Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet Forslag til nye felter i organisationsmodulet Felter Myndighedens navn og kontaktoplysninger: CVR-nummer, Adresse Telefonnummer E-mail Den fælles dataansvarlige og dennes kontaktoplysninger: CVR-nummer Adresse Telefonnummer E-mail Myndighedens databeskyttelsesrådgiver samt dennes kontakt oplysninger: CVR-nummer Adresse Telefonnummer E-mail Kommentarer Forslag til nye felter i systemkataloget Felter Hvad er systemets overordnede formål? (fritekstfelt) Hvem er databehandler? CVR-nummer Adresse Telefonnummer E-mail Knap med tilføj en databehandler mere Bemærkninger systemanvendelsen. Den eller de leverandører, der behandler data (bruttoliste) + kontaktoplysninger på disse, da vi skal vide, om de befinder sig inden eller uden for EU. Oplysningerne skal komme fra leverandørerne. systemanvendelsen, hvor de kan tilpasses lokalt.
Hvilke typer af data indeholder systemet? - Ingen persondata - Persondata - Persondata og følsomme persondata Hvilke kategorier af oplysninger indeholder systemet? (sæt kryds) Almindelige persondata: - Navn - Adresse - Telefonnummer - E-mail - CPR - Økonomi - M.fl. Følsomme persondata: - Oplysninger om race og etnisk oprindelse - Oplysning om politiske holdninger - Oplysninger om Religiøs og filosofisk overbevisning - Oplysning om fagforeningsmæssigt tilhørsforhold - Genetisk data - Biometriske data - Helbredsoplysninger - Oplysninger om seksualitet og seksuel orientering Indeholder systemet oplysninger om straffedomme og lovovertrædelser? Ja Nej Ved ikke Opbevares der data i 3. lande eller organisationer uden for EU? Oplysningerne skal komme fra leverandørerne. systemanvendelsen, hvor de kan tilpasses lokalt. Hvis der er svaret Ingen personoplysninger eller Ved ikke i det forrige spørgsmål, så kommer de efterfølgende spørgsmål ikke frem. Hvis der er svaret Persondata kommer der en bruttoliste med kategorier af personoplysninger (fx navn, adresse, telefon nummer m.fl.). Hvis der er svaret Persondata og Følsomme Persondata, så kommer der en bruttoliste med kategorier af personoplysninger (fx navn, adresse, telefon nummer m.fl.) og kategorier af følsomme persondata (fx helbredsoplysninger, oplysninger om race og etnisk oprindelse, politiske holdninger og filosofiske trosretninger m.fl) systemanvendelsen. Regler om behandling af oplysninger om strafbare forhold fremgår ikke af forordningen, men vil blive fastsat i de enkelte lande. systemanvendelsen. Hvis man svarer ja til dette spørgsmål, skal man oplyse hvor. systemanvendelsen.
Hvis ja: Hvor? Fritekstfelt Henvisning til relevante KL fællesfortegnelser Link Forslag til felter i systemmodulet (anvendelsen) Felter Hvad er systemets overordnede formål? (Fritekstfelt) Kommentarer Teksten nedarves fra Systemkataloget, men kan tilpasses lokalt. Er systemet forretningskritisk? I høj grad I nogen grad Slet ikke Har ikke noget med GDPR at gøre, men der er flere, der har efterspurgt at man kan registrere dette Hvilke kategorier af data indeholder systemet? - Offentlige data - Interne data - Fortrolige data - Hemmelige data m.fl. Hvem er dataansvarlig? Hvem er databehandler? Databehandleraftale: (kun visning) Er der ført tilsyn med/kontrol af databehandleren? Teksten nedarves fra Organisation, men kan tilpasses lokalt. Teksten nedarves fra Systemkataloget, men kan tilpasses lokalt. Hvis der er en databehandleraftale relateret til systemet, skal man kunne se henvisningen til databehandleraftalen her. Den nedarves fra kontrakten.
Dato for seneste tilsyn/kontrol Felter om persondata Hvilke typer af data indeholder systemet? - Ingen persondata - Persondata - Persondata og følsomme persondata Oplysningerne nedarves fra systemkataloget men kan tilpasses lokalt. Hvilke kategorier af oplysninger indeholder systemet? (sæt kryds) Nedarves fra systemkataloget men kan tilpasses lokalt. Almindelige persondata: - Navn - Adresse - Telefonnummer - E-mail - CPR - Økonomi - M.fl. Følsomme persondata: - Oplysninger om race og etnisk oprindelse - Oplysning om politiske holdninger - Oplysninger om Religiøs og filosofisk overbevisning - Oplysning om fagforeningsmæssigt tilhørsforhold - Genetisk data - Biometriske data - Helbredsoplysninger - Oplysninger om seksualitet og seksuel orientering Indeholder systemet oplysninger om straffedomme og lovovertrædelser? Ja Nej Ved ikke Nedarves fra systemkataloget, men kan tilpasses lokalt
Hvilke kategorier af registrerede indgår i databehandlingen? (sæt kryds) (Afkrydsningsfelt) Er der implementeret passende tekniske foranstaltninger? Her skal vi have lavet en bruttoliste af udfaldsrum. Arbejdsgruppen har været meget i tvivl, om hvorvidt disse felter skal med, da de indgår som en del af den fortegnelse, som der linkes til fra OS2-kitos. Hvis systemet indeholder følsomme persondata kommer dette felt frem. Hvad består de af? - Kryptering - Pseudonymisering - Dataminimering - Logning -Rettigheds- og adgangsstyring - m.fl. Kommentarer: (fritekstfelt) Hvis der er klikket ja i forrige spørgsmål kommer dette felt frem. Denne oversigt kan suppleres med flere svarmuligheder. Her kan man komme med supplerende information omkring sikkerhedsforanstaltningerne) Hvor mange brugere benytter systemet i jeres kommune? < 10 10-50 50-100 >100 Er der foretaget brugerkontrol? - ja - nej Har ikke noget med GDPR at gøre, men der er flere, der har efterspurgt at man kan registrere dette Hvis der svares ja på dette spørgsmål kommer der en række flere felter frem Dato for seneste brugerkontrol
Link dokumentation Er der foretaget en risikovurdering? -Ved ikke Hvis der svares ja på dette spørgsmål kommer der en række yderligere felter frem. Dato for seneste risikovurdering Hvad viste den seneste risikovurdering? - Lav risiko - Mellem risiko - Høj risiko Kommentarer (fritekstfelt) Er der gennemført en DPIA? (udvidet risikovurdering) Hvis man til spørgsmålet Hvad vise den seneste risikovurdering svarer høj risiko, så kommer de efterfølgende felter frem. Bemærk: Arbejdsgruppen er i tvivl om, om disse oplysninger skal registreres i KITOS eller om de skal hentes ind fra et sikkerhedssystem som fx Secureaware m.fl. Dato for den seneste DPIA Er der foretaget en høring hos Datatilsynet? (ja/nej/ved ikke) Dato for høring
Er der bevaringsfrist på data inden de må slettes? Hvis Ja, kommer de følgende to felter frem: Ja Nej Ved ikke Dato for hvornår der må foretages sletning af data i systemet næste gang: Sletningsfrist frekvens Antal måneder mellem sletningsdatoerne - sletningsperioder. X Antal måneder
Forslag til nye felter i kontraktmodulet Arbejdsgruppen foreslår at der på alle kontrakter kommer følgende felter: Felter Er der lavet en databehandleraftale? Link til databehandleraftalen (søgefelt) (reference felt hvis aftalen ligger i et andet system) Kommentarer Feltet kan evt. stå på kontraktforsiden Her skal man kunne fremsøge en kontrakt
Hvad vil vi kunne trække ud af KITIS: Hvilke systemer indeholder personoplysninger? Hvem er dataansvarlig? Hvem er systemejer? Hvilke systemer indeholder følsomme personoplysninger? Hvilke tekniske foranstaltninger er der foretaget? Hvem er databehandler? Henvisning til databehandleraftaler Sker der dataoverførsel til 3. lande eller organisationer i 3. land? Hvilke 3. lande eller organisationer uden for EU overføres der data til? Er der foretaget kontrol af databehandler inden for det seneste år/ dato for næste kontrol? Oplysninger som vi overvejer at tage med, men som ikke er afklaret endnu: Hvilke kategorier af data kommer ind i systemet? Hvilke kategorier af data trækkes ud af systemet?