Persondata på Københavns Universitet

Transkript

1 Persondata på Københavns Universitet En data-generals arbejde Lisa Ibenfeldt Schultz Databeskyttelsesrådgiver

2 08/11/ Principper 1. Levedygtig forvaltning af reglerne 2. Ansvar følger ansvar for hovedopgaven 3. Tilpasning til eksisterende processer og systemer, men kun i nødvendigt omfang

3 08/11/ Iniativer til sikring af overholdelse af GDPR 1. Ny informationssikkerheds-enhed 2. Gennemgang af procedurer og processer 3. Fortegnelser 4. Databehandleraftaler 5. Kvalitetssikring af håndtering af forskningsdata 6. Kvalitetssikring af studerendes håndtering af persondata 7. Fokus på informationssikkerhed og proces for håndtering af hændelser 8. Intern formidling

4 08/11/ Københavns Universitet medarbejdere studerende DPO +Informations -sikkerhed

5 08/11/ Informationssikkerheds-enhed Universitetsdirektør Informations- sikkerhed Data-beskyttelse DPO Data- Management (forskningsdata)

6 08/11/ Procedurer og processer Gennemgang og kvalitetssikring Procedurer og standardbreve - HR Procedurer og standardbreve studerende Procedurer og systemer økonomi, bygningsdrift mv. Abonnementer - nyhedsbreve og tidsskrifter Registrerede personers rettigheder Konsekvensanalyser og risikoanalyser af udviklingsprojekter og nye systemer

7 08/11/ On-line formularer til fortegnelser On-line udfyldelse af fortegnelser a) Databehandling én formular pr. overordnet forretningsområde uanset udførelse på flere niveauer artikel 30, stk. 1 b) Konkrete forskningsprojekter artikel 30, stk. 1. c) Databehandleraftaler KU som databehandler, artikel 30, stk. 2 Integration med Workzone a) Automatisk journalisering b) Statistik til DPO overblik og kontrol c) Automatisk arkivering KMD-X-forms

8 08/11/ Databehandleraftaler Nye skabeloner Genforhandling af aftaler med nye skabeloner Administrative opgaver Forskningssamarbejder Forhandling af nye aftaler Ny proces for rollen som databehandler Ny proces for integration af kontrakter i forskningssamarbejder

9 08/11/ Forskningsdata Fællesanmeldelser fra 2015 bortfaldet Persondatalovens krav om anmeldelse til Datatilsynet - bortfaldet Persondatalovens krav om indhentelse af Datatilsynets udtalelse - bortfaldet Fælles udtalelser og vilkår suppleret med intern kvalitetssikring og godkendelse - bortfaldet Fortegnelser individuel fortegnelse for hvert projekt Godkendelsesordning Lovkrav bortfalder KU opretholder intern godkendelsesordning Konsekvensanalyser krav indarbejdet i fortegnelsesformular DPO godkendelse Europæiske forskningsprojekter udvidet adgang til videregivelse inden for EU/EØS databeskyttelseslov

10 08/11/ Studerendes håndtering af data Studerende indhenter egne data Studerende er dataansvarlige for data, som indsamles til opgaver, projekter og specialer Tilbud og krav om sikker opbevaring kryptering af data i one.drive Formularer til fortegnelser og indhentelse af samtykke Videregivelse af forskningsdata formular til videregivelse Studerende indgår i forskningsprojekter 3 alternativer Databehandleraftale, hvis databehandler-opgaver i forskningsprojekter Ansættelse som studentermedhjælper i forskningsprojekter Samarbejdsaftale og fortrolighed ved ulønnede opgaver i forskningsprojekter

11 08/11/ Informationssikkerhed 1. Procedure for rapportering af hændelser a) On-line formular til intern indberetning til informationssikkerheds-enhed til rapportering til Datatilsynet b) Postkasse til databehandlers rapportering c) Krav om orientering af ledelsen d) Information af berørte personer e) Evt. information på intranet f) Evt. information på hjemmeside 2. Sikkert netværksdrev opfylder logningskrav og adgangskontrol + multifaktor-autentificering 3. Krypteringsløsning til data hos cloud-leverandører 4. Oprydning på fællesdrev og postkasser - screening 5. Informationskampagne og undervisning

12 08/11/ Information og kompetenceudvikling Medarbejdere og ledere Intranet med vejledninger, standardbreve og temaguides Forskerportal med vejledninger og formularer Ledelsesportal med 10 bud om ledelsen ansvar for databehandling E-læringskursus med certifikat Roadshows til fakulteter og institutter Temadata for tillidsrepræsentanter Interne kurser for ledere og medarbejdere Studerende Studieinformations-sider med vejledning og blanketter Informationskampagne efterår 2018 Universitetsavisen Eksterne Privatlivspolitik på

13 08/11/ Udeståender 1. Gennemgang af procedurer - få udeståender 2. Slette-bande fælles retningslinjer for opbevaring / sletning af ustrukturerede data eller data i systemer uden for arkivsystemet 3. Udbygning af retningslinjer for biologisk materiale i forskningen 4. Controlling-funktion suppleret med egenkontrol 5. Opdatering af data-flow-diagrammer 6. Kvalitetssikring af administrative databehandleraftaler 7. Ekstern revision af gennemførte initiativer

14 08/11/ DPO opgaver og refleksioner Opgaver Indberetninger af sikkerhedshændelser Udtalelser om nye processer og systemer Godkendelse af konsekvensanalyser Afklaring af konkrete tvivlsspørgsmål Internt tilsyn Refleksioner Stor opgave på grund af antallet af aktører og mangfoldigheden i opgaverne Incitament til at overveje ansvar og optimere organisering og processer Incitament til oprydning Større awareness