SLUTRAPPORT PROJEKT GDPR

Relevanta dokument
Projekt: Dataskyddsförordningen

Projektförlängning 2018: Dataskyddsförordningen

Handlingsplan för persondataskydd

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

Så förbereder Leksand inför Dataskyddsförordningen

Information om dataskyddsförordningen

Behandling av personuppgifter GDPR. Ny dataskyddsförordning

DATASKYDD (GDPR) Del 2: Förvaltningsledning

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

IT-konsekvensanalys dataskyddsförordning

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

GDPR NYA DATASKYDDSFÖRORDNINGEN

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Projektplan. Förstudie - Förberedelser inför nya dataskyddförordningen. Versionshistorik. Uppdragsgivare Caroline Sjöberg

Behandling av personuppgifter vid Göteborgs universitet

WHITE PAPER. Dataskyddsförordningen

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Hantering av personuppgifter inom Lunds universitet

STOCKHOLMS FOTBOLLFÖRBUND

GUIDE TILL GDPR FÖR INFOBRIC PARTNERS

Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Policy för integritet vid hantering av personuppgifter

Hantering av personuppgifter inom Lunds universitet

Riktlinjer för hantering av personuppgifter

Regionalt befolkningsnav Utgåva P Anders Henriksson Sida: 1 (6) Projektdirektiv

GDPR. För att få hantera personuppgifter måste föreningen ha en laglig grund för detta. Vägledning för bostadsrättsföreningar FASTUMGRUPPEN

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Ny dataskyddsförordning (GDPR) - Projektdirektiv för anpassning i

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Revisionsrapport 2018 Genomförd på uppdrag av revisorerna September Karlskrona kommun. PM förberedelserna inför dataskyddsförordningen

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Slutrapport: DSF-projektet

Dataskyddsförordningen för prefekter och administrativa chefer

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

PuL och GDPR en översiktlig genomgång

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

GDPR. Dataskyddsförordningen

Skolan och Dataskyddsförordningen

Dataskyddsförordningen - GDPR

Granskning av landstingets hantering av personuppgifter

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen (DSF/GDPR)

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsombud, organisation och finansiering

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Riktlinjer för hantering av personuppgifter

GDPR ur verksamhetsperspektiv

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Lindesbergs kommuns arbete med dataskyddsförordningen

Riktlinjer för personuppgiftshantering

Ett eller flera dataskyddsombud?

Hur angriper Solna stad GDPR-utmaningen? Lösningsarkitekt/IT-säkerhet Bo Jönsson Informationssäkerhetskonsult Peter Russo

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

PERSONUPPGIFTSBITRÄDESAVTAL

Riktlinjer för dataskydd

GDPR Presentation Agenda

Instruktion till mall för registerförteckning

Dataskyddsförordningen och Stadens styrsystem. Jan A Svensson Informationssäkerhetschef

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Dataskyddsförordningen 2018

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen 2018

Denna policy skapades av och för organisationens behandling av personuppgifter.

Den nya dataskyddsförordningen

DATASKYDD (GDPR) Del 1. Del 2. Dataskyddssamordnare. Del 4. Om dokumentet. Organisationens högsta ledning Kommunledning eller regionledning

GDPR viktiga nyheter jämfört med PuL

GDPR och hantering av personuppgifter

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

GDPR General data protection regulation Dataskyddsförordningen

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Dataskyddsförordningen

Göteborgs Stad Intraservice går igenom samtliga inkomna synpunkter och väljer sedan om och hur synpunkterna ska beaktas.

Anvisningar för behandling av personuppgifter

Policy för behandling av personuppgifter

Integritetspolicy för personuppgiftshantering

Sundbybergs stad. Förstudie - granskning av förberedelse inför implementering av nya dataskyddsreformen

Policy för informations- säkerhet och personuppgiftshantering

Personuppgiftsbiträdesavtal

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

2018/0556

Transkript:

SLUTRAPPORT PROJEKT GDPR Ali Narimani december2018

Projektnamn Behandling av personuppgifter enlig dataskyddsförordning (GDPR) Projektledare Bijan Narimani Projektperiod 2017-11-01 till 2018-12-31 1

Innehåll Inledning...3 Definitioner & förkortningar...3 Syfte & mål...3 Syfte...3 Mål...3 Omfattning & strategi...4 Omfattning...4 Strategi...4 Avgränsningar...4 Tidsplan...4 Organisation...5 Metod/Modell...6 Projektets genomförande...6 Resultat...6 Registerförteckningar...6 Utbildningar...7 Information till ledning...7 Erfarenheter...7 2

Inledning Nytt regelverk från våren 2018 har påverkat den kommunala verksamheten och dess bolag avseende intern och extern informationshantering av personuppgifter: Dataskyddsförordningen (EU) DSF 2016: hädanefter benämnd efter det engelska namnen General Data Protection Regulation (GDPR). De nya regelverken medför både ekonomiska och verksamhetsmässiga konsekvenser för kommunen. Definitioner & förkortningar GDPR - General Data Protection Regulation, Dataskyddsförordningen. Personuppgifter: Varje upplysning som avser en identifierad eller identifierbar fysisk person Behandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej Registerförteckning: Ett strukturerat register över behandling av personuppgifter DSO (Dataskyddsombud): Kontaktperson mellan kommunen och tillsynsmyndighet samt den registrerade PUL: Personuppgiftslagen 1995 PUA (Personuppgiftsansvarig): Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå i till. I kommunen är det nämnderna. PUB (Personuppgiftsbiträde): Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdesavtal: Biträdesavtal är ett tilläggsavtal mellan personuppgiftsansvarig och personuppgiftsbiträde som garanterar att personuppgifter behandlas enligt bestämmelserna i GDPR. Syfte & mål Syfte Syftet med projektet har varit att förbereda kommunen, dess nämnder, förvaltningar och verksamheter inför den nya förordningen. Det innebär att bygga grunden och skapa förutsättningar så att all personal i kommunen får lika information och utbildning inom GDPR, för att kunna tillämpa lagen i sitt dagliga arbete. Mål Målet med projektet har varit att: Alla förvaltningar, verksamheter och kommunala bolag ska ha definierat och upprättat en sammanhållen inventering (registerförteckning) av verksamhetens personuppgiftstillgångar. Alla förvaltningar, verksamheter och kommunala bolag ska identifiera vilka åtgärder som krävs för att uppfylla de nya lagkraven. Skapa organisation för dataskyddombud (DSO) och andra eventuella organisatoriska förändringar. 3

Omfattning & strategi Omfattning Strategi Projektet har omfattat hela kommunen enligt dess organisationsschema. Berörda parter skall ha fått information och kunskap om de nya reglerna samt vara bekväma i vad eventuella förändringar inneburit i termer av krav, arbetssätt, organisation och verksamhet. Upplägget för projektet var att följa de erfarenheter som fanns i Karlstad, vi benämner detta som Karlstadmodellen. Avgränsningar Primärt har varit att kommunen vid projektets slut har fått grunden för att kunna leva upp till GDPR och få in GDPR i vardagen. Följa upp och kvalitetssäkra genom regelbunden granskning och revision av personuppgiftsbehandling i de olika verksamheterna. Detta säkerställs genom att kommunicera effektivt och regelbundet för att skapa insyn, samsyn och helhet. Utbildning är också en framgångsfaktor. Ett inledande uppstartsmöte hölls tidigt i projektet för att skapa en gemensam utgångspunkt och målbild. Information om projektet har regelbundet kommunicerats till berörda parter med stöd av en kommunikationsplan. Projektet har inte hanterat aktiviteter eller det resursbehov som krävs i respektive förvaltning/bolag eller de kostnader som uppkommer vid nödvändiga förändringar inom verksamhetssystem samt verksamhetsprocesser. Projektet ansvarade för att förbereda och bygga grunden i kommunen för de nya regelverken. Respektive förvaltning och bolag ansvarade för att uppfylla och hantera de krav och förändringar som regelverken kan ha inneburit. Projektet hanterade de regelverk som fanns tillgängliga under projekttiden. Tidsplan Projektet statades november 2017. Det praktiska arbetet med registerförteckningar påbörjades i januari 2018 efter förberedelserna. 4

Projektplan har varit enligt nedanstående schema. Rubrik månad 1 2 3 4 5 6 7 8 9 10 11 12 13 Beskrivning/uppstart Organisation* Skyddsombud Projekt G1 Inventering Analys/åtgärd samordning Regler och rutiner Slut rapport Organisation Organisationen består av Projektledare/Dataskyddsombud Projektgrupp bildades med representanter från varje förvaltning/verksamhet. De flesta av dessa medlemmar hade jobbat med PUL i kommunen innan projektstart. Roller, ansvar och befogenheter 1 Beställare/ägare Styrgrupp Projektbeställaren kan i samråd med styrgruppen besluta om ändringar eller avbryta projektet i förtid. Styrgruppen har till uppgift att svara för beslutsfattande inom projektet. Projektledare Projektgrupp Personal som hanterar frågan idag Referensgrupp Dåvarande PUL ansvarig informatör Projektledaren ansvarar för allt som ligger inom projektets ramar enligt projektspecifikation. Projektgruppen arbetar för att föra projekts operativa arbete framåt. Referensgruppens roll är att vara informationsbärare och ansvarar för att relevanta beslut tas i respektive verksamhet. Expertgrupp It enheten - konsult Expertgruppen bistår projektgruppen bl.a. med kunskap och kvalitetssäkring. Arbetar stödjande med expertkunskaper inom respektive område. 1 Referensgruppen har inte fungerat i den tilltänkta rollen I expertgruppen har inte IT-enheten påverkat på något sätt 5

Metod/Modell Då det inte fanns beskrivna projektmodeller i Forshaga kommun för att kunna kvalitetssäkra projektet, användes Karlstad kommuns projektmodell som stöd för beslut, resurstillsättning, kommunikation och dokumentation. Genom utbildning, kunskap och information underlättades projektets måluppfyllelse. Den valda metoden för att kunna lyckas med projektet skulle vara en beprövat metod och för det valdes MSB s systematiska metod som i sin tur baseras på ISO/IEC-standard. Projektets genomförande Alla förvaltningar och bolag har definierat och upprättat en sammanhållen inventering av respektive verksamheters personuppgiftstillgångar (Registerförteckningar) 2 som regleras enligt GDPR. Definierat termer och begrepp vilka sedan tillämpats i aktiviteter och kommunikation för att nå projektets mål 3. Inventering av personuppgiftstillgångar i syfte att identifiera tillgångar och processer som hanterade personuppgifter (nuläge, Gap-analys, anpassning). Alla förvaltningar och bolag har identifierat vilka åtgärder 4 som krävts för att uppfylla de nya lagkraven kopplat till den egna verksamheten. Samordning och stöd till kommunens verksamheter för att de ska ges förutsättningar att implementera GDPR genom utbildning, samverkan och informationsutbyte mellan berörda parter i projektet. Informera och stödja kommunens ledning (nämnder och kommunledningsgrupp) gällande de nya lagarna. Genomföra utbildnings- och kompetenshöjande insatser till alla tjänsteman i två omgångar. Resultat Registerförteckningar Nästan 200 stycken behandlingar av personuppgifter med olika ändamål i digital och manuellt format har identifierats och kartlagts. De nödvändiga åtgärderna för anpassningar till GDPR i form av ändamålsanpassning, principer, lagliga grunder enligt GDPR är registrerat. Genom kontakt med systemleverantörer har biträdesavtal tagits fram. Det finns ett 40 tal system som administreras av It- avdelning. Forshaga kommun har inte fått vare sig kartläggning eller biträdesavtal gällande dessa system. 2 Verktyget licenserades av Draftit AB, det rekommenderades av de flesta kommunerna i Värmland 3 Enligt definitioner i artikel 4 i GDPR 4 Biträdesavtal med systemleverantörer enligt artikel 28 i GDPR 6

Utbildningar Nästan all personal som hanterar personuppgifter i sitt arbete har fått utbildning. Projektgruppen har deltagit i utbildningar via SKL. Föreläsning gällande nämndens roll som personuppgiftsansvarig (utförd av projektledare). Internutbildning för personalen i form av föreläsningar under APT möten i två omgångar (utförd av projektledare). Framtagning av anpassat utbildningsmaterial med en avslutande test. All personal som behandlar personuppgifter kommer att genomföra utbildningen. Information till ledning Regelbunden information har lämnats till projektägare (kommunchefen) och styrgruppen (kommunledningsgruppen). Erfarenheter Forshaga kommun behöver ha en egen projektmodell. Det uppstår kvalitetsbristkostnader när vi tvingas anpassa oss utifrån andra kommuner med andra organisationer som ibland kräver andra arbetssätt. Uppdatering av befintliga policys, framtagning av nya riktlinjer och anpassning av befintliga dokument till GDPR måste utföras. Informationsflödet från kommunledningsgruppen till personalen i verksamheterna måste förbättras. En lärdom under projektet är att det finns brister i hanteringen av informationssäkerhet som måste hanteras. Här är MSB metod den enda metod som är kvalitetssäkrad. Räddningstjänstförbundet har under projektet uppmuntrats av kommunerna i Karlstadsregionen att utgöra en samordnande funktion för informationssäkerhet, bl.a. genom att likrikta ambitionsnivån i kommunernas arbete (GDPR är en del av Informationssäkerheten). 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss