Workshop 2 Databeskyttelse i det offentlige: Hvordan forbereder vi os til forordningen og hvor er de svage led? v/ Søren Duus Østergaard, CEO, Duus Partners & lektor ved IT-Universitetet og Jens Kjellerup, Sekretariatschef i Digitaliseringssekretariatet i Ballerup Kommune samt bestyrelsesmedlem i KITA Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt? Jens Kjellerup løfter sløret for, hvordan man skaber security awareness i Ballerup Kommune, forankrer itsikkerhed hos ledelsen og arbejder med databeskyttelse på tværs af kommunegrænser. Børssalen 10:40 11:30
GDPR processen i Ballerup Kommune Databeskyttelsesdagen 25. januar 2018 www.ballerup.dk
Indsatser frem mod maj 2018 Indsatser til sikring af compliance frem mod maj 2018: Fortegnelser, risikovurderinger og handlingsplaner Test af sikkerhed Uddannelse af ledere og medarbejdere Politikker og aftaler De registreredes rettigheder og beredskab når noget går galt Kontrolsystem Digital Taskforce
Kortlægning og analyse Kortlægning og analyse Alle fagcentre laver fortegnelser for deres persondatabehandling Hvilke persondata indsamler /behandler vi? Hvad er formålet med indsamlingen/behandlingen? Hvem udveksler vi data med? Hvordan opbevarer vi data? Hvilke tekniske og organisatoriske foranstaltninger har vi iværksat for at sikre data? m.m. Risikovurderinger - Hvilke risici er der forbundet med vores databehandling? - Hvordan kan de elimineres/reduceres? Behandlingsprincipper Rettigheder Handleplaner - Hvilke initiativer skal vi iværksætte før at sikre compliance - Hvad er vores målsætning på kort og på langt sigt Foranstaltninger
Kortlægning og analyse Kortlægning og analyse Test af sikkerhed Samarbejde med Aalborg Universitet: Penetration test Social Engineering
Foreløbige resultater Eksempler på udfordringer Adfærd og rutiner - Print af dokumenter + opbevaring af print - Opbevaring af fysiske sagsmapper - Opbevaring af elektroniske dokumenter på lokale drev - Brug af fælles login - Fysiske arkiver i kælderen - Manglende adgangskontrol - Manglende logning Databehandleraftaler og kontrol - Manglende eller overflødige databehandleraftaler - Manglende kontrol med databehandlere Hvor var det nu jeg lagde den børnefaglige undersøgelse? 6
Indsatser Eksempler på indsatser Opstramning af sikkerhedsregler Revision af eksisterende retningslinjer for informationssikkerhed Afdækning af risici ved brug af forskellige apps som fx facebook mm. hvor der gives adgang til indholdet på mobile enheder Opdatering af De ti bud for datasikkerhed m.m.
Indsatser Eksempler på indsatser Forebyggelse og beredskab Opdatering af indhold i SecureAware (ISO 27001) Opdatering af Informationssikkerhedspolitik Opdatering af Beredskabsplan
Indsatser Uddannelse af ledere og medarbejdere Kurser om sikkerhed og databeskyttelse Obligatorisk test Oplæg på personalemøder, ledermøder, temadage m.m. Awareness kampagne: - Små artikler på intranettet - Plakater med de 10 bud om databeskyttelse - Konkurrencer Rådgivning, FAQ og hjælp til selvhjælp
Indsatser Håndtering af de registreredes rettigheder Information på hjemmesiden (borgerne) - Sådan behandler vi dine persondata - Dine rettigheder - Sådan gør du, hvis du ønsker at klage Information på intranettet (medarbejderne) - Sådan bruger vi dine data - Dine rettigheder - Sådan gør du, hvis du ønsker at klage Flyers og plakater Hvad bruger I mine data til? Jo nu skal du bare høre.. 10
Indsatser Indkøb af kontrol- og kvalitetsstyringsystem: Værktøj til oprydning og kvalitetsstyring af data Kontrol af lokale drev og/eller fagsystemer ud fra et foruddefineret regelsæt fx: - find alle dokumenter der indeholder CPR - find alle dokumenter over x-antal måneder - find alle mails med CPR i emnefeltet 11
Indsatser Eksempel på udtræk fra kvalitetsstyringssystemet 12
Indsatser Digital Taskforce Hjælpe organisationen til at gøre opgaver digitale via digitale moduler og RPA Øget digitalisering, effektivisering og sikkerhed Konkrete løsninger: - Digital Udstedelse af pas og kørekort - Automatisk oprettelse af sager i ESDH - Automatisk overførsel af indhold fra Skoleintra til AULA m.fl
Dokumentation Dokumentation Alle centre har egen sag om databeskyttelse i SB-SYS Sagerne er opbygget efter den samme skabelon, så det er let at genfinde info på tværs: - Fortegnelser - Risikovurderinger - Handleplaner Hovedsag om databeskyttelse Beskrivelser af indsatser, mødeoversigter, artikler, undervisningsmaterialer m.m. ligger på hovedsagen 14
GDPR i praksis Workshop 2 Den offentlige sektor v. Jens Kjellerup Hansen
Workshop Andre/flere Udfordringer? Er der andre udfordringer I den offentlige sektor end dem, som er nævnt under Ballerup Kommune? Politikker Aftaler hvad med underleverandører? (f.eks. Jobcentre) Risikovurderinger og handlingsplaner Test mobil sikkerhed og netværk Registreredes rettigheder krav om info ved brud! Kontrolsystemet Den digitale Taskforce Uddannelse, træning, kampagner Info til borgerne Fysiske arkiver???
Workshop 2 Løsninger? Er der andre, der har løst problemerne på en anden måde eller som har erfaringer, som I kan dele? Politikker hvordan får man den politiske ledelse med?? Databehandleraftaler alle de mange små konsulenter, rådgivere, firmaer.. Det er DEM, der risikerer bøden. Hvad gør kommunen/den off. Partner? Er der nogen, der er blevet overrasket over risikovurderingerne?? Mobil sikkerhed ideer til løsning? Information til skadelidte hvordan? Organisationen omkring datasikkerhed. Har I en DPO? Andre måder? Uddannelse fælles offentlige tilbud Arkiver fysiske o.l. Ideer og forslag?