Databeskyttelsesrådgivernes årsrapport 2018 til byrådet i Halsnæs Kommune

Relaterede dokumenter
Databeskyttelsesrådgivernes årsrapport 2018 til kommunalbestyrelsen i Frederikssund Kommune

Databeskyttelsesrådgivernes årsrapport 2018 til kommunalbestyrelsen i Hørsholm Kommune

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondata politik for GHP Gildhøj Privathospital

De første 350 dage med den nye databeskyttelsesforordning

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik for Tørring Gymnasium 2018

Databeskyttelsesrådgiverens årsberetning 2018

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Retningslinje om databeskyttelsesrådgivere

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Retningslinje om databeskyttelsesrådgivere

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

Persondatapolitik på Gentofte Studenterkursus

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Databrudspolitik i Luthersk Mission

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

GML-HR A/S CVR-nr.:

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Databeskyttelsesdagen

DATABEHANDLERAFTALE. Omsorgsbemanding

Aftale vedrørende fælles dataansvar

EU Persondataforordning GDPR

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Sikkerhedsprogrammet - Agenda

Persondatapolitik for Odense Katedralskole

Retningslinjer om brud på persondata

Persondataforordningen...den nye erklæringsstandard

Click here to enter text. Dokument: Neutr al titel «ed ocaddressci vilcode» Databeskyttelsesrådgiverens rapport for 2018

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Databeskyttelsesrådgiverens rapport

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Retningslinjer om brud på persondatasikkerheden

Persondataforordningen. Hvad kan vi bruge KITOS til?

GML-HR A/S CVR-nr.:

Sikkerhedsprogrammet Aktivitets- og leveranceplan 3 kvt kvt. 2018

Procedure for sikkerhedsbrud

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Komiteen for Sundhedsoplysning CVR-nr.:

Retningslinje om fortegnelser over behandlingsaktiviteter

PROCEDURE FOR UNDERRETNINGS- PLIGT VED SIKKERHEDSBRUD

Persondata på Københavns Universitet

BILAG 14: DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

N. Zahles Skole Persondatapolitik

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Persondataforordningen. Henrik Aslund Pedersen Partner

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinje: Sådan håndterer du brud på persondatasikkerheden

Lector ApS CVR-nr.:

Ma lrettet arbejde med persondataforordningen for

Brud på datasikkerheden

Målrettet arbejde med persondataforordningen for

Regler om persondata Koordinatormøde den 28. nov. 2017

Politik for håndtering af persondata for Sønderho Antenneforening

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018

Målrettet arbejde med persondataforordningen for

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Plan og Handling CVR-nr.:

PERSONDATAPOLITIK (EKSTERN)

Vejledning for tilsyn med databehandlere

PERSONDATAPOLITIK 1. INTRODUKTION

Per Løkken, Partner. CAMPUS November 2018

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018.

Tilsynsbesøget fandt sted den 9. november 2018.

Behandling af personoplysninger

BEHANDLING AF PERSONOPLYSNINGER OM SAMARBEJDSPARTNERE OG LEVERANDØRER I REFA DATTERSELSKABER

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Persondatalovens dokumentationskrav

Persondataforordningen den 20. februar 2018

Persondatapolitik for. Klippinge Vandværk

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

BEHANDLING AF PERSONOPLYSNINGER OM KUNDER I REFA DATTERSELSKABER

Persondatapolitik for Jesperhus Legindvej 30, 7900 Nykøbing Mors

Birgitte Toxværd Bruun & Hjejle

Målrettet arbejde med persondataforordningen for. Jyderup Østre Vandværk a.m.b.a.

Transkript:

Databeskyttelsesrådgivernes årsrapport 2018 til byrådet i Halsnæs Kommune Introduktion til databeskyttelsesrådgiverne...2 Samarbejdet...2 Netværk...2 DPO leverancer...2 Databrud...3 Typen af sikkerhedsbrud...3 Niveauet for sikkerhedsbrud...4 Databehandleraftaler...4 Borgerhenvendelser...4 Ressourcer og modenhed...5 Forventninger til 2019...6 Afsluttende kommentar...6 Side 1

Introduktion til databeskyttelsesrådgiverne Vi startede i vores rolle som databeskyttelsesrådgivere (DPO) i maj 2018. Vores opgave består i at rådgive og vejlede kommunen og dens borgere, i håndteringen af persondataforordningen (GDPR), hjælpe med at kommunen overholder de databeskyttelsesretlige regler og være et kontaktpunkt for Datatilsynet. Vi har vores faste kontor i Fredensborg, hvilket vi er meget tilfredse med, det fungerer godt i forhold til transport mellem hjem og arbejde. Samarbejdet Vi udfylder vores DPO-rolle i Nordsjællands Digitaliserings Samarbejde (NDS), der er et udviklingssamarbejde mellem 7 kommuner 1. Det fra starten været vigtigt for os at have et tæt samarbejde med alle 7 kommuner, og vi oplever at vores samarbejde med alle kommunerne er rigtig godt. Der er en god dialog og vi inddrages ofte i sager der vedrører persondata. Vi forsøger at besøge alle kommuner ligeligt og vælger ofte at være på besøg en hel arbejdsdag, det giver kollegaerne mulighed for at komme til at kende os og henvende sig, hvis de har spørgsmål. Det er vigtigt for os, at viden om GDPR metoder, procedurer og vejledninger deles på tværs af kommunerne. Netværk Tidligt i vores ansættelse, opsøgte vi muligheden for at netværke med andre som varetager DPO rollen. Det er en god mulighed for at høre om andres erfaringer og udfordringer. Vi vil gerne være med i et netværk, både for at fortælle om vores håndtering af GDPR og forhåbentlig få noget retur som kan bruges i det videre arbejde med implementeringen af GDPR. Sammen med 2 DPO er fra Den Storkøbenhavnsk Digitaliseringsforening, har vi taget initiativ til at etablere en netværksgruppe for kommunale DPO er. Netværksgruppen har nu afholdt 3 møder og den er blevet udvidet, så vi nu består af 10 personer, som varetager DPO rollen, tilsammen dækker vi 25 kommuner. DPO leverancer I forbindelse med implementeringen af GDPR per 25. maj 2018, er der kommet en række krav til hvordan kommunen skal behandle persondata. For at imødekomme disse krav har vi skrevet nogle vejledninger, fx til brug af foto og video, anvendelse af sociale medier samt et bilag til kravspecifikation ifm. ny-indkøb af IT systemer. Derudover har vi lavet et GDPR årshjul, månedlige nyhedsbreve og tilpasning af databehandleraftaler så de er mere målrettet mod de enkelte leverandører. 1 Fredensborg, Hørsholm, Hillerød, Helsingør, Gribskov, Halsnæs, Frederiksund Side 2

Vi bliver jævnligt kontaktet vedrørende spørgsmål til GDPR. Henvendelserne omhandler mange forskellige områder, så som skoler, institutioner, bosteder m.m. Databrud Som følger af de nye regler i databeskyttelsesforordningen, blev det efter den 25. maj, et krav, at sikkerhedsbrud som udgangspunkt skal anmeldeles til Datatilsynet, og besked gives til de berørte borgere. Med til reglerne hører, at underretning til Datatilsynet skal ske indenfor en forholdsvis kort tidsfrist, 72 timer fra bruddet er konstateret. Der er blevet ført statistik over antallet og karakteren af hændelser, der har fundet sted i Halsnæs kommune siden forordningen trådte i kraft. Nedenfor er opført antallet af hændelser, og hvor mange der er blevet anmeldt til Datatilsynet. - 30 registrerede hændelser - 13 hændelser er anmeldt til Datatilsynet Når en hændelse ikke anmeldeles til Datatilsynet, skyldes dette at dens alvorlighed, er blevet vurderet til at ligge under en bagatelgrænse. Der kan observeres en tendens til at hændelserne primært foregår i fagområder, hvor der i højere grad der tæt kontakt med borgere. Ud af de 13 hændelser der i 2018 blev anmeldt, har Datatilsynet på nuværende tidspunkt givet tilbagemeldinger på 11 af disse. Tilbagemeldinger har alle haft samme karakter. Datatilsynet har bekræftet at hændelserne har udgjort et brud på persondatasikkerheden, at hændelserne skal give anledning til refleksion over, hvordan tilsvarende brud kan forhindres fremadrettet, men at man ikke forventer at foretage sig yderligere i sagen, samt at de foranstaltninger Halsnæs Kommune har foretaget i de enkelte sager, har været tilstrækkelige. Typen af sikkerhedsbrud Langt størstedelen af de hændelser der er blevet registreret og anmeldt til Datatilsynet har været forårsaget af menneskelige fejl, hvor medarbejderen ved et uheld har videregivet personoplysninger til den forkerte modtager. Denne fejl sker typisk ved at digital post sendes til den forkerte modtager, eller at der gives personoplysninger i forbindelse med aktindsigt der har været journaliseret på den forkerte sag. I de fagområder hvor hændelserne har fundet sted, har der efterfølgende været sat fokus på at forhindre denne type af fejl i at gentage sig. Til dette formål har vi generelt opfordret til, at hændelserne anvendes som læringsværktøjer, således at man i fællesskab tager ved lære af sådanne fejl og dermed forhindrer at de samme sikkerhedsbrud sker i fremtiden. Der afsøges samtidig mulighed for at minimere risikoen for fejl, ved hjælp af tekniske og organisatoriske løsninger. I Halsnæs Kommune har dette betydet flere konkrete tiltag, fx i form af udskiftning af printere, ændrede arbejdsgange med fysisk papirer, og øget sikkerhed omkring digital kommunikation. Side 3

Niveauet for sikkerhedsbrud I forhold til det store antal behandlingsaktiviteter der til daglig foretages i kommunen, giver dette antal af hændelser ikke umiddelbart anledning til bekymring. Tværtimod illustrerer registreringerne at man i forvaltningen er bevidst omkring og reagerer på den omstændighed, at sådanne hændelser skal indberettes. En bevidsthed som vores erfaringer har vist os, ikke er en selvfølge, men derimod et resultat af målrettede oplysningskampagner. Denne formodning underbygges desuden af de tendenser vi ser på tværs af de kommuner som vi varetager DPO-rollen for. Databehandleraftaler Som offentlig myndighed er det vigtigt at kommunen efterlever gældende lovgivning på området, eksempelvis at der er indført passende behandlingssikkerhed som fastsat i Databeskyttelsesforordningen. Det betyder at der skal laves databehandleraftaler med leverandører, angående behandling og udveksling af personoplysninger. Det skal gøres for at sikre, at leverandøren beskytter data ligeså forsvarligt, som kommunen selv gør. Hvis kommunen har et højt beskyttelsesniveau til de data som leverandøren behandler, så skal leverandøren have implementeret det samme niveau. Status for Halsnæs kommunes databehandleraftaler er følgende: Der er registreret 239 aftaler i SBSYS (journal-system). - 218 er underskrevet og afsluttet - 21 er ikke afsluttet, de er i proces og afventer underskrift. Det betyder, at ca. 90 % af aftalerne er på plads. Da hver aftale kan være ret kompleks og ofte kræver flere iterationer, samt at der er en behandlingstid hos leverandøren, er det et flot niveau der er nået, det gælder også når vi sammenligner med de øvrige 6 kommuner i NDS. Kommunens GDPR ressourcer rapporterer, at de forventer at have alle aftaler på plads ultimo 2. kvartal. Det afhænger dog ikke alene af kommunens GDPR ressourcers indsats, men også af den enkelte systemejer (eller dennes repræsentant) og databehandlerens indsats og respons. Der kan der være flere aftaler som er ubekendt for kommunens GDPR ressourcer, det kan fx være på ikke-it områder, fx social-, og børn- og ungeområdet. Det er endnu ikke fuldt afdækket. Borgerhenvendelser Det hører med til DPO-rollen at rådgive borgerne om deres rettigheder i forhold til persondataforordningen, samt besvare spørgsmål omkring kommunens behandling af deres personoplysninger. Vi har i tiden efter den 25. maj kun oplevet et begrænset antal henvendelser fra borgere angående spørgsmål af den ovenstående karakter. Henvendelserne vi har fået i Halsnæs kommune har primært drejet sig om sletning af oplysninger, indsigt i egne oplysninger eller spørgsmål af mere generel karakter. Side 4

På tværs af de syv kommuner oplever vi generelt en lille stigning af henvendelser fra borgere, og vi forventer at denne tendens vil stige i takt med at kendskab til DPO-rollen stiger, hvilket naturligvis må kunne forventes, da en beskrivelse af vores funktion og kontaktoplysninger, nu fremgår af de oplysninger, kommunen er forpligtiget til at give borgere, når der indsamles oplysninger om disse. Vi forventer således at henvendelser fra borgere, langsomt vil begynde at fylde mere i løbet af 2019. Ressourcer og modenhed I vores arbejde med GDPR på tværs af de syv kommuner, kan vi umiddelbart konstatere en tydelig sammenhæng mellem omfanget af de ressourcer, der har været dedikeret til GDPRprojektet, og den modenhed man på nuværende tidspunkt har opnået i sin organisation. En sådan sammenhæng må man selvfølgelig også kunne forvente. Vores erfaringer understreger således blot den umiddelbart naturlige antagelse, at det er en forudsætning for en forsat fremgang og forbedring af compliance-niveauet, at der er afsat tilstrækkelige ressourcer til at drive projektet frem. Vi oplever at Halsnæs Kommune overordnet set har haft succes med at informere medarbejdere og ledelse om deres ansvar for at efterleve kravene i databeskyttelsesforordningen, hvilket man har gjort via en lang række informationsmøder og oplæg, samt oplysningskampagner på kommunens fællesnet. Det overordnede ansvar for overholdelse af databeskyttelsesforordningen ligger hos områdecheferne. Koncernsekretariatet understøtter dette arbejde med rådgivning, vurderinger og særligt gennem opfølgningsmøder i form af områdeledermøder med fokus på GDPR. Derudover har man etableret en informationssikkerhedsgruppe, her indgår nøglepersoner fra samtlige områder. I dette fora drøftes og løses problemstillinger med relation til GDRP og informationssikkerhed, ofte igennem vidensdeling områderne eller med assistance fra DPO og informationssikkerhedskoordinator. Det er vores oplevelse at nøglepersonerne har været værdifulde aktører i forhold til at skabe opmærksomhed omkring disse emner i deres respektive områder, og har ofte kunne hjælpe kollegaer ved at besvare deres GDRP-relaterede spørgsmål på egen hånd, eller ved at bringe problemstillingen videre til gruppens møder. Arbejdet med databeskyttelsesforordningen har medført en bred vifte af aktiviteter, bl.a. indgåelse af databehandleraftaler, gennemgang af processer, udfyldelse af fortegnelser over behandlingsaktiviteter, styrkelse af den digitale sikkerhed, svar på organisations spørgsmål om behandling af personoplysninger, samt en lang række andre GDPR relaterede opgaver. Samlet set har vores indtryk været at Halsnæs kommune tager efterlevelsen af reglerne i forordningen særdeles alvorligt, og vi ser frem til et 2019, hvor der i kommunen forsat vil være skarp fokus på efterlevelsen af de persondataretlige regler. Side 5

Forventninger til 2019 Halsnæs kommune er kommet langt med implementeringen af GDPR, men er endnu ikke i mål. Det betyder at i 2019, skal kommunen, sammen med DPO erne, fortsat arbejde med at få processer/procedurer, arbejdsgange, systemer m.m. tilpasset, så de efterlever persondataforordningen. Det vil også være i løbet af 2019, at der skal føres et tilsyn med om GDPR reglerne bliver overholdt. Halsnæs kommune har modtaget et oplæg til et GDPR årshjul fra os. Vi opfordrer til at det skal integreres med andre årshjul (hvis haves) så det bliver en samlet oversigt med aktiviteter omhandlende IT sikkerhed. Fra Halsnæs kommunes GDPR ressourcer, har vi erfaret at deres mål for 2019 bl.a. indeholder: - Opfølgning/revidering af risikovurderinger - Udarbejdelse af konsekvensanalyser - Koncept/plan for opfølgning på databehandleraftaler - Fortsætter arbejdet med vurdering af arbejdsgange og kommunikations- og informationstiltag. - Fortsat udnytter det gode samarbejde og vidensdeling i NDS-regi. Derudover er vores forventninger til 2019 følgende: - Halsnæs kommune opnår det ønskede GDPR compliance-niveau. - Alle databehandleraftaler er afklaret. - Der føres tilsyn/kontrol fx med: o Flere databehandleraftaler (risiko baseret tilgang) Specielt for KL - Gennemgang af revisionserklæringer o KLE opmærkningen o Slette-procedure o Opbevarings-procedure o Indsigtsretten - Gennemgang af aktiviteterne jf. GDPR årshjulet. - Verifikation af diverse GDPR materiale. Er det journaliseret eller hvor er det placeret? Afsluttende kommentar Vi er overbeviste om at det gode samarbejde vil fortsætte ind i 2019. Det er realistisk at Halsnæs kommune vil opnå det ønskede compliance niveau inden udgangen af 2019. Beskyttelse af borgernes interesser i forbindelse med behandlingen af personoplysninger er en grundlæggende rettighed. Den dataansvarlige (kommunen) har således en forpligtelse til at behandle disse oplysninger med stor respekt og påpasselighed. Som følge af de udfordringer den hastige teknologiske udvikling skaber, vil der i stigende grad være behov for at den retlige og praktiske sikkerhed styrkes i forhold til borgernes personoplysninger. Det er vores vurdering og konklusion at Halsnæs kommunes arbejde med implementeringen af GDPR, varetages af en kvalificeret og kompetent gruppe af medarbejdere. En fortsat fremdrift af implementeringsarbejdet forudsætter dog, at der i organisationen afsættes tilstrækkelige ressourcer, til at kommunen, også fremadrettet, vil kunne håndtere de forpligtelser og udfordringer der følger af forordningens regler. Side 6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback