Ny dataskyddsförordning (GDPR) - Projektdirektiv för anpassning i

Relevanta dokument
Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Projektet för att följa EU:s dataskyddsförordning

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Stödstrukturer. Delprojekt i Trygg och säker vård och omsorg. Projektplan

Projektplan. Förstudie - Förberedelser inför nya dataskyddförordningen. Versionshistorik. Uppdragsgivare Caroline Sjöberg

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Den nya dataskyddsförordningen - GDPR

Ladok3 på GU. Rollbeskrivning i projektorganisationen

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Lindesbergs kommuns arbete med dataskyddsförordningen

Handlingsplan för persondataskydd

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

SLUTRAPPORT PROJEKT GDPR

Projekthandbok. administrativa utvecklingsprojekt

Riktlinjer Projektmodell fo r Kungä lvs kommun

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Projektförlängning 2018: Dataskyddsförordningen

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

Information om dataskyddsförordningen

Skolan och Dataskyddsförordningen

Ett eller flera dataskyddsombud?

Informations säkerhet och integritet -

Projektmodell. 1. Riktlinjer projektmodell 1 (6)

Hantering av personuppgifter inom Lunds universitet

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Metodstöd 2

DATASKYDD (GDPR) Del 2: Förvaltningsledning

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Hantering av personuppgifter inom Lunds universitet

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

GDPR Presentation Agenda

Projektplan. Dataskyddsförordningen i tekniska nämnden - del 2

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Integritetsskydd i skolans verksamhet enligt GDPR

3 Tillsättning av dataskyddsombud för hälso- och sjukvårdsnämndens personuppgiftsbehandlin gar HSN

Dataskyddsförordningen och kvalitetsregister

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Gör jämlikt gör skillnad i Karlskoga och Degerfors 2017

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

Projekt: Dataskyddsförordningen

Ekonomiprojektet Översyn av ekonomimodell och förberedelse inför val av ekonomiadministrativa system

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Utveckling av SLU:s varumärkesarbete bilden av SLU

Projektdirektiv. Verksamhet och Informatik (1)

STOCKHOLMS FOTBOLLFÖRBUND

Sex månader med GDPR. 8 november 2018

Projektprocessen. Projektprocess

UFV 2014/1186. Arbetssätt Projektplan. Fastställd av universitetsdirektören Reviderad

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Handlingsplan för utveckling av samverkan vid utskrivning från sluten hälso - och sjukvård i Stockholms län

Delprojektdirektiv. Implementering av ny organisation Delprojekt Bemanning HÖGSKOLAN I BORÅS DELPROJEKTDIREKTIV 1 (5)

EU:s dataskyddsförordning

Politiskt program för Social- och arbetsmarknadsnämndens verksamhetsområde?

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Projekthandbok. för administrativa utvecklingsprojekt vid Uppsala universitet

Inrättande av en gemensam - centraliserad stödorganisation - genomförandeplan

Granskning av landstingets hantering av personuppgifter

Regionalt befolkningsnav Utgåva P Anders Henriksson Sida: 1 (6) Projektdirektiv

Projektplan: Standardiserad hantering av SLU:s användaridentiteter, SLU-identiteter

Dataskyddsförordningen för prefekter och administrativa chefer

Checklista inför beslut, BP1 JA NEJ

IT-plan för Söderköpings kommun

EU:s allmänna dataskyddsförordning:

Projekthandbok. för administrativa utvecklingsprojekt vid Uppsala universitet

HEJ! Susanne Gyllhamn, CIO Telgekoncernen

Vården och reglerna om dataskydd

Nationella riktlinjer för ekologisk produktion. Välkomna till uppstartsmöte! Nationella Riktlinjer för ekologisk produktion

Kvalitetsregister. Tårtbitar och beslutsstöd. Per Bergstrand personuppgiftsombud Region Skåne

Slutrapport för projekt Etablering av Servicecenter Sörmland

Delprojektdirektiv. Implementering av ny organisation Delprojekt Värdegrund och organisationskultur HÖGSKOLAN I BORÅS DELPROJEKTDIREKTIV 1 (5)

Policy för projektarbete

GDPR UTBILDNINGSDAG SKKF

Riktlinjer för dataskydd

Projektplan: Administrativa roller

Allmänna råd. Datainspektionen informerar. Nr 2/2016

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Projektprocessen. Projektprocess

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

Projektplan. 1. Bakgrund. Projektnamn: Barnrättsarbete i Eslövs kommun. Projektägare: Elsa von Friesen. Projektledare: Sara Mattisson.

Kommittédirektiv. Möjligheterna till kameraövervakning ska förenklas. Dir. 2017:124. Beslut vid regeringssammanträde den 13 december 2017

Dataskyddsombud för miljö- och hälsoskyddsnämnden

Region Gotlands projektmodell. Riktlinjer fastställda av ledningskontoret,

Policy för integritet vid hantering av personuppgifter

Denna policy skapades av och för organisationens behandling av personuppgifter.

Delprojektdirektiv. Implementering av ny organisation Delprojekt Ekonomistyrning och redovisning HÖGSKOLAN I BORÅS DELPROJEKTDIREKTIV 1 (5)

Projektdirektiv samverkansprojektet Svensk geoprocess

Utveckling av gemensamma arbetsprocesser för högskolans verksamhetsstöd

Transkript:

Ny dataskyddsförordning (GDPR) - Projektdirektiv för anpassning i Region Skåne

Innehåll Grundläggande information... 3 Sammanfattning... 3 Bakgrund... 3 Syfte och mål... 4 Syfte... 4 Mål... 4 Intressenter... 5 Krav på projektet... 5 Tillvägagångssätt... 5 Resurser... 5 Tidplan och aktiviteter... 5 Projektmodell... 6 Kopplingar till andra projekt och verksamheter... 6 Inom Region Skåne... 6 Nationella utredningar... 7 Kritiska framgångsfaktorer... 7 Organisation... 8 Kommunikationsplan... 9 2

Grundläggande information SAMMANFATTNING Den nya dataskyddsförordningen kommer att förändra den gällande lagstiftningen, Personuppgiftslagen (1998:204) (PUL) vad avser behandlingen av personuppgifter. Även om hälso- och sjukvården primärt utgår från Patientdatalagen (2008:355) (PDL) när det handlar om behandling av personuppgifter inom vården kommer ett flertal av de grundläggande skyldigheterna att förändras vilket får genomslag även för PDL. Därför är det av stor betydelse att samtliga verksamheter i Region Skåne förbereder sig på den kommande förändringen genom att inventera vilka personuppgifter som verksamheten behandlar för att kunna tydliggöra vilka krav som finns kring denna behandling, men även att fokusera på vissa utpekade områden där det redan idag står klart att nya skyldigheter kommer att gälla. Det gäller bland annat ta fram rutiner för incidentrapportering av integritetsincidenter. Ta fram rutiner för obligatoriska konsekvensanalyser (riskanalyser). Se över gällande rutiner avseende Region Skånes roll som personuppgiftsbiträde samt inventera och justera samtliga instruktioner/riktlinjer/informationsfoldrar/standardavtal som berör personuppgiftslagen. Mycket av arbetet måste ske ute i verksamheten samt även inom ramen för förvaltningsmodellen och förankras i ITs arbetsprocesser. BAKGRUND I april 2016 beslutade Europaparlamentet och Rådet om en ny EU-förordning om dataskydd, s.k. Dataskyddsförordningen 1. Dataskyddsförordningen ska börja tillämpas i Sverige, och i alla andra EU-medlemsländer, från och med den 25 maj 2018. Syftet med dataskyddsförordningen är att det ska finnas enhetliga regler om dataskydd inom EU för att underlätta för företag att etablera sig inom hela EU:s inre marknad. Dataskyddsförordningen innehåller även en del nya bestämmelser som syftar till att öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningen kommer att gälla som lag i Sverige och kommer att ersätta nuvarande dataskyddsförordningen (Personuppgiftslagen, PUL). PUL upphör att gälla liksom Datainspektionens föreskrifter som har anslutning till PUL. Dataskyddsförordning är en EUlagstiftning som är direkt tillämplig, den gäller alltså ordagrant samma i hela EU. Viss nationell särlagstiftning inom vissa områden är möjlig, men i stora drag kommer samma bestämmelser gälla i hela EU. Anpassningar kommer därför att behöva göras av lagar som 1 http://eur-lex.europa.eu/legal-content/sv/txt/html/?uri=oj:l:2016:119:full&from=sv 3

idag har anknytning till PUL såsom Patientdatalagen och andra särskilda registerlagar. Regeringen har tillsatt en utredning, Dir. 2016:15 Dataskyddsförordningen, som ska föreslå vilka anpassningar som behöver göras av den nuvarande lagstiftningen, vilka nya bestämmelser som behöver införas och vilka övergångsbestämmelser (för nya lagar, Dataskyddsförordningen kommer att gälla från och med 25 maj 2018) som ska gälla. En aspekt värd att påpeka är att Dataskyddsförordningen kommer att medföra möjlighet för tillsynsmyndighet att dela ut kännbara sanktionsavgifter för de organisationer som inte följer lagstiftningen. Vitena föreslås ligga i nivå på upp till 20 000 000 kr eller, om det gäller ett företag, på upp till 4 % av omsättningen. Dessa viten föreslås gälla såväl privata aktörer som statliga och kommunala myndigheter. Syfte och mål SYFTE Syftet med projektet är att förbereda organisationen på den nya dataskyddsförordningen som ställer krav på förändringar av interna rutiner och processer. MÅL att säkerställa att Region Skåne möter de krav på behandling av personuppgifter som den nya lagstiftningen medför att öka kunskapen kring hanteringen av personuppgifter hos berörda medarbetare att skapa en enhetlig, välkänd och korrekt hantering av personuppgifter inom koncernens alla verksamheter att öka förtroendet hos allmänheten Målet med projektet är att Region Skåne ska efterleva de krav som den nya Dataskyddsförordningen ställer och väsentligt förbättra vår möjlighet att framöver hantera de krav som förordningen ställer, genom att: - inventera behandlingen av personuppgifter inom Region Skåne för att kontrollera aktuell behandling är möjlig samt tydliggöra vilka informationssäkerhetsmässiga krav som gäller för respektive behandling - göra en plan för att hantera systemanpassningar i befintliga system när så krävs - uppdatera de styrande dokument och processer som reglerar hanteringen av personuppgifter och anpassa efter den nya lagstiftningen - säkerställa att de befattningar som har en central roll i personuppgiftsbehandling har det mandat och den kompetens och de resurser som krävs för ett effektivt arbete 4

- säkerställa att kontinuerlig utbildning och rätt information kring området når rätt målgrupp - ta fram förutsättningar för fortsatt uppföljning och förbättring av hanteringen av personuppgifter när projektet övergår till förvaltning INTRESSENTER Samtliga anställda inom Region Skåne som hanterar personuppgifter. Särskilt berörda är de som har befattningar där känsliga personuppgifter eller där personuppgifter i större omfattning hanteras. Avdelningen för digitalisering och IT är specifikt berörd för att säkerställa att de nya kraven implementeras i ITs processer vid upphandling och utveckling av system samt att de regionala IT-system som finns uppfyller de krav som ställs. Krav på projektet TILLVÄGAGÅNGSSÄTT Projektet ska följa gällande projektmetodik inom Region Skåne. I den utsträckning förvaltningar avser driva delprojekt för att uppfylla projektmålen ansvarar respektive förvaltning för projektorganisation. Avdelningen för digitalisering och IT har för avsikt att driva ett delprojekt kring Implementering av krav i befintliga system samt vid upphandling av nya. RESURSER Till projektet behöver en projektledare tillsättas samt en projektledningsgrupp på ytterligare två personer + delprojektledare. Det beräknas att projektledaren kommer att vara sysselsatt till 50 % med projektet från och med maj 2017 till och med juni 2018. Övriga i projektledningen kommer behöva sysselsättas 20 % vardera med projektet under samma period. Av förvaltningarna kommer det krävas resurser för att samordna och driva projektet i verksamheterna. De av förvaltningen utsedda resurserna bedöms under projekttiden vara sysselsatta till 20 % med projektet. Detta är utöver de resurser som idag läggs på att företräda PUO samt sköta informationssäkerhetsfrågor. Ekonomiska kostnader för projektet i övrigt är svårt att förutse och är främst beroende av tekniska aspekter som eventuella systemanpassningar. Projektet föreslår därför att Avdelningen för digitalisering och IT driver de tekniska aspekter av projektet som ett delprojekt. I delprojektet kan det därför komma att behöva tas fram underlag för budgetering av systemanpassningar som uppfyller de nya kraven. För detta arbete samt förankring i ITs befintliga processer och i förvaltningsmodellen kommer det även krävas en delprojektledare på 20% samt ett engagemang från processansvariga, systemansvariga samt IT säkerhetsansvarig. TIDPLAN OCH AKTIVITETER Projektdirektiv presenteras i KL juni 5

Informationspunkt RS AU augusti Juni 2017 Färdig projektplan Oktober 2017 Färdiga delprojektplan(er) Sep 2017 till maj 2018 Genomförande 25 maj 2018 Lagen träder i kraft Genomförandefasen kommer delas upp i en milstolpeplan med aktiviteter, som presenteras i projektplanen. Arbetet kommer planeras utifrån ovan definierade mål och kommer röra: - Inventering av behandlingen av personuppgifter idag. Vilka personuppgiftsbehandlingar har vi och varför? Var sker behandlingarna? Kan de hanteras där? - Inventering och uppdatering av styrande dokument som reglerar hanteringen av personuppgifter idag. - Identifiering och uppdatering av befintliga processer för hantering av personuppgifter - Identifiering av roller och formulering av rollbeskrivningar samt uppdrag som anpassas till den nya lagstiftningen - Förankring av Dataskyddsförordningens krav i ITs processer och förvaltningsmodellen som en grund för att göra prioriteringar i livscykelhanteringen av systemen samt de krav som ska ställas på systemen. - Förankring av arbetssätt för fortsatt uppföljning utbildning och förbättring av hanteringen av personuppgifter när projektet övergår till förvaltning PROJEKTMODELL https://intra.skane.se/organisation--ledning/vart-arbetssatt/arbetsmetoder-ochkoncept/projektmodell-region-skane/ Kopplingar till andra projekt och verksamheter INOM REGION SKÅNE Direkta projektberoenden: Om Region Skåne inför ett riskhanteringsverktyg kommer det bidra till att verksamheten lättare kan samla och dokumentera inventering av personuppgifter. Kontroll och efterlevnad av regelverk och registerhantering kommer underlättas. Verktyget kommer även tydliggöra kopplingen mellan personuppgiftsbehandling och styrning av information ur ett helhetsperspektiv. Införandeprojekt av ett riskhanteringsverktyg måste synkroniseras med aktuellt projekt. 6

Förvaltningsmodellen kommer vara det nätverk där eventuella systemanpassningar utifrån de krav som identifieras hanteras genom ekonomiska och tekniska prioriteringar. Aktuellt projekt måste synkroniseras och förankras i förvaltningsmodellens organisation. Justering och anpassning av ITs interna processer är en förutsättning för att de krav som Dataskyddsförordningen ställer ska kunna implementeras fullt ut i organisationen. Associerade projekt/samarbeten: Städning av gemensamma kataloger på KRYH. I arbetet ingår städning och klassificering av ostrukturerad information samt att identifiera information som innehåller personuppgifter. Arbetet kan vara en tillgång för projektet och relevanta personer i städningsprojektet bör blandas in i aktuellt projekt. Forum för informationsstyrning arbetar med att synkronisera frågor rörande informationsstyrning. Gemensamma mallar och styrande dokument är avgörande för ett uppnå ett enhetligt arbetssätt där verksamheterna tar ett helhetsgrepp kring styrning av information. NATIONELLA UTREDNINGAR Integritetskommitén (Ju 2014:09) Färdig 170601 Dataskyddsutredningen (Ju 2016:04) Färdig 170512 Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) Färdig 160930 Utredning om 2016 års dataskyddsdirektiv (Ju 2016:06) Färdig 170930 Utredning om kameraövervakning, brottsbekämpning och integritetsskydd (Ju 2015:14) Färdig 170615 Socialskyddsutredningen (S 2016:95) Färdig170831 Utredningen En ändamålsenlig reglering för biobanker (S2016:04) Färdig 171231 Forskningsdatautredningen (U 2016:04) Färdig 170601 Utredningen om översyn av etikprövningen (U 2016:02) Färdig 170831 Kritiska framgångsfaktorer För att kunna genomföra projektet behövs följande: Samtliga förvaltningar måste engagera sig och vara aktiva parter i att driva arbetet i mål Resurserna som förvaltningarna utser till projektet måste ha tillräckligt med mandat, kompetens och arbetstid inom området informationsstyrning och även ges den tid projektet föreslagit för att kunna utföra uppgifterna. En annan viktig aspekt är att resurser har en insikt och förståelse för förvaltningens organisation och en faktisk förmåga att engagera de resurser i sin egen förvaltning som krävs för att genomföra en informationsinventering. 7

Projektets inriktning måste synkroniseras med nationella utredningar och annan omvärldsbevakning. Delprojektet gällande de implementering av krav i ITs processer måste harmonisera väl med projektet i stort. Detsamma gäller andra eventuella delprojekt. Organisation Uppdragsgivare Thorbjörn Lindhqvist Styrgrupp - Regionarkivarie - Chefsjurist - Informationssäkerhetschef - Representant från IT - Förvaltningsrepresentanter Projektledningsgrupp - Kajsa Thelin (projektledare) - Per Bergstrand - Johanna Karlsson - Delprojektledare IT Projektgrupp Utsedda personer från förvaltningarna Representant HR Representant Kommunikation IT säkerhetsansvarig Systemansvariga Referensgrupp Forskare, chefsläkare, HR, kommunikation och eventuella andra intressenter enligt intressentanalys. 8

Kommunikationsplan Kommunikationsplan kommer tas fram för projektet. Tills projektplanen är fastställd kommer riktade dialogmöten hållas samt dialog med PUO företrädare och informationssäkerhetssamordnare genom nätverken. 9

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss