Revisionsrapport 2018 Genomförd på uppdrag av revisorerna September Karlskrona kommun. PM förberedelserna inför dataskyddsförordningen

Relevanta dokument
Dataskyddsförordningen - GDPR

Instruktion till mall för registerförteckning

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

DATASKYDD (GDPR) Del 2: Förvaltningsledning

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Dataskyddsförordningen 2018

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Dataskyddsförordningen 2018

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Riktlinjer för dataskydd

INFORMATIONSSÄKERHET OCH DATASKYDD

PERSONUPPGIFTSBITRÄDESAVTAL

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Lindesbergs kommuns arbete med dataskyddsförordningen

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

GDPR viktiga nyheter jämfört med PuL

Handlingsplan för persondataskydd

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Personuppgiftsbiträdesavtal

Information om behandling av personuppgifter

GDPR Presentation Agenda

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

SLUTRAPPORT PROJEKT GDPR

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

STOCKHOLMS FOTBOLLFÖRBUND

GDPR General data protection regulation Dataskyddsförordningen

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Behandling av personuppgifter vid Göteborgs universitet

DATASKYDD (GDPR) Del 1. Del 2. Dataskyddssamordnare. Del 4. Om dokumentet. Organisationens högsta ledning Kommunledning eller regionledning

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Policy för behandling av personuppgifter

Riktlinjer för hantering av personuppgifter

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Dataskyddsförordningen

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Policy för informations- säkerhet och personuppgiftshantering

Att hantera personuppgifter

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Personuppgiftsinformation för Svedala kommun

GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR. Dataskyddsförordningen

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

I de fall du är direkt kund hos NS är NS den personuppgiftsansvarige.

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Regler för behandling av personuppgifter vid Högskolan Dalarna

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

EU:s dataskyddsförordning

Dataskyddsförordningen i utbildningsverksamhet

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen

Dataskyddsförordningen, GDPR

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen (GDPR)

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Dataskyddsförordningen

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Personuppgiftsbehandling Dataskydd

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Senior Associate på Jansson & Norin, a part of Fondia Juristexamen från London och Paris Varit verksam som jurist sedan 2009

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

GDPR. General Data Protection Regulation. dataskyddsförordningen

Säkerhetspolicy rev. 0.1

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Policy för personuppgiftsbehandling

Granskning av landstingets hantering av personuppgifter

Riktlinjer för personuppgiftshantering

Bilaga 1a Personuppgiftsbiträdesavtal

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Idrottens Uppförandekod

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Riktlinjer för behandling av personuppgifter

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Så behandlar vi dina personuppgifter

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

GDPR och hantering av personuppgifter

Dataskyddsförordningen

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Personuppgiftsbiträdesavtal

Dataskyddsförordningen för prefekter och administrativa chefer

Transkript:

Revisionsrapport 2018 Genomförd på uppdrag av revisorerna September 2018 Karlskrona kommun PM förberedelserna inför dataskyddsförordningen

PM förberedelserna inför dataskyddsförordningen Datum 7 september 2018 Till Förtroendevalda revisorer i Karlskrona kommun Från Negin Nazari, EY Bakgrund Den 25 maj 2018 trädde dataskyddsförordningen (GDPR) i kraft och ersatte personuppgiftslagen (PUL). Förordningen innebär stärkta rättigheter och skydd för individen vad gäller information och samtycke samt ett ökat ansvar för personuppgiftsansvariga. Med behandling av personuppgifter avses varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte. Exempel är insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. De som behandlar personuppgifter ska inte bara följa den nya lagstiftningen utan ska också kunna visa att de uppfyller kraven. Ett sätt att säkerställa att personuppgiftsbehandlingen är i överensstämmelse med lagstiftningen kan vara att anta uppförandekoder, interna riktlinjer och förfaranden. De viktigaste principerna för skydd av personuppgifter är laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet samt ansvarsskyldighet. En hearing ägde rum den 1 juni 2018. Vid hearingen föredrog projektledaren för kommunens GDPR-arbete samt biträdande förvaltningschef för kommunledningsförvaltningen. Kommundirektören och kommunstyrelsens ordförande var inbjudna med kunde inte närvara. Representant för kommunstyrelsen i form av ledamot fanns närvarande. Iakttagelser I detta avsnitt redogörs för de iakttagelser som har gjorts i samband med hearingen och de dokument som vi har tagit del av med anledning av hearingen. Förarbeten och projektplan På uppdrag av kommundirektören genomfördes under kvartal 1 2017 en förstudie om informationssäkerhet. Förstudien berör flera områden såsom stärkt informationssäkerhet, plattform för säker inloggning och digitala signaturer, smarta kort och dataskyddsförordningen. Förstudien identifierar bland annat att det saknas styrdokument för arbetet kring informationssäkerhet och att arbetet med att genomföra anpassningar med anledning av dataskyddsförordningen bör starta omgående. I förstudien anges att det är ett omfattande arbete som väntar för nämnderna och bolagen fram till den 25 maj men att det inte kommer att vara fullt så omfattande efter lagens ikraftträdande. I förstudien anges även en sammanfattning av de åtgärder som behöver genomföras, men det hänvisas till bilagorna Övergång från personuppgiftslagen till dataskyddsförordningen en handlingsplan samt 1

checklista för mer information. Dokumentet Övergång från personuppgiftslagen till dataskyddsförordningen en handlingsplan är daterad till 24 februari 2017. Dokumentet beskriver mer ingående vad dataskyddsförordningen innebär och vad som behöver beslutas om och genomföras för att komma implementera förordningen. Checklistan är en lista med 19 punkter som anger vad som ska göras, vem som är ansvarig i tjänstemannaorganisationen, när det ska vara klart och vilken instans i den politiska organisationen som är ansvarig. Enligt checklistan ska allt vara klart senast april 2018. Checklistan låg till grund för projektbeställningen som avser kommunens GDPR-projekt. Det finns en projektbeställning som avser anpassningar till GDPR som är daterad till den 27 november 2017. Kommundirektören är projektbeställaren. Projektet är indelat i följande delar: Förbered verksamheten Organisera GDPR-arbetet Kartlägg Analysera Dokumentera Inför nya rutiner Leverantörer och avtal Säkerställ individens rättigheter Projektets styrgrupp består av: kommundirektör, biträdande förvaltningschef kommunledningsförvaltningen, IT-chef, kommunjurist och projektledaren. Projektgruppen består av representanter från samtliga förvaltningar. Enligt projektbeställningen kommer styrgruppen efter behov att löpande fatta beslut om mer resurser, utöver personalkostnaderna, behöver tillsättas för att säkerställa projektet. Projektets avslut var satt till den 31 maj 2018. Vid hearingen framkom att kommunens GDPR-projekt inte hann fullföljas i enlighet med den projektbeställning som gjordes i november 2017. Till följd därav har projektet förlängts till 31 december 2018. Projektets status vid hearingen 1 juni Nämnderna är egna personuppgiftsansvariga, men att kommunstyrelsen har det övergripande ansvaret för projektet som avser anpassningar i enlighet med GDPR. Detta innebär att nämnderna är ansvariga för att inventera personuppgifter, upprätta register och teckna personbiträdesavtal men att de övergripande styrdokumenten ska hanteras på central nivå. Ett exempel på detta är att kommunen har ingått ett avtal med kommunförbundet Sydarkivera, där samtliga nämnder har köpt tjänsten dataskyddsombud. Avtalet med kommunförbundet gäller till och med 31 december 2019. Vid hearingen framkom att informationsinsatser till medarbetarna har skett på flera sätt. Information om lagförändringarna har publicerats på intranätet, utbildningsinsatser ska ha genomförts på avdelningar inom kommunen och på kunskapscenter samt att respektive chef ska ha informerat sina medarbetare under arbetsplatsträffar och vid dessa tillfällen använt sig av SKL:s 1 webbutbildningar för ändamålet. Kontinuerlig uppföljning på kommunens ledningsgrupp ska också ha skett där alla förvaltningschefer ingår. Enligt tidplanen ska informationsinsatserna ha genomförts kontinuerligt från december 2017 till och med maj 2018. Därutöver framkom att vissa systemleverantörer har erbjudit utbildningar till systemanvändare. 1 Sveriges kommuner och landsting 2

Projektledaren har besökt nämnderna för att medvetandegöra dem om GDPR och arbetet som genomförs vid en genomgång på cirka 30 minuter. Kommunstyrelsen informerades den 5 juni 2018. För att hantera den registrerades rättigheter ska en rutinbeskrivning för hantering av de registrerades rättigheter upprättats. För att hantera förfrågningar ska en e-tjänst utvecklas på hemsidan och för de som inte har möjlighet att göra en begäran via e-tjänst ska möjligheten finnas att skicka in en blankett och hämta ut registerutdraget i receptionen mot uppvisande av legitimation. I tabellen nedan redovisas statusen i juli månad 2018, en månad efter hearingen, för de styrande dokumenten som åsyftar GDPR-arbetet och kringliggande processer. Tabell 1. Status styrande dokument Policy och riktlinjer Status juli 2018 Dataskyddspolicy Dokumenthanteringsplan Riktlinjer för dataskydd Riktlinjer för e-post Riktlinjer för roller och ansvar inom systemförvaltning Rutinbeskrivning för hantering av de registrerades rättigheter Rutinbeskrivning för hantering av personer med skyddad identitet Rutin för incidenthantering Antagen av kommunfullmäktige den 24 maj 2018. Ska följas av samtliga nämnder. Är ut på remiss. Kommunfullmäktige ska behandla planen under hösten 2018. Är ute på remiss i styrgruppen, ska behandlas av styrgruppen i augusti. Är ute på remiss, flera synpunkter har inkommit som ska arbetas in i riktlinjen. Ska beslutas av styrgruppen i augusti. Är en riktlinje av bör-karaktär. Ej färdigställd vid hearingen. Styrgruppen ska hantera denna efter sommaren. Kommundirektören kommer att fatta beslut på delegation. Detta arbete är inte direkt en fråga för GDPR, men har uppkommit genom projekten. Är ute på remiss. Behandlas på styrgruppsmötet i augusti, därefter ska kommunstyrelsen fatta beslut om den. Finns rutiner för detta sedan tidigare men de ska uppdateras så att de är enhetliga och i överensstämmelse med den nya lagstiftningen. Arbetet med att ta fram rutinen har precis påbörjats. Projektgruppen för GDPR arbetar med IT- och säkerhetsavdelningen för att nå en gemensam rutin och ett gemensamt system för incidenthantering. Fram tills rutinen finns på plats hanteras eventuella incidenter manuellt och via säkerhetsledningen. Vi har inte fått ta del av arbetsmaterialet som avser de riktlinjer och rutiner som ännu inte är färdigställda. Upprättandet av nämndernas registerförteckningar har påbörjats men arbetet har inte slutförts i enlighet med projektbeställningen. Arbetet påbörjades via workshops i samband med genomförda utbildningar och vid arbetsplatsträffar. Kommunen använder sig av SKL:s mall för registerförteckning. I SKL:s mall finns följande rubriker som ska dokumenteras: Löpnummer/beteckning/ID Behandlingens namn Ingår i system Beskrivning av ändamålen med behandlingen Behandlingen omfattar kategorier av registrerade personer Behandlingen omfattar följande typer av personuppgifter Förekommer känsliga personuppgifter och vilka? Kategorier av mottagare av personuppgifterna internt och externt Dokumentation om överföring av personuppgifter sker till tredje land Tidsfrister för radering 3

Ange vilka lagliga grunder som finns för behandlingen Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder Om personuppgiftsbiträden anlitas för att genomföra behandlingen, ange namn och kontaktuppgifter till dessa leverantörer Varje nämnd ansvarar för att färdigställa sina registerförteckningar. Projektets roll är att stödja nämnderna i arbetet. Hur långt nämnderna har kommit i arbetet ser olika ut, några är långt framme och några har längre kvar. Mycket av detta är avhängigt av hur uppdaterade registerförteckningar nämnderna hade sedan innan då den tidigare personuppgiftslagen gällde. För att informationssäkerhetsklassificera system har kommunen använt sig av SKL:s verktyg Klassa 2. Ett första steg har varit att informationssäkerhetsklassa Procapita 3, verksamhetssystemet som skolan använder sig av. Klassificeringen ledde enligt uppgift till en omfattande handlingsplan som kommunen vid hearingen fortfarande arbetade efter. För övriga verksamheter som också använder sig av Procapita, nämligen hälso- och sjukvård och socialtjänsten, har en liknande klassificering påbörjats. Vid sakgranskningen framkom att detta är en arbetsuppgift för den informationsansvarige, en funktion som kommer att finnas övergripande på kommunledningsförvaltningen från årsskiftet 2018/2019. Vidare framkom att kommunens metakatalog 4 och e-postsystem har klassificerats. Vad gäller personuppgiftsbiträdesavtalen är varje nämnd skyldig att tillse att avtal tecknas. Vid hearingen framkom att kommunstyrelsen har börjat att teckna avtal med leverantörer. Det saknas dock en överblick av antalet avtal i kommunen, vilket försvårar möjligheten att avgöra antalet leverantörer som kommunen bör teckna personuppgiftsbiträdesavtal med. Respektive förvaltningschef ska teckna avtalen men det har gått ut en uppmaning till samtliga systemägare att utgå från SKL:s mall vid avtalstecknandet. Uppfattningen är att de avtal som leverantörerna har inkommit med till kommunen inte har varit så kundvänliga och på så sätt lagt en stor del av ansvaret på kommunen. Vid hearingen framkom att hanteringen av personuppgiftsbiträdesavtal ska ske inom ramen för upphandlingsprocessen och att upphandlingsenheten sedan årsskiftet 2017/2018 har infört det som rutin. Styrgruppen har följt upp projektstatus, vilket framgår av styrgruppens minnesanteckningar. Vid det sista styrgruppsmötet innan hearingen, den 6 april 2018, redogjordes nedanstående statusläge för förvaltningarnas arbete med GDPR. 2 Med SKL:s KLASSA kan tre saker göras: Informationssäkerhetsklassa, därefter ta fram en handlingsplan med krav på förvaltning av systemet och hantering av dess informationsinnehåll samt få ut en lista med förslag på informationssäkerhetskrav som stöd vid upphandling. 3 Procapita är ett digitalt verksamhetssystem 4 En metakatalog lagrar och hanterar information kopplat till medborgare, medarbetare, elever och förtroendevalda vars huvudsakliga syften är automatisering av IT-administrationen och vidareutnyttjande av information. 4

Miljö och samhällsbyggnadsförvaltningen (bra koll på processer) Socialförvaltningen (ej inkommit med marerial) Funktionsstödsförvaltningen (ej inkommit med material) Drift- och serviceförvaltningen (Bra på väg, har verksamheter som dock inte gjort något alls, exempelvis Gata/Park) Kommunledningsförvaltningen (Kommunikationsavdelning, Mark- och exploatering och gruppen för digitalisering har knappt påbörjat jobbet. HR på god väg) Kunskapsförvaltningen (kommit igång med KLASSA) Kultur- och fritidsförvaltningen (Har kommit igång bra och är på god väg att bli klara i tid) Arbetsmarknadsförvaltningen (Har kommit igång och är på god väg att bli klara i tid) Äldreförvaltningen (Har god kännedom om vad som behöver göras och är på väg) Bilden ovan är en ögonblicksbild för förvaltningarnas arbete i början av april och inte en helhetsbild för hela projektet. Vid mötet den 6 april fastställdes även en lägstanivå som samtliga förvaltningar skulle uppnå innan förordningen trädde ikraft den 25 maj. Lägstanivån innebar att samtliga förvaltningar skulle vara klara med registerförteckningen, personuppgiftsbiträdesavtal med alla systemleverantörer och att KLASSA skulle vara påbörjat. Av minnesanteckningarna framgår inte om förvaltningarna har tillräckliga resurser för att genomföra arbetet eller om extra resurser behöver sättas in för att klara av att nå lägstanivån. Vid sakgranskningen framhölls att det är förvaltningarnas ansvar att säkerställa att tillräckliga resurser finns för att genomföra arbetet och inte projektstyrgruppens ansvar. Eftersom kommunens GDPR-projekt inte hann fullföljas i enlighet med den projektbeställning som gjordes i november 2017 förlängdes projektet till 31 december 2018. Enligt uppgift förlängs projekttiden för att ge förvaltningarna extra stöd över längre tid än vad som var sagt från början. Vid hearingen framställdes att projektets roll i kommunens fortsatta GDPR-arbete ska vara att: Stödja verksamheterna att systematiskt arbeta med informationssäkerhet. Implementera framtagna policys och riktlinjer så att de blir en naturlig del av arbetet och internkontrollprogrammet. Fortsätta penetrera personuppgiftsbehandlingarna så att de kan anses vara godkända. Att fortsätta informationssäkerhetsklassa system. Sammanfattning och förslag till vidare hantering Sammanfattningsvis kan vi konstatera att kommunen har påbörjat arbetet med att anpassa verksamheten efter dataskyddsförordningen med att det kvarstår en del arbete. Mot bakgrund av detta så vore det ändamålsenligt om revisionen genomför av uppföljande granskning efter projektets avslut för att bedöma om kommunen har genomfört tillräckliga anpassningar med anledning av förordningen. 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss