NOTAT. Styr på persondata

Transkript

1 NOTAT JOHE 15. januar 2017 Styr på persondata IT-Center Fyn igangsætter hermed et 2 årigt projekt, der skal bringe partnerskolerne til at overholde EU-persondataforordningen. Med den nye forordning om persondatabeskyttelse strammer EU regler og procedurer på persondataområdet. Forordningen træder i kraft i maj Offentlige og private virksomheder, der behandler personoplysninger, er underlagt forordningens krav og skal etablere dokumentation for, at de har etableret de nødvendige processer, der sikrer, at kravene efterleves. IT-Center Fyn vil tilbyde skolerne mulighed for at indgå i et samarbejde, hvor vi sikrer, at skolerne behandler persondata som krævet i forordningen. Vi kalder det for: Projekt Styr på persondata. Projektet er 2 årigt. Når projektet er afsluttet vil IT-Center Fyn varetage opgaven som DPO Databeskyttelsesrådgiver for skolen. Det er en den del af forordningen. DPO en er en medarbejder med TR-beskyttelse. DPO en skal sikre at skolens ledelse har grundlaget for at kunne træffe de nødvendige beslutninger i henhold til forordningen. Vi gennemfører projektet i samarbejde med Gymnasiefællesskabet i Roskilde. Projektet tager udgangspunkt i skolernes persondatamæssige hverdag. Via interviews med daglige brugere vil vi samle den eksisterende praktiske viden om databehandling og sikkerhed og koble dette med de juridiske krav om etablering af og dokumentation for relevant sikkerhed. Vi vil være stærkt optagede af, at gøre opgaven og de forandringer det kræver, når skolen behandler persondata, så begrænset som muligt. IT-Center Fyn og nogle af partnerskolerne, har arbejdet med dette område i forvejen. EU-persondataforordningen bør have høj prioritet hos skolens ledelse. De står i sidste ende til ansvar for skolens efterlevelse af forordningens krav. IT-Center Fyn opdeler processen i fire trin, der ender med at skolerne overholder forordningen: Kortlæg, etabler, implementer og vedligehold.

2 1. Kortlæg Skolerne skal kortlægge, hvilken typer persondata de har og hvordan de behandler dem. Kortlægningen vil også omfatte eventuel behandling af persondata, som skolernes leverandører foretager, herunder IT-Center Fyn og vores underleverandører. Herudover skal de eksisterende processer og roller i relation til databehandlingen og de juridiske krav, som databehandlingen er underlagt, kortlægges. Dette sikrer, at skolerne kan beslutte, hvilke aktiviteter de vil sætte i gang for at efterleve forordningens krav. Vi skal analysere, i hvilket omfang der er behov for at ændre tekniske løsninger på skolerne, for at kunne efterleve kravene i forordningen. Skolerne skal som minimum have et elektronisk sags- og dokumenthåndteringssystem (ESDH), der sørger for at opbevare persondata korrekt. Systemet skal registrere personer der har haft adgang til data. Når vi kortlægger vil hovedelementerne være elevadministration (optag, løbende administration i forskellige systemer og applikationer, kommunikation med hjemmet, studievejledning, sanktionssager, dimission, arkivering, sletning) hhv. personaleadministration (ansættelse, lønforhold, sanktionssager, sygefravær, afsked, arkivering, sletning) 2. Etabler Når vi har kortlagt skolens måde at håndtere persondata på, skal skolens ledelse prioritere en liste med aktiviteter, der er nødvendige for at overholde forordningen. Ud fra listen skal vi sammen etablere de nødvendige politikker, processer og forretningsgange, som sikrer, at forordningens krav efterleves. Vi vil målrettet uddanne de medarbejdere, der skal deltage i arbejdet, for at sikre at de forstår kravene i den nye forordning. Samtidig kan det være en fordel allerede i denne fase, generelt at informere alle medarbejdere om de nye regler for at sikre kendskab til reglerne og støtte til de forestående implementeringsaktiviteter. Eksempler på processer: En overordnet politik og retningslinjer for at håndtere persondata på skolen, herunder organisering, ansvar og roller, for at kunne efterleve kravene til persondatabeskyttelse. Implementering af en rollebaseret rettighedsstyring til afløsning af en personbaseret. Det betyder at det er medlemmerne af rollen Sekretærer, der har specifikke rettigheder, ikke sekretær Petra og administrationschef Lone, der har det. Processer for bl.a. intern uddannelse i håndtering af persondata, rapportering, håndtering af konkrete persondatasager, kontrol med at efterleve forordningen, risikovurderinger, sikring af registreredes rettigheder til at få slettet data, indsigt mv. og beredskab for at håndtere brud på datasikkerheden. Gemmer vi dokumenter midlertidigt som kladder og hvordan sikrer vi at de slettes? Side 2 af 5

3 I det omfang skolen allerede har politikker, processer og forretningsgange inden for relevante områder, som er i brug og er kendte af medarbejderne, vil det ofte give mening at tage udgangspunkt i dem. Samtidig skal skolen enten idriftsætte et ESDH system eller vurdere om det nuværende ESDH system skal justeres. Fx om systemet registrerer adgang til data og om disse informationer kan findes. IT-Center Fyn vil i samarbejde med skolens ledelse og med genbrug af processer fra andre skoler etablere disse nye processer. 3. Implementer Når opdaterede processer og forretningsgange er etableret, skal de i funktion på skolen. En vellykket implementering kræver et stort ledelsesengagement, der bl.a. skal sikre, at forordningen er forankret på skolen. Medarbejderne skal tage forandringerne til sig. Herudover skal der ske en kontinuerlig opfølgning, så de ændrede processer og forretningsgange rent faktisk bliver fulgt i det daglige arbejde. Helt centralt er intern uddannelse, som tydeligt forklarer de ændrede krav til, at behandle persondata, og de afledte ændringer i processer og arbejdsgange. En del af dette arbejde vil for nogle skoler, bestå i at intensivere en korrekt brug af ESDH systemet så implementeringen også er succesfuld på længere sigt. IT-Center Fyns medarbejdere vil uddanne medarbejderne på skolerne i at arbejde med de nye procedurer. ESDH ansvarlige og ESDH-leverandøren skal uddanne personalet i ESDH systemet med IT-Center Fyn på sidelinjen. 4. Vedligehold Når projektet er gennemført etablerer skolen en række aktiviteter, så skolen kontinuerligt opfylder forordningens krav til, hvordan skolen skal behandle persondata. IT- Center Fyn stiller en DPO Databeskyttelsesrådgiver - til rådighed for skolens ledelse, så de kan træffe de nødvendige beslutninger i henhold til forordningen. DPO en vil også hjælpe skolen i tilfælde af et sikkerhedsbrist. Sammen udarbejder vi et årshjul, så skolen fortsætter med at overholde forordningen. Mulighed for at effektivisere skolens administration Der kan ligge en stor gevinst i, at de administrative medarbejdere kan gøre brug af velbeskrevne arbejdsgange, når de fx stilles over for en elevs anmodning om indsigt i egne persondata, berigtigelse eller sletning. Det udviser professionalisme og giver en tidsmæssig besparelse. Det kan samtidig være en forsikring mod de omdømmemæssige tab og sanktioner, som skolen risikerer, hvis den ikke overholder forordningens krav. Kendskab til sin egen it-struktur gør det lettere at stille passende og præcise krav om sikkerhedsniveauet overfor eksterne it-leverandører, hvilket på den lidt længere bane giver Side 3 af 5

4 mulighed for fleksibilitet, besparelser (vi køber kun det, vi skal bruge) og robusthed i itforsyningen. Overblik over informationsbehov medfører ofte, at medarbejderne sparer tid. I dag sker der en meget omfattende registrering dels automatisk, dels manuelt og dels behandlinger af data, der allerede er registrerede. Arbejdet med at skabe overblik og gennemsigtighed kan bidrage til en bevægelse hen imod at registrere data færre gange/steder og dermed undgå gentagelse. Det højner datakvaliteten, det sparer de ressourcer der er forbundet med dobbeltregistrering og det sparer ressourcer til berigtigelse af data, der er registreret flere steder, hvis der viser sig at være forkerte data. Proces med at etablere projektet For at projekt Styr på persondata kan gennemføres, skal IT-Center Fyn ansætte en eller to jurister samt 1 eller 2 studentermedhjælpere. Normeringen afhænger selvfølgelig af, hvor mange skoler der tilslutter sig dette tilbud. Projektet begynder 1. april 2017 og slutter 31. december Herefter skal partnerfællesskabet og IT-Center Fyn afgøre, hvordan DPO rolle skal udformes og hvordan vi hjælper skolerne med at leve op til forordningens krav. Krav til skolerne I hele forløbet vil vi trække på skolernes bidrag og viden, herunder bede jer overveje, hvor i jeres administration ansvaret for gennemførelse af eventuelle nye systemfunktioner og arbejdsgange skal ligge. Vi vil også løbende tilbyde jer at deltage kurser om de nye regler. Derfor skal skoler til projektet gøre følgende: Skolerne skal stille en navngivet kontaktperson til rådighed for projektet. Personen skal have indgående kendskab til skolens generelle procedurer vedr. persondata. Skolens leder skal sikre at projektet er organisatorisk forankret. Skolen skal have et ESDH system i drift som del af trin 2 i projektet. Skolen skal respektere de anvisninger som IT-Center Fyns medarbejdere giver skolen for at kunne overholde forordningen. Plan for igangsættelse af Styr på persondata I januar 2017 vedtager IT-Center Fyns forretningsudvalg at igangsætte projekt Styr på persondata. I januar opslår vi to stillinger som projektleder/dpo på Jobnet og DJØFs jobunivers. I januar sender vi notatet og en pris på deltagelse til alle partnerskolernes styregruppemedlemmer. Der vil være en deadline for accept eller afvisning i midten af februar. Side 4 af 5

5 Februar: Behandling af ansøgere og ansættelsesproces. Marts 2017: De deltagende skoler udpeger en kontaktperson i projektet. Projektet starter 1. april Marts 2017: Styregruppen godkender projektet. Projektet slutter 31. december Side 5 af 5