Databeskyttelse & IT-sikkerhed

Transkript

1 Databeskyttelse & IT-sikkerhed 1

2 Hvad er dit ansvar - hvad skal du vide? Som leder og chef Er du chef eller leder, skal du læse denne folder om databeskyttelse og kende reglerne i kommunens IT-Sikkerhedshåndbog. Persondata og datasikkerhed: Hvad er egentlig dit ansvar? Folderen her er til dig, der er chef, leder og/eller systemejer i Silkeborg Kommune. Folderen fortæller om dine forpligtelser i forhold til håndtering af persondata og datasikkerhed. Det er nemlig systemejers ansvar, at nødvendig dokumentation til enhver tid er tilgængelig og kan fremvises ved tilsyn og kontroller. Du kan bruge folderen som et opslagsværk, da den er bygget op om en række forskellige nedslag. Baggrunden for folderen her 25. maj 2018 trådte både den nye databeskyttelsesforordning og databeskyttelseslov i kraft i Danmark. Databeskyttelsesforordningen er den samlede lovgivning om databeskyttelse i EU. Og databeskyttelsesloven er den danske lov, som gennemfører og supplerer med danske særregler om databeskyttelse. Databeskyttelsesforordningen sætter nyt fokus på at overholde lovgivningen omkring behandling af persondata. Denne folder er en opsamling på de væsentligste krav i den komplekse lovgivning om databeskyttelse. Formålet med folderen er, at læseren relativt hurtigt kan tilegne sig viden om konkrete områder eller spørgsmål om emnet. Dine medarbejdere skal også vide, at der findes en IT Sikkerhedshåndbog, som besvarer spørgsmål om it-sikkerhed i Silkeborg Kommune. Du skal løbende sikre dig, at dine medarbejdere kender de mest almindelige it-sikkerhedsregler. Det kan du fx gøre ved at opfordre dem til at se filmene om IT-sikkerhed og tage testen Er du IT-Sikker?, som du finder på kommunens elektroniske undervisningsplatform, Børsen Academy. Som systemejer Har din afdeling eller stab enten betalt for et it-system, eller er du primært ansvarlig for et it-system, er du også systemejeraf it-systemet. En systemejer er pålagt visse forpligtelser, som skal overholdes, når systemet benyttes. Du skal gøre det samme, som de chefer og ledere, der ikke er systemejere - men du skal derudover overholde følgende systemejerforpligtelser: Indgå databehandleraftale med leverandøren af it-systemet. Skal du ikke indgå en databehandleraftale, skal du måske indgå en VPN-aftale eller indhente en fortrolighedserklæring (leverandørerklæring). Du kan få rådgivning i Jurateamet, Organisation og Personale 1-2 gange om året skal du undersøge, om ledere og medarbejdere skal bevare deres adgange (autorisation) til itsystemet. Det kaldes også rettighedsstyring Fortage logning af it-systemet og lave årlige stikprøvekontroller af logfiler med persondata (altså undersøge, hvem der kigger på hvilke oplysninger i systemet). Du kan finde en guide i IT-Sikkerhedshåndbogen kap. 17 Har du indgået databehandleraftaler, skal du som udgangspunkt én gang årligt indhente ekstern revisorerklæring, så du kan se, om databehandleren overholder sine forpligtelser i forhold til jeres databehandleraftale. En revisionserklæring kan indhentes hvert 3. år, hvis de persondata, som databehandleren behandler for kommunen, er almindelige ikke-fortrolige personoplysninger. Alternativt kan systemejer selv fortage kontrollen ude hos databehandler, hvilket i så fald skal dokumenteres Følg tjeklisten om at anskaffelse sig it-systemer, når du overvejer at indkøbe et it-system. Tjeklisten finder du i kommunens IT- Sikkerhedshåndbog. Husk, at du altid kan søge rådgivning hos både Digitalisering og hos udbudsjuristerne, begge enheder finder du i Økonomi og IT Lav konsekvensanalyser, når det er nødvendigt, hvilket fremgår af folderens afsnit om konsekvensanalyser Har du brug for at få præciseret detaljer og afvigelser, kan du kontakte Jurateamet eller kommunens databeskyttelsesrådgiver (DPO). Systemejers ansvar og uddelegering af systemejeropgaver Du kan uddelegere dine systemejeropgaver (forpligtelser) til ledere og medarbejdere i din egen afdeling. Du kan, efter aftale, også uddelegere opgaverne til ledere og medarbejdere i andre stabe og afdelinger. Men vær opmærksom på, at ansvaret for at reglerne - jf. punkterne ovenfor bliver overholdt, ligger hos dig som systemejer 2 3

3 Rettighedsstyring Det er dit ansvar, at kun de medarbejdere, der har et sagligt og jævnligt tilbagevendende behov for at kunne tilgå personoplysninger i et it-system, skal have tilladelse til it-systemet Ved ansættelse i Silkeborg Kommune får du tildelt et unikt login. På den måde kan vi logge, hvem der har læst eller rettet i persondata Der kan være forskel på, om en medarbejder skal kunne se personoplysninger eller om vedkommende skal kunne rette i oplysningerne. Vær opmærksom på, hvad behovet er Husk at fjerne adgange til it-systemet i de tilfælde, hvor fx en leder eller medarbejder, herunder elever, rejser fra en afdeling til en anden Om Silkeborg Kommunes IT-Sikkerhedshåndbog Ved du, at hvis du arbejder et sted, hvor der er frit udsyn ude fra, skal du enten låse din bærbare computer inde eller lægge den i et aflukket skab, når du forlader dit arbejdssted - medmindre du tager computeren med dig. Ved du, at du ikke må skrive personnumre i din Outlook-kalender, men at du fx gerne må skrive de første 6 cifre i personnummeret efterfulgt af borgerens fornavn? Ved du, hvad du som systemejer skal være opmærksom på, når din afdeling eller stab anskaffer et nyt it-system? Alt dette og meget mere kan du læse om i Silkeborg Kommunes uddybende it-sikkerhedsregler, IT-Sikkerhedshåndbogen, som findes på SIKO under IT, systemer og værktøjer. E-learning om informationssikkerhed for ledere På Siko kan du tilgå Børsen Academy, som er kommunens elektroniske undervisningsplatform. Her kan du på en hurtig og effektiv måde tilegne dig mere viden om informationssikkerhed ved at tage: Modul for ledere 1: Informationers værdi & risiko- og ressourcestyring Modul for ledere 2: Hændelseshåndtering & Forankring og fastholdelse af informationssikkerhed Det er KL, der står bag modulerne, og som opfordrer kommunerne til tilegne sig mere viden om reglerne om informationssikkerhed. GDPR-NanoLearning Kommunen tilbyder fra og med september 2018 mere viden om databeskyttelsesforordningen (GDPR) til alle ansatte. Det sker via e-learning-systemet NanoLearning, som via korte og informative lektioner uddanner kommunens ansatte i de vigtigste regler i databeskyttelsesforordningen. Information om undervisningen vil ske via mails med link til de korte undervisningslektioner. Hvad er en personoplysning? Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person. En personoplysning kan ifølge databeskyttelsesforordningen være et identifikationsnummer, lokaliseringsdata, onlineidentifikation eller andre elementer, der er særlige for en fysisk persons identitet. Personoplysninger opdeles i tre oplysningskategorier: 1. Almindelige personoplysninger er fx: Navn, adresse, telefonnummer, adresse, IP-adresse civilstandsoplysninger (køn, alder, gift/ skilt) - Almindelige fortrolige personoplysninger er fx Cpr.nr., beskyttet adresser, privatøkonomiske oplysninger/formueforhold, skat, gæld, sygedage,eksamenskarakterer, ansøgning om ansættelse i kommunen og arbejdsog ansættelsesmæssige forhold 2. Følsomme personoplysninger er fx: Helbredsoplysninger, oplysninger om race el. etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske eller biometriske data med det formål entydigt at identificere en person, oplysninger om seksuelle forhold og seksuel orientering 3. Oplysninger om straffedomme og andre lovovertrædelser fx børne- og straffeattester. Tilsyn og kontroller Kommunens databeskyttelsesrådgiver og revisionen skal føre tilsyn med, om kommunen overholder databeskyttelsesforordningen og dermed også undersøge, om du som systemejer overholder dine systemejer forpligtelser. Derudover kommer Datatilsynet på inspektion i landets kommuner. og overholder du eller dine medarbejdere ikke reglerne om databeskyttelse, risikerer kommunen en bødestraf. Hvad er behandling af personoplysninger? Begrebet behandling af personoplysninger dækker enhver aktivitet eller række af aktiviteter - med eller uden brug af automatisk behandling - du foretager dig med personoplysninger eller en samling af personoplysninger: Behandling af personoplysninger dækker derfor over enhver indsamling, registrering, opbevaring, intern udveksling, videregivelse til anden myndighed/private virksomhed/enkeltperson, videregivelse ved transmission, søgning, ændring, genfinding, overladelse, samkøring, sletning eller tilintetgørelse m.v. 4 5

4 Hvilke personoplysninger skal du være særligt opmærksom på? Det er som udgangspunkt forbudt at behandle følsomme personoplysninger om: Race eller etnisk oprindelse Politisk, religiøst, filosofisk eller fagforeningsmæssigt tilhørsforhold Genetiske eller biometriske persondata som identifikation Helbredsoplysninger Oplysninger om seksuelle forhold og orienteringer Ovennævnte følsomme persondata må dog behandles, hvis det utvivlsomt fremgår af regler i faglovgivningen (særlovgivning som fx sundhedsloven, serviceloven m.v.) eller af undtagelserne i databeskyttelsesloven og databeskyttelsesforordningen. Oplysninger om strafbare forhold Databeskyttelsesforordningens art. 10, er præciseret i databeskyttelseslovens 8, og vedrører specifikt behandling af oplysninger om straffedomme og lovovertrædelser. Du må behandle oplysninger om strafbare forhold, når du er ansat i en offentlig myndighed, og det er en del af din opgavevaretagelse at behandle disse oplysninger. Du må videregive oplysningerne, hvis du har fået samtykke fra den registrerede eller hvis ét af de andre tre hjemmelsgrundlag i databeskyttelseslovens 8, stk. 2 er til stede. Børn og sociale medier Databeskyttelsesforordningen øger fokus på beskyttelse af personoplysninger om børn. I forbindelse med behandling af personoplysninger om børn, skal du være særligt opmærksom. Hovedregel: Børn og unge kan generelt give samtykke til behandling af personoplysninger om dem, når de er fyldt 16 år. Undtagelse: Sociale medier (Informationssamfundstjenester) målrettet børn og unge: Er barnet fyldt 13 år kan det give samtykke til behandling af egne personoplysninger på informationssamfundstjenester uden forældrenes samtykke. Informationssamfundstjenester kan fx være Google, Facebook, YouTube, Instagram, Snapchat og Twitter Forældre / værger skal samtykke til eller godkende, at et barn under 13 år foretager behandling af deres personoplysninger på informationssamfundstjenester OBS: Uafhængig med samtykkereglerne i databeskyttelsesforordningen har Informationssamfundstjenesterne udarbejdet privatlivs-politikker. Nogle privatlivspolitikker, fx Google, Facebook og Instagram, har en minimumsalder på 13 år for at kunne oprette en profil eller en konto. Konsekvensanalyse: Hvilke persondata kræver særlige foranstaltninger? Det er som udgangspunkt forbudt at behandle følsomme personoplysninger om: Race eller etnisk oprindelse Politisk, religiøst, filosofisk eller fagforeningsmæssigt tilhørsforhold Genetiske eller biometriske persondata som identifikation Helbredsoplysninger Oplysninger om seksuelle forhold og orienteringer Ovennævnte persondata må dog behandles, hvis behandlingsreglerne i databeskyttelsesloven, databeskyttelsesforordningen eller i faglovgivningen tillader det. Hvis du anvender nye teknologier til behandling af oplysninger eller vurderer, at en behandling af følsomme oplysninger er forbundet med særlige høje risici for at den registreredes grundlæggende rettigheder krænkes, skal du lave en konsekvensanalyse. Det kan fx være tilfældet, hvis du skal behandle mange følsomme oplysninger, og den eller de registrerede ikke ved, at du gør det. I sådanne tilfælde vil den eller de registrerede ikke have mulighed for at føre kontrol med behandling af oplysningerne. En konsekvensanalyse omfatter: Beskrivelse af, hvorfor og hvordan du behandler persondata Vurdering af, om behandlingsaktiviteterne er nødvendige og rimelige i forhold til formålet Vurdering af risici for borgerens rettigheder, hvis persondata kompromitteres Beskrivelse af de foranstaltninger, der er foretaget for at imødegå risici og for at overholde databeskyttelsesforordningen Viser konsekvensanalysen, at der vil være høj risiko for den registrerede, skal Datatilsynet høres, inden I iværksætter behandlingen. Spørg altid din databeskyttelsesrådgiver til råds, når du skal lave en konsekvensanalyse. OBS: Konsekvensanalyse (DPIA) er et nyt krav jf. databeskyttelsesforordningen artikel 35. Hvad skal jeg huske at oplyse borgeren om på blanketter og selvbetjeningsløsninger med persondata? Du skal oplyse borgeren om: Kontaktoplysninger på dig eller din afdeling Kontaktoplysninger på databeskyttelsesrådgiver (DPO) Formålet med indsamling af persondata Lovreglen, som ligger til grund for indsamlingen Hvem persondata eventuelt videregives til, og om oplysningerne overføres til et tredjeland Hvornår persondata slettes 6 Få hjælp og rådgivning hos Jurateamet, Organisation og Personale. 7

5 Når borgere henvender sig for at få indsigt i, hvilke oplysninger kommunen behandler om dem Enhver kan søge om indsigt i, om kommunen behandler oplysninger om vedkommende i kommunens it-systemer - jf. databeskyttelsesforordningens artikel 15. Man kan anmode om indsigt via selvbetjeningsløsningen, Min Sag, eller via mundtlig eller skriftlig henvendelse til kommunens medarbejdere. Modtager dine medarbejdere en indsigtsanmodning via fx selvbetjeningsløsningen på Borger.dk, skal de kontakte Jurateamet, Organisation og Personale, som guider jer videre. Samtidig skal I finde følgende oplysninger: Hvilke personoplysninger, der ligger i de it-systemer, som du er systemejer af eller i øvrigt anvendes af afdelingen Hvad kommunen bruger oplysningerne til Hvor kommunen har fået oplysningerne fra Hvem der har adgang til oplysningerne Med hvilken lov eller samtykke du har ret til at anvende oplysningerne Hvem/hvor oplysningerne opbevares På Siko under siden om databeskyttelse, ligger en blanket, som du skal bruge til at besvare indsigtsanmodninger med. Fortegnelse over behandlingsaktiviteter i Silkeborg Kommune Efter databeskyttelsesforordningen skal Silkeborg Kommune have en fortegnelse, altså en samlet beskrivelse, over alle behandlingsaktiviteter, som foretages i kommunen. Vores databeskyttelsesrådgiver (DPO) har lagt kommunens fortegnelse på en sag i GO. Fortegnelsen findes via et link på Databeskyttelsessiden på Siko. Hver stab og afdeling skal mindst én gang årligt forholde sig til fortegnelsen, og ved organisationsændringer, skal fortegnelsen gennemgås for tilføjelse af eventuelle ændringer. Af fortegnelsen fremgår: 1. Navn og kontaktoplysninger på systemejer-afdelingen/ staben 2. Formålet med behandling af personoplysningerne 3. Hvilke kategorier af personoplysninger, der indgår i din databehandling (almindelige, almindelige fortrolige eller følsomme personoplysninger) 4. Hvem der modtager personoplysningerne (anden afdeling eller myndighed) 5. Hvornår data bliver slettet 6. Hvilke sikkerhedsforanstaltninger, der er foretaget i forhold til brugerstyring, kontrol og logning Hvor må jeg gemme data? Data som indeholder personoplysninger, og som skal gemmes i mere end 30 dage, skal overføres til et sikkert fagsystem eller til GO. Skal personoplysningerne ikke gemmes, skal de slettes, når formålet med at have dem ikke længere er til stede og senest 30 dage efter, du har modtaget dem. Hvor længe må jeg gemme persondata? Du må ikke gemme persondata længere, end det er nødvendigt for at løse din opgave Du skal have en beskrevet procedure for, hvor længe du gemmer persondata i hvert enkelt system Du skal have en beskrevet procedure for, hvordan persondata slettes eller arkiveres efter arkivreglerne Hvis persondata skal sendes til arkiv, skal du sørge for at det sker, inden persondata slettes og at retningslinjerne for anonymisering af persondata er opfyldt Hvad skal jeg gøre med leverandører af it-systemer? Selve hovedkontrakten, om levering af it-systemet eller enkelte tjenester, indgås i samarbejde med leverandøren og udbudsjuristerne i Regnskabscentret, Økonomi og IT Du skal via rådgivning fra IT sikre dig, at det it-system eller den tjeneste, du indgår aftale om, lever op til databeskyttelsesforordningen fx mht. sikkerhed, hvor persondata lagres, hvilke typer persondata, der håndteres, brugeradgang, sletning, udveksling af persondata, rapportering om sikkerhed mv. Du skal indgå en databehandleraftale med leverandøren, hvis du overlader personoplysninger til en leverandør med henblik på at få dem tilbage. Du skal også indgå en databehandleraftale, hvis du træffer de væsentligste beslutninger i forhold til leverandørens behandling af persondata, fx om formålet med behandling af oplysningerne og hvilke hjælpemidler, leverandøren skal benytte sig af for at behandle personoplysningerne Videregiver du persondata til fx en anden offentlig myndighed eller til en anden ekstern part, forsvinder dit dataansvar, og du skal derfor ikke indgå en databehandleraftale. Det skyldes, at den ekstern part fra modtagelsen bliver selvstændig dataansvarlig, når de modtager oplysningerne I en databehandleraftale forpligter leverandøren sig til at forvalte persondata efter gældende lovgivning og eventueltsærlige krav Du skal bl.a. sikre dig, at leverandøren har den fornødne sikkerhed omkring persondata Opbevares personoplysningerne hos leverandør, skal data ligge i EU. Alternativt skal leverandøren underskrive en erklæring om, at persondata behandles efter gældende lovgivning i EU Databehandleraftalen indgås i et samarbejde med leverandøren og med juridisk bistand fra Jurateamet, Organisation og Personale 8 Du skal som udgangspunkt benytte kommunens databehandler-aftaleskabelon, som du finder på Siko, under siden Databeskyttelse 9

6 Opsummering: Hvad skal du altid huske, når du samarbejder med en leverandør? Vurder hvilke persondata, du skal til at behandle: almindelig (herunder almindelige fortrolige), følsomme personoplysninger eller oplysninger om straffedomme og andre lovovertrædelser Vurder hvilken type behandling, du vil foretage? Er der tale om indsamling, registrering, opbevaring, videregivelse m.v. jf. afsnittet Hvad er behandling af personoplysninger? Vurder om der er regler (fx oplysningspligten), som du skal overholde i forhold til den person, hvis oplysninger du behandler Vurder generelt om der er foretaget sikring af fortrolighed, integritet og tilgængelighed. Lav eventuelle nødprocedurer Benyttes underleverandører uden for EU, således at persondata sendes uden for EU, skal der foretages kryptering eller pseudonymisering. Pseudonymisering er behandling af personoplysninger på en sådan måde, at man ikke længere kan identificere den registrerede, medmindre der anvendes supplerende oplysninger, fx et foto af en arm uden mærker og andre særlige kendetegn, som kan identificere den registrerede Hvor søger jeg i øvrigt hjælp? Økonomi og It: IT-Centret kan du kontakte, hvis du har spørgsmål om sikkerhed, brug af systemer og devices. Regnskabscentrets udbudsjurister kan du kontakte, hvis du skal indgå it-kontrakter og leverandøraftaler. Organisation og Personale: Jurateamet kan hjælpe dig, hvis du skal indgå databehandleraftaler. Og de kan hjælpe dig med spørgsmål om indhentning af samtykke og andre behandlingsgrundlag (hjemmel) eller hjælpe med at vurdere, om de registreredes rettigheder er opfyldt i forbindelse med en given behandlingsaktivitet. Hvad med konsulenter og eksterne aktører? Hvis du har eksterne konsulenter, andre aktører eller leverandører til at løse opgaver, hvor de kun får lov til at kigge i it-systemer (ikke får overladt personoplysninger), skal de underskrive en fortrolighedserklæring (leverandørerklæring). Ved at underskrive en fortrolighedserklæring garanterer de, at de behandler personoplysningerne fortroligt og i øvrigt lever og til kommunens sikkerhedspolitik, og evt. andre procedurer, der er vedtaget i Silkeborg Kommune. Husk, at du altid kan søge råd og vejledning hos Jurateamet, Organisation og Personale. Hvem er min Databeskyttelsesrådgiver (DPO)? Mette Mejlsted Lundsgaard Staben for Økonomi- og IT Analyse og Udvikling Tlf.: DPO@silkeborg.dk Databeskyttelsesrådgiveren fører tilsyn med, om kommunen overholder databeskyttelsesforordningen, laver databehandlerskabeloner, skriver it-sikkerhedspolitikker, underviser overordnet i databeskyttelsesforordningen, varetager juridisk rådgivning vedr. tv-overvågning, reviderer årligt it-sikkerhedshåndbogen sammen med IT, sørger for korrekt håndtering af brud på persondatasikkerheden. Huske at sikkerhedsbrud skal meddeles DPO Huske at sikkerhedsbrud skal meddeles DPO via et dokumentationsskema, som findes på Siko, under Databeskyttelse (DPO), Brud på persondatasikkerheden. Databeskyttelsesrådgiveren er også de registreredes (borgernes) og Datatilsynets kontaktperson i kommunen. Ankommer Datatilsynet til kommunen, vil det ske efter, at tilsynet har været i kontakt med databeskyttelsesrådgiveren

7 Layout og tryk: A&U _18 12