De første 350 dage med den nye databeskyttelsesforordning

Relaterede dokumenter
Regler om persondata Koordinatormøde den 28. nov. 2017

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Sikkerhedsprogrammet - Agenda

Databeskyttelsesrådgiverens rapport

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

UVMs bidrag til GDPR implementering i uddannelsessektoren

Databeskyttelsesrådgiverens årsberetning 2018

Persondata politik for GHP Gildhøj Privathospital

Vejledning om informationssikkerhed

Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018

INFORMATIONSSIKKERHED - OG AKTUELLE NEDSLAGSPUNKTER FRA DEN KOMMENDE DATABESKYTTELSESFORORDNING

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Databeskyttelsesdagen

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Databeskyttelsesrådgivernes årsrapport 2018 til byrådet i Halsnæs Kommune

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Persondatapolitik for Tørring Gymnasium 2018

R A P P O R T. Rapport fra Databeskyttelsesrådgiver for 2018

Sikkerhedsprogrammet Aktivitets- og leveranceplan 3 kvt kvt. 2018

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Databeskyttelsesrådgivernes årsrapport 2018 til kommunalbestyrelsen i Frederikssund Kommune

Aftale vedrørende fælles dataansvar

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databeskyttelsesrådgivernes årsrapport 2018 til kommunalbestyrelsen i Hørsholm Kommune

Persondatapolitik for Aabenraa Statsskole

Persondatapolitik Vordingborg Gymnasium & HF

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Birgitte Toxværd Bruun & Hjejle

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

GML-HR A/S CVR-nr.:

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

NOTAT. Styr på persondata

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondata på Københavns Universitet

Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

EU Persondataforordning GDPR

GDPR - Bryder verden sammen efter den 25. maj?

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Rigsarkivets konference 2. november 2016

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

GML-HR A/S CVR-nr.:

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Overordnet organisering af personoplysninger

Persondatapolitik for Odense Katedralskole

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Maj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

PERSONDATAPOLITIK. Jeg optræder som dataansvarlig, når jeg behandler personoplysninger.

Persondataforordningen. Hvad kan vi bruge KITOS til?

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Plan og Handling CVR-nr.:

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Click here to enter text. Dokument: Neutr al titel «ed ocaddressci vilcode» Databeskyttelsesrådgiverens rapport for 2018

Overordnet organisering af personoplysninger

Målrettet arbejde med persondataforordningen for

VEJLEDNING. om specialklubbernes håndtering af medlemmernes personoplysninger

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Persondataforordningen den 20. februar 2018

Procedure for tilsyn af databehandleraftale

General Data Protection Regulation

"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.

Europaudvalget EUU Alm.del EU Note 27 Offentligt

Persondataforordningen...den nye erklæringsstandard

Oplysningspligt. De registreredes rettigheder, Skoleforvaltningen

Lector ApS CVR-nr.:

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

N. Zahles Skole Persondatapolitik

2017 Projekt persondataforordningen

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Politik for behandling af persondata ved Viby Gymnasium

hos statslige myndigheder

DATABESKYTTELSESPOLITIK

Komiteen for Sundhedsoplysning CVR-nr.:

Persondatapolitik. - Gæst - Skallerup Seaside Resort A/S

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

SOPHIAGÅRD ELMEHØJEN

Retningslinjer om brud på persondata

Målrettet arbejde med persondataforordningen for

Kong Frederik den Syvendes Stiftelse paa Jægerspris

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

BILAG 14: DATABEHANDLERAFTALE

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Informationssikkerhedspolitik Frederiksberg Kommune

Vejledende tekst om tilsyn med databehandlere og underdatabehandlere

Transkript:

Baggrund Beskyttelse af data og informationssikkerhed er med EUs nye forordning om databeskyttelse blevet et væsentligt emne for mange virksomheder og organisationer. I forvejen har de statslige myndigheder i Danmark været underlagt kravet om at implementere ISO 27001, som er den europæiske standarden for etablering af tilstrækkelig informationssikkerhed. Databeskyttelsesforordning trådte i kraft pr. 25. maj 2018, og alle kommuner blev pålagt at udpege en Databeskyttelsesrådgiver i daglig tale enten som DBR eller i mange tilfælde som DPO (Data Protection Officer). Databeskyttelsesforordningen har medført større krav om dokumentation. Alle aktiviteter, med behandling af persondata, i kommunen skal dokumenteres. Som noget nyt kom også muligheden for at Datatilsynet, via domstolene, kan udstede bøder, hvis man ikke overholder forordningens regler. Forordningen er flere steder bygget op på den måde, at den dataansvarlige skal foretage risikobaserede beslutninger. Derfor skal disse også dokumenteres. Implementeringen blev planlagt og udført ift. de 11 fokuspunkter 1 som KL anbefalede. Opstart af rollen som Databeskyttelsesrådgiver Der var tale om en nyoprettet stilling, hvor opgaveporteføljen ikke var givet på forhånd. I Ikast-Brande kommune blev en medarbejder fra IT-afdelingen udpeget som DBR. Der er oprettet en direkte mail postkasse: DBR@ikast-brande.dk samt et direkte telefonnummer 9960 4030 til Ikast-Brande kommunes Databeskyttelsesrådgiver. Begge dele er offentliggjort på Ikast-Brande kommunes hjemmeside. Status 2018 Med udgangspunkt i de punkter, som KL har udarbejdet, har Ikast-Brande kommune haft fokus på følgende: Etablering af implementeringsorganisation Der er nedsat en implementeringsgruppe, som sammen skal støtte op og sørge for at få databeskyttelsesforordningen, udbredt og implementeret i hele organisationen. Gruppen består af personer, som repræsenterer alle fagområder. Der bliver afholdt møde, hvor aktuelle emner bliver taget op, samt givet information om hvilke fokuspunkter, der arbejdes med i de forskellige fagområder. 1 KL fokuspunkter 1. Etablér en implementeringsorganisation, 2. Brug årlige sikkerhedsmålinger og analyser. 3. Udpeg en databeskyttelsesrådgiver. 4. Informér medarbejder om de nye regler. 5. Indgå databehandleraftaler. 6. Færdigudfyld fortegnelser, når de kommer fra KL. 7. Tilret blanketter ift. nye oplysninger til borgerne. 8. Implementér de nødvendige processer og arbejdsgange. 9. Sørg for, at itsystemerne lever op til kravene. 10. Implementér de nye sikkerhedskrav. 11. Udarbejd evt. konsekvensanalyser.

Fortegnelserne Databeskyttelsesforordningen lægger op til nye krav om, at kommunerne skal udarbejde og opbevare fortegnelser over alle behandlinger af persondata. Vi har i Ikast-Brande kommune fulgt anbefalingen fra KL, og benyttet de skabeloner, som er blevet udarbejdet og udsendt. Det har efterfølgende givet anledning til, at Datatilsynet har påpeget at disse skabeloner er mangelfulde. Datatilsynet og KL er gået i dialog, og sammen vil de finde retningslinjer, som kommunerne skal efterleve. Vi afventer en afgørelse og indtil dette sker, følger vi forsat anbefalingen fra KL det samme gør langt den største del af landets kommuner. Databehandleraftaler Der er pt. indgået 138 databehandleraftaler. Det er en løbende proces med at indgå nye databehandleraftaler på de IT-løsninger som indkøbes. Databeskyttelsesforordningen lægger op til mere kontrol, således at vores leverandører lever op til de krav, der foreligger i en databehandleraftale. Derfor er der indarbejdet kontrolpunkter i et årshjul. Skabeloner til internt brug Der er udarbejdet skabeloner og vejledninger til internt brug, hvor vi har ment, at det giver mening at have fælles kommunale retningslinjer. Disse skabeloner er tilgængelige på intranettet de bliver løbende opdateret og flere kommer til. Oplysningspligt Som en del af databeskyttelsesforordningen stilles der større krav til at oplyse og præcisere, hvilke personoplysninger vi benytter, og til hvilket formål vi behandler den enkeltes borgers personoplysninger. Som udgangspunkt skal den registrerede have besked om, at der behandles oplysninger om den pågældende, hvem der behandler og til hvilket formål behandlingen forgår. Andre vigtige rettigheder for den registrerede er for eksempel indsigtsret og ret til berigtigelse. Derfor er der udarbejdet en udvidet skabelon, som ligger klar til brug på intranettet. Intern undervisning Oplysning/undervisning om databeskyttelsesforordningen, har været en del af stormøder, afdelingsmøder, samt diverse ledermøder, hvor databeskyttelsesrådgiveren har deltaget. Her har der også været rig mulighed for at medarbejdere kunne stille spørgsmål. Andre tiltag har været uddeling af små kort med konkret information, korte mails med forskellige scenarier fra medarbejderes hverdag med fokus på databeskyttelse. I 2016 blev der gennemført en awareness kampagne for alle medarbejdere. Den bestod bl.a. af egenudviklet e- læringsmateriale, samt e-læringsmateriale, som KL har stillet til rådighed. Alt dette ligger tilgængeligt for alle medarbejdere via links på intranettet og i Ikast-Brande kommunes ledelsessystem for informationssikkerhed (Secure ISMS). Platform til e-læring Alt materiale vil blive tilgængelig via platformen IBK MyAcademy. Denne platform er intuitiv og giver os forskellige muligheder for afrapportering. På den måde kan vi bl.a. følge at medarbejderne får gennemlæst vores sikkerhedsregler.

Netværksmøder og videns indsamling For at understøtte rollen som Databeskyttelsesrådgiver er der etableret forskellige netværk nationalt, med dette formål at indhente så meget viden om databeskyttelsesforordningen. Herunder fortolkningen af de forskellige opgaver, som er udstukket fra Datatilsynet. De etablerede netværk har været en utrolig stor hjælp til fortolkningen af regler, paragraffer samt deling af skabeloner. Spørgsmål fra medarbejdere og borgere En anden del af databeskyttelsesrådgiverens rolle er at besvare de spørgsmål, som opstår i dagligdagen ude i vores fagområder og fra vores borgere. Der har i perioden været henvendelser af forskellige art. Det dækker alt fra brugen af Facebook og billeder, til hvorledes man udleverer personoplysninger til håndværkere og pedeller på vores plejehjem og institutioner. Tilbagemeldingen fra databeskyttelsesrådgiveren har enkelte steder givet anledning til ændring af arbejdsgange og/eller man har udarbejdet forskellige tekniske foranstaltninger, som har løst de udfordringer, som databeskyttelsesforordningen giver. Sikkerhedshændelser Som en del af den nye databeskyttelsesforordning, er det blevet indskærpet, at alle medarbejdere har pligt til at indrapportere alle sikkerhedshændelser indeholdende persondata. For at gøre denne arbejdsopgave så enkelt som muligt, er der udarbejdet en elektronisk blanket, som skal udfyldes. Blanketten sendes automatisk til databeskyttelsesrådgiverens postkasse. Det er derefter databeskyttelsesrådgiverens opgave, at vurdere de indkommende anmeldelser, og vurdere om de skal anmeldes til Datatilsynet. Anmeldelser til Datatilsynet Der er i alt blevet anmeldt 59 hændelser til databeskyttelsesrådgiveren og ud af disse anmeldelser, har databeskyttelsesrådgiveren vurderet at 5 af disse hændelser, havde en karakter som gjorde, at Datatilsynet skulle informeres om sikkerhedsbruddet. I 2 tillfælde var der tale om personoplysninger, som er tilsendt til en forkert modtager og i de 3 andre tilfælde, var det vores leverandør, som ikke havde styr på sikkerheden. Fremtidige opgaver Der er stadig fokus på de punkter KL anbefaler, at kommunerne arbejder med. Derfor vil der i 2019 og fremover fortsat blive arbejdet med bl.a. følgende punkter: Årshjul For at overholde de processer og de krav som følger med databeskyttelsesforordningen er der udarbejdet et årshjul. Behandlingsaktiviteter Vi skal dokumentere vores behandlingsaktiviteter. Denne opgave er påbegyndt, med baggrund i de oplysninger vi har registreret i KITOS (Kommunernes IT OverbliksSystem).

Risikovurdering og beredskabsplaner Med udgangspunkt i de data vi allerede har i KITOS (Kommunernes IT OverbliksSystem) er vi i gang med at få udarbejdet risikovurderinger på de mest kritiske IT-løsninger, hvor der arbejdes med personoplysninger. Dette arbejde vil i fremtiden blive indarbejdet i processen ved indkøb af nye IT-løsninger. På baggrund af disse vurderinger udarbejdes beredskabsplaner, som beskriver arbejdsgangene ved nedbrud. Uddannelse og undervisning af relevante målgrupper Der arbejdes videre med at gennemføre uddannelse og undervisning af medarbejdere. Dette arbejde vil være en fast opgave fremover. Der kigges på, om der skal udarbejdes særligt materiale til specifikke fagområder. Tekniske foranstaltninger Som en del af de tiltag der er foretaget, kan bl.a. nævnes screening af udgående mails samt at der er sket en skærpelse omkring opbygningen af brugernes password. Databehandleraftaler leverandørstyring Indhentning af databehandleraftaler er en løbende proces. Opfølgning af nuværende indgået databehandleraftaler bliver en del af årshjulet. Konklusion Med implementeringen af databeskyttelsesforordningen følger et skærpet krav om at sikre beskyttelse af borgernes data. Hvad databeskyttelsesforordningen angår, har 2018/19 været en travlt periode. Der har for alle vores fagområder været mange nye ting at sætte sig ind i. Det er databeskyttelsesrådgiverens opfattelse, at hele organisationen har arbejdet målrettet med at forstå og opfylde kravene i databeskyttelsesforordningen og at der fortsat vil være behov for stor fokus på overholdelse af databeskyttelsesforordningen. Det er endvidere databeskyttelsesrådgiverens opfattelse at den etablerede organiseringen, med Databeskyttelsesforordningsgruppen og Informationssikkerhedsudvalg, er med til at skærpe viden og implementering af informationssikkerhed i Ikast-Brande Kommune. Ikast-Brande kommune skal også fremover prioritere datasikkerheden højt. Derfor skal alle fagområder til hver en tid have fokus på databeskyttelsesforordningen. Dette gælder både fysisk og digitalt beskyttelse af data. Det er borgernes data vi låner dem i forbindelse med sagsbehandling og skal derfor passe godt på dem Med venlig hilsen Databeskyttelsesrådgiver

René Schmidt

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback