Brev til kommunale kontakter for Kommunernes Data Infrastruktur (KDI), der omfatter de to it-infrastrukturløsninger, Serviceplatformen og Støttesystemerne Kære KDI kontaktperson Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018. I den forbindelse gør KOMBITs projekter/løsninger status på deres GDPR-arbejde. Du modtager derfor denne status for KDI. Generelt om KOMBITs arbejde med GDPR Siden starten af 2017 har et internt projekt i KOMBIT arbejdet på at sikre, at alle løsninger indkøbt på vegne af kommuner, indfrier GDPR, når den træder i kraft den 25. maj 2018. I den forbindelse har samtlige projekter/løsninger fra KOMBIT, der har nogen som helst berøring med personoplysninger, fået udstukket fire opgaver. Projekterne har først kortlagt de datatyper og datastrømme, som den enkelte løsning behandler og understøtter. Det sker bl.a. for at opfylde GDPR s fortegnelseskrav. Med denne forudsætning på plads, har hver enkelt projekt/løsning skulle forholde sig til, hvordan registreredes rettigheder understøttes og håndteres i løsningen. Vi gør nærmere rede for dette længere nede i dette brev. Den tredje opgave har været at gennemføre en risikovurdering for løsningen, hvor der er taget afsæt i de såkaldte ISO-standarder som også er fundamentet for KL s drejebog for det kommunale arbejde med informationssikkerhed. Risikovurderingen for de enkelte løsninger udgør jeres kommunes fundament for den it-tekniske risikovurdering af jeres arbejde med løsningen. Som den fjerde opgave har alle projekter med væsentlige risici skulle forholde sig til disse i en såkaldt Risikohåndtering. Dette har for nogle løsningers vedkommende givet anledning til ekstra udvikling og kan også betyde enkelte opgaver til jer i kommunen. Nedenfor gør vi status på arbejdet for KDI, og de tiltag vi har taget, for at blive klar til GDPR den 25. maj. Du kan læse mere om KOMBITs arbejde med GDPR her. Status på KDI s arbejde med GDPR Vi har i KDI projektet naturligvis været igennem ovenstående opgaver for at kortlægge, hvor KDI står i forhold til den nye forordning. Dette arbejde har vist, at KDI er rigtig godt med, hvorfor der ikke kræves de store tiltag for at indfri kravene fra GDPR. Risikovurderingen har vist, at KDI systemmæssigt er konfigureret på en måde, der sikrer et passende sikkerhedsniveau. De implementerede sikkerhedsforanstaltninger i KDI er nærmere beskrevet i databehandleraftalens bilag 1, der er fremsendt til jer den 7. maj 2018 sammen med de nye databehandleraftaler. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 1/6
Som I sikkert allerede har opdaget, varierer de nye databehandleraftaler ikke væsentligt fra de nuværende behandleraftaler. Men de er særligt skærpet i forhold til en mere ensartet beskrivelse af blandt andet datastrømme og sikkerhedstiltag på tværs af KOMBITs løsninger. Databehandleraftalen er udarbejdet på baggrund af den skabelon, som KL og KOMBIT har skrevet med hjælp fra en række kommuner. KDI s leverandører er ansvarlige for at levere dokumentation for sikkerhedsprocedurer, og her håndterer projektet eventuelle afklaringer direkte med leverandørerne af de to løsninger i KDI s infrastruktur, KMD og Systematic. Vi har ikke identificeret årsager til at foretaget tilretninger for at KDI s løsninger kan understøtter de registreredes rettigheder tilstrækkeligt. Kommunens opgaver De fleste opgaver i forbindelse med tilpasning af KDI s løsninger i forhold til GDPR ligger enten hos KOMBIT eller hos leverandørerne af løsningerne. Der er dog en enkelt opgave, som din kommune skal løse for at sikre indfrielse af GDPR. Da KDI s løsninger har en brugergrænseflade, skal det fremgå af løsningen, hvem der er DPO (Data Protection Officer / Databeskyttelsesrådgiver) i den aktuelle kommune, som en bruger af løsningen måtte søge under. På den måde vil brugere af KDI s løsninger til enhver tid være informeret om, hvem de kan kontakte, hvis de har spørgsmål til behandlingen af personoplysninger. Dette navn skal indsættes i forbindelse med underskrift af de fremsendte databehandleraftaler. Derudover bør kommunen forholde sig til, hvordan man vil løfte håndtering af registreredes rettigheder i forlængelse af nedenstående redegørelse. Registreredes rettigheder I dette afsnit finder du et overblik over de artikler fra Databeskyttelsesforordningen, der omhandler den registreredes rettigheder. KDI er ansvarlig for en række it-infrastrukturelementer, herunder Serviceplatformen og Støttesystemerne. I langt de fleste tilfælde fungerer infrastrukturen blot som en transportkanal mellem et kildesystem og en datamodtager, hvor data opbevares i kortere eller længere tid på rejsen gennem infrastrukturen. I disse scenarier vil en opdatering i et kildesystem automatisk slå igennem, dvs. opdateringerne overføres gennem infrastrukturen til modtagersystemerne (datakunder). I disse scenarier er det vurderet, at håndtering af registreredes rettigheder i forhold til sletning og berigtigelse bør ske ved kilden, idet infrastrukturen blot vil være en afspejling af kilden: En berigtigelse af CPR data skal således ske i CPR registret, hvorefter Serviceplatformens replika automatisk vil blive opdateret ved næste synkronisering. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 2/6
Det samme gælder Støttesystemerne Sags- og Dokumentindeks samt Ydelsesindeks, som ikke er autoritive kilder, men blot opbevarer et indeks med metadata om sager/dokumenter/ydelser registreret i fagsystemer. På tilsvarende vis skal berigtigelse og sletning ske i disse fagsystemer, hvorefter indekserne automatisk bliver opdateret. Eksempel: For samtlige af Serviceplatformens gennemstillingsservices bliver der kun hentet og udleveret de data, som et fagsystem/anvendersystem hos en datakunde har rettigheder til i henhold til de indgåede serviceaftaler. Data bliver gennemstillet direkte fra datakilde til datakunde via KDI. Der sker således ikke en selvstændig behandling data i KDI. På baggrund af disse overvejelser er det vurderingen, at håndtering af registreredes rettigheder som hovedregel bør håndteres af de autoritative kilde- og fagsystemer samt af de modtagersystemer, som abonnerer på data, og dermed ikke i infrastrukturen. Dette understøttes af, at det er fagsystemerne, som kender formålet og behandlingsgrundlaget med den konkrete behandling (oplysninger, som skal gives i henhold til GDPR artikel 13-15), samt andre konkrete oplysninger om behandlingen, fx hvor lang tid data opbevares. I det efterfølgende har vi ud for de relevante GDPR artikler angivet, i hvilket omfang KOMBIT og KDI kan bistå kommunerne med at håndtere de registreredes rettigheder. Artikel 12 Håndteringen af udøvelsen af den registreredes rettigheder Artikel 13 Såfremt en borger ønsker at udøve sine rettigheder, er det ikke muligt for borgeren at kommunikere med kommunen herom gennem den fælleskommunale infrastruktur. De krav, der stilles til håndteringen af registreredes rettigheder i artikel 12, skal derfor løftes af kommunen, eller direkte ved de autoritative kilde- og fagsystemer. KDI indsamler ikke data direkte fra den registrerede. Oplysningspligt ved indsamling af personoplysninger hos den registrerede KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 3/6
Artikel 14 Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede Artikel 15 Den registreredes indsigtsret Da det er fagsystemerne, der kender formålet med indsamlingerne, løses denne opgave i de enkelte fagsystemer, der anvender den fælleskommunale infrastruktur og hos kommunerne. Behandlingen af personoplysninger foregår primært i kommunernes fagsystemer, der anvender den fælleskommunale infrastruktur og hos de autoritative datakilder (så som SKAT, STAR, ATP osv.), som bidrager med data til den kommunale sagsbehandling. Derfor vil det naturligt være i de løsninger, at oplysninger hentes. Den fælleskommunale infrastruktur sender alle oplysninger fra de autoritative kilder videre til fagsystemerne i kommunen. KDI understøtter derfor ikke på nuværende tidspunkt nogen særskilt funktionalitet til håndtering af indsigtsret. Artikel 16 Ret til berigtigelse Artikel 17 Ret til sletning Hvis data skal berigtiges i den fælleskommunale infrastruktur, skal det gøres direkte ved de autoritative kilde- og fagsystemer. Derved vil data i den fælleskommunale infrastruktur automatisk blive rettet. Data kan sagtens slettes i den fælleskommunale infrastruktur, men det anbefales, at det gøres direkte ved de autoritative kilde- og fagsystemer. Derved vil data i den fælleskommunale infrastruktur automatisk blive opdateret. Artikel 18 Ud over at transportere data, sker der ikke nogen selvstændig behandling i Den fælleskommunale infrastruktur. Ret til begrænsning af behandling Artikel 19 Da der ikke sker en berigtigelse, sletning eller begrænsning af behandling, er KDI ikke omfattet af underretningspligten. Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 4/6
Artikel 20 Det vurderes ikke, at KDI er omfattet af artikel 20. Ret til dataportabilitet Artikel 21 Da der ikke sker en berigtigelse, sletning eller begrænsning af behandling, er KDI ikke omfattet af retten til indsigelse. Ret til indsigelse Artikel 22 Denne bestemmelse vurderes ikke relevant for KDI, da der ikke træffes automatiske afgørelser i Den fælleskommunale infrastruktur. Automatiske individuelle afgørelser, herunder profilering Håndtering af evt. brud på persondatasikkerheden (Databeskyttelsesforordningen art. 33-34) En afgørende faktor i forbindelse med brud på persondatasikkerhed er reglen om, at en hændelse skal håndteres uden unødig forsinkelse og senest indenfor 72 timer. KOMBIT har i længere tid arbejdet med et fast sikkerhedsberedskab, der såvel historisk set som fremadrettet altid vil reagere og rette eventuelle sikkerhedsbrister indenfor mindre end 72 timer. For at sikre hurtig reaktion og rettelse, er det imidlertid vigtigt, at kommunerne hurtigt bringer eventuelle henvendelser om sikkerhedsbrud videre til leverandørerne af den berørte løsning. Leverandøren vil herefter orientere KOMBIT, der straks vil sætte sit sikkerhedsberedskab i værk. KOMBITs Videncenter arbejder derfor også på at nedfælde og dele faste processer for sikkerhed i relationen mellem kommunerne og KOMBIT. Efter et opdaget sikkerhedsbrud køres alle processer imellem KOMBIT og berørte kommuner via sikker mail. Leverandørerne er forpligtet til at levere en redegørelse, så berørte kommuner kan få et fuldt overblik over hændelsens årsag, omfang og berørte indenfor 24 timer. I KOMBITs proces for håndtering af brud på persondatasikkerhed er det kommunen, der vurderer, om hændelsen skal anmeldes til Datatilsynet, og kommunen selv der har ansvaret for at sende anmeldelsen til Datatilsynet. Kommunerne er også selv ansvarlige for at vurdere, om registrerede skal underrettes (i henhold til artikel 34), ligesom det er kommunen, der varetager selve underretningen. KOMBITs opgave ligger således i at indsamle informationer om sikkerhedsbruddet til kommunen, mens kommunen er ansvarlig for at foretage det videre fornødne for at opfylde kravene i artikel 33 (anmeldelse til Datatilsynet) og artikel 34 (underretning af registrerede). KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 5/6
Det er vigtigt, at kommunen er opmærksom på at have et beredskab klar til at modtage redegørelser fra KOMBIT i forbindelse med sikkerhedsbrud. Vilkårene for at benytte de udstillede data på Serviceplatformen GDPR compliance eller ej, så er det vigtigt, at kommunen altid er opmærksom på vilkårene for at benytte de data, der er udstillet på Serviceplatformen. Spørgsmål Kan altid rettes til KDI s projektpostkasse KDI@kombit.dk. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 6/6