Sid 1(13) KOMMUNLEDNINGSKONTORET Karlstad 2017-01-17 Stefan Johannesen, 054-540 12 60, 070-0016428 stefan.johannesen@karlstad.se Projektspecifikation Beskrivning av projektets krav, mål och omfattning, genomförande och avslut. Projekt: Dataskyddsförordningen Karlstads kommun Webbplats karlstad.se E-post karlstadskommun@karlstad.se Organisationsnr 212000-1850 Postadress Karlstads kommun 651 84 Karlstad Besöksadress Kontaktcenter Västra Torggatan 26 Telefon 054-540 00 00 Fax 054-18 34 10 Bankgiro 405-2213
Sid 2(13) Innehållsförteckning 1 Översikt... 3 1.1 Bakgrund till projektet... 3 1.2 Projektets syfte... 3 2 Projektmål... 4 2.1 Projektresultat... 4 2.2 Tid och kostnad... 4 2.2.1 Tidsram... 4 2.2.2 Kostnadsram... 4 3 Intressentsituation Intressentanalys... 5 4 Projektets omfattning... 5 4.1 Krav på projektresultatet... 5 4.2 Avgränsningar... 5 4.3 Acceptanskriterier... 5 5 Projektstrategier... 6 5.1 Framgångsfaktorer... 6 5.2 Riskhantering Riskanalys... 7 5.3 Valda strategier... 7 6 Planer... 8 6.1 Arbetets innehåll... 8 6.2 Beroenden... 9 6.3 Uppskattning av resursåtgång... 9 6.3.1 Resursåtgång i projektet... 9 6.3.2 Resursåtgång i verksamheterna... 9 6.4 Tidplan... 9 7 Projektorganisation... 10 7.1 Roller, ansvar och befogenheter... 10 7.1.1 Projektägare och projektbeställare... 11 7.1.2 Styrgrupp... 11 7.1.3 Projektledare... 11 7.1.4 Projektgrupp... 11 7.1.5 Referensgrupp... 11 7.1.6 Expertstöd... 11 7.1.7 Kommunikatör... 11 7.1.8 Kontaktperson/delprojekt på verksamhetsnivå... 11 8 Kommunikation och informationsspridning... 12 8.1 Kommunikationsplan... 12 8.2 Projektplats... 12 8.3 Ändringshantering... 12 9 Överlämning av projektresultat och avslutning... 13 9.1 Överlämning till intern förvaltande mottagare... 13 9.2 Avslutning av projektet... 13
Sid 3(13) 1 Översikt 1.1 Bakgrund till projektet Nya regelverk kommer att från våren 2018 påverka kommunal verksamhet och dess bolag med avseende på intern och extern informationshantering av personuppgifter och informationshantering för samhällsviktiga funktioner: Dataskyddsförordningen (EU) DSF 2016:679 och Nätverk- och informationssystemsskyddsdirektivet (EU) 2016/1148, hädanefter kallade DSF respektive NIS. Även en uppdaterad svensk säkerhetsskyddslag (SOU 2015:25), med en bredare ansats vilket innebär bl.a. att tillgänglighets- och riktighetsaspekterna av information och IT-system lyfts fram, beräknas träda i kraft vid samma tid. De nya regelverken förväntas medföra både ekonomiska och verksamhetsmässiga konsekvenser för koncernen Karlstads kommun, varför koncernen behöver förbereda sig inför kommande lagförändringar. DSF, NIS och nya Säkerhetsskyddslagen medför likartade krav på verksamheterna vid inventering och klassificering av informationstillgångar samt vid inventering av verksamhetsprocesser vilket ger synergieffekter om de samordnas i samma projekt. 1.2 Projektets syfte Projektets syfte är att koncernen vara väl förberett inför de nya reglernas ikraftträdande under år 2018.
Sid 4(13) 2 Projektmål 2.1 Projektresultat Målet med projektet är att: Alla förvaltningar och bolag ska ha definierat och upprättat en sammanhållen inventering av respektive verksamhets informationstillgångar som regleras av DSF, NIS och den nya säkerhetsskyddslagen. Alla förvaltningar och bolag ska ha identifierat vilka åtgärder som krävs för att uppfylla de nya lagkraven. Ge förslag på organisation för dataskyddsombud och andra eventuella organisatoriska förändringar. Ha ökat kompetensen i hela koncernen gällande de nya lagarna. Ge förslag på koncerngemensamma regler och rutiner. 2.2 Tid och kostnad 2.2.1 Tidsram Projektet pågår under hela 2017 och genomförs under perioden 1 februari 2017 till 31 december 2017. Projektresultatet överlämnas till intern förvaltare inom projekttiden. Slutrapport överlämnas till projektbeställaren senast den 31 januari 2018. 2.2.2 Kostnadsram Utbildning av personal (extern utbildning): 50 000 kr. Resor, kurser, studiebesök: 20 000 kr. Kommunikationsinsatser (informationsmaterial, träffar, etc): 50 000 kr. Konsultstöd inventeringsverktyg 50 000 kr. Kostnader utöver ram beslutas av styrgruppen.
Sid 5(13) 3 Intressentsituation Intressentanalys Se projektets kommunikationsplan. 4 Projektets omfattning 4.1 Krav på projektresultatet Primärt är att koncernen vid projektets utgång är förberett inför de nya regelverkens ikraftträdande i maj 2018. Berörda parter skall ha information och kunskap om de nya reglerna samt vara bekväma i vad eventuella förändringar innebär i termer av krav, arbetssätt, organisation och verksamhet. 4.2 Avgränsningar Projektet hanterar inte aktiviteter eller det resursbehov som krävs i respektive förvaltning/bolag eller de kostnader som uppkommer vid nödvändiga förändringar inom IT-infrastruktur, IT- eller verksamhetssystem samt verksamhetsprocesser. Projektet ansvarar för att förbereda koncernen för de nya regelverken. Respektive förvaltning och bolag ansvarar för att uppfylla och hantera de krav och förändringar som regelverken kan komma att innebära. Projektet hanterar de regelverk som finns tillgängliga under projekttiden, eventuella tillägg och övriga regelverk hanteras i mån av tid och övriga tillgängliga resurser. Dataskyddsförordningen träder i kraft i maj 2018, per dags dato är det oklart när NIS och SÄK implementeras. 4.3 Acceptanskriterier Projektresultaten, se punkt 2.1. ovan, ska vara genomförda och överlämnade till intern förvaltande mottagare.
Sid 6(13) 5 Projektstrategier 5.1 Framgångsfaktorer Primärt är att koncernen vid projektets utgång är förberett inför de nya regelverkens ikraftträdande i maj 2018. Berörda parter skall ha information och kunskap om de nya reglerna samt vara bekväma i vad eventuella förändringar innebär i termer av krav, arbetssätt, organisation och verksamhet. Detta säkerställs genom att kommunicera effektivt och regelbundet för att skapa insyn, samsyn och helhet. Projektet koordinerar verksamheterna. Utbildning är också en framgångsfaktor. Ett inledande uppstartsmöte hålls tidigt i projektet för att skapa en gemensam utgångspunkt och målbild. Information om projektet ska regelbundet kommuniceras till berörda parter med stöd av en kommunikationsplan.
Sid 7(13) 5.2 Riskhantering Riskanalys Risk Information om projektet och dess aktiviteter når inte mottagaren på rätt sätt. Verksamheterna prioriterar inte erforderliga resurser. Nyckelpersonsberoende. Målen uppfylls inte/otydligt resultat. Åtgärd Kommunikationsplan tas fram. Tydlig och regelbunden information. Förankring hos FD/VD. Tydlig dokumentation innan, under och efter projektet. Målen är nedbrutna, tydliga och konkretiserade i en aktivitetsplan. 5.3 Valda strategier Projektet kvalitetssäkras genom kommunens projektmodell som används som stöd för beslut, resurstillsättning, kommunikation och dokumentation. Genom utbildning, kunskap och information underlättas projektets måluppfyllelse.
Sid 8(13) 6 Planer 6.1 Arbetets innehåll 6.1.1 Alla förvaltningar och bolag ska ha definierat och upprättat en sammanhållen inventering av respektive verksamhets informationstillgångar som regleras av DSF, NIS och den nya säkerhetsskyddslagen. Definiera termer och begrepp vilka sedan ska användas i aktiviteter och kommunikation för att nå projektets mål. Inventering av informationstillgångar i syfte att identifiera tillgångar och processer som hanterar personuppgifter och samhällskänsliga uppgifter. 6.1.2 Alla förvaltningar och bolag ska ha identifierat vilka åtgärder som krävs för att uppfylla de nya lagkraven kopplat till den egna verksamheten. 6.1.3 Ge förslag på organisation för dataskyddsombud och andra eventuella organisatoriska förändringar. 6.1.4 Samordna och ge stöd till kommunens verksamheter så att de ges förutsättningar att implementera DSF, NIS och den nya säkerhetsskyddslagen genom utbildning samt samverkan och informationsutbyte mellan berörda parter i projektet. Informera och stödja koncernen gällande de nya lagarna. Genomföra utbildnings- och kompetensförhöjande insatser till riktade målgrupper. 6.1.5 Ge förslag på koncerngemensamma regler och rutiner. Upprätta ett förslag på rutin för att hålla inventeringen av koncernens personuppgiftsbehandlingar aktuell. Upprätta förslag på rutiner som hanterar a. Personuppgiftsärenden b. Säkerhetsincidenter c. Samhällsviktig informationshantering
Sid 9(13) 6.2 Beroenden Projektet kan ha gemensamma beröringspunkter med SISO-projektet (Samarbetsrum I Sharepoint Online) respektive LASO-projektet (LagringsAlternativ till Sharepoint Online). 6.3 Uppskattning av resursåtgång 6.3.1 Resursåtgång i projektet Projektledare 50 % 12 månader Kommunikatör 20 % 11 månader Expertgrupp (per individ) 20 % 12 månader Projektgrupp (per individ) 20 % 11 månader Personalresurser bekostas inom ramen för respektive verksamhets budget. 6.3.2 Resursåtgång i verksamheterna Varje verksamhet behöver tillsätta interna personella resurser i form av en kontaktperson till projektet och därutöver i den utsträckning som behövs för att genomföra inventering och åtgärder i den egna verksamheten. Kostnader för detta hanteras av respektive verksamhet. 6.4 Tidplan Projektbeskrivning & uppstart 6.1.1. Inventering 6.1.2. Identifiera åtgärder 6.1.3. Organisation dataskyddsombud 6.1.4. Samordning 6.1.5. Regler och rutiner Slutrapport och överlämning Jan Feb Mar Apr Maj Jun Jul Aug Sep Okt Nov Dec Jan
Sid 10(13) 7 Projektorganisation 7.1 Roller, ansvar och befogenheter PROJEKTBESTÄLLARE Ulf Nyqvist STYRGRUPP Carina Wiberg Lotta Wahlén Leif Carlson REFERENSGRUPP Strategisk nivå: FD/VD Operativ nivå: Anders Lenz Conny Karlsson Maria West Pia Holmstrand PROJEKTLEDARE Stefan Johannesen PROJEKTGRUPP Emelie Wastelius Dan Tågmark Leif Carlson Pia Garpelin EXPERTSTÖD Marie Edwinson Dan Tågmark Leif Carlson Gunnar Kartman Carina Lill VERKSAMHETSNIVÅ (organisation efter behov) Kontaktperson Delprojekt Kontaktperson Delprojekt
Sid 11(13) 7.1.1 Projektägare och projektbeställare Projektbeställaren kan i samråd med styrgruppen besluta om ändringar eller avbryta projektet i förtid. 7.1.2 Styrgrupp Styrgruppen har till uppgift att svara för beslutsfattande inom projektet. 7.1.3 Projektledare Projektledaren ansvarar för allt som ligger inom projektets ramar enligt projektspecifikation. 7.1.4 Projektgrupp Projektgruppen arbetar för att föra projekts operativa arbete framåt. 7.1.5 Referensgrupp Strategisk nivå FD/VD referensgruppens roll är att vara informationsbärare och ansvarar för att relevanta beslut tas i respektive verksamhet. Operativ nivå Löpande avstämning som framför allt rör personuppgiftshantering 7.1.6 Expertstöd Expertgruppen bistår projektgruppen bl.a. med kunskap och kvalitetssäkring. Arbetar stödjande med expertkunskaper inom respektive område. 7.1.7 Kommunikatör En kommunikatör ansvarar för kommunikationsinsatserna inom ramen för projektet. 7.1.8 Kontaktperson/delprojekt på verksamhetsnivå En kontaktperson är länken mellan projektet och respektive verksamhet. Ansvarar för att genomföra inventeringen och annat liknande operativt arbete som kräver goda verksamhetsspecifika kunskaper inom sin verksamhet. Respektive verksamhet kan även besluta att initiera ett internt delprojekt. Delprojektledaren är då kontaktperson gentemot huvudprojektet.
Sid 12(13) 8 Kommunikation och informationsspridning 8.1 Kommunikationsplan En kommunikatör ingår i projektgruppen. Kommunikatören ska ta fram en kommunikationsplan som innehåller målgrupper, budskap, typ av information, kanalval och tidsplan för aktiviteter. Kommunikatören ansvarar för att kommunikationsplanens aktiviteter utförs, att resultaten följs upp och att planen ändras vid behov. 8.2 Projektplats Alla projektdokument kommer att publiceras på Solsidan. Dokument som ingår i projektmodellen kommer att diarieföras i kommunens ärendehanteringssystem. 8.3 Ändringshantering Ändringar i projektet kan medföra förändringar av tid, kostnader och resultat. Projektets styrgrupp godkänner och beslutar om ändringar. Om styrgruppen inte hinner sammankallas har projektbeställaren rätt att godkänna förändringar i projektet.
Sid 13(13) 9 Överlämning av projektresultat och avslutning 9.1 Överlämning till intern förvaltande mottagare Överlämning till IFM sker i samråd mellan projektledaren och IFM i samband med att projektet avslutas, eller om möjligt i takt med att projektets olika mål uppfylls. Överlämning sker senast den 31 december 2017. 9.2 Avslutning av projektet Projektet avslutas när styrgruppen har godkänt slutrapporten. Ulf Nyqvist projektbeställare Stefan Johannesen projektledare