Databeskyttelsesrådgiverens årsberetning 2018

Transkript

1 Databeskyttelsesrådgiverens årsberetning 2018 Den 25. maj 2018 trådte den nye databeskyttelsesforordning i kraft og hermed et krav om, at alle offentlige myndigheder skal have en databeskyttelsesrådgiver ansat. I Kolding Kommune tiltrådte jeg stillingen som databeskyttelsesrådgiver den 1. januar Behandling af personoplysninger er en helt integreret og nødvendig del af sagsbehandlingen i kommunen, og det forpligter. Jeg håber, at kommunen ser mig som en slags datafokuseret tillidskvinde, som rådgiver og vejleder om databeskyttelsesreglerne, så vi sikrer, at borgernes personoplysninger bliver behandlet korrekt. Jeg giver loyal og objektiv rådgivning, og hejser et advarselsflag, hvis der er risiko for brud på databeskyttelsesreglerne. Samlet set bliver den primære arbejdsopgave at hjælpe med at forankre en kultur for ansvarlig databeskyttelse i organisationen, og dermed sikre borgernes rettigheder. Beretningen dækker perioden 01. januar 31. december Kolding, marts 2019 Martine Schmidt-Petersen Databeskyttelsesrådgiver Centralforvaltningen Akseltorv Kolding kolding.dk Martine Schmidt-Petersen smart@kolding.dk

2 Databeskyttelsesrådgiverens opgaver Min funktion er at understøtte Kolding Kommune overholder reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Det er min opgave at rådgive om de databeskyttelsesretlige regler og på bedste vis understøtte en god databeskyttelse i kommunen. Kommunen skal tage højde for min opfattelse af en given situation, men det er den enkelte leder og medarbejder, der i sidste ende har ansvaret for at overholde databeskyttelsesreglerne. Jeg er en integreret del af Kolding Kommunes organisation og er kontaktled til borgere og til Datatilsynet. I 2018 har jeg haft følgende opgaver: Underrette og rådgive kommunen og de ansatte om databeskyttelse Overvåge overholdelse af de databeskyttelsesretlige regler i kommunen. Rådgive, når der anmodes herom, eksempelvis i forbindelse med udarbejdelse af risikoeller konsekvensanalyse. Samarbejde med Datatilsynet på vegne af kommunen. Rådgive og vejlede borgere i deres rettigheder Modtage underretning om og rådgive i forbindelse med brud på persondatasikkerheden Under udførelsen af mine opgaver tager jeg behørigt hensyn til den risiko, der er forbundet med at bruge og behandle personoplysninger, under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål. Jeg udfører mine arbejdsopgaver gennem en serviceorienteret rådgivning og vejledning. Dette sker bl.a. på kommunens intranet Hercules på siden Persondata, hvor der løbende offentliggøres nyheder, skabeloner med tilhørende vejledninger og svar på ofte stillede spørgsmål m.m. Rådgivning og vejledning over telefonen eller på baggrund af en mail er en stor del af mit arbejde. Der er fra medarbejdere og ledere en stadig større efterspørgsel på oplæg om de databeskyttelsesretlige problemstillinger. Jeg har i 2018 deltaget med oplæg mv. i 22 afdelinger, hvor jeg bl.a. har rådgivet om opbevaring, registrering, videregivelse af personoplysninger, brud på persondatasikkerheden og anden behandling af personoplysninger som eksempelvis de sociale medier. I første omgang har jeg valgt at fokusere på de afdelinger, som i stort omfang behandler følsomme personoplysninger, og hvor omfang og formål kan indebære en særlig risiko for at krænke borgernes rettigheder. Side 2

3 Fokusområde i 2018 Ønsket fra EU har med de nye regler været at sikre en kulturændring med større opmærksomhed på databeskyttelsesreglerne i praksis. Jeg fornemmer dog ikke, at det i Kolding Kommune er en grundlæggende kulturændring, vi er i gang med at udrulle. Der er allerede er en god forståelse for, at man skal passe godt på borgernes personoplysninger. Kolding Kommune har brugt betydelige ressourcer på at forberede, at EU s databeskyttelsespakke nu finder anvendelse. Der er etableret en it-sikkerhedsorganisation med tilhørende arbejdsgruppe og udvalg, som skal varetage problemstillinger om informationssikkerhed. Der er etableret en juridisk datasikkerhedsgruppe, som skal sikre en ensartet rådgivning på det databeskyttelsesretslige område og samtidig bistå informationssikkerhedsudvalget ad hoc. Ydermere har KL ud fra analyser og vejledninger hjulpet kommunerne med forslag til, hvordan man kunne implementere databeskyttelsesforordningen. Kolding Kommune har valgt at sætte særlig fokus på de vigtigste elementer i denne anbefaling. Kommunen har i 2018 implementeret nedenstående tiltag. Fortegnelser Kommunen skal føre fortegnelser over behandlingsaktiviteter. Det er en intern forpligtigelse, som skal foreligge skriftligt og elektronisk, og efter anmodning fra Datatilsynet skal kommunen stille fortegnelserne til rådighed for tilsynsmyndigheden. Kolding Kommunes informationssikkerhedsudvalg har besluttet at tage udgangspunkt i 16 individuelle standardskabeloner, som er udarbejdet af KL. Fortegnelserne udarbejdes på områdechefniveau. I de forvaltninger, hvor der er stor forskel i behandlingsaktiviteter, udarbejdes fortegnelserne på et mere detaljeret niveau eksempelvis på afdelingsniveau. Første version af fortegnelserne blev udarbejdet på forvaltningsniveau, men der er efterfølgende sat et arbejde i gang med en mere detaljeret gennemgang for at sikre, at de er fyldestgørende. Arbejdet med opdateringen af fortegnelserne er tilendebragt i 3 forvaltninger, og forventes tilendebragt i de øvrige 2 forvaltninger i første kvartal af Oplysningspligt Kommunen har en oplysningspligt, hvis der registreres personoplysninger. Det er en stor opgave, da kommunen registrerer personoplysninger i mange sammenhænge. Kommunens blanketleverandør har tilrettet alle standardblanketter og standardansøgningsskemaer, så de overholder oplysningspligten. Side 3

4 De steder, hvor kommunen har udarbejdet egne blanketter eller ansøgningsskemaer, skal der ligeledes oplyses om behandling af personoplysninger. Den juridiske datasikkerhedsgruppe har udarbejdet en skabelon og vejledning til udfyldelse, så det er muligt at lave en individuel oplysningspligt, som går netop til det enkelte formål. Ved øvrige registreringer af personoplysninger, hvor borgeren ikke nødvendigvis henvender sig med baggrund i en blanket eller via et ansøgningsskema, er det besluttet at indsætte et link i vores digitale signatur med henvisning til kolding.dk, Orientering om databeskyttelse. Via linket har borgerne mulighed for at læse om kommunens behandling af personoplysninger, deres rettigheder, og hvor de kan søge råd og vejledning. Arbejdet med oplysningspligten pågår, og vil være et område med stor fokus i Databehandleraftaler I foråret 2018 blev Kolding Kommunes databehandlerskabelon udarbejdet med tilhørende vejledning. Det er min fornemmelse, at kendskabet til hvorledes og hvornår der skal udarbejdes en databehandleraftale er godt, men der er stadig efterspørgsel på vejledning i udfyldelse, og hvornår der foreligger en egentlig databehandlerkonstruktion. Et mindre antal databehandleraftaler mangler at blive indgået, og det er min opfattelse, at det skyldes enten strid om hvilken skabelon der skal anvendes eller manglende underskrift. I enkelte tilfælde kan det være spørgsmålet, om der foreligger en egentlig databehandlerkonstruktion. Retningslinjer for årligt tilsyn med databehandleraftalerne er under behandling i IT sikkerhedsorganisationen. Tilsynet kan foretages når forordningen har været gældende i et år. Awareness Et stort og væsentligt fokusområde har i 2018 været at udbrede og opdatere kendskabet til reglerne om datasikkerhed, og hvordan man især fremadrettet bedst muligt kan leve op til reglerne. I samarbejde med repræsentanter fra forvaltningerne har jeg været på besøg i chefgrupperne for at informere om databeskyttelsesforordningen. Møderne er fulgt op af en awarenesskampagne udarbejdet af digitaliseringsstyrelsen og KL, som blev sendt ud i samtlige medarbejderes mailboks som et obligatorisk e-læringsforløb. I alt ca medarbejdere har gennemgået forløbet. Hvis der på chefgruppemøderne eller efter lancering af KLs e-læringsforløb har været en større bekymring for et specifikt emne, har jeg suppleret med et besøg, hvor den enkelte leder alene eller med dennes medarbejdere har kunnet stille spørgsmål. Side 4

5 Der er fortsat brug for opmærksomhed om, hvordan vi behandler personoplysninger, og der sættes derfor fokus på individuelle emner i Autorisationsadgang I kommunen behandles personoplysninger i stort omfang, herunder også fortrolige og følsomme oplysninger. For at opfylde databeskyttelsesforordningens krav til behandlingssikkerhed, skal kommunen gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til karakteren af den pågældende behandling, dens omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Efter min opfattelse skal kommunen halvårligt føre kontrol med medarbejdernes autorisationer, så vi sikrer, at medarbejdere kun har adgang til de oplysninger, som de har behov for. Ansvaret for kontrol af medarbejdernes autorisationer ligger ved den enkelte leder. Dette skal der i 2019 skabes øget opmærksomhed omkring gennem udarbejdelse af vejledninger og informationsmateriale. Tilsyn fra Datatilsynet Årligt udarbejder Datatilsynet oversigter over planlagte tilsyn, hvor man kan informere sig om, hvilke emner og hvem Datatilsynet fører tilsyn med. Disse udarbejdes med baggrund i de behandlinger af personoplysninger, hvor omfang eller formål kan indebære en særlig risiko for at krænke borgernes ret til databeskyttelse. Datatilsynets tilsyn kan opdeles i to typer: 1. Planlagte tilsyn dvs. tilsyn der iværksættes som led i Datatilsynets årlige tilsynsplanlægning 2. Ad hoc tilsyn dvs. tilsyn der iværksættes som følge af konkrete hændelser Datatilsynets planlagte tilsyn for 2. halvår Behandlingsgrundlag og persondatasikkerheden hos private virksomheder 2. Sletning af personoplysninger hos private virksomheder 3. Anvendelse af databehandlere hos kommunerne 4. Persondatasikkerheden i større it- systemer på sundhedsområdet 5. Udpegning af databeskyttelsesrådgiver offentlige myndigheder og en række private virksomheder 6. Udarbejdelse af en fortegnelse hos kommunerne 7. De registreredes rettigheder efter retshåndhævelsesloven 8. Databehandlingsaktiviteter i forhold til en række EU-informationssystemer Kolding Kommune har haft tilsyn vedr. planlagte tilsyn nr. 5. Udpegning af databeskyttelsesrådgiver offentlige myndigheder og en række private virksomheder. Side 5

6 I juni måned 2018 modtog kommunen et varslingsbrev fra Datatilsynet, hvori de beder kommunen udfylde et oplysningsskema, som omfatter alle kommunens underliggende myndigheder og organer herunder visse selvejende institutioner, foreninger og fonde, og anføre om de er underlagt kommunens databeskyttelsesrådgiver. Kommunen har indsendt det ønskede materiale til tilsynet. Siden har kommunen ikke hørt fra tilsynet og vurderer derfor, at der ikke ønskes yderligere materiale. Kolding Kommune har herudover ikke haft tilsyn i Brud på persondatasikkerheden Kommunen har efter den 25. maj 2018 en forpligtigelse til i visse tilfælde at anmelde brud på persondatasikkerheden til Datatilsynet. Kommunen skal indgive anmeldelse til Datatilsynet uden unødig forsinkelse og om muligt inden 72 timer, efter at kommunen er blevet bekendt med bruddet. Ved begrebet brud på persondatasikkerhed forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller afgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Forpligtelsen er et udtryk for, at databeskyttelsesforordningen sætter ansvarlighed i højsædet og har til formål at tilvejebringe gennemsigtighed og især at sikre, at kommunen reagerer, når der opstår et brud på persondatasikkerheden. Kommunen har udarbejdet proces for håndtering af brud på persondatasikkerheden. Straks efter jeg har fået indberetningen om brud på persondatasikkerheden, vurderer jeg i samarbejde med forvaltningens jurist sandsynligheden for, om bruddet indebærer en høj risiko for de berørte borgers rettigheder. Der er tale om en konkret og specifik risikovurdering i forhold til konsekvenserne af bruddet. Indberetninger og anmeldelser Fra den 25. maj 2018 hvor databeskyttelsesforordningen trådte i kraft og til årets udgang har jeg modtaget 27 indberetninger om brud på persondatasikkerheden, hvoraf fire er anmeldt til Datatilsynet. Af de fire brud, som er anmeldt, kan det ene brud tilskrives en databehandler/it- leverandør. De øvrige tre brud, som kommunen har indberettet til Datatilsynet, er sket på baggrund af menneskelige fejl, hvor kommunens medarbejdere i en travl hverdag har sendt detaljerede følsomme personoplysninger om borgere til forkerte modtagere. Eksempelvis er der ved en fejl sendt samtaleskemaer ukrypteret til en anden borgers , eller udsendt 33 samtykkeerklæringer indeholdende en borgers cpr. nr. Side 6

7 De øvrige brud, som ikke er anmeldt til Datatilsynet er kendetegnet ved at de er endt hos en forkert modtager, som kommunen har stor tillid til, som eksempelvis andre offentlige myndigheder, advokater eller sundhedspersoner. Eksempelvis er forkerte akter sendt til Ankestyrelsen. Andre øvrige brud er kendetegnet ved at de er endt hos en forkert borger eksempelvis i form af en invitation om studiestart, eller en indkaldelse sendt til en borger af samme navn. Kommunen har i alle tilfælde vurderet, at der ikke er konsekvenser forbundet med videregivelsen, og at der derfor ikke skal ske anmeldelse til Datatilsynet. Endvidere har det ikke været brud af længerevarende karakter. Kommunen har forholdsvis hurtig kunne reagere på fejlen, og tage kontakt til de forkerte modtagere af personoplysningerne. Når der indberettes brud på persondatasikkerheden bliver forskellige foranstaltninger iværksat for at imødekomme lignende fejl. Kommunen reflekterer over hvordan tilsvarende brud kan undgås fremadrettet, hvilket sker i form af ændringer i opgavesammensætninger eller forbedring af arbejdsgange, procedurer bliver efterset og vigtigst, ledelsen bliver opmærksom på problemet. Datatilsynet har i sine afgørelser vedr. brud på persondatasikkerheden anmeldt i 2018 udtalt, at de ligger vægt på, at Kolding Kommunes foranstaltninger i forlængelse af bruddet vurderes som umiddelbart tilstrækkelige i forhold til beskyttelsen af de registreredes rettigheder. Herunder at de skete brud fremstår som afgrænset og enkeltstående hændelser med en ringe risiko for de registreredes rettigheder. Alle indberettede brud er journaliseret i kommunens databrudslog med en begrundelse for, hvorfor der er eller ikke er sket anmeldelse til Datatilsynet. Afsluttende bemærkninger Det er vigtigt for mit forsatte arbejde, at jeg har et godt samarbejde og dialog med forvaltningerne. Ikke mindst at de kan være trygge ved at søge råd og vejledning, når de i hverdagen arbejder med databeskyttelsesretlige problemstillinger. Der er fortsat behov for at udbrede kendskabet til funktionen databeskyttelsesrådgiver, så jeg i højere grad bliver inddraget tilstrækkeligt og rettigdigt i flere spørgsmål vedrørende beskyttelse af personoplysninger. Ansvaret for at fortegnelserne opdateres, hvis der er ændringer til de behandlingsaktiviteter, der er registreret i fortegnelserne påhviler den enkelte områdechef, eller afdelingsleder afhængig af den valgte detaljeringsgrad. Proces for årlig gennemgang af fortegnelserne skal etableres. Kendskabet til oplysningspligten skal udbredes. Herunder hvornår kommunen har en oplysningspligt i forhold til den registrerede, og hvornår den kan udelades. Side 7

8 Der skal sættes specielt fokus på Beskæftigelses- og Integrationsforvaltningen samt Senior- og Socialforvaltningen, da de forvaltninger behandler fortrolige og følsomme personoplysninger i stort omfang. Dog kan der være afdelinger i andre forvaltninger, som ligeledes vil få speciel fokus eksempelvis Pædagogisk Psykologisk Rådgivning. Fortsat fokus på indgåelse af de resterende databehandleraftaler og vigtigst, hvornår der foreligger en databehandlerkonstruktion. Herunder udarbejdelse af proces for hvordan og hvornår kommunen udfører tilsyn med databehandlere og underdatabehandlere. Da kommunen behandler følsomme personoplysninger i stort omfang, skal der udføres kontrol med medarbejdernes autorisationer, så kommunen sikrer, at medarbejdere kun har adgang til de oplysninger de har behov for. I kommunens databrudslog er der registreret brud på persondatasikkerheden på kun 2 ud af kommunens 5 forvaltninger. Det er fortsat vigtigt, at udbrede kendskabet til, hvornår er der brud, hvor man indberetter, og hvor man kan søge hjælp. Side 8