Hantering av personuppgifter inom Lunds universitet

Relevanta dokument
Hantering av personuppgifter inom Lunds universitet

Till dig som använder bildspelet för att presentera!

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Systemägande och systemförvaltning vid Lunds universitet

Projektplan. Förstudie - Förberedelser inför nya dataskyddförordningen. Versionshistorik. Uppdragsgivare Caroline Sjöberg

Projektförlängning 2018: Dataskyddsförordningen

SLUTRAPPORT PROJEKT GDPR

Ny dataskyddsförordning (GDPR) - Projektdirektiv för anpassning i

Projektet för att följa EU:s dataskyddsförordning

HANDLINGSPLAN FÖR INFORMATIONSSÄKERHET 2018

Universitetsgemensam ITverksamhet

Projektplan: Administrativa roller

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Förvaltningschefen, Susanne Kristensson Utvecklingskategori: Ansvarig i linjen för projektet: Kristine Widlund Projektledare:

Projekt för översyn av det administrativa stödet till den nya utbildningsorganisationen

Översyn av Sektion Forskning, innovation och samverkan

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

Sundbybergs stad. Förstudie - granskning av förberedelse inför implementering av nya dataskyddsreformen

Inrättande av en gemensam - centraliserad stödorganisation - genomförandeplan

Projekt: Dataskyddsförordningen

UFV 2015/1673. Gemensam service. Delprojektplan, Projekt Segerstedt. Fastställd av Therese Iveby Gardell

Policy för informationssäkerhet

Granskning av landstingets hantering av personuppgifter

Metodstöd 2

Handlingsplan för persondataskydd

SLUTRAPPORT. En förstudie för införande av Ladok3 vid Lunds universitet

Prioriterade nyckeltal

Bilaga 5 b: Mall för projektplan

Ladok3 på GU. Rollbeskrivning i projektorganisationen

~Xre~SS0fi LUNDS UNIVERSITET. ~51 _ i; it) ~I."-I Anmälan mot Lunds universitet Reg.nr hos Universitetskanslersämbetet

Projektplan. Kravspecifikation för virtuell lärandemiljö (vlm) på Malmö högskola

PROJEKTPLAN. Upphandling Ekonomisystem DNR: 2018/887. Beställare Mikael Ward, Ekonomichef

Projektmodell. 1. Riktlinjer projektmodell 1 (6)

Regler för behandling av personuppgifter vid Högskolan Dalarna

Bilaga 2. Gallring av utbildningsförvaltningens

Projektplan: Standardiserad hantering av SLU:s användaridentiteter, SLU-identiteter

Projektplan Facility Management inom Medicinska fakulteten

Lunds universitets handläggningsordning för forskningsprojekt inom Europeiska Kommissionens ramprogram Horizon 2020 ( )

Förslag till ny kommunikationsplan till införandeprojektet av Ladok3 vid Lunds universitet

Förslag till revideringsprocess av Lunds program för ekologiskt hållbar utveckling LundaEko Dnr KS 2011/0824

Projektplan: Utveckling av kvalitetssäkringssystem för utbildning

Avveckling och arkivering av och LUVIT

Bilaga 5 b Mall för projektplan

Klassificeringsstruktur för verksamhetsbaserad informationsredovisning, version 1.1

Mattias Thorängen. Peter Söderström

Så förbereder Leksand inför Dataskyddsförordningen

UPPDRAGSBESKRIVNING. PARAPLYPROJEKT FÖR MIUN:s PLANERINGSPROCESS. Fortsättningsprojekt; Implementering och Integration

Styr- och handledningsdokument

HEJ! Susanne Gyllhamn, CIO Telgekoncernen

Projektplan för delprojekt D - Harmonisering av administrativa rutiner

Beslut HSN HSN BILAGA 2 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014

Modernisering av föreningsstödet i Norrköpings kommun

Riktlinjer Projektmodell fo r Kungä lvs kommun

Projektplan: Gemensam tentamenshantering vid SLU:s huvudorter Steg 1 Campus Ultuna

Projektplan. Projekt Flytt Rosenlund

Integritetsskydd i skolans verksamhet enligt GDPR

Intern styrning och kontroll

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

I Central förvaltning Administrativ enhet

Revisionsrapport "Förstudie av kommunens ITorganisation"

STOCKHOLMS FOTBOLLFÖRBUND

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Byta system bli klar i tid och undvik onödiga kostnader

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Process för intern styrning och kontroll

Delprojektdirektiv. Implementering av ny organisation Delprojekt Ekonomistyrning och redovisning HÖGSKOLAN I BORÅS DELPROJEKTDIREKTIV 1 (5)

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Föreskrifter för inköp vid Lunds universitet

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Delprojektdirektiv. Implementering av ny organisation Delprojekt Värdegrund och organisationskultur HÖGSKOLAN I BORÅS DELPROJEKTDIREKTIV 1 (5)

Kvalitetsgranskning och uppföljning av utbildning vid Samhällsvetenskapliga fakulteten

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

Ändring i delegationsordning / attestordning

EU:s allmänna dataskyddsförordning:

Utveckling av gemensamma arbetsprocesser för högskolans verksamhetsstöd

Riktlinjer för hantering av personuppgifter

Rektor. att fastställa rektors åtgärdsplan med anledning av rapporten.

Informations säkerhet och integritet -

Tid: Onsdag den 5 december 2018 kl Tidlösa, Campus US. Kristina Alsér allmänintressen, p Jonas Bjelfvenstam allmänintressen, p 65-74

Sammanfattning. Angeles Bermudez-Svankvist. Camilla Gustafsson. Sida: 2 av 17

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Dokumentnamn: Projekt: Versionsnr: Uppdragspecifikation Pedagogisk idé LTU 2. Beslutad av: Gäller från och med (datum): Sida: Rektor 1 (7)

Caroline Taube jurist, p 61

Tjänsteutlåtande Utfärdat Diarienummer 1111/15 Repronummer 239/15

Informationssäkerhetspolicy för Ånge kommun

UFV 2014/1186. Arbetssätt Projektplan. Fastställd av universitetsdirektören Reviderad

Revidering av tillämpningsföreskrifter för kurs- och utbildningsplaner

UTREDNING OM E-LÄRANDE OCH MOOCS

Delprojektdirektiv. Implementering av ny organisation Delprojekt Systemanpassningar HÖGSKOLAN I BORÅS DELPROJEKTDIREKTIV 1 (5)

POSTADRESS BESÖKSADRESS TELEFON ORGANISATIONSNUMMER E-POSTADRESS. Varbergs kommun Norrgatan

Projektplan GIS STADSMILJÖ- OCH SERVICEFÖRVALTNINGEN (9) Dnr STN-1121/2015

Lindesbergs kommuns arbete med dataskyddsförordningen

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

UMEÅREGIONEN PROTOKOLL 1 (31) Plats och tid Överförmyndarenheten, Götgatan 3, , kl

Projektplan för delprojekt B Ledningsstruktur, inom förändringsarbetet Framtidens SLU

Projektplan för Samverkan vid utskrivning från sluten hälso- och sjukvård

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Transkript:

PROJEKTPLAN 1 2017-09-25 Dnr STYR 2016/1173 Förvaltningschefen Hantering av personuppgifter inom Lunds universitet Upprättad av: Kristina Arnrup Thorsbro Datum: 2016-10-20 version 1 2016-12-15 version 2 2017-04-28 version 3 2017-09-25 version 4 Postadress box 117, 223 50 Lund Besöksadress Gamla Hudkliniken, Paradisgatan 5B Telefon 046-222 44 01 E-post kristina.arnrup_thorsbro@rektor.lu.se

Uppdragsgivare Uppdragsgivare för projektet är förvaltningschefen. 2 Bakgrund Universitetets internrevision har genomfört en granskning av hanteringen av personuppgifter inom universitetet. De publicerade sin rapport i juni 2016 och där konstateras att det finns brister i styrningen och kontrollen av hanteringen. Dessutom anser internrevisionen att organisation och resurser är otillräckliga. Internrevisionens bild av hanteringen av personuppgifter bekräftas av avdelningen Juridik. Avdelningen konstaterar i ett PM från juni 2016 att det finns brister bland annat i organisation och kontroll vilka medför risker för hanteringen. I slutet av maj 2018 kommer lagstiftningen rörande hantering av personuppgifter att förändras. Då träder en ny EU-förordning i kraft som kommer att ersätta den nuvarande personuppgiftslagen. Den nya dataskyddsförordningen innehåller vissa krav som går utöver de krav som lagen ställer idag. Bland annat kommer de registrerades rättigheter att stärkas. Dessutom kommer universitetet att kunna dömas att betala en betydande sanktionsavgift vid brott mot dataskyddsförordningen. Det står med andra ord klart att det behövs en översyn av hur personuppgifter hanteras inom universitetet. Enligt både internrevisionen och avdelningen Juridik bör fokus i det arbetet ligga på organisation och struktur samt på uppföljning och kontroll. Syfte Strukturer och rutiner ska ses över och organisationen anpassas så att hanteringen av personuppgifter inom universitetet uppfyller organisationens och lagstiftningens krav. Upplägg och tidsplan Projektet består av två olika delar, en utredningsfas och en implementeringsfas. Den första delen ska ta fram ett förslag för framtida organisation. I arbetet ska den nya dataskyddsförordningen beaktas. Därefter följer diskussion och beslut innan implementeringsfasen tar vid. Den beslutade organisationen ska vara på plats i slutet av maj 2018 när den nya dataskyddsförordningen träder i kraft. okt 2016-mars 2017 april-maj 2017 juni 2017-maj 2018 utredning diskussion och beslut implementering

Mål 3 hela projektet Effektmål: Universitetets hantering av personuppgifter ska uppfylla såväl nuvarande som framtida regelverk. Hanteringen av personuppgifter ska samordnas med närstående områden såsom dokumenthantering och informationssäkerhet. Leveransmål: en organisation som säkerställer att det finns tydliga ansvarsstrukturer för hantering av personuppgifter inom universitetet tydligt ansvar för löpande utbildning och stöd för systemägare och systemförvaltares hantering av personuppgifter samt för användare av datasystem rutiner för systematisk uppföljning och kontroll, inklusive system för anmälning av incidenter en organisation som är förberedd för den nya dataskyddsförordningen en belysning av behovet av olika typer av styrdokument en rollbeskrivning för personuppgiftsombudet samt nödvändiga resurser för dennes arbete Effektmål: Uppdragsgivaren ska få ett gott underlag för beslut om framtida organisation för hantering av personuppgifter. Leveransmål: förslag till ansvarsstruktur, roller, uppgifter och funktionsbeskrivningar i framtida organisation en uppskattning av tid och resursbehov för implementering av nödvändiga åtgärder en konsekvensanalys av de föreslagna ändringarna en kartläggning av de åtgärder som behöver genomföras för att förbereda verksamheten inför den nya dataskyddsförordningen en kommunikationsplan för implementeringsfasen Leveransmål: en funktion som dataskyddsombud ett tydligt och samlat ansvar för informationssäkerhet på gemensam nivå förbättrad samordning inom förvaltningen rörande hantering av personuppgifter och relaterade områden strukturer och rutiner för stöd och hjälp till hela universitetet datorstöd för förteckning av personuppgiftsbehandlingar en belysning av behovet av olika typer av styrdokument genomförd pilotstudie för inventering av existerande personuppgiftsbehandlingar samt en plan för total inventering

en översyn av existerande IT-system en anpassning av universitetets systemförvaltningsmodell till den nya lagstiftningen information till alla berörda om den nya EU-lagstiftningen 4 Dessa mål leder fram till det övergripande målet: en verksamhet som är förberedd för den nya dataskyddsförordningen Avgränsningar Det övergripande ansvaret för hanteringen av personuppgifter ligger inom linjeorganisationen och kommer inte att överföras till projektet. Projektet ska inte ta fram system och rutiner för hantering av personuppgifter, målet är att införa den organisation som i sin tur ska införa system och rutiner. Projektets roll är att ombesörja att linjeorganisationen har möjlighet att göra detta och dessutom att ge hjälp och stöd under övergångsperioden. Risker Hantering av personuppgifter rör hela universitetet och alla typer av verksamhet inom universitetet. Det finns därför en risk att projektet blir spretigt och svårhanterligt. Detta undviks genom att projektet inte arbetar med processer utan endast organisation. Det finns en risk att hanteringen av personuppgifter inom verksamheten ses som en tung administrativ börda och att arbetet därför ges låg prioritet. Detta undviks genom att kommunicera att ett väl genomfört projekt kommer att leda till förbättrat stöd och hjälp till verksamheten. Organisation hela projektet Arbetet kommer att ledas av en styrgrupp som leds av förvaltningschefen. I styrgruppen ingår följande personer: Susanne Kristensson förvaltningschef Sofia Bunke bitr. prefekt, inst. för psykologi Annette Nilsson chefsjurist, Juridik & dokumenthantering Per Runeson prefekt, inst. för datavetenskap John Westerlund utvecklingsstrateg, avdelningen Utveckling Projektledare är utredare Kristina Arnrup Thorsbro, Universitetsledningens kansli. Arbetet i utredningsfasen utförs huvudsakligen av en projektgrupp bestående av tre personer: Kristina Arnrup Thorsbro utredare, Universitetsledningens kansli Magnus Persson IT-arkitekt, LDC

Pernilla Skantze jurist, avdelningen Juridik 5 För att få in synpunkter från relevanta delar av universitetet samt för att förankra idéer och förslag knyts en referensgrupp till projektet. referensgrupp: Johanna Alhem Sofia Hansson Pernilla Hylén Maria Johnsson Anne Lamér Johan Åhlfeldt personuppgiftsombud, avdelningen Juridik t.f. sektionschef, sektionen Kommunikation systemförvaltare, sektionen Personal bibliotekarie, Universitetsbiblioteket arkivarie, sektionen Juridik och dokumenthantering forskningsingenjör, CTR Arbetet i den andra fasen utförs huvudsakligen av en projektgrupp bestående av fyra personer: Kristina Arnrup Thorsbro utredare, Universitetsledningens kansli Jonas Wisbrant kommunikatör, institutionen för datavetenskap Maria Ovesson projektmedarbetare Eva Porenius projektmedarbetare För att få in synpunkter från relevanta delar av universitetet samt för att förankra idéer och förslag knyts en referensgrupp till projektet. referensgrupp: Johanna Alhem Sofia Hansson Pernilla Hylén Maria Johnsson Fredrik Tersmeden Magnus Persson Johan Åhlfeldt Daniel Kraft personuppgiftsombud, avdelningen Juridik t.f. sektionschef, sektionen Kommunikation systemförvaltare, sektionen Personal bibliotekarie, Universitetsbiblioteket arkivarie, sektionen Juridik och dokumenthantering IT-arkitekt, LDC forskningsingenjör, CTR student, LUS Intressentanalys Personuppgifter hanteras inom hela universitetet och dessutom inom olika typer av verksamhet inom universitetet. Det innebär att många grupper har ett intresse i projektets arbete. De viktigaste grupperna är emellertid följande: systemägare och systemförvaltare användare av dataregister som innehåller personuppgifter ledningsfunktioner på olika nivåer Kommunikationsplan Under utredningsfasen är det huvudsakligen två kommunikationsinsatser som behövs:

1. att informera brett inom universitetet att arbetet pågår Detta underlättar för alla berörda att förbereda inför den organisationsförändring som kommer. Det möjliggör också för särskilt intresserade att kontakta projektet och framföra synpunkter i ett tidigt stadium. 2. att kommunicera löpande med ansvariga inom området Ansvariga för olika aspekter av hantering av personuppgifter bör informeras kontinuerligt under utredningsfasen. Det ger dem möjlighet att förbereda inför eventuella förändringar. Det ger också projektgrupp och styrgrupp möjlighet att samla in synpunkter och förslag. 6 En fördjupad intressentanalys visar att många och stora grupper inom universitetet har behov av information om den framtida organisationen och om den nya lagstiftningen. Projektets uppgift kommer att vara att utbilda ansvariga inom hela universitetet samt att stötta dem och bistå dem, till exempel med informationsmaterial. På så sätt får de ansvariga möjlighet att i sin tur informera berörda och erbjuda dem hjälp och stöd. Mål för kommunikationen: Alla inom universitetet ska känna till den nya lagstiftningen samt veta om och i så fall hur de berörs av den. De som berörs av de förändrade ansvarsstrukturerna ska veta vad som förväntas av dem och ha en bild av hela den framtida organisationen. Både ansvariga för hantering av personuppgifter och de som faktiskt hanterar personuppgifter ska veta vilka krav den nya lagstiftningen ställer och vara väl förberedda inför ikraftträdandet. Resurser projektledare 30 % inom ramen jurist 20 % i 7 månader 108.500 kr IT-arkitekt 20 % inom ramen kunskapsinhämtning, m.m. 45.000 kr projektledare 75 % inom ramen kommunikatör 50 % i 15 månader 550.000 kr projektmedarbetare 20 % i 15 månader 195.000 kr projektmedarbetare 40 % i? månader inom ramen inventering 60 timmar 25.000 kr kunskapsinhämtning, m.m. 75.000 kr konsult för e-utbildning 80.000 kr

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss