgifter. Förslaget var att kontrollera detta genom att utbilda anställda eftersom felaktig hantering kan leda till att persons integritet kränks. Inför år 2017 bedömdes dock risken för detta som osannolik och eventuella konsekvenser som försumbar. Vi har i granskningen inte tagit del av någon annan nämnd som behandlat området i sin riskanalys Har nödvändiga anpassningar påbörjats i rimlig omfattning? Genomförda anpassningar inom ramen för HIT-projektet Av projektslutrapport (HIT-projektet, fas 1) framgår att ett systemstöd som fungerar som ett register över personuppgifter har tagits fram inom ramen för projektet. Systemstödet syftar till att kartlägga vilka personuppgiftsregister som finns inom kommunen. Alla personuppgiftsombud har tilldelats behörighet till systemet. Systemstödet har olika registreringsfunktioner, och möjliggör kartläggning av vilka system som omfattas av vilka personuppgifter. Det är även möjligt att sortera i registret för att kontrollera vad som är klart inför övergången till Dataskyddsförordningens krav. Av projektslutrapporten framgår vidare att en bruttolista över tekniska krav som ska beaktas vid upphandling av funktion eller tjänst som kräver ett IT-stöd, eller ett rent IT-stöd i sig, har tagits fram. Denna bruttolista har börjat tillämpas vid upphandling av IT-stöd. Genomförda förändringar inom förvaltningarna Av våra intervjuer med PUL-ombuden framgår att det vid intervjutillfället i juni endast var ett fåtal som påbörjat registrering i systemstödet som tagits fram, och detta då endast i begränsad utsträckning. Ombuden beskriver en osäkerhet i systemets omfattning och att det inte finns några riktlinjer och rutiner för hur systemet ska användas. Enligt uppgift har arbetet i vissa förvaltningar och bolag tagit fart efter våra intervjuer. Det uppges dock vara stor skillnad mellan förvaltningarna såtillvida att det är i de förvaltningar/bolag som tilldelat tid och resurser som arbetet också har kommit igång. Fortfarande återstår mycket arbete att göra innan allt är klart, enligt koncernstaben. Av våra intervjuer framgår att det hittills i övrigt inte genomförts några anpassningar ute i verksamheterna. PUL-ombuden uppger att de avvaktar vägledning och instruktioner från kommunövergripande nivå när det gäller vad som ska genomföras och de har avvaktat med att inleda ett förändringsarbete inom sin verksamhet eftersom det saknats tillräcklig kunskap och stöd för att påbörja förändringsarbetet. 5 NAVI Nämnden för Arbetsmarknad Vuxenutbildning och Integration Granskning av införandet av dataskyddsförordningen 11

13 Av våra intervjuer framgår vidare att verksamheternas PUL- ombud uttrycker ett stort behov av en central samordnande funktion som kan vara drivande i arbetet. De beskriver att samordningen har varit svag, och förordar central samordning ur ett effektiviserings- och likvärdighetsperspektiv eftersom det skulle medföra större enhetlighet inom kommunen, än att alla verksamheter arbetar med egna lösningar Finns aktuella och ändamålsenliga rutinbeskrivningar för hur personuppgifter ska hanteras i verksamheterna? Granskningen visar att det i kommunen finns ett flertal styrdokument kopplade till ITsäkerhet, informationshantering och informationsförvaltning. Följande kan nämnas: Informationssäkerhetspolicy (2008) Informationssäkerhetshandbok instruktioner för IT-användare (2012) Informationsförvaltningshandbok (2017) Riktlinjer för informationssäkerhetsklassning (2017) Process för informationsklassning (2015) Riktlinjer för val av molntjänst (2016) Granskningen visar vidare att ett av delmålen i HIT-projektet fas 1 var: Reviderade styrdokument inom området utefter gällande riktlinjer för styrdokument. Av projektslutrapporten för fas 1 framgår att detta ännu inte genomförts. Inom ramen för projektet har det dock gjorts en kartläggning över befintliga styrdokument med tillhörande förslag på hur de bör hanteras. I projektslutrapporten föreslås att en översyn görs av styrdokument som påverkar informationsförvaltningen i koncernen Har styrelsen/nämnderna informerat nyckelpersoner i verksamheterna om förändringarna och dess innebörd på ett tillräckligt sätt? Granskningen visar att kommunstyrelsen i september 2017 informerats om arbetet med kommunens IT- och informationssäkerhet. I övrigt kan vi inte se att kommunstyrelsen efterfrågat eller tagit del av information rörande arbetet med förberedelser inför den nya Dataskyddsförordningen. Av projektslutrapport (HIT-projektet fas 1) framgår att det inom projektet har gjorts en inventering av vilka utbildningar som finns inom området. Vidare har det inom ramen för projektet upprättats visst informationsmaterial i syfte att informera om Dataskyddsförordningen. Följande kan nämnas: Informationssäkerhet av Myndigheten för Skydd och Beredskap, DISA. En presentation om Dataskyddsförordningen. En presentation om Säker, långsiktig, kvalificerad informationsförvaltning. Av rapporten framgår att det förstnämnda dokumentet har spridits till verksamheten bl.a. genom PUL-nätverket. I övrigt har ovanstående material ännu inte spridits till medarbetare i kommunen. Granskning av införandet av dataskyddsförordningen 12

14 Representanter för servicecenter och koncernstaben beskriver vid intervjuer att utbildningsinsatser är på gång, och som tidigare nämnts är avsikten att detta ska genomföras i HIT-projektets fas 2. De betonar även vikten av att kompetensen i verksamheterna höjs. Av våra intervjuer med verksamheternas PUL-ombud framgår att dessa efterlyser utbildning och information från kommunövergripande nivå när det gäller de kommande förändringarna. Detta eftersom de upplever det svårt att själv skaffa information på grund av tidsbrist. Exempelvis behövs vägledning för att kunna bedöma hur lagstiftningen ska tolkas. Andra exempel som, enligt de intervjuade, kräver utbildning och information är hantering av ostrukturerat material då missbruksregeln försvinner, tillvägagångssätt när system omfattar flera verksamheter och olika typer av personuppgifter, eller om en medborgare vill ta bort sina personuppgifter från en verksamhet och personuppgifterna omfattas av andra system. Granskning av införandet av dataskyddsförordningen 13

15 5 Sammanfattande bedömning, svar på revisionsfrågor och rekommendationer Vår sammanfattande bedömning är att kommunstyrelsen och nämnderna inte arbetar på ett fullt ändamålsenligt sätt med planering och anpassningar inför införandet av den nya dataskyddsförordningen. Den interna kontrollen inom området bedömer vi inte vara tillräcklig. Bedömningen baseras på nedanstående: Revisionsfråga Har styrelsen/nämnden tydliggjort ansvaret? (T.ex ansvar för förändringsarbete samt att utse dataskyddsombud och tydliggjort dennes roll och uppgifter). Har nödvändiga förändringar med anledning av införande av förordningen identifierats? Har nödvändiga anpassningar påbörjats i rimlig omfattning? Sammanfattande bedömning Vår bedömning är att ansvarsfördelningen på politisk nivå är tydlig. Ansvarsfördelningen på denna nivå regleras i lagstiftning och i styrelsens och nämndernas reglementen. Vi bedömer dock att ansvarsfördelningen på tjänstemannanivå inte har tydliggjorts i tillräcklig omfattning. Dataskyddsombud behöver utses av respektive nämnd och därtill behöver styrelsen tydliggöra Servicecenters ansvar när det gäller personuppgiftsbehandling samt även tydliggöra styrelsens samordnande funktion av arbetet. Vår bedömning är att nödvändiga förändringar med anledning av införandet av förordningen till stor del har identifierats på kommunövergripande nivå. Detta har huvudsakligen skett inom ramen för HITprojektet. Vi uppmärksammar att ett arbete för att identifiera nödvändiga förändringar (kartläggning av befintliga system) i nämnderna/verksamheterna har påbörjats. Omfattningen av arbetet skiljer sig dock mellan nämnderna och vår bedömning är sammantaget att nödvändiga förändringar ännu inte har identifierats i nämnderna/verksamheterna, i tillräcklig omfattning. Vi bedömer att arbetet med nödvändiga anpassningar har påbörjats på kommunövergripande nivå men att omfattningen av detta arbete behöver intensifieras och genomföras enligt plan, för att kunna färdigställas innan lagens ikraftträdande. Vår bedömning är också att arbetet med nödvändiga anpassningar ute i nämnderna/verksamheterna inte har påbörjats i rimlig omfattning. Vår uppfattning är att verksamheterna behöver information och stöd i detta arbete. Granskning av införandet av dataskyddsförordningen 14

16 Finns aktuella och ändamålsenliga rutinbeskrivningar för hur personuppgifter ska hanteras i verksamheterna? Har styrelsen/nämnderna informerat nyckelpersoner i verksamheterna om förändringarna och dess innebörd på ett tillräckligt sätt? Vår bedömning är att det ännu inte finns aktuella och ändamålsenliga rutinbeskrivningar för hur personuppgifter ska hanteras i verksamheterna. Vi noterar dock att avsikten är att en översikt av befintliga styrdokument har planterats i HIT-projektets fas 2. Vi uppmärksammar att behovet av information och utbildning har uppmärksammats på kommunövergripande nivå, inom ramen för HIT-projektets fas 1. Vi bedömer dock att verksamheternas nyckelpersoner ännu inte har informerats på ett tillräckligt sätt om förändringarnas innebörd. Denna bedömning baseras huvudsakligen på PUL-ombudens upplevelse av brist på information när det gäller den praktiska innebörden av den nya lagstiftningen. I syfte att utveckla verksamheten rekommenderar vi att följande prioriteras: Kommunstyrelsen tydliggör hur styrelsens samordnande funktion ska fullgöras. tydliggör ansvarsfördelningen (utser dataskyddsombud). säkerställ att arbetet med de anpassningsbehov som identifierats genomförs innan förordningens ikraftträdande. följer upp det arbete nämnderna genomfört utifrån lagens krav ta fram och genomför utbildningsplan för personal som behandlar personuppgifter Samtliga nämnder tydliggör ansvarsfördelningen (utser dataskyddsombud). säkerställ att nödvändiga anpassningar identifieras och genomförs inom sina respektive verksamheter. Sundsvall den 20 oktober 2017 Linda Marklund Certifierad kommunal revisor Petra Nylander Verksamhetsrevisor Granskning av införandet av dataskyddsförordningen 15

17 6 Källförteckning Dokumentation tillhandahållen av Sundsvalls kommun: o Informationsförvaltningshandbok o Informationssäkerhetspolicy o Informationssäkerhetshandbok o Process för informationssäkerhetsklassning o Projektdirektiv HIT-projektet fas 1 o Riktlinjer för informationsäkerhetsklassning o Riktlinjer vid val av molntjänst o Reglemente för kommunstyrelsen (Kf januari 2016) o Utökad rapport inventering av personuppgifter vid koncernstabens verksamhet, med notering av brister Övrig dokumentation: o Kommunallagen o Underlag från Datainspektionen o Minnesanteckningar från intervjuer samt kompletterande mail/telefonkontakt o Protokoll Intervjuer har genomförts med: o o o o o o o IT-direktör Jurist Chef servicecenter Avdelningschef Servicecenter Administration Avdelningschef Servicecenter IT IT-strateg PUL-ombud för sex olika nämnders verksamhetsområden Granskning av införandet av dataskyddsförordningen 16