Slutrapport: DSF-projektet

Transkript

1 Sid 1(14) KOMMUNLEDNINGSKONTORET Karlstad Stefan Johannesen, Slutrapport Projektledarens beskrivning och sammanfattning av erfarenheterna från det genomförda projektet. Slutrapport: DSF-projektet Karlstads kommun Webbplats karlstad.se E-post Organisationsnr Postadress Karlstads kommun Karlstad Besöksadress Kontaktcenter Västra Torggatan 26 Telefon Fax Bankgiro

2 Sid 2(14) Innehåll 1 Projektets bakgrund Projektbeställare och projektets uppdrag Bakgrund till projektet Måluppfyllelse Projektresultat, arbetssätt och genomförande Inventering Analys av inventering Organisation dataskyddsombud Samordning och stöd Förbereda för förvaltning av projektets resultat Förändring av krav och mål Projektförloppet Genomförande och organisation Erfarenheter Organisation, roller och ansvar Ändringshantering Leverans och överlämning Kommunikation och informationsspridning Övrigt Slutord... 14

3 Sid 3(14) 1 Projektets bakgrund 1.1 Projektbeställare och projektets uppdrag Projektets övergripande målsättning och syfte var att koncernen skulle vara väl förberett inför de nya reglernas ikraftträdande under år Projektbeställare var Ulf Nyqvist, kommundirektör. 1.2 Bakgrund till projektet Nya regelverk träder i kraft under våren De kommer att ha stor inverkan på kommunal verksamhet, såväl inom förvaltningar som bolag. Regelverken innebär skärpningar och konsekvenser med avseende på intern och extern informationshantering av personuppgifter och informationshantering för samhällsviktiga funktioner. Dataskyddsförordningen (DSF) ersätter personuppgiftslagen och därmed skärps den enskildes personliga integritet. Nätverks- och informationssystemsskyddsdirektivet (NIS) och en ny säkerhetsskyddslag tar på motsvarande vis sikte på att skydda samhällets, och den offentliga sektorns, robusthet och Sveriges säkerhet. De nya regelverken förväntas medföra både ekonomiska och verksamhetsmässiga konsekvenser för koncernen Karlstads kommun. DSF, NIS och nya Säkerhetsskyddslagen medför likartade krav på verksamheterna vid inventering och klassificering av informationstillgångar samt vid inventering av verksamhetsprocesser. Därför sågs vid projektets början att det fanns klara synergieffekter om arbetet med de tre nya regelverken samordnas i samma projekt. Det här är en slutrapport för DSF-projektet, som har pågått under Projektet kommer även förlängas så att det pågår fram till den 20 juni Projektförlängningen har samma mål men andra aktiviteter som baseras på de behov och åtgärder som identifierats under huvudprojektets gång under Projektförlängningen slutredovisas i juni.

4 Sid 4(14) 2 Måluppfyllelse 2.1 Projektresultat, arbetssätt och genomförande Inventering Mål Alla förvaltningar och bolag ska ha getts de förutsättningar som krävs för att kunna definiera och upprätta en sammanhållen inventering av respektive verksamhets informationstillgångar som regleras av DSF, och om möjligt NIS och den nya säkerhetsskyddslagen. Arbetssätt Inventeringen bestod av flera steg. 1. Definiera termer och begrepp vilka sedan ska användas i aktiviteter och kommunikation för att nå projektets mål. 2. Identifiera kontaktpersoner i samtliga nämnder och bolag som kan genomföra inventeringen inom sin respektive verksamhet. 3. Ta fram ett inventeringsunderlag och ett lämpligt verktyg i vilket inventeringen inrapporteras till projektet. 4. Genomföra inventeringsfasen och stödja kontaktpersonerna i inventeringsarbetet genom manualer, supportmöten och informationsträffar. 5. Efter inventeringen uppmanades kontaktpersonerna att arbeta vidare genom att komplettera och förbättra sina inventeringar, inom ramen för respektive verksamhets ordinarie personuppgiftsansvar. Att ta fram ett inventeringsunderlag och ett inventeringsverktyg visade sig mer komplicerat och tidskrävande än förväntat varför själva inventeringsarbetet som genomfördes och inrapporterades av verksamheterna själva påbörjades senare. Inventeringen var i de flesta fallen inrapporterad i slutet av juni och arbetet höll i stort sett tidsplanen. Resultat Inventeringen gav en lägesbild över koncernens arbete och kravuppfyllnad utifrån personuppgiftslagen. Över 900 personuppgiftsbehandlingar rapporterades in i inventeringen. Inventeringen utgör även grunden för skapandet av ett koncernövergripande personuppgiftsregister. Inventeringsfilerna förvaras tills vidare i ett grupprum i Sharepoint i väntan på ett permanent registerverktyg. När det gäller NIS och den nya säkerhetsskyddslagen har omständigheter begränsat projektets möjligheter till inventering och fortsatt arbete. Vid projektets början 2017 var utgångspunkten att både den nya säkerhetsskyddslagen och NIS skulle träda i kraft under året. Ett antal möten hölls med representanter för koncernens verksamheter under hösten 2017, där det konstaterades att det finns ett blandat intresse både högt och lågt att ha koncernsamverkan men också att det inte finns så många konkreta förberedelser att göra så länge inga slutgiltigt fastställda lagförslag finns.

5 Sid 5(14) Analys av inventering Mål Alla förvaltningar och bolag ska ha getts de förutsättningar som krävs för att kunna identifiera vilka åtgärder som krävs för att uppfylla de nya lagkraven i DSF, och om möjligt NIS och den nya säkerhetsskyddslagen. Arbetssätt Projektgruppen genomförde en grundläggande analys av inventeringen och tog även fram en instruktion för hur kontaktpersonerna kan arbeta vidare med egenanalys. Som stöd i arbetet hölls även ett antal analysmöten där vi tillsammans gick igenom inventeringen och diskuterade aktuella frågor. De kontaktpersoner som knöts till projektet anmodades att genomföra egna analyser och uppmanades att genomföra egna åtgärder inom ramen för sin verksamhets ordinarie personuppgiftsansvar. Frågor man inte kunde hantera, eller som kunde vara gemensamma för flera nämnder, lyftes till projektgruppen. Analysen av de konkreta, individuella och specifika personuppgiftsbehandlingarna ansvarade verksamheterna för. Det kräver stor verksamhetsspecifik kunskap för den uppgiften: man måste veta vad man använder uppgifterna till. Projektets roll har varit att ta fram en mall för inventeringen, fungera som ett stöd vid inventeringsarbetet, vara behjälpliga vid analysen av eventuella åtgärder och fånga upp och ta fram förslag och mallar på koncerngemensamma behov till exempel gemensamma benämningar på personuppgiftsbehandlingar. Analysen av inventeringen pågick från augusti till och med oktober. Resultat En grundläggande slutsats är att projektet har hanterat svåra och komplexa frågor som ofta måste avgöras genom bedömningar och avvägningar. Det finns många gråzoner och svaren är sällan entydiga och självklara. Detta ställer höga krav på förståelse och kunskap hos den som hanterar personuppgifter, men framför allt att det måste finnas avsatt tid och att uppgifterna får den prioritering som krävs. Det är viktigt att all personal har en grundkunskap om hur man hanterar personuppgifter. Personal som med högre regelbundenhet hanterar personuppgifter till exempel chefer (som är ansvariga för verksamheten), systemförvaltare, kommunikatörer, nämndsekreterare, registratorer, dagens personuppgiftsombud och framtidens personuppgiftssamordnare och dataskyddsombud behöver ha god förståelse för regelverket så att man kan agera snabbt och autonomt. Dataskyddsförordningen kommer att ställa betydligt högre krav på koncernens förmåga när det gäller skydd av enskildas personliga integritet och det finns ett behov av att höja den generella kunskapsnivån. Utbildning eller repetition med något eller några års regelbundenhet rekommenderas. En annan allmänt hållen slutsats är att inga stora eller akuta brister identifierades i inventeringen. Undantaget från detta var att det i vissa fall föreföll saknas fullt utvecklade personuppgiftsregister i egentlig mening. Faktum är att det redan i personuppgiftslagen, som trädde i kraft år 1995, föreskrevs att det ska finnas register. Skillnaden gentemot

6 Sid 6(14) dataskyddsförordningen är att kraven skärps ytterligare. I och med att inventeringarna upprättades åtgärdades i huvudsak den här bristen. Detaljnivån i inventeringen skiljer sig mellan de olika verksamheterna, vilket har föranlett slutsatsen att det fanns ett behov av en gemensam målbild och terminologi kring personuppgiftsbehandlingar och personuppgiftsregister för att man på sikt ska kunna skapa en stark koncernsamverkan och styrning. Ett första steg, som genomfördes inom ramen för projektet, var att ta fram koncerngemensamma benämningar på de vanligast förekommande personuppgiftsbehandlingarna, inom områdena personaladministration, nämndadministration samt ekonomi. Inventeringarna uppfyllde ibland inte kraven för att kunna analyseras på grund av att man inte hade rapporterat in enbart behandlingar av personuppgifter utan snarare hade angett system och processer i vilka personuppgifter kan förekomma. Man kan se på verksamheten ur ett processperspektiv, där verksamheten består av ett antal olika processer. Det kan till exempel handla om nämndadministration som kan ses som en ärendehanteringsprocess eller en politisk process genom vilken kommunen styrs. Personuppgifter hanteras i processerna, som kan ses som flöden. Ur ett systemperspektiv kan personuppgiftsbehandling vid nämndadministration i stället ses genom de system som används. Personuppgifter hanteras i exempelvis W3D3, Agresso och Heroma. I inventeringarna angavs således i vissa fall rena system och i vissa fall rena processer. Dataskyddsförordningen föranleder ett nytt verksamhetsperspektiv: vid inventeringen av personuppgifter i koncernen framkom det att det är fördelaktigt att tänka ur ett informationshanteringsperspektiv. Inventeringen, men även det framtida personuppgiftsbehandlingsregistret, tar sikte på informationen i sig där det primära är informationens innehåll, vem som ansvarar för den och varför man hanterar informationen. Ett annat hinder för djupare analys var att inte alla inventeringsfrågor var besvarade. Samtidigt gjorde den varierande detaljnivån det svårt att genomföra djupare analyser av inventeringen. Inventeringarna och det framtida registret behöver dels kompletteras med hänsyn till ovanstående, men måste också hädanefter ständigt underhållas och förvaltas. Vid analysen av inventeringen framkom även att koncernen: Behöver förbättra hur vi informerar den enskilde/registrerade att vi hanterar personuppgifter. Mallar för detta tas fram i projektförlängningen. Behöver se över vilka lagliga grunder man har för sina personuppgiftsbehandlingar. Genomförs av respektive förvaltning och bolag. Behöver se över vilka lagliga grunder man har för behandling av känsliga personuppgifter. Genomförs av respektive förvaltning och bolag. Behöver ta fram rutiner för att trygga en säker behandling. Behöver ta fram nya personuppgiftsbiträdesavtal. Mallar för detta tas fram i projektförlängningen.

7 Sid 7(14) Organisation dataskyddsombud Mål Ge förslag på organisation för dataskyddsombud och andra eventuella organisatoriska förändringar. Arbetssätt Att ta fram ett organisationsförslag är en process som funnits med i hela projektarbetet. Förslaget togs fram genom diskussioner inom projektgruppen, med styrgruppen, avstämningar med FD/VD-gruppen och genom jämförelser med andra kommuner. SKL:s rekommendationer har också varit vägledande. Arbetet med organisationsförslaget har i stort sett hållit tidsplanen och pågick mellan september och december. Resultat: Organisation dataskyddsombud Organisationsförslaget återfinns i dokumentet Organisationsförslag dataskyddsombud (Dnr: KS ) Samordning och stöd Mål Samordna och ge stöd till kommunens verksamheter så att de ges förutsättningar att implementera DSF, NIS och den nya säkerhetsskyddslagen genom utbildning samt samverkan och informationsutbyte mellan berörda parter i projektet. Informera och stödja koncernen gällande de nya lagarna. Genomföra utbildnings- och kompetensförhöjande insatser till riktade målgrupper. Arbetssätt Projektets huvudmål var att koncernen skall vara väl förberedd inför de nya lagarnas ikraftträdande i maj 2018 och den samordnande och stödjande rollen löpte som en röd tråd genom arbetet. Projektet har strävat efter att hitta pragmatiska och lösningsfokuserade lösningar så att projektets resultat kommer att vara praktiskt tillämpbara. Informationsansvaret och ägarskapet ligger alltid på respektive nämnd och bolag. Varje nämnd och bolag ansvarar alltså för sina personuppgiftsbehandlingar. Projektets uppdrag har i enlighet med den utgångspunkten varit att skapa förutsättningar för eget lärande och eget ansvarstagande. Den utgångspunkten har också valts för att säkerställa att kunskap, ansvarsförhållanden och arbetssätt inte förändras eller förloras efter projektets avslut. Vid arbetet med inventeringen hölls öppna möten för samtliga kontaktpersoner i syfte att skapa ett öppet forum kring inventeringsarbetet. Vid mötena diskuterades allt ifrån hur man kan arbeta vid inventeringen, personuppgifter och personuppgiftbehandling utifrån ett system-, processrespektive informationshanteringsperspektiv. Efter det huvudsakliga inventeringsarbetet hölls även ett antal analysmöten där olika frågor som uppstod vid analysen av materialet diskuterades. Vid samtliga möten

8 Sid 8(14) fångades olika behov upp som med fördel kunde lösas genom samordning eller av projektet. Många av de behoven adresseras i projektförlängningen. Huvuddelen av all information har publicerats på Solsidan. Information som har bedömts ha ett större allmänintresse har även publicerats på karlstad.se. Under projektets gång har det även funnits möjligheter att ställa frågor via ett webbformulär, genom projektplatsen i Sharepoint, via Solsidan, eller direkt till projektgruppen. Projektet har även deltagit i flera informationsträffar både internt i kommunen såväl som externt med andra kommuner. Genom gemensamma öppna möten, dialog och samverkan har hela koncernen kunnat höja kompetensen och förståelsen kring dataskyddsförordningen. Att arbeta med frågorna höjer kompetensen även om man inte märker det förrän först efteråt och hela projektet har på så vis inneburit en lärprocess för alla inblandade. Öppenhet och samverkan har manifesterat sig i till exempel inventeringsarbetet, där alla nämnder och bolag kunnat titta på varandras inventeringar för att kunna jämföra och lära av varandra. För att stödja alla nämnder och bolag har gemensamma dokument tagits fram: stöd för fortsatt analys av inventering och ett förslag till gemensamma personuppgiftsbehandlingar inom områdena ekonomi, personal och nämndadministration. Stor fokus lades även på framtagandet av ett inventeringsverktyg som både är enkelt att arbeta med och även kan användas som en grund inför skapandet av ett ändamålsenligt registerverktyg. Inledningsvis undersöktes om Sharepoint och Esmaker kunde användas som plattform för inventeringsarbetet men båda bedömdes vara krångliga, varför Excel slutligen valdes. Projektet har tagit fram en webbutbildning och arrangerade även en utbildningsdag. En röd tråd i hela projektet har varit utgångspunkten att ingen i koncernen ännu har arbetat med dataskyddsförordningen även om vi givetvis har goda grunder i dagens personuppgiftslag vilket innebär att vi lär oss tillsammans i koncernen genom gemensam analys, diskussion och att prova sig fram. Många frågor baseras på avvägningar och praxis och har inte alltid glasklara och ömsesidigt uteslutande svar. Webbutbildningen som togs fram riktas till alla medarbetare i hela koncernen och ska ge grundkunskap om dataskyddsförordningen och hantering (behandling) av personuppgifter. Utbildningen ska kunna användas över tid. Utbildningstillfället var en punktinsats som byggde vidare på webbutbildningen och riktades främst till chefer, systemförvaltare, kommunikatörer, nämndsekreterare, registratorer och personuppgiftsombud. Utbildningen pågick en förmiddag i december och bestod av en teoridel som varade cirka en timme, samt en praktikdel med olika case som varade i ungefär två timmar. Båda utbildningarna utvärderades och fick bra omdömen. Samordning och stöd löpte enligt tidsplanen som en röd tråd genom hela projektet.

9 Sid 9(14) Resultat Genom de olika aktiviteterna i projektet, som beskrevs ovan, har kompetensen kring dataskyddsförordningen och personuppgiftsbehandling ökat i hela koncernen. Förståelsen har ökat för att det i framtiden krävs mer resurser för att ha en god följsamhet gentemot dataskyddsförordningen. Tyvärr gäller det inte i samma utsträckning beträffande NIS och den nya säkerhetsskyddslagen av skäl som redan angetts. Ett antal stödinsatser genomfördes: Dokumentet Råd och tips analys av inventeringsunderlag. Gemensamma personuppgiftsbehandlingar inom områdena ekonomi, personal och nämndadministration. En utbildningsdag samt en webbutbildning. Sist men inte minst har ett gott kontaktnät för frågor som rör integritet och hantering av personuppgifter etablerats vilket förenklar fortsatt förbättringsarbete och förvaltning av frågorna Förbereda för förvaltning av projektets resultat Mål Upprätta ett förslag på rutin för att hålla inventeringen av koncernens personuppgiftsbehandlingar aktuell samt föreslå ett lämpligt verktyg för detta. Upprätta en behovsförteckning över mallar, kommunikation samt övriga eventuella behov av övriga regler. Om möjligt upprätta förslag på rutin som hanterar: Personuppgiftsärenden Säkerhetsincidenter Samhällsviktig informationshantering Arbetssätt Arbetet med att upprätta ett förslag på rutin för att hålla inventeringen av koncernens personuppgiftsbehandlingar aktuell samt föreslå ett lämpligt verktyg för detta tas med till projektförlängningen som pågår mellan och Till stor del handlar det om att skapa bra arbetssätt kopplat till den organisation som projektet har föreslagit, vilket sedan kan yttra sig i att registret hålls uppdaterat och förbättras, att exempelvis rutiner för begäran om registerutdrag och incidenthantering fungerar effektivt. I projektförlängningen kommer en handbok för personuppgiftshantering tas fram. Under den innevarande projektperioden har förberedelser framför allt gjorts inför och under arbetet med inventeringen. Val av utformning av inventeringen samt val av inventeringsverktyg har syftat till att underlätta skapandet av ett framtida koncernsammanhållet personuppgiftsregister. Arbetet med inventeringen är genomförd ur ett projektperspektiv samtidigt har projektet uppmanat nämnder och bolag att fortsätta underhålla och

10 Sid 10(14) vidareutveckla inventeringen eftersom det arbetet verkar mot målet att upprätta ett koncernövergripande personuppgiftsregister. Upprättandet av en behovsförteckning över mallar, kommunikation samt övriga eventuella behov av regler resulterade i en lista över behov som projektet identifierade under hela projektets gång. Syftet var att fånga upp alla behov, frågeställningar och aktiviteter som var av stor vikt för koncernens förmåga att arbeta med integritetsfrågor, riskerade att glömmas bort efter projekttiden, eller av olika skäl inte kunde åtgärdas under projektets gång. Många av behoven ligger till grund för projektförlängningens aktiviteter, men vissa frågor löses inte enbart genom ett avgränsat projekt utan behöver arbete över tid för att fungera bra. Det är en snabb insats att ta fram rutiner men rutinerna ska även följas i det dagliga arbetet. När det gäller uppgiften att om möjligt upprätta förslag på rutiner som hanterar personuppgiftsärenden, säkerhetsincidenter och samhällsviktig informationshantering, överförs hantering av personuppgiftsärenden och säkerhetsincidenter till projektförlängningen. När det gäller punkten samhällsviktig informationshantering har yttre faktorer begränsat möjligheter att nå konkreta resultat. Detta gäller i stort sett allt arbete med nätverks- och informationssystemsskyddsdirektivet (NIS) och den nya säkerhetsskyddslagen. I en utredning (SOU 2017:36) föreslås en ny nationell lag och en ny förordning som till utformning och innehåll ligger nära NIS-direktivet. Förslaget har under 2017 i huvudsak legat ute på remiss. Liknande omständigheter har gällt den nya säkerhetsskyddslagen som vid projektets början beräknades träda i kraft redan i januari 2017 men nu föreslås träda i kraft den 1 januari Omständigheterna har gjort att det inte har gått att ta ställning till på vilket vis lagarna påverkar koncernen och hur vi kan förbereda oss. Sett till de resurser i form av arbetstid som stod till projektets förfogande hade det samtidigt varit svårt att leverera ett konkret och gediget resultat. Enligt tidsplanen pågick förberedelsearbetet mellan september och december. I praktiken har förberedelserna pågått under hela projekttiden. Resultat När det gäller delmålet att upprätta ett förslag på rutin för att hålla inventeringen av koncernens personuppgiftsbehandlingar aktuell samt föreslå ett lämpligt verktyg för detta kan man säga att förberedelser har pågått under större delen av projekttiden. Något mätbart resultat av detta är svårt att visa upp, annat än att nämnder och bolag är mer beredda, har påbörjat sitt interna arbete genom inventeringen. På koncernnivå kan det vara så att arbetet med integritetsfrågor och hur vi hanterar personuppgifter har fått mer uppmärksamhet och svåra avvägningsfrågor har medvetandegjorts. En slutsats från detta arbete är också att koncernen behöver mer resurser för att ha en god förmåga att arbeta proaktivt och strategiskt med informationshantering och integritetsfrågor. Arbete med att välja ut ett lämpligt registerverktyg påbörjades under hösten och i projektförlängningen kommer ett förslag till lösning presenteras.

11 Sid 11(14) En behovsförteckning över mallar, kommunikation samt övriga eventuella behov av regler är upprättad. Förteckningen ligger till grund för projektförlängningen och de flesta punkterna identifierades i inventeringsarbetet. Förteckningen presenteras i sin helhet nedan: Handbok för personuppgiftsbehandling Registerverktyg Rutiner för hur vi hanterar begäran om registerutdrag Rutiner kring informationsplikt Mall för personuppgiftsbiträdesavtal Rutiner för hur vi hanterar säkerhetsincidenter Samhällsviktig informationshantering Informationstext om att personuppgifter behandlas Informationstext vid anställningsavtal 2.2 Förändring av krav och mål I augusti uppdaterades projektspecifikationen: Aktiviteterna förtydligades för att mer konkret beskriva vad som skulle göras i projektet. Ansvarsförhållandena mellan projektet och verksamheterna och den dagliga förvaltningen förtydligades. Arbetet med NIS & SÄK ändrades till att om möjligt genomföra aktiviteter. Bakgrunden var att det under projekttiden var mycket svårt att genomföra några konkreta aktiviteter. Under hösten beslutades att projektgruppen skulle ge utökat stöd till kontaktpersonerna i inventeringsarbetet genom att arrangera ett antal analysmöten under hösten.

12 Sid 12(14) 3 Projektförloppet 3.1 Genomförande och organisation Förberedelser och uppstart tog mycket tid. Det var viktigt att arbeta med och skapa gemensamma målbilder av mål och resultat. Projektet har på många vis inneburit en lärprocess i sig för samtliga inblandade och därför har projektet lagt vikt vid att hellre göra rätt än att arbeta snabbt. Komplexa frågor kräver kunskap och tid. Det var genomgående i hela projektet att projektgruppen arbetade tillsammans för att lösa uppgifterna. Oftast behövdes alla medlemmars olika kompetenser för att lösa uppgifterna vilket medförde att projektet i stort sett genomförde en aktivitet i taget. Det var svårt att dela upp projektgruppen på olika avskilda uppgifter som annars hade kunnat löpa parallellt. Detta gav ett bättre resultat men gjorde att projektet gick långsammare fram än vad som ibland var planerat. Inför varje aktivitet genomfördes en Work Breakdown Structure (WBS) där projektgruppen gemensamt bröt ner och analyserade uppgiften för att besluta hur den skulle genomföras och vilka mål som behövde uppnås. De var mycket värdefulla, speciellt i början av projektet då projektet skapade gemensamma målbilder och hur de olika aktiviteterna bäst skulle genomföras. Arbetssättet gav en god demokratisk grund där alla i projektgruppen ges möjlighet att komma till tals, men gav också möjlighet att dra nytta av den mycket djupa och mycket breda kompetens som fanns i projektgruppen. I augusti uppdaterades tidsplanen. Speciellt inverteringen, analysen av inventeringen och utformandet av utbildningarna tog väldigt mycket resurser, samtidigt som det utökade stödet till verksamheterna därtill belastade projektorganisationen. Lärdomen är att ha respekt för att vissa saker måste få ta tid för att bli bra och att de ofta måste processas fram. Det är mycket lätt att underskatta den verkliga tidsåtgången. Vid samma tillfälle slogs även expertgruppen och projektgruppen ihop då det inte fanns något syfte med två grupper med till stor del samma personal. Under hösten fanns ett tydligt önskemål från förvaltningarna och bolagen att få mer stöd i inventeringsarbetet samt analysen av inventeringen. Mer tid lades på analysmöten, men det belastade projektgruppen. Det var nödvändigt att ständigt tydliggöra projektets roll som ett verktyg att skapa förutsättningar för lärande men att respektive verksamhet själv måste genomföra åtgärder, exempelvis analysera inventeringen genom att undersöka vilka lagliga stöd man har för specifika personuppgiftsbehandlingar.

13 Sid 13(14) 4 Erfarenheter 4.1 Organisation, roller och ansvar Projektorganisationen är alltid lite sårbar och till viss del personberoende. Dels finns risken att personal slutar, byter arbete eller slutar i projektet, men framför allt finns risken att projektet prioriteras ned (eller inte prioriteras tillräckligt) av högre chef. Projektet har kunnat utföra sina uppgifter och projektgruppen har fungerat mycket bra. Ansvarsfördelningen mellan projektet och det dagliga förvaltningsarbetet har varit svår att kommunicera. Även om ansvarsfördelningen tydliggjordes i och med att projektspecifikationen uppdaterades. Vad gör projektet och vad ska verksamheterna göra inom ramen för sitt personuppgiftsansvar har varit en svår fråga. Till stor del kan det bero på att verksamheterna från början inte har fått tillräckliga resurser att ha ett starkt grepp om personuppgiftslagen. Projektet hade från början en expertgrupp och en projektgrupp. Rollfördelningen var inte helt tydlig och det hade varit bättre om det från början var en enda grupp. Kommunikation, roller och uppdrag försvårades. En mycket stor fördel för arbetet i projektet har varit att internt förvaltande mottagare har suttit med i projektgruppen. Det medförde snabba beslut och gjorde det enkelt att överlämna projektresultat. 4.2 Ändringshantering Ändringshanteringen har fungerat mycket bra. En grundförutsättning för det har varit att ha en god dialog och ett nära samarbete mellan projektgrupp och styrgrupp. 4.3 Leverans och överlämning Leverans och överlämning av projektets resultat har skett successivt under projektets gång. 4.4 Kommunikation och informationsspridning Projektet har följt den framtagna kommunikationsplanen. En lärdom i projektet är att värdet på information och kommunikation inte ska underskattas och att det är en god investering att lägga mycket tid på organiserade informationsinsatser. 4.5 Övrigt En reflektion och lärdom i projektet handlar om resurser och tidsåtgång. I projektet har svaren och lösningarna sällan varit givna från början, utan är något som har fått processas eller växa fram. Givna lösningar har behövt omvärderas och omprövas. Under projektets gång har en målsättning varit ha ett enkelt och flexibelt förhållningssätt för att skapa lösningar som överlever projektet och är praktiskt tillämpbara. Projektet har haft ett tydligt informationsperspektiv. Det perspektivet har under projektets gång blivit allt tydligare och speglar ett övergripande

14 Sid 14(14) paradigmskifte som kompletterar ett systemperspektiv och ett processperspektiv. Rent konkret innebär det att det finns ett ökande behov av att ha en god informationsförvaltning och informationssäkerhet, inom vilket behandling av personuppgifter endast är en delmängd. Viktiga frågor ur det perspektivet handlar om vem som äger informationen, vem som är ansvarig, om informationen är riktig och vem som har eller ska ha tillgång till informationen och hur vi skyddar informationen, individernas integritet, samhällets robusthet och Sveriges säkerhet. En annan och mera konkret reflektion handlar om behovet av en sammanhållen plattform för e-tjänster. När det gäller behandling av personuppgifter hade det avlastat koncernen mycket i framtiden om den enskilde enkelt via e-tjänster kan göra egna automatiserade registerutdrag. DSF-projektet har inom många områden bara har skrapat på ytan. Att skapa ett välfungerande arbetssätt och en säkerhetskultur kring informations- och integritetsfrågor kräver tid och resurser mycket mer resurser än tidigare. Dataskyddsförordningen ger integritetsfrågor en mycket högre dignitet än vad personuppgiftslagen gjorde. 5. Slutord Det har varit mitt mål, som projektledare, att alla ska känna delaktighet och ansvar men förhoppningsvis också lite nöje i att arbeta med de faktatunga och komplexa uppgifter som dataskyddsförordningen ger oss. Det kan inte understrykas nog hur värdefull var och en av de involverade personerna i det här projektet har varit; styrgruppen, referensgrupperna, alla kontaktpersoner och alla de som bistått kontaktpersonerna. Sist men inte minst vill jag lyfta fram projektgruppens medlemmar. Utan deras yrkeskompetens, kunskap om koncernen, engagemang, humor och kritiska tänkande hade vi inte nått de resultat vi uppnådde. Stefan Johannesen, Projektledare