PROs IT ansvariga IT konferens i Gysinge februari 2018

Transkript

1 PROs IT ansvariga IT konferens i Gysinge februari 2018 Kjell Hansson Mild och Gunilla Eriksson har deltagit i en PRO IT konferens i Gysinge den februari av de 26 distrikten deltog. Curt Karlsson PRO riks ansvarade för upplägget tillsammans med IT rådet. Huvudrubrikerna är GDPR, IT-team, PROs ITutveckling samt IT-Forum GDPR eller DSF GDPR (General Data Protection Regulation) eller EU Allmänna Dataskyddsförordning omfattar ett stärkt skydd för registrering av personuppgifter och ett utökat ansvar för den som registrerar eller behandlar personuppgifter. Den nya förordningen kommer att ersätta PersonUppgiftsLagen (PUL) från och med Varje PRO-förening blir personuppgiftsansvarig! Dessutom stängs Hjördis för föreningsinloggning till påsk. Medlemsansvariga och andra som kan behöva använda Hjördis måste få personlig inloggning av Riks. Ett brev om detta kommer att skickas ut till alla föreningar i slutet av mars. Just nu granskas det av jurister. IT-Ansvarig och IT-Team En halv dags grupparbeten gav en hel del intressanta vinklingar på vad vi håller på med. Arbetsgruppernas samlade material kommer att resultera i en arbetsbeskrivning för IT- Ansvarig och IT-Team. Men den får vi vänta på tills GDPR har trätt i kraft. PROs IT-utveckling Hjördis kommer att GDPR-anpassas med personlig inloggning, webbverktyget Epi-server flyttas in i molnet för GDPR-anpassning och all e-post med personuppgifter i måste vara krypterad efter 25 maj 2018 och det tänker sig PRO lösa genom att alla måste använda föreningarnas outlook-konto i E365- molnet. Det är spännande och kommer att bli ännu roligare att vara IT-ansvarig i ett PRO-distrikt. IT-Forum IT Forum valde 4 personer att representera oss IT-ansvariga i ett IT-Råd som tar upp och diskuterar ett antal viktiga frågor med Riks. De frågeställningar som kom upp ska arbetas vidare med under kongressperioden. 1

2 GDPR, DSF Information rörande GDPR, den nya datalagen som träder i kraft den 25 maj 2018, upptog större delen av konferensen. Den 25 maj 2018 kommer Personuppgiftslagen (PUL) att ersättas av EU Allmän Dataskyddsförordning eller GDPR, på svenska DSF. Den nya förordningen omfattar framförallt ett stärkt skydd för den registrerade och utökat ansvar för de som registrerar eller behandlar personuppgifter. Det är några viktiga punkter att utgå från: Ta reda på var personuppgifter finns lagrade, både strukturerade och ostrukturerade Se till att berörda personer kan ges enkel tillgång till sina egna uppgifter Se till att berörda personer kan få sina uppgifter borttagna Se till att samtycke finns för att samla in en persons uppgifter (intresseavvägning) Se till att elektronisk kommunikation som innehåller personuppgifter är krypterade Det ska inte finnas mer personuppgifter än nödvändigt. Den registrerade har rätt till portabilitet (överflyttning till andra system) Det ska finnas en tydlig beskrivning av ändamålet med systemet På begäran ska det gå att ta ut all information om en enskild individ Vi diskuterade behörighetsnivåer, kryptering, pseudo anonymisering samt vad som egentligen är att betrakta som en personuppgift. Känsliga personuppgifter som ras, etniskt ursprung, politiska åsikter, facktillhörighet, hälsa mm ska alltid undvikas. Det är dock tillåtet att fråga om matallergier eller om någon behöver en rullstol bara vi inte frågar efter varför dom behöver det. Då varje förening är en egen juridisk person så ligger ansvaret om hur man hanterar personuppgifterna inom föreningen. Alla föreningsstyrelser ska gå igenom, var de förvarar personuppgifter och hur de hanterar dessa. Det finns ett strukturerat material som ligger digitalt och ett ostrukturerat som består av uppgifter på papper. Ändamålsbeskrivning: Det är viktigt att vi har ett syfte med insamling av personuppgifter att vi gör en ändamålsbeskrivning. Exempel att vi tar in uppgifter för studiecirkel, anmälan till aktivet. Portabilitet kommer att standariseras och utvecklas för att det ska bli lätt att flytta över uppgifter till ett annat system. 2

3 Dokumentera samtycke så att det kan visas, exempel så räcker det att man ger muntligt lov till att lägga upp en bild på hemsidan. Detta muntliga ska dock dokumenteras och sparas. Intresseavvägning ska kunna användas istället för samtycke. Det ligger i medlemmens intresse att vi samlar uppgifter för deras deltagande. Personuppgiftsansvarig är en juridisk person ex förening, samorganisationer, distrikt Personuppgiftsbiträde är den som avtal upprättas med. ABF har ett eget ansvar gällande GDPR, men vi är ansvariga för insamlande av uppgifter. Vid överföringav personuppgifter är det viktigt att kryptera innehållet. Vid användning av E 365 kommer kryptering att ske automatiskt. Personuppgiftsombud ex en person som PRO Riks utser och har personligt avtal med datainspektionen och övervakar att GDPR följs. Detta ombud kan även upprättas på andra nivåer. Webben: När det rör Webben så försvinner missbruksregeln, den gjorde gällande att om exempelvis ett personnamn fanns i löpande text så var det tillåtet. Detta försvinner nu och man ska ha tillstånd till att personuppgifterna publiceras på Webben. Vid muntligt lov ska det dokumenteras och sparas. Insamling av data via formulär på webben kommer att stängas av under en viss tid. Vad händer om man inte följer lagen först får man en varning, sedan en reprimand och sist vite om man inte följer lagen. Hjördis: Det finns ett fält i Hjördis som heter Zon, hur används det? Det finns fritext områden vad står det där? Det är föreningens ansvar att se till vad som skrivs in. Vilka styrkor och svagheter, möjligheter och hot finns för GDPR. IT ansvariga fick göra en analys över hur de ser på den nya lagen. Exempel på svar nedan: Styrka: Det blir en bättre organisation, Rutinerna ses över, Bättre IT kontroll, kryptering Svaghet: Privata datorer, det kan kännas övermäktigt, för lite tid, saknas resurser Möjligheter: Omvärlden ser att man kan lita på PRO, spårbarhet, ökad säkerhet Hot: Om inte lagen följs kan medias bevakning ge dålig renommé, oförstående avtalspartner och intressenter, Man har arbetat fram en strategi rörande GDPR som en jurist just nu tittar över. Denna strategi kommer att skickas ut till föreningarna efter att juristen tittat på dokumentet. 3

4 Det dokumentet handlar personuppgifterna? Ex var är uppgifter, vad gör vi med dom och hur ska vissa uppgifter sparas? Ett GAP kommer att uppstå mellan det vi gör, har idag och hur det ska vara. Detta måste åtgärdas av styrelserna? En ändamålsbeskrivning bör göras för de uppgifter vi sparar. Vi bör ha en ID koll på de som ringer upp. Ett förslag är att vi kollar telefon numret och ringer tillbaka. Personuppgifter i bokföringssammanhang ska sparas 7 år. PRO rekommenderar en rensning av webben, där kan det vara lämpligt att plocka bort ur nyhetsarkivet IT ansvarigs uppgifter och hur fungerar det i distrikten. Grupparbete 1 Hur fungerar det i distrikten idag med IT-ansvariga mm? Sammanfattningsvis så ser det väldigt olika ut i distrikten. IT ansvarig har ett antal uppgifter som PRO riks trycker på. Distriktsstyrelserna är mer eller mindre medvetna om detta. Fokus på IT verksamheten i organisationen och de system vi använder för administrationen exempelvis Hjördis, molntjänster m.m. Framtidsspanare. Vad är på gång när det gäller teknikutveckling? Samverkan med PRO:s IT Forum för att påverka utveckling av nya tjänster och system. Samverkan PRO:s IT ansvarige i avsikt att medverka i utveckling av nya tjänster och system. Samverkan med PROsIT ansvarig för att planera framtida utbildningar i kommande IT system och tjänster. Ge aktivt stöd till distriktets, samorganisationernas och föreningarnas IT verksamhet gällande användarhjälp, utveckling och inköp. Vad behöver då IT ansvariga för att klara av arbetet? Det vanligaste är en form av kommitté eller team omkring den ansvarige. Hur teamet utses i distrikten ser olika ut och vad de ska göra är också olika. Grupparbete 2 Hur vill IT ansvariga att det blir i framtiden och det som arbetas fram kommer att skickas till Riks styrelse. Resultat av det arbetet, se nedan, kommer att beredas av IT rådet. En IT-ansvarig bör utses på ett årsmöte efter förslag från en valberedning. 4

5 IT-ansvarig ska rapportera till distriktsstyrelsen (eller AU) om frågor som berör verksamheten i distriktet, samorganisationerna eller föreningarna. IT-Teamet ska ha en Verksamhetsplan och en budget IT-Team ska utses av distriktsstyrelsen på förslag från IT-ansvarig IT-Teamet ska förmedla utbildning i Hjördis, hemsidesutveckling, E365 (i första hand e- posten) samt förmedla kunskap till föreningar och samorganisationer om framtida förändringar. IT-ansvarig ska tillsammans med PROsIT-ansvarig se till att initiera cirkelledarutbildningar tillsammans med ABF samt ta fram material för olika utbildningar i föreningar PROs IT framtid Hjördis uppgradering bör ske snarast eller så måste fler anställas i kansliet. Webbens uppgradering bör också ske då den inte fungerar tillfredställande. Den uppgraderades Några uppgifter som diskuterades var hur vi får bukt med döda hemsidor både för föreningar men även för samorganisationer. Dom ger bad-will till PRO när någon loggar på och konstaterar att den inte är aktuell. Här behövs en rensning så att man på döda samorgsidor talar om att man ska länka till de olika föreningarna som finns. Och för de döda föreningssidorna ska man rensa bort allt gammalt och se till att det finns någon att ta kontakt med via någon kanal, telefon, e-post eller postadress. SMS är på gång inom snar framtid, varje förening behöver tecknaegna avtal med Telia för betalningen. GDPR anpassning kommer att ske automatiskt om föreningarna använder de system som PRO upphandlat. Det kommer att bli personlig inloggning till Hjördis eventuellt 1 april. Varje förening fattar själva beslut om vilka som ska ha dessa. Föreningens inloggning stängs under våren. När man ska begära en inloggning så ska Hjördis vara uppdaterat med den styrelsens uppgifter även ansvarsuppgifter. Ett brev kommer att skickas ut till föreningarna om detta. Slutmålet med inloggningar är single-sign-on d.v.s. att man loggar in en gång i E365 med sin personliga e-post och sitt personliga lösenord och sedan beroende på vad det står i Hjördis att du har för uppdrag eller ansvarsområde (typ ordförande eller medlemsansvarig eller webbredaktör) så kan du lägga till eller ta bort medlemmar eller skriva saker och publicera på hemsidan. Men det tar något (eller några) år innan vi är där. Tills dess tar vi myrsteg mot en säkrare värld (för personuppgifter). 5

6 IT forum Vi genomförde ett formellt möte med protokoll och justerare. För att dels få fram de uppgifter som det nytillsatta IT-rådet ska diskutera med Riks, samt att välja de fyra personer som ska representera oss. De frågor som IT rådet sedan tidigare arbetat med är: E365- idag har föreningarna E2 kan vi få E365 E3 via Techsoup Ekonomisystem i molnet är under behandling Hjördis i E365 diskussion på gång SMS-tjänster från Hjördis avtal med Telia på gång PRO i Facebook skickas till PRO Kommunikationsavdelning PRO-App skickas till PRO Medlems- och Verksamhetsutveckling Utbildningsmaterial skickas till PRO Studier och Verksamhetsutveckling i Distrikten Satsar vi rätt med E365/Hur motiverar vi föreningarna ska behandlas Nya frågeställningar för IT rådet: Informationsflöde inom organisationen, bygga inom E 365 Share point App hemsida, uppdateringar och strategier Omvärldsbevakning nytta för våra medlemmar, ta in föreläsare Mallar till Office kommer att utarbetas för protokoll E 365 en potential för föreningarna Hur använder förtroendevalda IT systemen som är inköpta. Digitala klyftan Inventering av It materialet som finns. Nytt material kommer inte att tryckas upp utan finnas på webben för nedladdning. Säkerhet inom systemen Välfärdsteknik Sociala medier, användning Riktlinjer ex. så är bilder utlagda på webben föreningens och den fattar beslut om något ska bort. 6

7 IT rådet som ska arbeta under kongressperioden består av: Dan Larsson Gysinge Fhsk, Anneli Fröberg, PRO Riks IT-ansvarige Kurt Karlsson och valda Per Fridh PRO Skåne, Sonja Kvål PRO Stockholm, Gunilla Eriksson PRO Västerbotten samt Lena Ottosson PRO Örebro. Distriktens årsmöten: IT ansvariga har till uppgift att informera på distriktens årsmöten så att föreningarna förstår vad de måste göra framöver för att följa det nya EU-direktivet GDPR som översatt till oss i Sverige heter Dataskyddsförordningen. Det är meningen att detta ska ge oss ökad säkerhet för medlemmarna, bättre användning av PROs system. Degernäs och Obbola den 25 februari 2018 Gunilla Eriksson Kjell Hansson Mild 7