De første 350 dage med den nye databeskyttelsesforordning

Transkript

1 Baggrund Beskyttelse af data og informationssikkerhed er med EUs nye forordning om databeskyttelse blevet et væsentligt emne for mange virksomheder og organisationer. I forvejen har de statslige myndigheder i Danmark været underlagt kravet om at implementere ISO 27001, som er den europæiske standarden for etablering af tilstrækkelig informationssikkerhed. Databeskyttelsesforordning trådte i kraft pr. 25. maj 2018, og alle kommuner blev pålagt at udpege en Databeskyttelsesrådgiver i daglig tale enten som DBR eller i mange tilfælde som DPO (Data Protection Officer). Databeskyttelsesforordningen har medført større krav om dokumentation. Alle aktiviteter, med behandling af persondata, i kommunen skal dokumenteres. Som noget nyt kom også muligheden for at Datatilsynet, via domstolene, kan udstede bøder, hvis man ikke overholder forordningens regler. Forordningen er flere steder bygget op på den måde, at den dataansvarlige skal foretage risikobaserede beslutninger. Derfor skal disse også dokumenteres. Implementeringen blev planlagt og udført ift. de 11 fokuspunkter 1 som KL anbefalede. Opstart af rollen som Databeskyttelsesrådgiver Der var tale om en nyoprettet stilling, hvor opgaveporteføljen ikke var givet på forhånd. I Ikast-Brande kommune blev en medarbejder fra IT-afdelingen udpeget som DBR. Der er oprettet en direkte mail postkasse: DBR@ikast-brande.dk samt et direkte telefonnummer til Ikast-Brande kommunes Databeskyttelsesrådgiver. Begge dele er offentliggjort på Ikast-Brande kommunes hjemmeside. Status 2018 Med udgangspunkt i de punkter, som KL har udarbejdet, har Ikast-Brande kommune haft fokus på følgende: Etablering af implementeringsorganisation Der er nedsat en implementeringsgruppe, som sammen skal støtte op og sørge for at få databeskyttelsesforordningen, udbredt og implementeret i hele organisationen. Gruppen består af personer, som repræsenterer alle fagområder. Der bliver afholdt møde, hvor aktuelle emner bliver taget op, samt givet information om hvilke fokuspunkter, der arbejdes med i de forskellige fagområder. 1 KL fokuspunkter 1. Etablér en implementeringsorganisation, 2. Brug årlige sikkerhedsmålinger og analyser. 3. Udpeg en databeskyttelsesrådgiver. 4. Informér medarbejder om de nye regler. 5. Indgå databehandleraftaler. 6. Færdigudfyld fortegnelser, når de kommer fra KL. 7. Tilret blanketter ift. nye oplysninger til borgerne. 8. Implementér de nødvendige processer og arbejdsgange. 9. Sørg for, at itsystemerne lever op til kravene. 10. Implementér de nye sikkerhedskrav. 11. Udarbejd evt. konsekvensanalyser.

2 Fortegnelserne Databeskyttelsesforordningen lægger op til nye krav om, at kommunerne skal udarbejde og opbevare fortegnelser over alle behandlinger af persondata. Vi har i Ikast-Brande kommune fulgt anbefalingen fra KL, og benyttet de skabeloner, som er blevet udarbejdet og udsendt. Det har efterfølgende givet anledning til, at Datatilsynet har påpeget at disse skabeloner er mangelfulde. Datatilsynet og KL er gået i dialog, og sammen vil de finde retningslinjer, som kommunerne skal efterleve. Vi afventer en afgørelse og indtil dette sker, følger vi forsat anbefalingen fra KL det samme gør langt den største del af landets kommuner. Databehandleraftaler Der er pt. indgået 138 databehandleraftaler. Det er en løbende proces med at indgå nye databehandleraftaler på de IT-løsninger som indkøbes. Databeskyttelsesforordningen lægger op til mere kontrol, således at vores leverandører lever op til de krav, der foreligger i en databehandleraftale. Derfor er der indarbejdet kontrolpunkter i et årshjul. Skabeloner til internt brug Der er udarbejdet skabeloner og vejledninger til internt brug, hvor vi har ment, at det giver mening at have fælles kommunale retningslinjer. Disse skabeloner er tilgængelige på intranettet de bliver løbende opdateret og flere kommer til. Oplysningspligt Som en del af databeskyttelsesforordningen stilles der større krav til at oplyse og præcisere, hvilke personoplysninger vi benytter, og til hvilket formål vi behandler den enkeltes borgers personoplysninger. Som udgangspunkt skal den registrerede have besked om, at der behandles oplysninger om den pågældende, hvem der behandler og til hvilket formål behandlingen forgår. Andre vigtige rettigheder for den registrerede er for eksempel indsigtsret og ret til berigtigelse. Derfor er der udarbejdet en udvidet skabelon, som ligger klar til brug på intranettet. Intern undervisning Oplysning/undervisning om databeskyttelsesforordningen, har været en del af stormøder, afdelingsmøder, samt diverse ledermøder, hvor databeskyttelsesrådgiveren har deltaget. Her har der også været rig mulighed for at medarbejdere kunne stille spørgsmål. Andre tiltag har været uddeling af små kort med konkret information, korte mails med forskellige scenarier fra medarbejderes hverdag med fokus på databeskyttelse. I 2016 blev der gennemført en awareness kampagne for alle medarbejdere. Den bestod bl.a. af egenudviklet e- læringsmateriale, samt e-læringsmateriale, som KL har stillet til rådighed. Alt dette ligger tilgængeligt for alle medarbejdere via links på intranettet og i Ikast-Brande kommunes ledelsessystem for informationssikkerhed (Secure ISMS). Platform til e-læring Alt materiale vil blive tilgængelig via platformen IBK MyAcademy. Denne platform er intuitiv og giver os forskellige muligheder for afrapportering. På den måde kan vi bl.a. følge at medarbejderne får gennemlæst vores sikkerhedsregler.

3 Netværksmøder og videns indsamling For at understøtte rollen som Databeskyttelsesrådgiver er der etableret forskellige netværk nationalt, med dette formål at indhente så meget viden om databeskyttelsesforordningen. Herunder fortolkningen af de forskellige opgaver, som er udstukket fra Datatilsynet. De etablerede netværk har været en utrolig stor hjælp til fortolkningen af regler, paragraffer samt deling af skabeloner. Spørgsmål fra medarbejdere og borgere En anden del af databeskyttelsesrådgiverens rolle er at besvare de spørgsmål, som opstår i dagligdagen ude i vores fagområder og fra vores borgere. Der har i perioden været henvendelser af forskellige art. Det dækker alt fra brugen af Facebook og billeder, til hvorledes man udleverer personoplysninger til håndværkere og pedeller på vores plejehjem og institutioner. Tilbagemeldingen fra databeskyttelsesrådgiveren har enkelte steder givet anledning til ændring af arbejdsgange og/eller man har udarbejdet forskellige tekniske foranstaltninger, som har løst de udfordringer, som databeskyttelsesforordningen giver. Sikkerhedshændelser Som en del af den nye databeskyttelsesforordning, er det blevet indskærpet, at alle medarbejdere har pligt til at indrapportere alle sikkerhedshændelser indeholdende persondata. For at gøre denne arbejdsopgave så enkelt som muligt, er der udarbejdet en elektronisk blanket, som skal udfyldes. Blanketten sendes automatisk til databeskyttelsesrådgiverens postkasse. Det er derefter databeskyttelsesrådgiverens opgave, at vurdere de indkommende anmeldelser, og vurdere om de skal anmeldes til Datatilsynet. Anmeldelser til Datatilsynet Der er i alt blevet anmeldt 59 hændelser til databeskyttelsesrådgiveren og ud af disse anmeldelser, har databeskyttelsesrådgiveren vurderet at 5 af disse hændelser, havde en karakter som gjorde, at Datatilsynet skulle informeres om sikkerhedsbruddet. I 2 tillfælde var der tale om personoplysninger, som er tilsendt til en forkert modtager og i de 3 andre tilfælde, var det vores leverandør, som ikke havde styr på sikkerheden. Fremtidige opgaver Der er stadig fokus på de punkter KL anbefaler, at kommunerne arbejder med. Derfor vil der i 2019 og fremover fortsat blive arbejdet med bl.a. følgende punkter: Årshjul For at overholde de processer og de krav som følger med databeskyttelsesforordningen er der udarbejdet et årshjul. Behandlingsaktiviteter Vi skal dokumentere vores behandlingsaktiviteter. Denne opgave er påbegyndt, med baggrund i de oplysninger vi har registreret i KITOS (Kommunernes IT OverbliksSystem).

4 Risikovurdering og beredskabsplaner Med udgangspunkt i de data vi allerede har i KITOS (Kommunernes IT OverbliksSystem) er vi i gang med at få udarbejdet risikovurderinger på de mest kritiske IT-løsninger, hvor der arbejdes med personoplysninger. Dette arbejde vil i fremtiden blive indarbejdet i processen ved indkøb af nye IT-løsninger. På baggrund af disse vurderinger udarbejdes beredskabsplaner, som beskriver arbejdsgangene ved nedbrud. Uddannelse og undervisning af relevante målgrupper Der arbejdes videre med at gennemføre uddannelse og undervisning af medarbejdere. Dette arbejde vil være en fast opgave fremover. Der kigges på, om der skal udarbejdes særligt materiale til specifikke fagområder. Tekniske foranstaltninger Som en del af de tiltag der er foretaget, kan bl.a. nævnes screening af udgående mails samt at der er sket en skærpelse omkring opbygningen af brugernes password. Databehandleraftaler leverandørstyring Indhentning af databehandleraftaler er en løbende proces. Opfølgning af nuværende indgået databehandleraftaler bliver en del af årshjulet. Konklusion Med implementeringen af databeskyttelsesforordningen følger et skærpet krav om at sikre beskyttelse af borgernes data. Hvad databeskyttelsesforordningen angår, har 2018/19 været en travlt periode. Der har for alle vores fagområder været mange nye ting at sætte sig ind i. Det er databeskyttelsesrådgiverens opfattelse, at hele organisationen har arbejdet målrettet med at forstå og opfylde kravene i databeskyttelsesforordningen og at der fortsat vil være behov for stor fokus på overholdelse af databeskyttelsesforordningen. Det er endvidere databeskyttelsesrådgiverens opfattelse at den etablerede organiseringen, med Databeskyttelsesforordningsgruppen og Informationssikkerhedsudvalg, er med til at skærpe viden og implementering af informationssikkerhed i Ikast-Brande Kommune. Ikast-Brande kommune skal også fremover prioritere datasikkerheden højt. Derfor skal alle fagområder til hver en tid have fokus på databeskyttelsesforordningen. Dette gælder både fysisk og digitalt beskyttelse af data. Det er borgernes data vi låner dem i forbindelse med sagsbehandling og skal derfor passe godt på dem Med venlig hilsen Databeskyttelsesrådgiver

5 René Schmidt