Revisionsrapport beträffande IT-området m m



Relevanta dokument
ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Revisionsrapport: Uppföljning av rapport Genomlysning av IFO

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Granskning av landstingets hantering av personuppgifter

1. Bakgrund. 2. Parter. 3. Definitioner

Personuppgiftsbiträdesavtal

Säters kommun. IT-verksamheten Revisionsrapport. KPMG AB 11 november 2014 Antal sidor: 9 Bilaga IT-bokslut 2013

Handlingsplan för persondataskydd

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Revisionsrapport: Förebyggande arbete mot mutor och jäv

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Protokollsutdrag. 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384

Använd molntjänster på rätt sätt

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Revisionsrapport Verksamheter på entreprenad

3. Vi har även tagit del av följande bilagor, som hör till Huvudavtalet:

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Revisionsrapport Översiktlig granskning av delårsrapport per

Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Svar på revisionsrapport om kommunens IT-strategi

Revisionsrapport Uppföljande granskning av rapporten Attester och utbetalningsrutiner

Dataskyddsförordningen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Revisionsrapport: Uppföljning av rapport Granskning av bisysslor

SLUTRAPPORT PROJEKT GDPR

Revisionsrapport E-förvaltning: molntjänster Skellefteå kommun Bo Rehnberg Cert. kommunal revisor

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Uppföljning av upphandling svar på revisionsskrivelse

Riktlinjer för hantering av personuppgifter

Granskning av kommunstyrelsens förutsättningar för styrning och ledning

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Revisionsrapport Granskning av uppföljning av intern kontroll

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

Intern kontroll och riskbedömningar. Sollefteå kommun

Granskning intern kontroll

Revisionsrapport: Granskning av förbundets rutiner för att hålla god offentlighetsstruktur

Instruktion till mall för registerförteckning

Granskningar avseende Upphandling och Personuppgiftslagen

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

PERSONUPPGIFTSBITRÄDESAVTAL

IT-verksamheten, organisation och styrning

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Västerviks kommun. Förstudie om kommunens styrning och uppföljning av verksamheter som bedrivs av privata utförare

Riktlinjer för Laholms kommuns styrdokument

Överenskommelse om myndighetssamverkan

Granskning av IT:s nytta ur ett verksamhetsperspektiv

Förstudie: Övergripande granskning av ITdriften

Bilaga 1a Personuppgiftsbiträdesavtal

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Hällefors kommun. Kommunstyrelsens uppsikt över de kommunala bolagen Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 11

C. Mot bakgrund av ovanstående har Parterna ingått detta Avtal.

Revisionsrapport Granskning av upphandlingsrutiner. Ragunda Kommun

Granskning av kommunens beredskap avseende EKOfrågor (Etik, Korruption och Oegentligheter) Revisorerna Bollnäs kommun

Yttrande över revisionsrapport - granskning av kommunens IT-verksamhet

För ytterligare information angående granskningen hänvisas till rapporten.

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Regionens uppföljning av externa utförare inom primärvården

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Bilaga - Personuppgiftsbiträdesavtal

Riktlinjer för internkontroll i Kalix kommun

Revisionsrapport Budgetprocessen Pajala kommun Anna Carlénius Revisonskonsult

Timrå kommun. Kommunens konstinnehav Revisionsrapport. KPMG AB Audit Antal sidor: 9 6 mars 2012 Granskning av kommunens konstinnehav

Riktlinjer för personuppgiftshantering

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Ånge Fastighets och Industri AB Kommunstyrelsen. För kännedom: Kommunfullmäktiges presidium. Revisionsrapport: Granskning av bisysslor

Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018

Personuppgiftsbiträdesavtal

Revisionsberättelse för år 2011

Revisionsrapport Övergripande granskning

Revisionsrapport Granskning av styrdokument.

Hantering av IT-risker

Palliativ vård, uppföljning. Landstinget i Halland. Revisionsrapport. Mars Christel Eriksson, certifierad kommunal revisor

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Motala kommun. Övergripande granskning 2015 Kommunstyrelsen. Revisionsrapport. Offentlig sektor KPMG. Antal sidor: 9

Upphandling och inköp

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Lekmannarevision 2017 Systematiskt arbetsmiljöarbete

Ett eller flera dataskyddsombud?

Grundläggande granskning av samarbetsnämnd för löneservice

Granskning av personuppgiftshantering och it-säkerhet i skolans it-system

Styrdokumentshierarki -Riktlinjer för styrdokument i Örkelljunga kommun

Intern kontroll och riskbedömningar. Strömsunds kommun

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Reglemente för intern kontroll

Transkript:

Sida 1(1) Datum Revisionen Till: Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Samtliga nämnder Revisionsrapport beträffande IT-området m m KPMG har av s revisorer fått i uppdrag att granska: Styrning och uppföljning av den centrala IT-funktionen. Hur kommunen säkerställer efterlevnad av personuppgiftslagen (PUL). Molntjänster som avtalats inom skolområdet. Revisionen önskar att kommunstyrelsen lämnar synpunkter på de slutsatser som finns redovisade i rapporten senast den 22 december 2014. Av svaret bör det framgå vilka eventuella åtgärder som ska vidtas och när de beräknas vara genomförda. Revisionen vill även uppmana övriga nämnder att beakta de synpunkter som framkommit i rapporten. Med vänliga hälsningar Bertil Wiklund Ordförande Postadress Revisionen 872 80 Kramfors E-post kramfors.kommun@kramfors.se Besöksadress Torggatan 2 Telefon 0612-800 00 Fax 0612-157 57 Hemsida www.kramfors.se Organisationsnr 212000-2429

Styrning och uppföljning av den centrala IT-funktionen Efterlevnad av PuL Avtalade molntjänster inom skolområdet Revisionsrapport Offentlig sektor - kommuner och landsting KPMG AB 17 september 2014 Antal sidor: 10

Innehåll 1. Sammanfattning 1 1.1 Bakgrund 1 1.2 Iakttagelser och kommentarer 1 2. Bakgrund 3 3. Syfte 4 4. Avgränsning 4 5. Ansvarig styrelse 4 6. Metod 4 7. Granskningsnoteringar 5 7.1 Styrning och uppföljning av den centrala IT-funktionen 5 7.1.1 Styrningen och uppföljning 5 7.1.2 IT-enhetens egen uppfattning om sitt uppdrag 7 7.1.3 Verksamhetens uppfattning om IT-enheten 8 7.2 Efterlevnad av personuppgiftslagen 8 7.3 Molntjänster inom skolområdet 10

1. Sammanfattning 1.1 Bakgrund Kommun har en central IT-funktion för stöd och service till hela den kommunala verksamheten. Flera av verksamheterna inom kommunen är idag helt beroende av väl fungerande IT. Allt fler kommuner överväger att använda eller använder redan sig av så kallade molntjänster. Molntjänster innebär att exempelvis processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över Internet. När man använder en molntjänst för lagring av personuppgifter förloras den faktiska kontrollen över de personuppgifter som lagras. Datainspektionen har i ett antal tillsynsärenden på ett antal skolor i Sverige noterat att dessa inte efterlevde personuppgiftslagen (PuL). PuL omfattar inte bara skolområdet vilket innebär att kommunen även måste ha förutsättningar för att efterleva den i kommunens övriga verksamheter. Revisionen anser det väsentligt att säkerställa att den centrala IT-funktionen har möjlighet att erbjuda det stöd och samarbete som kommunens kärnverksamheter kräver och behöver. Vidare utesluter inte revisionen att det finns risk för att kommunen kan ha avtal eller har för avsikt att teckna avtal med molnleverantörer utan att ha tagit hänsyn till vad PuL föreskriver. Revisionen bedömer även att det finns risk för att hänsyn inte tas till PuL till exempel vid användandet av sociala medier, när skyddade adresser skall hanteras och vid publicering på hemsidor 1.2 Iakttagelser och kommentarer Från granskningen vill vi särskilt framhålla: IT-enhet verkar sedan 2014-01-01 i en nyinrättad organisation. Ansvar och arbetssätt är under förändring och mycket återstår. Företrädare för den centrala IT-funktionen utför inte sitt uppdrag efter något kommunövergripande styrande dokument i form av en IT-strategi eller motsvarande. Det är heller inte formaliserat och dokumenterat någon egen strategi. Däremot finns en kortfattad och övergripande hållen uppdragslista vilken är presenterad av kommunledningen för IT-Enheten (ITE). Kommunen har vid granskningstillfället ingen tjänstemannagruppering (IT-råd, IT-forum etc.) som har till uppgift att engagera, samordna, rådge och stödja förvaltningarna i de IT-relaterade delarna av verksamheten. Ansvarig för ITE uppger att man skulle vinna på ett tydligare formulerat uppdrag från politik och verksamhetsledning. Inte bara ITE: s egen verksamhet skulle vinna på det utan även all annan verksamhet som stöds av IT. Detta understryks när intervjuade användare uppger att en sammanhållen IT-funktion är en nödvändighet och nyttan av ITE ökat speciellt ny organisation av supporten. Däremot saknas intervjusvar om att omorganisationen bidragit till nytta i strategi och framtidsfrågor. ITE är i början på en längre resa och är väl medveten om det. Uppdraget, färdplanen på både kort och lång sikt, kan och bör bli tydligare beskrivet, vara formellt beslutade och över tid finnas i uppdaterade dokument vilka skall vara väl kommunicerade. En IT-strategi kan med fördel skrivas i samförstånd i ett IT-råd. Skolans förslag till IT-strategi är struktur- och innehållsmässig lämpad för att tjäna som uppslag och en initial mall för en strategi för hela kommunen Ett IT-råd skall finnas i kommunen. Det krävs för samsyn och samarbete. Vi rekommenderar att ett IT-råd snarast inrättas 1

och det under ledning av kommunchefen. Det skall aldrig råda någon tvekan om att IT-rådets beslut är det som gäller i kommunen. Historiskt sett har det varit verksamhetsansvariga som beslutat om ändamålen med och medlen för behandling av personuppgifter. Vad vi förstår har inte respektive nämnd och därmed personuppgiftsansvariga (PuA) fått kännedom om detta och därmed inte fått/skaffat sig möjlighet att formellt och korrekt utöva sitt ansvar. Det är nytillträdd personuppgiftsombud (PuO) ambition att rätta till detta förhållande. Vi noterar även att det finns insikt om ett stort behov av inventering av register och kontrollåtgärder så att det finns personuppgiftsbiträdesavtal och att de är korrekt avfattade samt efterlevda. Det är inte orimligt att anta att kommunen inom BKU (Barn- kultur och utbildningsförvaltningen) använder sig av molntjänst. Uppdraget för detta avsnitt av granskningen är avgränsat att granska om ansvariga har och upprätthåller ändamålsenlig kontroll över externt lagrade personuppgifter. Erhållna dokument och intervjuer avseende systemet avseende It s learning leder oss till bedömningen att ansvariga själva måste reda ut, dokumentera och bedöma om rådande avtalsläge innebär att de personuppgifter som hanteras av alla inblandade parter är enligt PuL och kommunens egna regler. 2

2. Bakgrund Vi har av revisorerna i fått i uppdrag att granska: Styrning och uppföljning av den centrala IT-funktionen Hur kommunen säkerställer efterlevnad av personuppgiftslagen (PuL) 1 Molntjänster som avtalats inom skolområdet Kommun har en central IT-funktion för stöd och service till hela den kommunala verksamheten. Flera av verksamheterna inom kommunen är idag helt beroende av väl fungerande IT. För alla verksamheter handlar ett väl fungerande IT-stöd såväl om säkerhet som om möjlighet till en fungerande verksamhet utan driftstörningar. Allt fler kommuner överväger att använda eller använder redan sig av så kallade molntjänster. Molntjänster innebär att exempelvis processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över Internet. När man använder en molntjänst för lagring av personuppgifter förloras den faktiska kontrollen över de personuppgifter som lagras. Till detta kommer att molnleverantörer ofta använder sig av standardavtal, det vill säga i förväg definierade användarvillkor, och anlitar underleverantörer. Det är därför viktigt att den som tänker använda en, eller redan använder en eller flera molntjänster i sin verksamhet är medveten om de krav som ställs enligt personuppgiftslagen. Under år 2013 uppmärksammade Datainspektionen i ett antal tillsynsärenden att ett antal skolor i Sverige inte efterlevde PuL. PuL omfattar alla verksamheter i kommunen vilket innebär att kommunen även måste ha förutsättningar för att efterleva den i kommunens övriga verksamheter. Revisionen anser det väsentligt att säkerställa att den centrala IT-funktionen har möjlighet att erbjuda det stöd och samarbete som kommunens kärnverksamheter kräver och behöver. Vidare utesluter inte revisionen att det finns risk för att kommunen kan ha avtal eller har för avsikt att teckna avtal med molnleverantörer utan att ha tagit hänsyn till vad PuL föreskriver. Revisionen bedömer även att det finns risk för att hänsyn inte tas till PuL till exempel vid användandet av sociala medier, när skyddade adresser skall hanteras och vid publicering på hemsidor. 1 SFS 1998:204 3

3. Syfte Syftet med granskningen är att besvara följande frågor: 4. Avgränsning Finns det ett tydligt definierat uppdrag för kommunens centrala IT-funktion? Hur har den centrala IT-funktionen mottagit sitt uppdrag och hur arbetar de för att uppfylla det? Hur uppfattar kärnverksamheten den centrala IT-funktionens uppdrag och hur uttrycker man sitt behov av stöd och service? Vilka molntjänster används eller kommer att användas inom skolområdet under 2014? Har Barn- kultur och utbildningsnämnden, eller har de för avsikt under 2014, att såsom personuppgiftsansvariga gjort/göra en bedömning av om deras användning, planerade användning, av molntjänst följer lagen? Vilka kommunövergripande åtgärder har vidtagits (finns i styrdokument) för att säkerställa att personuppgifter hanteras korrekt även om ansvaret ligger på respektive nämnd/ styrelse? Finns det personuppgiftsombud utsedda och, ur ett kommunövergripande perspektiv, på vilket sätt styrs, organiseras och kontrolleras deras arbete? På vilket sätt och i vilken omfattning kontrollerar personuppgiftsombuden att PuL efterlevs? Finns det en kommunövergripande kunskap om vilka gällande personuppgiftsbiträdesavtal som finns upprättade i kommunen och gäller för 2014? Vilka kontrollåtgärder har vidtagits för att säkerställa att dessa efterlevs? Vilka personuppgiftsbiträdesavtal har upprättats, skall uppdaterats eller förnyas under 2014? Granskningen är översiktlig och berör enbart kommunen och därmed inte de kommunala bolagen. 5. Ansvarig styrelse 6. Metod Granskningen avser kommunstyrelsen samt nämnder. Granskningen har genomförts genom dokumentstudier och intervjuer med berörda tjänstemän. Rapporten är saklighetsgranskad genom chefen för Stöd och Service försorg. 4

