R A P P O R T. Rapport fra Databeskyttelsesrådgiver for 2018

Transkript

1 R A P P O R T Rapport fra Databeskyttelsesrådgiver for 2018 Januar 2019

2 Indholdsfortegnelse Indholdsfortegnelse Baggrund Fortegnelseskravet Politikker, procedurer og retningslinjer Awareness Databehandleraftaler Konsekvensanalyse (DPIA) Samtykkeerklæringer Oplysningspligt Persondatabrud Tilsyn Skriftligt tilsyn Fysisk tilsyn Afslutning... 8

3 1. Baggrund Pr. 25. maj 2018 trådte EU-Databeskyttelsesforordningen (EU) 2016/679 i kraft. Sammen med forordningen blev også en databeskyttelseslov (L502) vedtaget i Danmark. Den afløste den tidligere persondatalov (L429) og sikkerhedsbekendtgørelse (528). Noget af det nye, der findes i forordningen er kravet om at offentlige myndigheder skal have udpeget en Databeskyttelsesrådgiver (DPO). Derudover er der et større krav om dokumentation. Alle aktiviteter, med behandling af persondata, i kommunen skal dokumenteres. Som noget nyt kom også muligheden for at Datatilsynet, via Domstolene, kan udstede bøder, hvis man ikke overholder forordningens regler. Forordningen er flere steder bygget op på den måde, at den dataansvarlige skal foretage risikobaserede beslutninger. Derfor skal disse beslutninger også dokumenteres. Databeskyttelsesrådgiverens funktion er at understøtte kommunens overholdelse af forordningen og funktionen er organisatorisk placeret i Service og Digitalisering. Databeskyttelsesrådgiveren må ikke modtage instruks om, hvordan dennes opgaver skal udføres. Som en del af databeskyttelsesrådgiverens opgaver skal der rapporteres direkte til øverste ledelsesniveau i kommunen, hvorfor denne rapport for 2018 er udarbejdet. 2. Fortegnelseskravet Tidligere skulle offentlige myndigheder lave en anmeldelse til Datatilsynet, hvis de tog et nyt IT-system i brug eller en ny behandlingsaktivitet, som afstedkom et nyt IT-system med behandling af personoplysninger. Det er nu afløst af, at offentlige myndigheder selv opbevarer sådanne behandlingsaktiviteter, kaldet fortegnelser, og udleverer dem på forlangende af tilsynsmyndighederne, altså Datatilsynet. I fortegnelserne beskrives bl.a., hvilke personoplysninger, der behandles på en given fortegnelse. I forordningen skelnes mellem almindelige personoplysninger (art. 6), følsomme personoplysninger (art. 9) og personoplysninger vedrørende straffedomme og lovovertrædelser (art. 10). Følsomme oplysninger er race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske eller biometriske data, helbredsoplysninger, seksuelle forhold eller seksuel orientering. Denne liste er udtømmende og alt andet betegnes som almindelige oplysninger med mindre, der er tale om straffedomme. Disse fortegnelser er udarbejdet af alle områderne i kommunen, nogle har kun én fortegnelse mens andre har flere. I alt har kommunen udarbejdet 35 fortegnelser. Fortegnelserne skal arkiveres i Secure ISMS (Informationssikkerheds og management system), som er et sikkerhedssystem til håndtering af alle former for IT-sikkerhed inkl. persondatasikkerhed. Ca. 30% er med udgangen af 2018 lagt ind i systemet og kvalitetssikret. Udestående er at beskrive koblingen mellem kategorier af registrerede og kategorier af personoplysninger og ligeledes beskrive koblingen mellem kategorier af personoplysninger og modtagere af personoplysninger, hvis personoplysninger sendes videre til andre.

4 Årligt skal fortegnelserne gennemgås for at sikre, at de altid er ajourført med eventuelle nye tiltag, og databeskyttelsesrådgiveren skal kontrollere, at områderne lever op til måden at arbejde på, som beskrevet i fortegnelserne. Fortegnelserne over behandlingsaktiviteter med personoplysninger listes op herunder: Havne Kultur og Fritid Håndtering af matrikler Udlejning af kommunale ejendomme Affaldshåndtering Løn og personaleadministration Beskæftigelse Flygtninge og integration Kontante ydelser inden for beskæftigelse Børn og ungelægen Tandplejen Socialrådgivningen Sundhedsplejen PPR Familiecentret Registrering og levering af genbrugshjælpemidler Madservice fra kommunal leverandør Myndighedsudøvelse i Sundhed og Omsorg Biblioteker Musikskolen Vej og Park Kort og Geodata Myndighedsopgaver, service og tilbud til voksne handicappede eller sindslidende Ledelsesinformation Handicap og Psykiatri Økonomi Forsikring Ekstern Udvikling Valgudvalget Analyse Jura Politisk administrativt sekretariat Daginstitutionsområdet Skoleområdet Borgerlige forhold Opux Lex helbredstillæg almindeligt og udvidet 3. Politikker, procedurer og retningslinjer Alle politikker, procedurer og retningslinjer udarbejdes eller revideres løbende for at leve op til lovgivning og efterspørgsel. Følgende er enten udarbejdet eller revideret, således at krav til persondatasikkerhed er omfattet. Ligeledes er de alle godkendt i Udvalget for informationssikkerhed i Informationssikkerhedspolitikken Privatlivspolitik Cookiepolitik IT-sikkerhedsregler Beredskabsplan for brud på persondatasikkerheden (ved større brud) Procedure for bortskaffelse af udstyr Procedure for håndtering af bevismateriale og kontakt med relevante myndigheder Procedure vedrørende returnering af aktiver ved fratrædelse Procedure ved brud på persondatasikkerheden (ved mindre brud) Retningslinjer for anvendelse af fjernstyringsværktøj Retningslinjer for brug af billeder Side på rksk.dk om databeskyttelse

5 Skabelon til databehandleraftaler 4. Awareness I forordningens art. 32 om behandlingssikkerhed er kommunen underlagt krav om at skulle sikre både tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. Dette omhandler bl.a. awareness, som skal sikre, at medarbejderne har et passende vidensniveau for at passe på borgernes data. Dette sker bl.a. ved at udarbejde retningslinjer både centralt men også i fag- og stabsområderne. Service og Digitalisering har gennemført flere tiltag som f.eks.: Forum april 2018 Dataline Forum april 2018 Næste trin op ad trappen Forum maj 2018 Informationsmateriale og elearning fra KL, Datatilsynet m.fl. Forum juni 2018 Konkurrence deltagere Forum september 2018 Konkurrence deltagere set af 703 personer Ved den seneste konkurrence, blev der spurgt ind til, hvornår en skulle sendes sikkert. Svarene viste stor usikkerhed, hvor mange mente, altid. På den baggrund blev der udarbejdet retningslinjer og orientering om dette. Fag- og stabsområderne har tillige lavet lokale initiativer om awareness på sikkerhed. Bl.a. egne små kurser og oplæg. Derudover er der i januar 2019 planlagt undervisning i RKSK. Denne undervisning foregår sammen med COK/KL. Der er planlagt 4 x ½ dags undervisning á 100 personer. 5. Databehandleraftaler I art. 28 er beskrevet, hvordan der skal udarbejdes databehandleraftaler med databehandlere (virksomheder), som behandler personoplysninger på vegne af RKSK som dataansvarlig. Disse databehandlere skal stille de fornødne garantier for, at de vil gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i forordningen og sikrer beskyttelse af den registreredes rettigheder. Der er flere måder, hvorpå det kan kontrolleres, hvorvidt databehandleren har de fornødne garantier for passende foranstaltninger. Det kan enten ske ved, at RKSK modtager en revisionserklæring, eller ved at RKSK selv foretager kontrollen hos virksomheden. Databehandleraftalerne skal indeholde instruks fra RKSK som dataansvarlig om, hvordan persondata må behandles af databehandleren. Juridisk Team har ydet juridisk bistand ved mange af databehandleraftalerne. Juridisk team har sammen med Service og Digitalisering udarbejdet en skabelon, der er vedtaget af Direktionen og kommunikeret til alle, og skabelonen skal anvendes til nye aftaler, hvori der aftales behandling af personoplysninger

6 på vegne af kommunen. Denne skabelon er blevet til på baggrund af en skabelon KL og KOMBIT har udarbejdet. I hvert fag- og stabsområde er der en ansvarlig for indsamling af kontrakter og databehandleraftaler. Den ansvarlige vil kunne oplyse det aktuelle antal i deres område. Procedure for opfølgning på databehandleraftaler udarbejdes først i Konsekvensanalyse (DPIA) I forordningens art. 35 står, at hvis en type behandling vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal der foretages en konsekvensanalyse. Dette skal ske for at minimere risikoen for den registreredes rettigheder. I Datatilsynets vejledning er beskrevet at konsekvensanalyse næsten udelukkende skal foretages, hvis der tages nye teknologier i brug i forbindelse med behandlingen af følsomme personoplysninger. RKSK følger i høj grad instrukser om brug af CPR-nr., NemID, fælles medicinkort o.l. fra andre offentlige myndigheder, og vi har ikke taget ny teknologi i brug. Derfor er vurderingen, at der skal ikke foretages konsekvensanalyser i Desuden afventer RKSK anbefalinger og vejledninger fra Datatilsynet og KL om, hvilke nye teknologier, der vil kunne kræve en sådan. 7. Samtykkeerklæringer Forordningens art. 7 og art. 8 (samtykke fra børn) omhandler samtykkeerklæringer. Kun i de tilfælde hvor der ikke ellers er hjemmel ved lov, skal samtykke indhentes fra den registrerede. I Databeskyttelsesloven har Danmark sat en aldersgrænse for, hvornår man opfatte som et barn. Denne aldersgrænse er sat ved 13 år. Dvs. at hvis barnet er under 13 år, skal samtykke indhentes af indehaveren af forældremyndigheden. Er barnet 13 år eller derover, kan samtykke indhentes hos barnet selv. Det nye i forordningen er, at det skal være lige så nemt at trække et samtykke tilbage, som det er at give et, hvis det er muligt at ophøre med den behandling, der er givet samtykke til. Dette skal oplyses allerede inden samtykket gives. Alle fag- og stabsområder indhenter og opbevarer selv de samtykkeerklæringer, som er indhentet hos dem. 8. Oplysningspligt Både i tilfælde hvor personoplysninger er indhentet hos den registrerede selv (art. 13), og hvor personoplysninger ikke er indhentet hos den registrerede selv (art. 14), skal oplysningspligten overholdes. Denne oplysningspligt skal bl.a. indeholde: Identitet på og kontaktoplysninger for den dataansvarlige Kontaktoplysninger på databeskyttelsesrådgiveren

7 Formålet med behandling af personoplysningerne Eventuelle kategori af modtagere Det tidsrum, hvor personoplysningerne vil blive opbevaret Retten til at anmode om indsigt Retten til at trække et eventuel samtykke tilbage Retten til at klage til tilsynsmyndighed Datatilsynet vil have et særligt fokus på overholdelsen af oplysningspligten og ser med stor alvor på manglende overholdelse af denne. Alle fag- og stabsområder opbevarer både skabelon til oplysningsbreve samt udleverede oplysningsbreve i fagsystemerne eller ESDH. Oplysningspligten er i høj grad understøttet af god forvaltningsskik, hvor borgere informeres om rettigheder og pligter i relation til kommunen. 9. Persondatabrud I art. 33 er anført, at den dataansvarlige skal anmelde alle brud til Datatilsynet, hvor der er en risiko for den registreredes rettigheder eller frihedsrettigheder. Denne anmeldelse skal ske inden for 72 timer. Derudover skal RKSK registrere alle brud, også dem hvor det er vurderet, at der ikke vil være en risiko for den registrerede. Ved udgangen af 2018 har kommunen i alt registreret 20 persondatabrud. Af disse 20 brud er 13 blevet anmeldt til Datatilsynet. Der har ikke været tale om store brud på baggrund af hackere eller større systemnedbrud. I stedet har der været tale om menneskelige fejl grundet uopmærksomhed, travlhed mv. Det typiske er, at personoplysninger er fremsendt til en forkert modtager eller på en usikker kanal. Af de 13 brud der er indberettet til Datatilsynet, har vi fået svar på 6, hvor Datatilsynet frikender RKSK. Dermed gør de ikke mere ved forholdene, idet de accepterer kommunens håndtering af bruddene. Databeskyttelsesrådgiveren opfordrer til, at alle brud indberettes til Databeskyttelsesrådgiveren, således at denne kan registrerer dem i en hændelseslog. Datatilsynet har oplyst en bagatelgrænse for anmeldelser, som går ved mail sendt internt på RKSK domænet med forkert modtager. Disse interne fejl rapporteres til Databeskyttelsesrådgiveren. I 2018 har det været databeskyttelsesrådgiveren, der har anmeldt alle persondatabrud til Datatilsynet. I den netop vedtagne Procedure ved brud på persondatasikkerheden som træder i kraft pr. januar 2019, ændres denne praksis til, at alle fag- og stabsområder selv foretager anmeldelsen til Datatilsynet. Dog skal databeskyttelsesrådgiveren altid orienteres og i øvrigt tages med på råd, hvor det er nødvendigt. 10. Tilsyn 10.1 Skriftligt tilsyn I løbet af juli-september udsendte Datatilsynet et skriftligt tilsyn med alle kommuner. Dette tilsyn omhandlede udpegelse af databeskyttelsesrådgiver for alle kommunens udvalg, nævn, selvejende institutioner mv. og orientering til Datatilsynet om dette.

8 Det var en større opgave at finde ud af, hvilke råd og nævn, skolebestyrelser, selvejende institutioner, 60 selskaber, der er i RKSK. Alle de råd og nævn, som RKSK sekretariatsbetjener, er kommunens databeskyttelsesrådgiver også databeskyttelsesrådgiver for. Det samme gælder for alle skolebestyrelser, ungdomsskolebestyrelser og valgbestyrelser. Brand og Redning er kommunens eneste 60 selskab. Her er ansvaret hos Herning Kommunes databeskyttelsesrådgiver. Tilbage var 4 selvejende børneinstitutioner, der er blevet spurgt, hvorvidt de ønskede at benytte kommunens databeskyttelsesrådgiver. De har alle takket ja. Punktet var på Direktionsmøde den 29. august 2018, hvor skemaet blev godkendt og efterfølgende sendt til Datatilsynet Fysisk tilsyn Datatilsynet varslede fysisk tilsyn hos RKSK den 25. oktober Dette tilsyn omhandlede fortegnelseskravet. Inden tilsynsbesøget, havde Datatilsynet modtaget vores 35 fortegnelser. Der var sat to timer af til mødet. Datatilsynet var overordnet meget tilfreds med de fortegnelser, som var lavet på baggrund af vores egen skabelon, hvorimod de få af vores fortegnelser, som var lavet på baggrund af KL s fællesfortegnelser, ikke var helt tilfredsstillende. Der er fremsendt et referat, hvori der anbefales bl.a. de koblinger, som står beskrevet under pkt. 2 Fortegnelser i denne rapport. Ellers må det betegnes som småting, Datatilsynet havde af kommentarer. Datatilsynet afslutter deres referat med følgende: Datatilsynet oplyste både indledningsvist over afslutningsvist på tilsynsbesøget, at tilsynet generelt finder, at Ringkøbing-Skjern Kommune har udarbejdet sine fortegnelser på en god og hensigtsmæssig måde. Efter Datatilsynets opfattelse giver de fortegnelser som kommunen har udarbejdet efter egne skabeloner generelt et godt overblik, og viser, at kommunen har taget aktivt stilling til dens behandlingsaktiviteter. Datatilsynet oplyste yderligere, at disse fortegnelser efter tilsynets opfattelse er i god tråd med formålet med at føre fortegnelser over behandlingsaktiviteter. Endelig rapport forventes modtaget inden for 6 måneder fra tilsynsbesøget. 11. Afslutning 2018 har været et travlt år, hvad EU-Databeskyttelsesforordningen angår. Der har været mange nye ting at sætte sig ind i, som har inddraget store dele af organisationen. Man kan sige, at vi har asfalteret vejen, mens vi kørte. Konsulentfirmaet Devoteam har i 2018 gennemgået og vurderet kommunens it-sikkerhed, og der er opstillet en strategi med 16 initiativer for udviklingen af kommunens it-sikkerhed for de kommende 3 5 år. Som første led i strategien ventes der i januar 2019 en vedtagelse af Ledelse og organisering af informationssikkerhed i Ringkøbing-Skjern Kommune. Den nye lovgivning i forbindelse med EU-Databeskyttelsesforordningen medfører, at kommunen i langt højere grad end tidligere skal tilpasse de tekniske og organisatoriske sikkerhedskrav med henblik på et

9 passende sikkerhedsniveau for kommunens forskellige områder. Det afstedkommer nye arbejdsgange og bevågenhed forbehandling af persondata for store dele af organisationen. Generelt er konklusionen, at organisationen som helhed har arbejdet godt og grundigt med at beskytte borgernes data, og det er lykkedes at forankre grundsætningen: Det er borgernes data vi låner dem bare og skal derfor passe godt på dem!