Click here to enter text. Dokument: Neutr al titel «ed ocaddressci vilcode» Databeskyttelsesrådgiverens rapport for 2018

Relaterede dokumenter
PROCEDURE FOR HÅNDTERING AF BRUD PÅ PERSONDATASIKKERHEDEN

Databeskyttelsesrådgiverens årsberetning 2018

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

PROCEDURE FOR UNDERRETNINGS- PLIGT VED SIKKERHEDSBRUD

Retningslinje: Sådan håndterer du brud på persondatasikkerheden

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018.

Persondatapolitik for Aabenraa Statsskole

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Tørring Gymnasium 2018

Persondata politik for GHP Gildhøj Privathospital

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitik for Odense Katedralskole

Retningslinjer om brud på persondatasikkerheden

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Databeskyttelsesdagen

Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger

Retningslinjer om brud på persondata

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

BILAG 5 DATABEHANDLERAFTALE

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

PERSONDATAPOLITIK 1. INTRODUKTION

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

N. Zahles Skole Persondatapolitik

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Brud på datasikkerheden

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Procedure for tilsyn af databehandleraftale

De første 350 dage med den nye databeskyttelsesforordning

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.

Aftale vedrørende fælles dataansvar

Procedure for sikkerhedsbrud

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Retningslinjer om brud på persondatasikkerheden

Behandling af personoplysninger

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Standardvilkår. Databehandleraftale

! Databehandleraftale

Databeskyttelsesrådgivernes årsrapport 2018 til kommunalbestyrelsen i Hørsholm Kommune

GML-HR A/S CVR-nr.:

Aftale omkring behandling af persondata.

Persondatapolitik for Industriens Uddannelser

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

September Indledning

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Databeskyttelsesrådgivernes årsrapport 2018 til byrådet i Halsnæs Kommune

Dine rettigheder, når regionen behandler oplysninger om dig

Persondata og sikkerhedsbrud

Databehandleraftale (Skabelon fra Datatilsynet)

Bilag A Databehandleraftale pr

Oplysningspligt. De registreredes rettigheder, Skoleforvaltningen

Datapolitik/databehandlingsrapport

Bilag B Databehandleraftale pr

Underretning om indsamling af personoplysninger til PPR Jammerbugt

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Rigsarkivets konference 2. november 2016

Overdragelse af pristillæg til lejer af anlæg

I det vedlagte bilag er der en uddybning af de oplysninger, vi skal give dig. Den kan findes på Tandplejens hjemmeside.

Borgerens rettigheder, når regionen behandler personoplysninger

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Brud på persondatasikkerheden

NY PERSONDATALOV. - til dig i afdelingsbestyrelsen

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

At alle medarbejdere i Center for selvejende Dagtilbud (CSD) har pligt til at anmelde persondatabrud.

GML-HR A/S CVR-nr.:

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

KUNDEADMINISTRATION PRIVATLIVSPOLITIK

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Selskabet har efter lovgivningen pligt til at informere dig om, hvordan Selskabet behandler og videregiver personoplysninger.

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

Tilsynsstrategi Ny organisation af tilsynsarbejdet

DATABEHANDLERAFTALE MELLEM

Transkript:

Click here to enter text. Dokument: Neutr al titel «ed ocaddressci vilcode» Databeskyttelsesrådgiverens rapport for 2018

Indhold Indledning og sammenfatning... 3 De registreredes rettigheder... 3 Indledning... 3 Oplysningspligten... 4 Indsigtsret... 4 Sikkerhedsbrud... 5 Borgerhenvendelser... 7 Interne henvendelser... 7 Kontroller... 7 Sikkerhedskampagner (awareness)... 8 Kolofon: Henrik Johannes Rask, Databeskyttelsesrådgiver 21. januar 2019 2019-001856./ 2019-001856-1 2/8

Indledning og sammenfatning Den nye databeskyttelseslovgivning trådte i kraft 25. maj 2018 og afløste de regler, der havde været gældende siden år 2000. Den største del af de nye regler er stort set identisk med de gamle. En af nyhederne er dog, at der nu kan udstedes betragtelige og afskrækkende bøder ved overtrædelse af den nye lovgivning. (det forventes, at der i foråret 2019 falder afgørelser i nogle af de sager Datatilsynet for nyligt har politianmeldt der er IKKE kendskab til sager, hvor Aalborg Kommune er politianmeldt) En anden nyskabelse er, at Aalborg Kommune som dataansvarlig kan sikre behandlinger af personoplysninger i forhold til en risikovurdering. Det betyder, at kommunen ikke alle steder vil tilstræbe den højest mulige behandlingssikkerhed, men derimod afstemme behandlingssikkerheden i forhold til den identificerede risiko. Der er således ikke et entydigt ja/nej svar på, om en given sikkerhedsforanstaltning i alle tilfælde er tilstrækkelig. Databeskyttelsesrådgiveren rådgiver den enkelte forvaltning omkring bl.a. disse forhold. Arbejdet med at identificere risici er i 2018 gennemført via en fælles og tværgående metode iht. ISO27005 standarden. Der skal fortsat udvikles på metoden og det forventes, at kommunen fortsætter dette arbejde gennem de planlagte årlige risikovurderinger. Den nye lovgivning har medført skærpede krav til dokumentation og sporbarhed, hvorfor mange ansatte sandsynligvis vil føle, at de nu har en byrde der forhindrer dem I, at nå det samme som tidligere. Det skal også nævnes, at der ind imellem cirkulerer historier i Aalborg Kommune om, at nu må man ikke sådan og sådan, fordi den nye lovgivning forhindrer det. Det drejer sig ofte om misforståelser og ofte er der ikke tale om afledte krav fra den nye lovgivning den får blot skylden for det. Den nye lovgivning har også medført fokus på, at nogle eksisterende processer gør det vanskeligt at overholde lovgivningen, hvilket naturligvis har medført behov for revurdering af disse processer. I nogle tilfælde har det og vil det fremadrettet føles som, at kommunens virke er besværliggjort. Alle 7 forvaltninger har arbejdet intensivt med initiativer der skal sikre overholdelse af databeskyttelseslovgivningen. Det har uden tvivl været et omfattende arbejde for alle forvaltninger. Det er min vurdering, at der fortsat arbejdes målrettet med de identificerede indsatsområder. Indsatsområderne må forventes at skulle justeres løbende og i takt med, at kommunen opnår ny viden f.eks. i form af afgørelser fra Datatilsynet eller ændringer i risikovurderinger. Da kommunen ikke er i mål på alle områder, vil arbejdet forsat kræve fokus og vedblivende indsats. De registreredes rettigheder Indledning De nye databeskyttelsesregler lægger stor vægt på de registreredes rettigheder. De registreredes rettigheder er de rettigheder, den registrerede har mulighed for at gøre brug af, når kommunen behandler deres personoplysninger. Rettighederne gælder også, selvom personoplysningerne ikke kommer direkte fra den registrerede. Formålet med de nye databeskyttelsesregler og de registreredes rettigheder er at øge sikkerheden, når kommunen behandler personoplysninger og samtidig skabe større gennemsigtighed for den registrerede. Databeskyttelsesrådgiveren giver uvildig rådgivning til borgerne omkring deres rettigheder. 3/8

Oplysningspligten Kommunen har pligt til at oplyse den registrerede, når kommunen begynder at indsamle personoplysninger eller snarest muligt derefter uanset om oplysningerne kommer direkte fra den registrerede eller en anden. Oplysningspligten er en stor udfordring og et område, der kræver en ikke uvæsentlig fremadrettet digitaliseringsindsats, hvis kommunen skal undgå mange manuelle processer. Indsigtsret Den registrerede har ret til at få en kopi af de personoplysninger, kommunen har registreret om dem sammen med bl.a. følgende oplysninger: Hvilke personoplysninger der indgår i sagsbehandlingen Hvad er formålet med at behandle disse oplysninger Hvem modtager disse personoplysninger Hvor oplysningerne stammer fra Aalborg Kommune har delvist digitaliseret processen for indsigtsanmodninger. Det er således muligt for en borger, at anmode om indsigt via en selvbetjeningsløsning på www.aalborg.dk/gdpr Borgeren logger ind med sin NemId og vælger hvilke områder der ønskes indsigt i. 4/8

I perioden fra 25. maj til 31. december har kommunen modtaget 33 indsigtsanmodninger, der har resulteret i 22 sager. Årsagen til at de 33 indsigtsanmodninger ikke har resulteret i 33 sager er bl.a., at en del af indsigtsanmodningerne viste sig at være ønske om aktindsigt. Behandling af en indsigtsanmodning kan være en ressourcetung opgave. Der vil ofte være brug for, at en systemforvalter manuelt skal gennemgå et system, for at finde og udtrække data om den registrerede. Derefter skal data organiseres og sendes til borgeren via e-boks. Regeringen meldte i efteråret 2018 ud, at de vil lancere "Mit overblik" på borger.dk, hvor alle borgere fremover skal kunne logge sig ind og se samtlige data, der er registreret om dem i det offentlige. Planen skal rulles ud over de næste fem år. I 2020 skal alle data om sygedagpenge, SU, boligstøtte, kontanthjælp og børnepenge være tilgængelige - og frem til 2023 vil flere og flere data lægges ud til borgerne. Mit overblik vil således på sigt udstille hovedparten af de data kommunen behandler om borgerne. Det vil helt sikkert kræve en del ressourcer, at indrette vore systemer til at levere data til Mit overblik, men når det er sket, må ressourceforbruget til indsigtsanmodninger i Aalborg Kommune forventes at falde. Antallet af indsigtsanmodninger er stigende og det vurderes, at antallet i skrivende stund er fordoblet i forhold til antallet før 25. maj 2018. Sikkerhedsbrud I databeskyttelsesforordningen defineres et brud på persondatasikkerheden på følgende måde: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger der er transmitteret, opbevaret eller på anden måde behandlet. Alle brud på persondatasikkerheden skal registreres internt i Aalborg Kommune og nogle af dem skal derudover anmeldes til Datatilsynet og nogle af disse skal desuden resultere i underretning til de registrerede. Disse rapporteringsprocesser trådte i kraft 25. maj 2018. 5/8

I 2018 har Databeskyttelsesrådgiveren modtaget indberetning om 137 sikkerhedsbrud. 8 af disse sikkerhedsbrud er anmeldt til Datatilsynet og i 5 tilfælde er de registrerede underrettet om sikkerhedsbrud. Hovedparten af de registrerede sikkerhedsbrud drejer sig om data sendt til forkerte modtagere (f.eks. personoplysninger sendt til 3. part) eller data, som kommunen har sendt på en usikker måde. (f.eks. fortrolige data sendt med almindelig e-mail) De registrerede sikkerhedsbrud er fordelt på forvaltningsniveau som følger: Borgmesterens forvaltning 6 By- og Landskabsforvaltningen 7 Familie- og Beskæftigelsesforvaltningen 56 Miljø- og Energiforvaltningen 1 Skoleforvaltningen 42 Sundhed- og Kulturforvaltningen 10 Ældre- og Handicapforvaltningen 15 Aalborg Kommune har endnu ikke modtaget reaktioner fra Datatilsynet på de anmeldte sikkerhedsbrud og ved derfor ikke, hvilke konsekvenser de eventuelt vil få. Med baggrund i de registrerede sikkerhedsbrud, arbejdes der løbende med tiltag, der kan minimere antallet af disse. Dette arbejde sker i samarbejde med bl.a. It-sikkerhedsgruppen. 6/8

Borgerhenvendelser Såfremt en borger ikke mener Aalborg Kommune behandler personoplysningerne korrekt iht. databeskyttelseslovgivningen, kan borgeren klage over dette. Hvis borgeren ikke mener Aalborg Kommune behandler en sådan klage tilfredsstillende, kan borgeren klage til Databeskyttelsesrådgiveren og/eller til Datatilsynet. Der har siden 25. maj 2018 været 29 eksterne henvendelser til Databeskyttelsesrådgiveren relateret til databeskyttelseslovgivningen. Henvendelserne er behandlet og besvaret af de relevante forvaltninger i samarbejde med Databeskyttelsesrådgiveren eller direkte af Databeskyttelsesrådgiveren. Der er ikke kendskab til sager/afgørelser, hvor borgeren efterfølgende har klaget til Datatilsynet. Interne henvendelser En stor del af Databeskyttelsesrådgiverens opgaver er, at rådgive og vejlede internt i forbindelse med behandling af personoplysninger. Med en organisation så stor som Aalborg Kommune, kan én person ikke rådgive og vejlede samtlige ansatte. Derfor er organiseringen således, at den enkelte ansatte i første omgang henvises til egen forvaltnings databeskyttelseskonsulent (jurist eller it-sikkerhedskompetence). Disse databeskyttelseskonsulenter får, om nødvendigt, råd og vejledning fra Databeskyttelsesrådgiveren. Databeskyttelseskonsulenterne mødes regelmæssigt i ERFA-sammenhæng, ligesom de også udarbejder indstillinger til It-sikkerhedsgruppen og gennemfører andre opgaver stillet af itsikkerhedsgruppen. Det forsøges at ensrette retningslinjer på tværs af forvaltningerne. Kontroller Databeskyttelsesrådgiveren har indført kontrolprocesser, hvor hver forvaltning kontrolleres på ca. 60 områder årligt. Disse kontroller er f.eks. kontrol af, om benyttede databehandleres behandlingssikkerhed er tilfredsstillende, om der er udført autorisationskontroller i de it-systemer der behandler personoplysninger, om kommunen håndterer de registreredes rettigheder tilfredsstillende osv. Udover disse løbende kontroller udføres der en årlig revision i hver forvaltning. Under denne revision besvares og dokumenteres ca. 120 spørgsmål, der giver et godt overblik over den enkelte forvaltnings behandlingssikkerhed. Databeskyttelsesrådgiveren udfører også kontroller ad hoc, når han er på besøg rundt omkring i organisationen. Det er f.eks. kontrol af, om der er efterladt print med fortroligt indhold ved printere, om papir til makulering er opbevaret forsvarligt indtil det bliver makuleret, om brugere har efterladt deres computer uden at låse deres skærm og andre helt basale kontroller. Hovedparten af de kontroller Databeskyttelsesrådgiveren udfører, vil være varslet på forhånd. Formålet er ikke at fange nogen i noget forkert formålet er at løfte niveauet, de steder hvor det er nødvendigt. 7/8

Sikkerhedskampagner (awareness) En væsentlig del af forudsætningen for, at Aalborg Kommune behandler borgeres personoplysninger på tilpas sikker måde er, at de ansatte er bevidste om, hvordan disse behandlinger skal foregå. I 2018 er der derfor iværksat såkaldte awarenesskampagner der skal sikre, at de ansatte får den viden de har behov for. Kampagnerne har såvel tværgående fælles elementer som decentrale lokale elementer. Det forventes, at der i 1. halvår 2019 vil blive gennemført vurdering/måling af, om bevidstheden hos de ansatte er tilfredsstillende. Resultatet af disse målinger, vil formodentlig identificere områder, hvor der skal gennemføres flere awarenesskampagner. Sikkerhedskampagner er et af de væsentligste midler til at sikre en tilfredsstillende behandlingssikkerhed og forventes derfor, at være et middel der vil blive benyttet igen og igen. 8/8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback