PROJEKTPLAN 1 2017-09-25 Dnr STYR 2016/1173 Förvaltningschefen Hantering av personuppgifter inom Lunds universitet Upprättad av: Kristina Arnrup Thorsbro Datum: 2016-10-20 version 1 2016-12-15 version 2 2017-04-28 version 3 2017-09-25 version 4 Postadress box 117, 223 50 Lund Besöksadress Gamla Hudkliniken, Paradisgatan 5B Telefon 046-222 44 01 E-post kristina.arnrup_thorsbro@rektor.lu.se
Uppdragsgivare Uppdragsgivare för projektet är förvaltningschefen. 2 Bakgrund Universitetets internrevision har genomfört en granskning av hanteringen av personuppgifter inom universitetet. De publicerade sin rapport i juni 2016 och där konstateras att det finns brister i styrningen och kontrollen av hanteringen. Dessutom anser internrevisionen att organisation och resurser är otillräckliga. Internrevisionens bild av hanteringen av personuppgifter bekräftas av avdelningen Juridik. Avdelningen konstaterar i ett PM från juni 2016 att det finns brister bland annat i organisation och kontroll vilka medför risker för hanteringen. I slutet av maj 2018 kommer lagstiftningen rörande hantering av personuppgifter att förändras. Då träder en ny EU-förordning i kraft som kommer att ersätta den nuvarande personuppgiftslagen. Den nya dataskyddsförordningen innehåller vissa krav som går utöver de krav som lagen ställer idag. Bland annat kommer de registrerades rättigheter att stärkas. Dessutom kommer universitetet att kunna dömas att betala en betydande sanktionsavgift vid brott mot dataskyddsförordningen. Det står med andra ord klart att det behövs en översyn av hur personuppgifter hanteras inom universitetet. Enligt både internrevisionen och avdelningen Juridik bör fokus i det arbetet ligga på organisation och struktur samt på uppföljning och kontroll. Syfte Strukturer och rutiner ska ses över och organisationen anpassas så att hanteringen av personuppgifter inom universitetet uppfyller organisationens och lagstiftningens krav. Upplägg och tidsplan Projektet består av två olika delar, en utredningsfas och en implementeringsfas. Den första delen ska ta fram ett förslag för framtida organisation. I arbetet ska den nya dataskyddsförordningen beaktas. Därefter följer diskussion och beslut innan implementeringsfasen tar vid. Den beslutade organisationen ska vara på plats i slutet av maj 2018 när den nya dataskyddsförordningen träder i kraft. okt 2016-mars 2017 april-maj 2017 juni 2017-maj 2018 utredning diskussion och beslut implementering
Mål 3 hela projektet Effektmål: Universitetets hantering av personuppgifter ska uppfylla såväl nuvarande som framtida regelverk. Hanteringen av personuppgifter ska samordnas med närstående områden såsom dokumenthantering och informationssäkerhet. Leveransmål: en organisation som säkerställer att det finns tydliga ansvarsstrukturer för hantering av personuppgifter inom universitetet tydligt ansvar för löpande utbildning och stöd för systemägare och systemförvaltares hantering av personuppgifter samt för användare av datasystem rutiner för systematisk uppföljning och kontroll, inklusive system för anmälning av incidenter en organisation som är förberedd för den nya dataskyddsförordningen en belysning av behovet av olika typer av styrdokument en rollbeskrivning för personuppgiftsombudet samt nödvändiga resurser för dennes arbete Effektmål: Uppdragsgivaren ska få ett gott underlag för beslut om framtida organisation för hantering av personuppgifter. Leveransmål: förslag till ansvarsstruktur, roller, uppgifter och funktionsbeskrivningar i framtida organisation en uppskattning av tid och resursbehov för implementering av nödvändiga åtgärder en konsekvensanalys av de föreslagna ändringarna en kartläggning av de åtgärder som behöver genomföras för att förbereda verksamheten inför den nya dataskyddsförordningen en kommunikationsplan för implementeringsfasen Leveransmål: en funktion som dataskyddsombud ett tydligt och samlat ansvar för informationssäkerhet på gemensam nivå förbättrad samordning inom förvaltningen rörande hantering av personuppgifter och relaterade områden strukturer och rutiner för stöd och hjälp till hela universitetet datorstöd för förteckning av personuppgiftsbehandlingar en belysning av behovet av olika typer av styrdokument genomförd pilotstudie för inventering av existerande personuppgiftsbehandlingar samt en plan för total inventering
en översyn av existerande IT-system en anpassning av universitetets systemförvaltningsmodell till den nya lagstiftningen information till alla berörda om den nya EU-lagstiftningen 4 Dessa mål leder fram till det övergripande målet: en verksamhet som är förberedd för den nya dataskyddsförordningen Avgränsningar Det övergripande ansvaret för hanteringen av personuppgifter ligger inom linjeorganisationen och kommer inte att överföras till projektet. Projektet ska inte ta fram system och rutiner för hantering av personuppgifter, målet är att införa den organisation som i sin tur ska införa system och rutiner. Projektets roll är att ombesörja att linjeorganisationen har möjlighet att göra detta och dessutom att ge hjälp och stöd under övergångsperioden. Risker Hantering av personuppgifter rör hela universitetet och alla typer av verksamhet inom universitetet. Det finns därför en risk att projektet blir spretigt och svårhanterligt. Detta undviks genom att projektet inte arbetar med processer utan endast organisation. Det finns en risk att hanteringen av personuppgifter inom verksamheten ses som en tung administrativ börda och att arbetet därför ges låg prioritet. Detta undviks genom att kommunicera att ett väl genomfört projekt kommer att leda till förbättrat stöd och hjälp till verksamheten. Organisation hela projektet Arbetet kommer att ledas av en styrgrupp som leds av förvaltningschefen. I styrgruppen ingår följande personer: Susanne Kristensson förvaltningschef Sofia Bunke bitr. prefekt, inst. för psykologi Annette Nilsson chefsjurist, Juridik & dokumenthantering Per Runeson prefekt, inst. för datavetenskap John Westerlund utvecklingsstrateg, avdelningen Utveckling Projektledare är utredare Kristina Arnrup Thorsbro, Universitetsledningens kansli. Arbetet i utredningsfasen utförs huvudsakligen av en projektgrupp bestående av tre personer: Kristina Arnrup Thorsbro utredare, Universitetsledningens kansli Magnus Persson IT-arkitekt, LDC
Pernilla Skantze jurist, avdelningen Juridik 5 För att få in synpunkter från relevanta delar av universitetet samt för att förankra idéer och förslag knyts en referensgrupp till projektet. referensgrupp: Johanna Alhem Sofia Hansson Pernilla Hylén Maria Johnsson Anne Lamér Johan Åhlfeldt personuppgiftsombud, avdelningen Juridik t.f. sektionschef, sektionen Kommunikation systemförvaltare, sektionen Personal bibliotekarie, Universitetsbiblioteket arkivarie, sektionen Juridik och dokumenthantering forskningsingenjör, CTR Arbetet i den andra fasen utförs huvudsakligen av en projektgrupp bestående av fyra personer: Kristina Arnrup Thorsbro utredare, Universitetsledningens kansli Jonas Wisbrant kommunikatör, institutionen för datavetenskap Maria Ovesson projektmedarbetare Eva Porenius projektmedarbetare För att få in synpunkter från relevanta delar av universitetet samt för att förankra idéer och förslag knyts en referensgrupp till projektet. referensgrupp: Johanna Alhem Sofia Hansson Pernilla Hylén Maria Johnsson Fredrik Tersmeden Magnus Persson Johan Åhlfeldt Daniel Kraft personuppgiftsombud, avdelningen Juridik t.f. sektionschef, sektionen Kommunikation systemförvaltare, sektionen Personal bibliotekarie, Universitetsbiblioteket arkivarie, sektionen Juridik och dokumenthantering IT-arkitekt, LDC forskningsingenjör, CTR student, LUS Intressentanalys Personuppgifter hanteras inom hela universitetet och dessutom inom olika typer av verksamhet inom universitetet. Det innebär att många grupper har ett intresse i projektets arbete. De viktigaste grupperna är emellertid följande: systemägare och systemförvaltare användare av dataregister som innehåller personuppgifter ledningsfunktioner på olika nivåer Kommunikationsplan Under utredningsfasen är det huvudsakligen två kommunikationsinsatser som behövs:
1. att informera brett inom universitetet att arbetet pågår Detta underlättar för alla berörda att förbereda inför den organisationsförändring som kommer. Det möjliggör också för särskilt intresserade att kontakta projektet och framföra synpunkter i ett tidigt stadium. 2. att kommunicera löpande med ansvariga inom området Ansvariga för olika aspekter av hantering av personuppgifter bör informeras kontinuerligt under utredningsfasen. Det ger dem möjlighet att förbereda inför eventuella förändringar. Det ger också projektgrupp och styrgrupp möjlighet att samla in synpunkter och förslag. 6 En fördjupad intressentanalys visar att många och stora grupper inom universitetet har behov av information om den framtida organisationen och om den nya lagstiftningen. Projektets uppgift kommer att vara att utbilda ansvariga inom hela universitetet samt att stötta dem och bistå dem, till exempel med informationsmaterial. På så sätt får de ansvariga möjlighet att i sin tur informera berörda och erbjuda dem hjälp och stöd. Mål för kommunikationen: Alla inom universitetet ska känna till den nya lagstiftningen samt veta om och i så fall hur de berörs av den. De som berörs av de förändrade ansvarsstrukturerna ska veta vad som förväntas av dem och ha en bild av hela den framtida organisationen. Både ansvariga för hantering av personuppgifter och de som faktiskt hanterar personuppgifter ska veta vilka krav den nya lagstiftningen ställer och vara väl förberedda inför ikraftträdandet. Resurser projektledare 30 % inom ramen jurist 20 % i 7 månader 108.500 kr IT-arkitekt 20 % inom ramen kunskapsinhämtning, m.m. 45.000 kr projektledare 75 % inom ramen kommunikatör 50 % i 15 månader 550.000 kr projektmedarbetare 20 % i 15 månader 195.000 kr projektmedarbetare 40 % i? månader inom ramen inventering 60 timmar 25.000 kr kunskapsinhämtning, m.m. 75.000 kr konsult för e-utbildning 80.000 kr