Databeskyttelsesrådgivernes årsrapport 2018 til kommunalbestyrelsen i Frederikssund Kommune

Relaterede dokumenter
Databeskyttelsesrådgivernes årsrapport 2018 til kommunalbestyrelsen i Hørsholm Kommune

Databeskyttelsesrådgivernes årsrapport 2018 til byrådet i Halsnæs Kommune

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

De første 350 dage med den nye databeskyttelsesforordning

Databeskyttelsesrådgiverens årsberetning 2018

Databrudspolitik i Luthersk Mission

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Sikkerhedsprogrammet - Agenda

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

EU Persondataforordning GDPR

Retningslinje om databeskyttelsesrådgivere

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Regler om persondata Koordinatormøde den 28. nov. 2017

Politik for håndtering af persondata for Sønderho Antenneforening

Retningslinje: Sådan håndterer du brud på persondatasikkerheden

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Retningslinje om databeskyttelsesrådgivere

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

Persondatapolitik Vordingborg Gymnasium & HF

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Databeskyttelsesdagen

Persondatapolitik. - Gæst - Skallerup Seaside Resort A/S

Databeskyttelsesrådgiverens rapport

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Persondata på Københavns Universitet

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Sikkerhedsprogrammet Aktivitets- og leveranceplan 3 kvt kvt. 2018

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Persondatapolitik på Gentofte Studenterkursus

GML-HR A/S CVR-nr.:

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

PROCEDURE FOR UNDERRETNINGS- PLIGT VED SIKKERHEDSBRUD

Persondatapolitik Revideret dato: 24. maj 2018

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Click here to enter text. Dokument: Neutr al titel «ed ocaddressci vilcode» Databeskyttelsesrådgiverens rapport for 2018

Guide til udfyldelse af KL s standardfortegnelser

GDPR Persondata- forordningen

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Persondatapolitik for Odense Katedralskole

Målrettet arbejde med persondataforordningen for

Tilsynsbesøget fandt sted den 9. november 2018.

Aftale vedrørende fælles dataansvar

GML-HR A/S CVR-nr.:

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Procedure for sikkerhedsbrud

Persondatapolitik for Jesperhus Legindvej 30, 7900 Nykøbing Mors

Vejledning for tilsyn med databehandlere

Behandling af personoplysninger

PERSONDATAPOLITIK (EKSTERN)

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018.

Datapolitik/databehandlingsrapport

PROCEDURE FOR OPLYSNINGSPLIGT

PERSONDATAPOLITIK 1. INTRODUKTION

Persondataforordningen...den nye erklæringsstandard

BEHANDLING AF PERSONOPLYSNINGER OM KUNDER I REFA DATTERSELSKABER

GENERELT OM GDPR. Næste skridt: ISF undersøger

Sprogvurdering -Til alle 3-årige i Holbæk

Årshjul for persondata. v/henrik Pors

Ma lrettet arbejde med persondataforordningen for

Retningslinjer om brud på persondata

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Målrettet arbejde med persondataforordningen for

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinje om behandlingssikkerhed

PROCEDURE FOR HÅNDTERING AF BRUD PÅ PERSONDATASIKKERHEDEN

Kort om Hjerteforeningen

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Komiteen for Sundhedsoplysning CVR-nr.:

BEHANDLING AF PERSONOPLYSNINGER OM SAMARBEJDSPARTNERE OG LEVERANDØRER I REFA DATTERSELSKABER

Per Løkken, Partner. CAMPUS November 2018

Persondataforordningen den 20. februar 2018

Retningslinjer om brud på persondatasikkerheden

Retningslinje om fortegnelser over behandlingsaktiviteter

DATABEHANDLERAFTALE. Omsorgsbemanding

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk


Adgang til mikrodata på Danmarks Statistik set i lyset af Persondataforordningen (GDPR)

NOTAT. Styr på persondata

PERSONDATA & PERSONDATAORDBOG

Persondataforordningen

Informationsproces når persondata er blevet kompromitteret

Retningslinje om dataansvarlig/databehandler

Brud på persondatasikkerheden

Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018

Hvis vi har brug for yderligere oplysninger end angivet ovenfor, vil vi orientere dig herom ved indsamlingen heraf.

Transkript:

Databeskyttelsesrådgivernes årsrapport 2018 til kommunalbestyrelsen i Frederikssund Kommune Introduktion til databeskyttelsesrådgiverne... 2 Samarbejdet... 2 Netværk... 2 DPO leverancer... 2 Databrud... 3 Typen af sikkerhedsbrud... 3 Niveauet for sikkerhedsbrud... 3 Databehandleraftaler... 4 Borgerhenvendelser... 4 Ressourcer og modenhed... 5 Forventninger til 2019... 5 Afslutnings kommentarer... 6 Side 1

Introduktion til databeskyttelsesrådgiverne Vi startede i vores rolle som databeskyttelsesrådgivere (DPO) i maj 2018. Vores opgave består i at rådgive og vejlede kommunen og dens borgere, i håndteringen af persondataforordningen (GDPR), hjælpe med at kommunen overholder de databeskyttelsesretlige regler og være et kontaktpunkt for Datatilsynet. Vi har vores faste kontor i Fredensborg, hvilket vi er meget tilfredse med, det fungerer godt i forhold til transport mellem de forskellige arbejdes steder. Samarbejdet Vi udfylder vores DPO-rolle i Nordsjællands Digitaliserings Samarbejde (NDS), der er et udviklingssamarbejde mellem 7 kommuner 1. Det har fra starten været vigtigt for os at have et tæt samarbejde med alle 7 kommuner, og vi oplever at vores samarbejde med alle kommunerne er rigtig godt. Der er en god dialog og vi inddrages ofte i sager der vedrører persondata. Vi forsøger at besøge alle kommuner ligeligt og vælger ofte at være på besøg en hel arbejdsdag, det giver kollegaerne mulighed for at komme til at kende os og henvende sig, hvis de har spørgsmål. Det er vigtigt for os, at viden om GDPR metoder, procedurer og vejledninger deles på tværs af kommunerne. Netværk Tidligt i vores ansættelse, opsøgte vi muligheden for at netværke med andre som varetager DPO rollen. Det er en god mulighed for at høre om andres erfaringer og udfordringer. Vi vil gerne være med i et netværk, både for at fortælle om vores håndtering af GDPR og forhåbentlig få noget retur som kan bruges i det videre arbejde med implementeringen af GDPR. Sammen med 2 DPO er fra Den Storkøbenhavnsk Digitaliseringsforening, har vi taget initiativ til at etablere en netværksgruppe for kommunale DPO er. Netværksgruppen har nu afholdt 3 møder og den er blevet udvidet, så vi nu består af 10 personer, som varetager DPO rollen, tilsammen dækker vi 25 kommuner. DPO leverancer I forbindelse med implementeringen af GDPR per 25. maj 2018, er der kommet en række krav til hvordan kommunen skal behandle persondata. For at imødekomme disse krav har vi skrevet nogle vejledninger, fx til brug af foto og video, anvendelse af sociale medier samt et bilag til kravspecifikation ifm. ny-indkøb af IT systemer. Derudover har vi lavet et GDPR årshjul, månedlige nyhedsbreve og tilpasning af databehandleraftaler så de er mere målrettet mod de enkelte leverandører. 1 Fredensborg, Hørsholm, Hillerød, Helsingør, Gribskov, Halsnæs, Frederiksund Side 2

Vi bliver jævnligt kontaktet vedrørende spørgsmål til GDPR. Henvendelserne omhandler mange forskellige områder, så som skoler, institutioner, bosteder m.m. Databrud Som følger af de nye regler i databeskyttelsesforordningen, blev det efter den 25. maj, et krav, at sikkerhedsbrud som udgangspunkt skal anmeldeles til Datatilsynet, og besked gives til de berørte borgere. Med til reglerne hører, at underretning til Datatilsynet skal ske indenfor en forholdsvis kort tidsfrist, 72 timer fra bruddet er konstateret. Der er blevet ført statistik over antallet og karakteren af hændelser, der har fundet sted i Frederikssund Kommune siden forordningen trådte i kraft. Nedenfor er opført antallet af hændelser, og hvor mange der er blevet anmeldt til Datatilsynet. - 44 registrerede hændelser - 16 hændelser er anmeldt til Datatilsynet Når en hændelse ikke anmeldelses til Datatilsynet, skyldes dette at dens alvorlighed, er blevet vurderet til at ligge under en bagatelgrænse. Der kan dog observeres en tendens til at hændelserne primært foregår i centre, hvor der i højere grad der tæt kontakt med borgere. Typen af sikkerhedsbrud Langt størstedelen af de hændelser der er blevet registreret og anmeldt til Datatilsynet har været forårsaget af menneskelige fejl, hvor medarbejderen ved et uheld har videregivet personoplysninger til den forkerte modtager. I de centrer hvor hændelserne har fundet sted, har der efterfølgende været sat fokus på at forhindre denne type af fejl i at gentage sig. Til dette formål har vi generelt opfordret til, at hændelserne anvendes som læringsværktøjer, således at man i fællesskab tager ved lære af sådanne fejl og dermed forhindrer at de samme sikkerhedsbrud sker i fremtiden. Som det fremgår, består størstedelen af de registrerede hændelser af menneskelig fejl, der for størstedelens vedkommende, vil kunne forhindres ved hjælp af større agtpågivenhed. Der afsøges dog mulighed for at minimere risikoen for fejl ved hjælp af tekniske løsninger. Niveauet for sikkerhedsbrud I forhold til det store antal behandlingsaktiviteter der til daglig foretages i kommunen, giver dette antal af hændelser ikke umiddelbart anledning til bekymring. Tværtimod illustrerer registreringerne at man i forvaltningen er bevidst omkring og reagerer på den omstændighed, at sådanne hændelser skal indberettes. En bevidsthed som vores erfaringer har vist os, ikke er en selvfølge, men derimod et resultat af målrettede oplysningskampagner. Denne formodning underbygges desuden af de tendenser vi ser på tværs af de kommuner som vi varetager DPO-rollen for. Side 3

Databehandleraftaler Som offentlig myndighed er det vigtigt at kommunen efterlever gældende lovgivning på området, eksempelvis at der er indført passende behandlingssikkerhed som fastsat i Databeskyttelsesforordningen. Det betyder at der skal laves databehandleraftaler med leverandører, angående behandling og udveksling af personoplysninger. Det skal gøres for at sikre, at leverandøren beskytter data ligeså forsvarligt, som kommunen selv gør. Hvis kommunen har et højt beskyttelsesniveau til de data som leverandøren behandler, så skal leverandøren have implementeret det samme niveau. Status for Frederikssund Kommunes databehandleraftaler er følgende: Der er registreret 151 systemer som skal have en aftale og journaliseres i SBSYS. - ca. 67 er underskrevet og afsluttet - ca. 84 er i proces og afventer færdigbehandling og underskrift. Det betyder, at ca. 56 % af aftalerne er på plads. Da hver aftale kan være ret kompleks og ofte kræver flere iterationer, samt at der er en behandlingstid hos leverandøren, er det et forventeligt niveauet der er opnået. Ved sammenligning med de øvrige 6 kommuner i NDS er Frederikssund Kommune på et lidt lavere niveau, mht. indgåelse af aftaler. Det er ikke overraskende, da vi har erfaret, at hver aftale bliver behandlet meget detaljeret og omhyggeligt. Fremadrettet har det med stor sandsynlighed en positiv effekt, i form af færre rettelser, når databehandleraftalerne skal kontrolleres/fornyes. De resterende aftaler forventes underskrevet og journaliseret primo 2. kvartal. Det er ikke alle aftaler, som er blevet behandlet og registeret af kommunens GDPR ressourcer. Derfor kan der være flere aftaler på ikke-it områder, fx social-, og børn- og ungeområdet. Det er endnu ikke fuldt afdækket. Borgerhenvendelser Det hører med til DPO-rollen at rådgive borgerne om deres rettigheder i forhold til persondataforordningen, samt besvare spørgsmål omkring kommunens behandling af deres personoplysninger. Vi har i tiden efter den 25. maj kun oplevet et begrænset antal henvendelser fra borgere angående spørgsmål af den ovenstående karakter, alt i alt er der tale om en håndfuld. Henvendelserne vi har fået i Frederikssund Kommune har primært drejet sig om sletning af oplysninger, indsigt i egne oplysninger eller spørgsmål af mere generel karakter. På tværs af de syv kommuner oplever vi generelt en lille stigning af henvendelser fra borgere, og vi forventer at denne tendens vil stige i takt med at kendskab til DPO-rollen stiger, hvilket naturligvis må kunne forventes, da en beskrivelse af vores funktion og kontaktoplysninger, nu fremgår af de oplysninger, kommunen er forpligtiget til at give borgere, når der indsamles oplysninger om disse. Vi forventer således at henvendelser fra borgere, langsomt vil begynde at fylde mere i løbet af 2019. Side 4

Ressourcer og modenhed I vores arbejde med GDPR på tværs af de syv kommuner, kan vi umiddelbart konstatere en tydelig sammenhæng mellem omfanget af de ressourcer, der har været dedikeret til GDPRprojektet, og den modenhed man på nuværende tidspunkt har opnået i sin organisation. En sådan sammenhæng må man selvfølgelig også kunne forvente. Vores erfaringer understreger således blot den umiddelbart naturlige antagelse, at det er en forudsætning for en forsat fremgang og forbedring af compliance-niveauet, at der er afsat tilstrækkelige ressourcer til at drive projektet frem. Vi oplever at Frederikssund Kommune overordnet set har haft succes med at informere medarbejdere og ledelse om deres ansvar for at efterleve kravene i databeskyttelsesforordningen, hvilket man har gjort via flere fællesmøder, informationskampagner mv. Informationssikkerhedskoordinatoren og IT-chefen har i den forbindelse gjort et stort stykke arbejde med implementering af GDPR reglerne og forankring af GDPR-compliance-arbejdet i kommunen. Dette har medført en bred vifte af aktiviteter, bl.a. indgåelse af databehandleraftaler, gennemgang af processer, udfyldelse af fortegnelser over behandlingsaktiviteter, styrkelse af den digitale sikkerhed, opdatering af sikkerhedspolitikker, svar på organisations spørgsmål om behandling af personoplysninger, samt en lang række andre GDPR relaterede opgaver. Kommunens direktion har indtil videre fungeret som informationssikkerhedsudvalg. Der arbejdes dog på en anden sammensætning af udvalget, herunder nyt kommissorium, fast møderække m.v. Samlet set er det vores indtryk at Frederikssund Kommune tager efterlevelsen af reglerne i forordningen særdeles alvorligt, og at arbejdet varetages af kvalificerede og kompetente medarbejdere. Vi oplever dog at GDPR-programmet har været tildelt relativt få personale ressourcer, hvilket især fremadrettet vil kunne medføre udfordringer i forhold til at håndtere samtlige af de opgaver som forordningen stiller krav om. Forventninger til 2019 Frederikssund Kommune er kommet langt med implementeringen af GDPR, men er endnu ikke i mål. Det betyder at i 2019, skal kommunen, sammen med DPO erne, fortsat arbejde med at få processer/procedurer, arbejdsgange, systemer m.m. tilpasset, så de efterlever persondataforordningen. Det vil også være i løbet af 2019, at der skal føres et tilsyn med om GDPR reglerne bliver overholdt. Frederikssund Kommune, har modtaget et oplæg til et GDPR årshjul fra os. Sammen med Frederikssunds egen handleplan for GDPR, vil det være en god Side 5

basis, for at der bliver lavet en samlet oversigt med aktiviteter omhandlende IT sikkerhed og GDPR. Nogle få GDPR-eksempler fra handleplanen er fx: - Nedsættelse af et Informationssikkerhedsudvalg - Beredskab ved større sikkerhedsbrud - Flere awareness aktiviteter - Håndtering af databehandleraftaler ifm. hård Brexit Derudover er vores forventninger til 2019: - Frederikssund Kommune opnår det ønskede GDPR compliance-niveau. - Alle databehandleraftaler er afklaret. - Der føres tilsyn/kontrol fx med: o Flere databehandleraftaler (risiko baseret tilgang) Specielt for KMD/Kombit - Gennemgang af revisionserklæringer o KLE opmærkningen/behandlingsfortegnelsen o Slette-procedure o Opbevarings-procedure o Indsigtsretten - Gennemgang af aktiviteterne jf. GDPR årshjulet. - Verifikation af diverse GDPR materiale. Er det journaliseret eller hvor er det placeret? Afslutnings kommentarer Vi er overbeviste om at det gode samarbejde vil forsætte ind i 2019. Det er realistisk at Frederikssund Kommune vil opnå det ønskede compliance niveau inden udgangen af 2019. Beskyttelse af borgernes interesser, i forbindelse med behandlingen af personoplysninger, er en grundlæggende rettighed. Den dataansvarlige (kommunen), har således en forpligtigelse til at behandle disse oplysninger med stor respekt og påpasselighed. Som følge af de udfordringer, den hastige teknologiske udvikling skaber, vil der i stigende grad, være behov for at den retlige og praktiske sikkerhed, styrkes i forhold til borgernes personoplysninger. Det er vores vurdering, at Frederikssund Kommunes arbejde med implementeringen af GDPR, varetages af få, men kompetente medarbejdere. En forsat fremdrift af implementeringsarbejdet forudsætter at dette niveau som minimum fastholdes (eller flere ressourcer tilføjes), for at kommunen, også fremadrettet, vil kunne håndtere de forpligtigelser og udfordringer der følger af forordningens regler. Side 6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback