Persondata på Københavns Universitet En data-generals arbejde Lisa Ibenfeldt Schultz Databeskyttelsesrådgiver
08/11/2018 2 Principper 1. Levedygtig forvaltning af reglerne 2. Ansvar følger ansvar for hovedopgaven 3. Tilpasning til eksisterende processer og systemer, men kun i nødvendigt omfang
08/11/2018 3 Iniativer til sikring af overholdelse af GDPR 1. Ny informationssikkerheds-enhed 2. Gennemgang af procedurer og processer 3. Fortegnelser 4. Databehandleraftaler 5. Kvalitetssikring af håndtering af forskningsdata 6. Kvalitetssikring af studerendes håndtering af persondata 7. Fokus på informationssikkerhed og proces for håndtering af hændelser 8. Intern formidling
08/11/2018 4 Københavns Universitet 9.763 medarbejdere 38.615 studerende DPO +Informations -sikkerhed
08/11/2018 5 Informationssikkerheds-enhed Universitetsdirektør Informations- sikkerhed Data-beskyttelse DPO Data- Management (forskningsdata)
08/11/2018 6 Procedurer og processer Gennemgang og kvalitetssikring Procedurer og standardbreve - HR Procedurer og standardbreve studerende Procedurer og systemer økonomi, bygningsdrift mv. Abonnementer - nyhedsbreve og tidsskrifter Registrerede personers rettigheder Konsekvensanalyser og risikoanalyser af udviklingsprojekter og nye systemer
08/11/2018 7 On-line formularer til fortegnelser On-line udfyldelse af fortegnelser a) Databehandling én formular pr. overordnet forretningsområde uanset udførelse på flere niveauer artikel 30, stk. 1 b) Konkrete forskningsprojekter artikel 30, stk. 1. c) Databehandleraftaler KU som databehandler, artikel 30, stk. 2 Integration med Workzone a) Automatisk journalisering b) Statistik til DPO overblik og kontrol c) Automatisk arkivering KMD-X-forms
08/11/2018 8 Databehandleraftaler Nye skabeloner Genforhandling af aftaler med nye skabeloner Administrative opgaver Forskningssamarbejder Forhandling af nye aftaler Ny proces for rollen som databehandler Ny proces for integration af kontrakter i forskningssamarbejder
08/11/2018 9 Forskningsdata Fællesanmeldelser fra 2015 bortfaldet Persondatalovens krav om anmeldelse til Datatilsynet - bortfaldet Persondatalovens krav om indhentelse af Datatilsynets udtalelse - bortfaldet Fælles udtalelser og vilkår suppleret med intern kvalitetssikring og godkendelse - bortfaldet Fortegnelser individuel fortegnelse for hvert projekt Godkendelsesordning Lovkrav bortfalder KU opretholder intern godkendelsesordning Konsekvensanalyser krav indarbejdet i fortegnelsesformular DPO godkendelse Europæiske forskningsprojekter udvidet adgang til videregivelse inden for EU/EØS databeskyttelseslov
08/11/2018 10 Studerendes håndtering af data Studerende indhenter egne data Studerende er dataansvarlige for data, som indsamles til opgaver, projekter og specialer Tilbud og krav om sikker opbevaring kryptering af data i one.drive Formularer til fortegnelser og indhentelse af samtykke Videregivelse af forskningsdata formular til videregivelse Studerende indgår i forskningsprojekter 3 alternativer Databehandleraftale, hvis databehandler-opgaver i forskningsprojekter Ansættelse som studentermedhjælper i forskningsprojekter Samarbejdsaftale og fortrolighed ved ulønnede opgaver i forskningsprojekter
08/11/2018 11 Informationssikkerhed 1. Procedure for rapportering af hændelser a) On-line formular til intern indberetning til informationssikkerheds-enhed til rapportering til Datatilsynet b) Postkasse til databehandlers rapportering c) Krav om orientering af ledelsen d) Information af berørte personer e) Evt. information på intranet f) Evt. information på hjemmeside 2. Sikkert netværksdrev opfylder logningskrav og adgangskontrol + multifaktor-autentificering 3. Krypteringsløsning til data hos cloud-leverandører 4. Oprydning på fællesdrev og postkasser - screening 5. Informationskampagne og undervisning
08/11/2018 12 Information og kompetenceudvikling Medarbejdere og ledere Intranet med vejledninger, standardbreve og temaguides Forskerportal med vejledninger og formularer Ledelsesportal med 10 bud om ledelsen ansvar for databehandling E-læringskursus med certifikat Roadshows til fakulteter og institutter Temadata for tillidsrepræsentanter Interne kurser for ledere og medarbejdere Studerende Studieinformations-sider med vejledning og blanketter Informationskampagne efterår 2018 Universitetsavisen Eksterne Privatlivspolitik på www.informationssikkerhed.ku.dk
08/11/2018 13 Udeståender 1. Gennemgang af procedurer - få udeståender 2. Slette-bande fælles retningslinjer for opbevaring / sletning af ustrukturerede data eller data i systemer uden for arkivsystemet 3. Udbygning af retningslinjer for biologisk materiale i forskningen 4. Controlling-funktion suppleret med egenkontrol 5. Opdatering af data-flow-diagrammer 6. Kvalitetssikring af administrative databehandleraftaler 7. Ekstern revision af gennemførte initiativer
08/11/2018 14 DPO opgaver og refleksioner Opgaver Indberetninger af sikkerhedshændelser Udtalelser om nye processer og systemer Godkendelse af konsekvensanalyser Afklaring af konkrete tvivlsspørgsmål Internt tilsyn Refleksioner Stor opgave på grund af antallet af aktører og mangfoldigheden i opgaverne Incitament til at overveje ansvar og optimere organisering og processer Incitament til oprydning Større awareness