Databeskyttelsesrådgiverens rapport

Transkript

1 Databeskyttelsesrådgiverens rapport Det første år

2 Indhold Indledning...3 Fortegnelseskravet...3 Databehandleraftaler...3 Politikker, procedurer og retningslinjer...4 Rebild kommunes Informationssikkerhedspolitik...4 Procedurer og retningslinjer...4 Awareness...4 Sikkerhedsbrud...5 Konsekvensanalyser...6 Udfordringer...6 Slettefrister...6 Årshjul for kontroller...7 Beredskabsplan...7 Kontroller og tilsyn...8 Konklusion...8 Side 2 af 8

3 Indledning Denne rapport er udarbejdet med henblik på at informere kommunens øverste ledelse om status på Rebild kommunes implementering og overholdelse af databeskyttelsesreglerne - som fastlagt i EU-Databeskyttelsesforordningen (GDPR) (EU 2016/679), samt i de danske vedtagne bestemmelser om samme (Databeskyttelsesloven nr. 502 af 23/05/2018). Rebild kommune har i 2018 nedsat en implementeringsorganisation, som anbefalet af KL i deres vejledning af den 23. februar 2018 til landets kommunaldirektører. Implementeringsorganisationen - i det daglige kaldet Styregruppen - består af flere centerchefer, It-chefen, informationssikkerhedskoordinatoren, samt direktør Charlotte Larsen som øverste ledelse fra forvaltningen. Informationssikkerhedsudvalget sætter mål for sikkerheden og sørger for, at informationssikkerheden realiseres og efterleves i organisationen. Udvalget har således det daglige ansvar for styring af informationssikkerheden. Ud over styregruppen er det besluttet at indføre et antal sikkerhedskoordinatorer. I praksis er der udnævnt en sikkerhedskoordinator per center, og de vil i det daglige udfylde funktionen som en form for superbruger i databeskyttelsesreglerne. På direktionsmøde november 2017 udpegede Rebild kommune en databeskyttelsesrådgiver (herefter kaldet DPO). Udpegning af en DPO er pålagt ved lov, og DPOens opgaver er at overvåge at organisationen overholder lovgivningen i forhold til beskyttelse af borgernes persondata. Forvaltningen er forpligtet til at involvere DPO i alle spørgsmål vedrørende databeskyttelse, til gengæld er DPO forpligtet til at rådgive og vejlede forvaltning, såvel som borgere i reglerne om persondatabeskyttelse. DPO er fast medlem af styregruppen og rådgiver og vejleder også her i forhold til alle beslutninger, der skal træffes af gruppen. DPOen er uvildig, må ikke modtage instruktion i udførelse af sine arbejdsopgaver, og rapporterer direkte til øverste ledelsesniveau. Evaluering og afrapportering af status sker løbende til styregruppen, samt én gang årligt ved aflæggelse af rapport til byrådet. I det følgende vil blive gennemgået områder af betydning for Rebild kommunes efterlevelse af gældende bestemmelser på databeskyttelsesområdet. Rapporten afsluttes med DPOs status og vurdering af Rebild kommunes overholdelse af reglerne, samt anbefalinger til det fortsatte implementeringsarbejde. Fortegnelseskravet Rebild kommune er dataansvarlig når der indsamles, registreres, videregives, opbevares og slettes personoplysninger om borgerne, og alle dataansvarlige skal føre fortegnelse over sine behandlingsaktiviteter. Der er tale om en intern fortegnelse, som skal foreligge skriftligt og elektronisk, og efter anmodning skal kommunen stille fortegnelsen til rådighed for tilsynsmyndigheden. Man har i Rebild kommune besluttet at benytte sig af den i KL udarbejdede standardskabelon for fortegnelser, og har tilpasset fortegnelsen til forholdene i Rebild kommune. Fortegnelseskravet ses altså implementeret i Rebild kommune. Databehandleraftaler Behandling af borgernes persondata kræver ofte involvering af eksterne parter it-virksomheder og andre virksomheder, der håndterer borgernes data efter instruks fra kommunen. For at kunne håndtere ansøgninger og udbetalinger af for eksempel kontanthjælp, har kommunen brug for såvel et elektronisk journaliseringssystem, som et elektronisk udbetalingssystem. Brugen af disse systemer tilkøbes eksternt af virksomheder, der har specialiseret sig i dette. En databehandleraftale er en skriftlig aftale mellem to virksomheder - eller en kommune og en virksomhed - der fastlægger, hvordan den virksomhed, der behandler dataene, skal behandle dem. Kommunen Side 3 af 8

4 er i denne sammenhæng ansvarlig for borgernes data, og instruerer i aftalen databehandleren i, hvordan borgernes data skal håndteres. I alle tilfælde, hvor Rebild kommune er dataansvarlig og benytter sig af databehandlere, skal der udarbejdes en databehandleraftale. Rebild kommune har på nuværende tidspunkt omkring 135 udarbejdede databehandleraftaler, men arbejdet er fortløbende, og der skal udarbejdes en ny databehandleraftale ved anskaffelse af alle nye systemer. Det er besluttet, at opgaven med at udarbejde lovmedholdelige databehandleraftaler skal ligge centralt hos Rebild kommunes informationssikkerhedskoordinator. Grundet den meget store mængde databehandleraftaler, der er behov for i en kommunal forvaltning, har det været en opgave, der har fyldt meget i implementeringsarbejdet. Det næste skridt er at følge op på databehandleraftalerne. Som dataansvarlig er det også Rebild kommunes opgave at føre tilsyn med, at databehandlerne kontinuerligt bliver ved med at leve op til databeskyttelsesreglerne. Hyppigheden af tilsynet bestemmes af en risikobaseret vurdering af hvor mange og hvor følsomme personoplysninger den enkelte databehandler håndterer. Nogle databehandleraftaler skal således følges tæt op, mens andre kun kræver opfølgning en gang årligt eller hvert andet år. Rebild kommune har valgt at etablere et samarbejde med Mariagerfjord, samt Vesthimmerlands kommuner, idet tilsynsopgaven er ressourcetung. Rebild kommune betaler i forbindelse med det tværkommunale samarbejde for 1/3 fuldtidsmedarbejder. Politikker, procedurer og retningslinjer Rebild kommunes Informationssikkerhedspolitik Rebild kommune har opbygget sine retningslinjer for informationssikkerhedspolitik efter ISO standarden for håndtering af informationssikkerhed. Der er udarbejdet en informationssikkerhedshåndbog, hvori retningslinjerne er beskrevet, men håndbogen er oprettet i 2013 og ikke revideret efter ikrafttrædelsen af databeskyttelsesforordningen i Informationssikkerhedshåndbogen er et godt værktøj til at fastlægge rammerne for informationssikkerheden i Rebild kommune, men det er nødvendigt at gennemarbejde og revidere den eksisterende håndbog, så den lever op til GDPR og de nye databeskyttelsesregler. Det anbefales, at der sker en gennemgang af informationssikkerhedshåndbogen med henblik på at præcisere og uddybe alle nødvendige sikkerhedsområder, herunder Privacy by Design og opdagelse af sikkerhedshændelser. Det anbefales også, at der etableres en proces, hvor retningslinjerne jævnligt opdateres i henhold til ændringer i risikobilledet, lovgivningen eller ved større organisatoriske og tekniske forandringer. Procedurer og retningslinjer Alle dele af Rebild kommunes forvaltning har i perioden op til, og efter 25. maj 2018 arbejdet på at analysere processer der involverer persondata omfattet af databeskyttelsesreglerne. Analysearbejdet har efterfølgende været brugt til at etablere sagsgange, eller revidere allerede etablerede sagsgange, således kommunen lever op til lovens krav. Især har der været fokus på oplysningspligten som omfatter kommunens pligt til at informere borgeren, når der indsamles oplysninger om borgeren. Awareness En af DPOs kerneopgaver er at øge forvaltningens viden om databeskyttelsesreglerne. Dette gør DPO blandt andet ved løbende at rådgive og vejlede forvaltningen i konkrete spørgsmål om databeskyttelsesreglerne. DPO har dog også en forpligtelse til at øge forvaltningens generelle viden om reglerne. DPO skal således på eget initiativ medvirke til øget awareness blandt forvaltningens ledelse og personale. DPO har i løbet af det første år blandt andet udfyldt denne opgave ved tilrettelæggelse og gennemførelse af en Side 4 af 8

5 GDPR-awarenesskampagne. Kampagnen er udarbejdet i tæt samarbejde med kommunens informationssikkerhedskoordinator. GDPR-awarenesskampagnen blev i første omgang udarbejdet som en julekalender udgivet som 15 elektioner i løbet af december Styregruppen har truffet beslutning om, at elæringen er obligatorisk for alle medarbejdere med en arbejdsmail. Af praktiske årsager blev kampagnen i første omgang kun udgivet til de cirka 1800 medarbejdere med en Rebild.dk-mail. Skole- og dagtilbudsområdet fulgte efter i april 2019, idet kampagnen blev besluttet udrullet samtidig med indføringen i det landsdækkende Skolehjem-kommunikationssamarbejde, Aula (som erstatter det tidligere nationale Skoleintra). Ved afslutningen af denne rapport er endnu en gennemarbejdning af undervisningsmaterialet næsten klar til at blive udrullet på kommunens intranet, til oplæring af nye medarbejdere fremadrettet. Sikkerhedsbrud Fra den 25. maj 2018 hvorfra databeskyttelsesforordningen finder anvendelse er der blevet indført en generel forpligtelse for alle dataansvarlige til at anmelde brud på persondatasikkerheden til Datatilsynet. Anmeldelsen skal ske uden unødig forsinkelse og senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet. Udgangspunktet er, at brud på persondatasikkerheden altid skal anmeldes med mindre det er usandsynligt, at det pågældende brud indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder I perioden 25. maj juni 2019 har DPO modtaget orientering om i alt 63 sikkerhedsbrud. 41 af disse sikkerhedsbrud er anmeldt til Datatilsynet. Hovedparten af de registrerede sikkerhedsbrud drejer sig om data sendt til forkerte modtagere (for eksempel personoplysninger sendt til tredjepart) eller data, kommunen har sendt via en ukrypteret kanal (for eksempel med almindelig, usikker ). Datatilsynet har ved færdiggørelsen af denne rapport truffet afgørelse i 21 af de 41 indberettede sager. Datatilsynet har i alle afgørelser udtalt: Side 5 af 8

6 Efter en samlet vurdering af Rebild kommunes anmeldelse skal Datatilsynet udtale, at tilsynet ikke umiddelbart forventer at foretage sig yderligere i anledning af det skete brud på persondatasikkerheden Datatilsynet forbeholder sig dog retten til at genoptage sagerne eller lade dem indgå i vurderingen af eventuelle fremtidige brud, hvis der måtte fremkomme nye oplysninger i sagen, eller hvis der modtages nye anmeldelser om brud på persondatasikkerheden fra Rebild kommune. Der er allerede på nuværende tidspunkt set eksempler på, at Datatilsynet har meddelt ekstraordinære tilsyn med andre dataansvarlige, som har oplevet mange sikkerhedsbrud af samme type. På baggrund af Rebild kommunes registrerede sikkerhedsbrud, arbejdes der løbende med tiltag, der kan minimere antallet af disse. Blandt andet er etableret en Force-TLS-krypteret forbindelse mellem kommunens skole- og dagtilbud og administrationen. En sådan kryptering betyder, at skoler og dagtilbud nu kan sende persondata om børn, ansatte og andre via en sikker kanal til forvaltningen, og omvendt. Der arbejdes løbende på andre og flere tiltag til udbedring af problematikken. Konsekvensanalyser Databeskyttelsesforordningen angiver, at hvis en type behandling vil indebære en høj risiko for fysiske personers rettigheder eller frihedsrettigheder, skal der foretages en konsekvensanalyse. En konsekvensanalyse er en systematisk og struktureret vurdering, der forholder sig til risikoen for, om det vurderede systems behandling kan krænke borgernes rettigheder og frihedsrettigheder. I Datatilsynets vejledning er beskrevet, at konsekvensanalyse navnlig skal foretages, hvis der tages nye teknologier i brug. Rebild kommune har ikke taget ny teknologi i brug i perioden fra den 25. maj 2018 og der er derfor ikke foretaget en konsekvensanalyse i løbet af perioden. Rebild kommune er dog ved at overveje om der skal udføres en konsekvensanalyse i forbindelse med visse allerede ibrugtagne systemer. Især drøftes det aktuelt om der skal udarbejdes en konsekvensanalyse på Rebild kommunes brug af Google på skole- og dagtilbudsområdet. Google er allerede taget i brug på dette område, men siden ikrafttræden af databeskyttelsesreglerne er det besluttet at koble Google sammen med det nye skoleintra, Aula. Processen med at risikovurdere konstellationen er i gang. Ifølge databeskyttelsesreglerne skal kommunens DPO informeres og konsulteres i arbejdet med at udføre konsekvensvurderinger på kommunens systemer. DPO har dertil pligt til at være rådgivende i løbet af hele processen. Udfordringer Slettefrister Når det ikke længere er nødvendigt at behandle personoplysninger, skal de slettes. personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles Det samme gælder, hvis en borger ønsker at oplysninger om denne skal slettes 1. Det betyder blandt andet, at alle systemer til behandling af personoplysninger eg. elektroniske journalsystemer og fagsystemer skal indstilles til at slette personoplysninger og personsager i henhold til reglerne for de enkelte fagområder. 1 Mange behandlinger i det offentlige er dog undtaget fra borgerens ret til at blive slettet, da det offentliges notat- og journaliseringspligt trumfer borgerens ret. Side 6 af 8

7 Ved møder med medarbejdere og ledere i forvaltningen, er det blevet klart for DPO, at der ikke alle steder er den tilstrækkelige viden om slettefrister og slettemuligheder til at kunne leve op til lovgivningens krav. Datatilsynets holdning er klar; I løbet af 2019 har Datatilsynet indgivet politianmeldelse vedrørende flere virksomheder, samt indstillet dem til bøder i millionklassen grundet mangelfuld slettepolitik. Det anbefales derfor, at der oprettes et projekt med henblik på at skabe klarhed over, og at etablere, rutiner og procedurer der sikrer korrekt og relevant sletning af personoplysninger indenfor alle forvaltningens områder. I mange tilfælde vil det være særlovgivning, for eksempel bogføringsloven eller hvidvaskloven, der regulerer hvor længe konkrete personoplysninger skal gemmes, før de må og skal slettes. Også arkivloven skal der tages højde for i fastlæggelsen af sletteprocedurer. Det anbefales derfor at det foreslåede sletteprojekt får juridisk input omkring fagområdernes slettefrister ved at inkludere en juridisk medarbejder, samt kommunens arkivansvarlige, i projektgruppen. Endeligt anbefales, at projektgruppen tager stilling til jævnligt tilbagevendende opfølgning på at sletteprocedurerne følges fremadrettet. Årshjul for kontroller Som dataansvarlig er det vigtigt at have et struktureret system for, hvordan man jævnligt får kontrolleret at de implementerede tiltag for at leve op til databeskyttelsesreglerne, følges. Et sådant system kan være et årshjul hvori noteres alle kontrolpunkter, og tidspunkter for hvornår i løbet af året, kontrollerne skal udføres. Et årshjul af denne slags vil give et godt overblik over såvel typen af kontroller, som mængden af ressourcer kontrolarbejdet vil kræve. Idet der på nuværende tidspunkt ikke er udarbejdet et årshjul for kontroller, er det ikke muligt at opgøre mængden af ressourcer denne jævnlige gennemgang vil kræve. Det er dog DPOs opfattelse, at den løbende arbejdsbyrde vil være forholdsvis stor og det anbefales derfor at der ved udarbejdelse af årshjulet samtidig tages stilling til mængden ressourcer, der er påkrævet, for at leve op til databeskyttelsesreglerne. Beredskabsplan Som en del af kommunens forsvarlige håndtering af personoplysninger indgår udarbejdelsen af en beredskabsstrategi og en beredskabsplan. Målet med beredskabsstrategien er at fastlægge, hvordan kritiske processer kan køre videre i en beredskabssituation. En organisation har normalt truffet foranstaltninger til at håndtere nedbrud eller andre situationer, som påvirker organisationens evne til at opretholde sin normale drift. Hvis foranstaltningerne ikke slår til, skal en beredskabsplan træde i kraft. Et it-beredskab er centralt, fordi en kommune er afhængig af it, men også et kommunikationsberedskab, et personale- og et bygningsberedskab er essentielt for at organisationen kan opretholde eller retablere et acceptabelt niveau for drift i tilfælde af nedbrud, krise eller nødstilfælde. Der skal blandt andet tages stilling til rollefordeling, kommunikationslinjer og ansvarsfordeling, samt lægges nødplaner for opretholdelse af liv og velfærd. Rebild kommune har en eksisterende it-beredskabsplan. Det anbefales at den eksisterende beredskabsplan revideres og udvides til også at omfatte databeskyttelsesreglerne og et beredskab for beskyttelse af persondata og opretholdelse af borgernes rettigheder. Idet Rebild kommune på nuværende tidspunkt ikke har revideret den eksisterende beredskabsplan efter ikrafttræden af databeskyttelsesreglerne, anbefales det, at dette arbejde prioriteres. Side 7 af 8

8 Kontroller og tilsyn En del af DPOs funktion består i at overvåge overholdelsen af de databeskyttelsesretlige regler i Rebild kommune. Det indebærer blandt andet også at overvåge kommunens politikker om databeskyttelse, uddannelse af personale i databeskyttelse, oplysningskampagner, fordeling af ansvar og revisioner udført af eksterne parter. I det første år efter databeskyttelsesreglernes ikrafttræden den 25. maj 2018 er de nævnte kontroller gennemført ved et kvalitativt tilsyn. DPO har deltaget i en møderække med alle dele af forvaltningen, tæt samarbejde og ugentlige faste møder med Rebild kommunes informationssikkerhedskoordinator, samt i dialog med medarbejdere og ledere i forbindelse med anmodning om rådgivning og vejledning om reglerne. Fremadrettet vil DPOs kontroller og tilsyn blive struktureret i et årshjul, der lægger sig tæt op ad forvaltningens årshjul for kontroller. På denne måde vil DPO aktivt kunne inddrages og bidrage i forhold til de konkrete behov forvaltningen kan have ved kontrollerne. Konklusion Arbejdet med at implementere GDPR er godt i gang og processen fortsætter i højt tempo. Rebild kommune er endnu ikke overgået til fuld og regulær drift efter komplet implementering på alle områder, men det er vurderingen, at der er et godt overblik over, på hvilke områder der skal sættes ind, for at dette kan ske i løbet af 2019 og Som en del af denne rapport, er DPO fremkommet med anbefalinger til Rebild kommune, med henblik at leve op til databeskyttelsesreglerne: Det anbefales, at der sker en gennemgang af informationssikkerhedshåndbogen med henblik på at indarbejde databeskyttelsesreglerne og de nyeste beslutninger om informationssikkerhed. Det anbefales at der iværksættes en indsats for at få etableret sagsgange og rutiner der sikrer at kommunen lever op til databeskyttelsesreglerne om sletning. Det anbefales, at indsatsen prioriteres højt. Det anbefales, at der ved udarbejdelse af forvaltningens årshjul for regelmæssige kontroller og tilsyn, tages stilling til mængden af personalemæssige ressourcer de nævnte kontroller og tilsyn vil kræve. Dette med henblik på at kunne etablere en fyldestgørende og lovmedholdelig kontrolog tilsynsrutine snarest muligt. Det anbefales at den eksisterende it-beredskabsplan revideres og udvides til også at omfatte databeskyttelsesreglerne og et beredskab for beskyttelse af persondata og opretholdelse af borgernes rettigheder. Flere af de nævnte arbejdspunkter er ved afslutningen af denne rapport allerede påbegyndt af forvaltningen. Betinget af, at DPOs anbefalinger følges, er det DPOs vurdering, at der på nuværende tidspunkt er iværksat passende tekniske og organisatoriske foranstaltninger til implementering af nødvendige tiltag og efterlevelse af gældende databeskyttelsesregler. Eva Helene Antonsen Databeskyttelsesrådgiver, Rebild kommune Juni 2019 Side 8 af 8