7. Granskningsnoteringar 7.1 Styrning och uppföljning av den centrala IT-funktionen 7.1.1 Styrningen och uppföljning Iakttagelserna nedan skall ses ur perspektivet att kommunens IT-enhet sedan 2014-01-01 verkar i en nyinrättad organisation. Väsentligt nytt är att den numer är sammanhållen och verkar för alla verksamheter inom kommunen. IT-Enheten (ITE) består av tio personer inklusive chef. Den ansvarar för drift av ca 80 datoriserade verksamhetsstöd installerade på över 100 servrar. ITE administrerar 2000 användarkonton och 1500 epostkonton. Till det tillkommer ansvaret för ca 1000 persondatorer. Verksamheten hålls samman med kommunikationslösningar till ca 150 arbetsplatser. Företrädare för den centrala IT-funktionen utför 2014 inte sitt uppdrag efter något kommunövergripande styrande dokument i form av en IT-strategi eller motsvarande. IT-funktionen har heller inte formaliserat och dokumenterat någon egen strategi eller ytterligare/andra styrmedel för sin verksamhet. Vi noterar i sammanhanget att det finns ett förslag till IT-strategi för skolan upprättad inom BKU daterad 2013-04-25. Förslaget innehåller läroplansmål, inriktningsmål, IT-riktlinjer, beskrivning om satsningar under höstterminen 2013 och därtill en pedagogisk motivering. I dokumentet finns en genomförandeplan med detaljerade aktiviteter och ansvar som sträcker sig från 2013 till 2015. ITE anges ha del i ansvaret för att genomföra 8 av 14 angivna aktiviteter. Kommunen har vid granskningstillfället ingen tjänstemannagruppering (IT-råd, IT-forum etc.) som har till uppgift att engagera, samordna, rådge och stödja förvaltningarna i de IT-relaterade delarna av verksamheten. Det uppges finnas en budget för ITE däremot ingen årlig verksamhetsplan där mål, prioriteringar, och resursfördelning framgår på en praktisk detaljnivå. I en plan hade det rimligen även framgått hur nödvändig kunskapsförsörjning likväl som kunskapsutveckling skall hanteras. Vad vi förstår skall det under hösten 2014 beslutas om nivåer och enas om mätbara mål för ITE. Det som däremot finns är en uppdragslista presenterad för ITE av kommunledningen. Av den framgår att ITE skall ansvara för: Ett gemensamt administrativt nät för samtliga anställda i. Tydliggörande av systemansvar för verksamhetssystemen. Standardisering av teknik och program i syfte att effektivisera. Centraliserad hantering av skrivare och kopiatorer. Nytt e-postsystem som omfattar alla anställda. 5

En organisatorisk sammanhållen IT-funktion underställd kommunstyrelsen och som skall stödja hela kommunen. Utveckla support och helpdesk för att möta verksamheternas olika krav. Det framgår inga aktiviteter, ansvar, prioriteringar, tidsramar etc av uppdragslistan. Tidigare nämnd budget är enligt uppgift inte funktionindelad (drift, support, utveckling, utbildning etc.) utan skiljer endast på drift och investeringar. I det sammanhanget noterar vi att mobiltelefoni inklusive s k smart-phones och telefonväxel inte ingår utan hanteras var för sig under andra ansvar än ITE. Vad gäller investeringar så samlas inte dessa i ett ansvar. Mjukvara inklusive kostnader för införandet nya system belastar inte sällan andra delar av verksamheten. En samlad bild av investeringen likväl som en känd och säkerställd kostnad blir därför svår att få. ITE har dokumenterat kommunens datoriserade verksamhetsstöd. Förteckningen innehåller förvaltningsuppgifter i form av personer likväl som uppgifter om hur systemen skall hanteras ur ett informationssäkerhetsperspektiv. Däremot saknas uppgifter om det finns en förvaltningsplan. Vad som bedömts som samhällsviktiga system framgår likväl om det finns reservrutiner och/eller kontinuitetsplaner att följa vid systembortfall. ITE: s del av uppdraget att vidmakthålla informationssäkerhet i kommunen framgår av flera styrande dokument. De förvaltningsplaner som finns uppges inte följa en kvalitetssäkrad mall för att därmed säkerställa funktion. Huruvida reservrutinerna för förtecknade system är testade framgår inte och det saknas även uppgift om reservrutiner finns för ett antal högt prioriterade system. Vi ställer oss tveksamma till om systemlistan är fullständig när en molntjänst (It s learning) saknas i förteckningen. ITE har inte medverkat när avtalet med leverantören av It s learning ingicks och har inte tillgång till avtalets innehåll. ITE är en utförarenhet och tar betalt för sina tjänster. Prissättningen är enligt uppgift under revidering. Vid granskningstillfället används inte SLA 2 för att beskriva de villkor som gäller för levererade tjänster. Det sker ingen regelbunden uppföljning av att ITE når sina mål. Vad vi förstår av intervjusvar så finns inte heller några kontrollmål med vidhängande kontrollmoment i internkontrollplanen för 2014. Detta är vad vi förstår ett förhållande som kan komma att ändras för ITE 2015. Kommentarer ITE är i början på en längre resa och är väl medveten om det. Uppdraget, färdplanen på både kort och lång sikt, kan och bör bli tydligare beskrivet, vara formellt beslutade och över tid finnas i uppdaterade dokument vilka skall vara väl kommunicerade. En IT-strategi kan med fördel skrivas i samförstånd i ett IT-råd. Skolans förslag till IT-strategi är struktur- och innehållsmässig lämpad för att tjäna som uppslag och en initial mall för en strategi för hela kommunen. Vi får under granskningen ingen uppgift om 2 SLA en förkortning av Service Level Agreement. Ett avtal som upprättas mellan verksamheten och ITE med avsikt att specificera och garantera en överenskommelse om nivå av service och stöd. 6

skolans IT-strategi blivit formellt antagen. Vi kan dock notera att ITE medverkat i en del av de aktiviteter som omnämns. Skall verksamheten i kommunen i väsentlig grad förstås av ITE: s medarbetare och skall alla medarbetes IT-kunskaper kontinuerligt utvecklas krävs samsyn och samarbete. Vi rekommenderar att ett IT-råd snarast inrättas och det under ledning av kommunchefen. Det skall aldrig råda någon tvekan om att IT-rådets beslut är det som gäller i kommunen. Förutom kommunchef och chefen för ITE skall ett IT-råd bestå av ledande företrädare omfattande alla verksamheter i kommunen. Resultatet av IT-rådets arbete skall kunna fungera som underlag för politiska beslut likväl som vara vägledenade för hur IT integreras i verksamheten till den grad att IT inte längre behövs som prefix till ordet verksamhet. Med hänvisning till den beydelse det datoriserade verksamhetsstödet har för kommunens förmåga att nå uppsatta mål är det rimligt att till betydelsen proportionerliga kontrollåtgärder genomförs enligt avsnitt i internkontrollplanen. Vi ser positivt på att det inte verkar uteslutet att ITE kommer att genomföra interkontrollprojekt på detaljnivån under 2015. Med hänvisning till denna gransknings inriktning noterar vi att ITE inte ur vare sig drift eller informationssäkerhetsperspektivet blivit involverade när avtal ingåtts med en molntjäntleverantör. Det är olyckligt att ITE: s kunskaper och ansvar inom dessa områden inte verkar ha använts. Även personuppgiftsansvariga och personuppgiftsombudet har en mycket viktig funktion att fylla när molntjänster skall upphandlas, införas och förändras. 7.1.2 IT-enhetens egen uppfattning om sitt uppdrag Uppgiftslistan ovan nämnd är central när ITE beskriver sitt uppdrag. Utvecklad support tillsammans med drift och en ambition att utveckla både sig själva och kommunen med stöd av modern IT präglar vardagen. Man är på väg men når inte alltid alla de mål man själva satt. Ansvarig för ITE har ibland otydliga befogenheter i beslutssituationer. ITE har samtidigt representation i ett antal ledningsgrupper. ITE: s verksamhet uppges skulle vinna på ett tydligare formulerat uppdrag från politik och verksamhetsledning. Inte bara den egna verksamheten utan all verksamhet som stöds av IT anses vinna på detta. Kommentarer ITE: s insikter och ambitioner motiverar att de erhåller en tydligare styrning på kort och lång sikt. ITE: s kunskaper är väsentliga för arbetet i ett IT-råd och de har kvalifikationerna för att påbörja och i fölängningen medverka i att kommunen kan ta beslut om en gemensam IT-strategi. 7

7.1.3 Verksamhetens uppfattning om IT-enheten Vi har frågat representanter för den sociala verksamheten, skolan och kommunledningsförvaltningen. Sammanfattningsvis framkommer följande: Införandet av en organisatorisk sammanhållen IT-funktion var en nödvändig åtgärd som i tydligt förbättrat IT-stödet till verksamheten. Det framhålls att kvaliteten och hanteringshastigheten av support och stöd blivit bra. Man behöver inte själv söka den enskilda specialisten utan det tar helpdesk hand om. Ingenting framkommer om omorganisationen bidragit till nytta i strategi och framtidsfrågor 7.2 Efterlevnad av personuppgiftslagen Kommunen har dokumenterade allmänna riktlinjer för behandling av personuppgifter enligt personuppgiftslagen (PuL). Det finns även ett styrdokument som beskriver hur en begäran om registerutdrag skall hanteras. Förutom dessa dokument finns utsedda kontaktpersoner avseende de register som kommunen själva för. Vi räknar till sammanlagt 34 register i det dokument som senast uppdaterades någon gång under 2013. Kommunen har sedan PuL trädde i kraft haft ett gemensamt personuppgiftsombud (PuO) för alla nämnder/styrelser. Under 2014 tar nuvarande kommunsekrerteraren över den rollen. Valet är protokollfört hos kommunstyrelsen och av det framgår att man rekommenderar samtliga nämnder att göra detsamma. Vidare framgår att beslut av ny PuO även skall anmälas till Datainspektionen. Historiskt sett har det varit verksamhetsansvariga som beslutat om ändamålen med och medlen för behandling av personuppgifter. Vad vi förstår har inte respektivet nämnd och därmed personuppgiftsansvariga (PuA) fått kännedom om detta och därmed inte fått/skaffat sig möjlighet att formellt och korrekt utöva sitt ansvar. Det är nytillträdd PuO ambition att rätta till detta förhållande. Tidigare PuO meddelar att det historiskt förekommit två (2) förfrågningar om registerutdrag. Hanteringen av dessa uppges ha följt det som föreskrivs i styrdokumenten. 8

Det finns enligt tidigare PuO fyra (4) stycken personuppgiftsbiträdesavtal med tjänsteleverantörer vilka anses gälla under 2014. Vi erhåller ytterligare ett från administrativ chef. Detta avtal visar sig vara identiskt med ett av de fyra redovisade nedan. När vi erhåller huvudavtalet avseende It s learning (skolsystemet som beskrivs som en molntjänst) finner vi ytterligare ett med IST Education Arena. Avtalets motpart är Ådalens Gymnasieförbund och innehållet avviker i utformning och innehåll från övriga fyra. Logica (nuvarande CGI 3 ) från 2011 och gäller tills vidare Sveriges kommuner och landsting (SKL) 2013 och gäller tills vidare Inera 4 från 2013 och gäller så länge personuppgiftsbiträdet (PuB) behandlar personuppgifter. Avtalet är av arten att Inera äger rätt att via fullmakt under vissa förutsättningar teckna personuppgiftsbiträdesavtal med vårdgivare för kommunens räkning. Pulsen Integration AB 5 från 2013 och gäller så länge personuppgiftsbiträdet behandlar personuppgifter. Historiskt har inga kontroller utförts för att säkerställa att avtalen efterlevs. Några utbildningar om hur PuL skall förstås och efterlevas har historiskt inte utförts. Kommentarer Vi ser postivt på att det genomförs åtgärder så att PuA utövar sitt ansvar genom att involveras i besluten om ändamålen med och medlen för behandling av personuppgifter. I åtgärdsarbetet bör även ingå en inventering för att säkerställa att PuO har kännedom om alla register som kommunen för. Inventeringen torde även ge inskter om omfattning av behovet av revidering av befintliga avtal, PuB: s efterlevnad av befintliga avtal samt behovet av att upprätta ytterligare avtal. Inventeringen torde även identifiera behovet av utbildningsinsatser och vilka kontrollmål som bör definieras i internkontrollplanen. I inventeringen skall även de avtal tas med som Inera upprättat via sin fullmakt. I samband med detta bör det säkerställas att Inera upprättat alla avtal som täcker kommunens behov. Vi bedömer även att det finns ett behov av att kontrollera om Ådalens Gymnasieförbunds avtal är efterlevt och om det kan finnas motiv för att teckna ett nytt när det nu verkar vara BKU (Barn- kultur och utbildningsförvaltningen i ) som är avtalspart. 3 CGI är en stor internationell aktör inom IT-området som erbjuder en stor variation av tjänster till över 250 svenska kommuner. 4 Inera koordinerar landstingens och regionernas gemensamma e-hälsoarbete och utvecklar tjänster till nytta för invånare, vård- och omsorgspersonal och beslutsfattare. Tidigare var Inera ett utförarbolag som fick uppdrag via landstingens beställarkansli Center för ehälsa i samverkan, CeHis. Under 2013 beslutade ägarna att inte ha längre ha en beställar-/utförarmodell så från 2014 bildar CeHis och Inera en gemensam organisation med namnet Inera - Landsting och regioner i samverkan för e-hälsa. 5 Pulsen är ett av Sveriges större IT-företag med ca 650 anställda i koncernen. Företaget är privatägt och har en lång tradition av expansion genom långsiktighet. Detta har resulterat i mångåriga kundrelationer, inte minst med landets kommuner. Huvudverksamheten är IT-relaterad men koncernen består även av fastighets- och förvaltningsrelaterad verksamhet. 9

7.3 Molntjänster inom skolområdet Det uppges finnas en (1) molntjänst inom BKU och det planeras enligt uppgift inte att införas någon ytterligare. Tjänsten benämnd It s learning är dock vad vi kan bedöma av erhållet huvudavtal inte en molntjänst. Med tanke på dateringen av avtalet (juni 2009) är det föga förvånande då sådana tjänster inte fanns vi den tiden. Värt att notera att avtalspart (kund) vi den tiden var Ådalens Gymnasieförbund. Under 2013 har det tecknats tilläggsavtal. Avtalspart nu är BKU. I tilläggsavtalen hänvisas till huvudavtalet med tillägg av avtalsvillkoren för alla licenser och tjänster. I ett tilläggsavtal rubricerat Extra licenser och lagring daterat 2013-08-07 framkommer i texten att kommunen årsvis och i förskott betalar drift och lagring av data. Erhållna avtalsdokument hänger inte ihop. Kunden är inte densamma. Huvudavtalet indikerar inte en molntjänst vilket tilläggsavtalen gör. I huvudavtalet gör leverantören sekretessutfästelser och det finns ett personuppgiftsbiträdesdokument om än inte undertecknat. Förutsättningarna för användningen av It s learning har uppenbarligen förändrats över åren och vi utesluter inte att det kan finnas ytterligare dokument som beskriver och reglerar förhållandet mellan leverantör och den som är betalande kund idag. Kommentarer Uppdraget för detta avsnitt är avgränsat till att granska om ansvariga har och upprätthåller ändamålsenlig kontroll över externt lagrade personuppgifter. Erhållna dokument och intervjuer leder oss till bedömningen att ansvariga själva måste reda ut, dokumentera och bedöma om rådande avtalsläge innebär att de personuppgifter som hanteras av alla inblandade parter är enligt PuL och kommunens egna regler. KPMG, dag som ovan Lars Anteskog Projektansvarig 10

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss