Brugerønsker til KITOS

Transkript

1 Status på afklaring af behov i forbindelse med Persondataforordningen Der er flere kommuner, der har spurgt ind til, om KITOS vil kunne bruges til registrering af, hvordan den enkelte kommune opfylder kravene i den nye Persondataforordning, der træder i kraft den 25. maj Sådan registreres persondata i dag I KITOS kan man i System-modulet angive om systemet benyttes til håndtering af personfølsomme data, og I Kontrakt-modulet kan man angive, om kontrakten er af typen databehandleraftale, men derudover er der ikke nogen felter, der kan bruges til dokumentation af de krav, som kommunerne skal leve op til ifølge den nye Persondataforordning. Behov i forhold til understøttelse af kravene i persondataforordningen Hvis KITOS skal understøtte dokumentationen af kravene i Persondataforordningen, er der behov for nye felter i de eksisterende moduler eventuelt i form af et nyt faneblad med oplysninger om persondata + ekstra felter i systemkataloget. KITOS-Sekretariatet lagde i begyndelsen af marts en nyhed på OS2-hjemmesiden og på Yammer for at få jeres vurdering af behovet i relation til Persondataforordningen. Det har resulteret i en række konstruktive tilbagemeldinger med bud på forskellige behov og løsningsmodeller, samt nogle vigtige spørgsmål til nærmere overvejelser, som præsenteres i det følgende. Brugerønsker til KITOS En del af ansvaret bør ligge hos leverandørerne I forbindelse med den nye EU forordning skal alle kommuner til at registrere nye informationer omkring deres IT-systemer. Både Frederikssund og Viborg Kommune mener, at en del af de nye oplysninger bør komme fra leverandørerne og registreres direkte på systemerne. Ved at registrere det direkte på systemerne vil man kunne undgå, at hver enkelt kommune skal ind og registrere de samme data. KITOS-Sekretariatet har tidligere været i dialog med SKI omkring mulighederne for at gøre det til et krav, at en given leverandør afleverer informationer om systemer og snitflader for de løsninger leverandøren har på SKI aftaler. Her har SKI meldt tilbage, at de vil ligge det ind som et muligt krav til nye aftaler. Det vil dog ikke komme til at stå som et KITOS krav, men som et krav hvor kommunen uden yderligere udgift kan få oplyst hvilke snitflader kommunen har købt (eller fået), til et givent system. Tilsvarende kan man forestille sig at kravene i forhold til persondataforordningen vil kunne indgå som en del af de nye aftaler, men denne mulighed skal præciseres og aftales med SKI. Ønske om tværgående rapportering Digitaliseringsforening Sjælland har meldt tilbage, at de arbejder på at anvende KITOS til en tværgående rapportering af kommunernes it-portefølje. Ved siden af dette arbejde kører de også en EU-persondata foranalyse. Thomas Martinsen har sendt en føler ud til den arbejdsgruppe som sidder med foranalysen, og set derfra er KITOS et oplagt bud i forhold til også at få registreret de

2 informationer som kræves i forhold til forordningen, når de jo alligevel skal vedligeholde deres system- og kontraktinformation her. Tanken er, at KITOS anvendes til at få dannet en form for sikkerhedsrapport på tværs, som kan udtrækkes med jævne mellemrum til en fælles DPO funktion. Så derfor ser de meget gerne at KITOS kommer til at understøtte dokumentation af kravene i Persondataforordningen. Et synspunkt der bliver bakket op af Nordsjællands Digitaliseringssamarbejde (Anders Tandrup, Fredensborg Kommune). Vigtigt med en drøftelse af behovet I Sorø Kommune betragter de persondataforordningen som et fokus på datahåndtering og arbejdsprocesser mere end noget, som er systemspecifikt. Hvis KITOS skulle udvides til at kunne dette, ville det kræve, at der udvikledes en ny fane med arbejdsprocesser, hvor man lagrer sine dataflowanalyser og her markerer ejerskab, compliance, KLE, risikovurderinger, handlingsplaner, arbejdsprocesser (både normal og beredskab) mv. Det ville være en stor opgave, som ifølge Sorø bør drøftes nøje. Så det der ifølge Sorø Kommune bør drøftes er, hvad der i givet fald giver mening for kommunerne at kunne registrere i KITOS Altså om der er et andet behov end det som kommunerne registrerer i et evt. sikkerhedssystem. (Britt Laurine Kristense Andersen, Sorø Kommune). Samlet overblik over de indmeldte ønsker til nye felter Foruden de mere overordnede kommentarer er de kommet en række ønsker/forslag til konkrete felter i KITOS: Forslag til nye felter Vedligeholdes af Modul Kommentarer Hvilken foretages i IT-systemet (data-berigelsen)? Den oprindelige kilde for data Leverandøren Kan måske tagges fra KLE og FORM /STORM? (Ivan fx hvis borger spørger (Ivan Beskrivelse af den opgave der skal løses, herunder data s formål, relevans for formål Lov hjemmel Anden hjemmel Man må kun registrere det nødvendige for opfyldelse af formål (Ivan Henvisning til lovparagraf, bekendtgørelse

3 Samtykkeerklæring Henvisning til Hvor mange dage data gemmes før de slettes? Hvem modtager data, evt. 3. part udenfor EU? Hvordan og hvor ligger den? Er det + 30 dage, så skal data sikres yderligere (Ivan For de personfølsomme (før 8) og de der gemmes +30 dage, skal man beskrive de sikkerhedsforanstaltninger som er iværksat, herunder: - Brugerstyring (procedurer for tildeling af rettigheder) - Brugerkontrol (kvartalsvis, procedurer herfor) - Logning af rettelser, - hvornår det er sket - og af hvem. - Procedurer for sletning, arkivering, evt. anonymisering af data - En Konsekvensanalyse omhandlende risici, sikkerhedstiltag, som redundans, backup, restore procedurer m.v. og test af disse. Dataflowanalyser, herunder:

4 - Ejerskab - Compliance - Risikovurderinger - Handlingsplaner Henvisning til Arbejdsprocesser (både normal og beredskab) Henvisning til Hvis KITOS skulle udvides til at kunne dette, ville det kræve, at der udvikledes en ny fane med arbejdsprocesse r, hvor man lagrer sine dataflowanalyse r og her markerer ejerskab, compliance, KLE, risikovurderinge r, handlingsplaner, arbejdsprocesse r (både normal og beredskab) mv. (Britt Laurine Kristensen Andersen, Sorø Kommune)

5 Forslag og tidsplan for den videre proces Som det fremgår, er der kommet rigtig mange gode input og næste led i processen er at få dem diskuteret og kvalificeret. KITOS-Sekretariatet foreslår, at der nedsættes en tværgående arbejdsgruppe med repræsentanter fra kontraktarbejdsgruppen og systemarbejdsgruppen + dem, der ellers måtte have lyst dog max 6-8 personer i alt. Hvis det kan lade sig gøre, mødes gruppen lige efter påske og udarbejder en indstilling til Styregruppen. Ballerup ligger gerne hus til, men andre er også velkomne til at byde ind. KITOS-Sekretariatet indhenter tilbud fra MIRACLE på udvikling af et nyt faneblad med nye felter (tilbuddet justeres efterfølgende, når vi kender det præcise behov). Mulighed for at søge midler i den fælles rammearkitekturpulje Ivan Kure fra Frederikssund Kommune foreslår, at vi forsøger at søge midler i den fælles Rammearkitekturpulje. Pulje til udvikling af rammearkitekturelementer er annonceret med ansøgningsfrist den 21. april Der uddeles 2 mio. kr. i perioden frem til 2020 i portioner á kr. Ansøgningsfristen er lige om hjørnet og KITOS-Sekretariatet forsøger derfor at lave et udkast til en ansøgning, som kan drøftes på mødet i arbejdsgruppen. Tidsplan Uge 14 KITOS-Sekretariatet indhenter tilbud fra MIRACLE på udvikling af nyt faneblad med felter KITOS-Sekretariatet laver udkast til ansøgning Uge 16 Møde i arbejdsgruppen om persondata d.19. april 2017 Indsendelse af ansøgning til den fælles Rammearkitekturpulje senest d. 21. april 2017