Katarina.RosikEkroth@upplands-bro.se
2019-08-27 KS 19/0433 Kommunstyrelsen
Postadress: Upplands-Bro kommun, 196 81 Kungsängen Besöksadress: Furuhällsplan 1, Kungsängen Telefon: 08-581 690 00 Fax: 08-581 692 40 E-post: kommun@upplands-bro.se Webb: upplands-bro.se
UBK1005, v2.0, 2014-11-03
Dataskyddsombudets årsrapport
Förslag till beslut
Kommunstyrelsen lägger rapporten till handlingarna och ger
kommundirektören i uppdrag att besluta en organisation för dataskyddsarbetet och därmed vidta relevanta åtgärder.
Sammanfattning
Dataskyddsförordningen, även kallad GDPR, trädde i kraft den 25 maj 2018 och innebar en rad förändringar för kommunens personuppgiftshantering.
Kommunen haft ett intensivt anpassningsarbete under delar av år 2017 och under år 2018. Sedan rapporten skrevs har en hel del arbete gjorts, exempelvis flera utbildningsinsatser, hantering av personuppgiftsincidenter och begäran om registerutdrag. Det finns fortfarande en del arbete kvar att göra. För att kunna påbörja arbetet på ett strukturerat sätt behöver kommundirektören få i uppdrag att besluta en organisation för dataskyddsarbetet.
Beslutsunderlag
Kommunledningskontorets tjänsteskrivelse den 27 augusti 2019
Dataskyddsombudets årsrapport den 5 maj 2019
Ärendet
Dataskyddsförordningen, även kallad GDPR, trädde i kraft den 25 maj 2018 och innebar en rad förändringar för kommunens personuppgiftshantering.
Kommunen haft ett intensivt anpassningsarbete under delar av år 2017 och under år 2018.
Under projekttiden har en projektgrupp arbetat med att inventera inom vilka verksamheter personuppgifter behandlas, tagit fram mallar och utbildat medarbetare på olika nivåer. Rapporten beskriver närmare vilket arbete som har gjorts och hur dataskyddsarbetet kan fortsätta.
Det finns fortfarande brister i dataskyddsarbetet. Rutiner och styrdokument för att säkra en lägsta nivå saknas. För att komma tillrätta med dessa brister krävs en organisation för dataskyddsarbetet och en handlingsplan med tydliga mål, och kommundirektören föreslås få i uppdrag att besluta en organisation för dataskyddsarbetet och påbörja det arbete som behövs enligt rapporten.
Kommunledningskontoret
Datum Vår beteckning 2 (2)
2019-08-27 KS 19/0433
Nulägesrapport
Sedan rapporten skrevs har en del arbete utförts vad gäller dataskydd. För att få ett bra arbete kring säkerhet i stort, inte bara vad gäller dataskydd har arbetet genomförts av representanter för såväl dataskydd men även för
informationssäkerhet och den nya säkerhetsskyddslagen. Följande aktiviteter är påbörjade sedan rapporten skrevs:
Flera personuppgiftsincidenter har rapporterats och hanterats.
Några begäran om registerutdrag har inkommit och hanterats.
Ytterligare utbildningsinsatser har genomförts och flera utbildningstillfällen är inplanerade under hösten.
Ett förslag på organisation med tydliga roller och mandat har tagits fram.
Ett förslag till styrdokument har tagits fram som anger vilka roller som finns inom säkerhetsarbetet, inklusive dataskyddsarbetet, där rollerna anges och ansvarsområden för respektive roll beskrivs.
Ett arbete är påbörjat med att ta fram styrdokument och rutiner för dataskyddsarbetet.
Barnperspektiv
En organisation för dataskyddsarbete där det finns tydliga rutiner och styrdokument skapar förutsättningar för att personuppgifter behandlas på ett varsamt och korrekt sätt, inte minst är detta viktigt ur ett barnperspektiv då barns personuppgifter anses vara extra skyddsvärda.
Kommunledningskontoret
Ida Texell
Kommundirektör Sara Lauri
Kanslichef Bilagor
1. Dataskyddsombudets årsrapport Beslut sänds till
Kommundirektören
Dataskyddsombud
Informationssäkerhetssamordnare
Samtliga nämnder
Dataskyddsombudets årsrapport 2018
2
Innehåll
1 Sammanfattning av 2018 års arbete med dataskydd ... 3 2 Anpassning till dataskyddsförordningen, september 2017 till 25 maj
2018... 3 3 Arbete med efterlevnad av dataskyddsförordningen, från 25 maj 2018 .. 4 4 Vem som ansvarar för vad gällande dataskydd ... 4 5 Prioriterat arbete med efterlevnad av dataskyddsförordnigen ... 5 5.1 Självutvärdering ...5 5.2 Personuppgiftsincidenter ...6 5.3 Registerutdrag ...6 6 Övergripande planer 2019 – Dataskyddsombud ... 7 6.1 Minimikrav för kommunens dataskyddsarbete under 2019 ...7 6.2 Önskvärda mål för kommunens dataskyddsarbete under 2019 ...7 6.2.1 Granskning ...7 6.2.2 Årshjul ...7
Dataskyddsombudets årsrapport 2018
3
1 Sammanfattning av 2018 års arbete med dataskydd
Dataskyddsförordningen, även kallad GDPR, trädde i kraft den 25 maj 2018 och innebär en rad förändringar för kommunens personuppgiftshantering. Då kommunen dagligdags hanterar stora mängder personuppgifter, varav många känsliga och extra skyddsvärda, har denna nya förordning en betydande påverkan på kommunens hantering av personuppgifter.
Sammanfattningsvis har kommunen haft ett intensivt anpassningsarbete under delar av år 2017 och under år 2018. Även om arbetet med att efterleva
dataskyddsförordningen beräknas pågå under flera år har de olika enheterna inom kommunen genomfört ett betydande arbete för att uppfylla de nya och ökade kraven som ställs.
Under projekttiden har en projektgrupp arbetat med att inventera stora delar av var personuppgifter behandlas i verksamheterna och förtecknat dessa
behandlingar. Dessutom har gruppen tagit fram olika mallar som kan behövas i arbetet med dataskydd och utbildat medarbetare på olika nivåer.
Det finns fortfarande stora brister i dataskyddsarbetet. Rutiner och
styrdokument för att säkra en lägsta nivå saknas. För att komma tillrätta med dessa brister krävs en organisations för dataskyddsarbetet och en handlingsplan med tydliga mål.
2 Anpassning till dataskyddsförordningen, september 2017 till 25 maj 2018
Digitaliseringsrådet ville inför den nya förordningen få information om vad GDPR innebar för kommunen. Under början av 2017 presenterades ett antal aktiviteter som behövde genomföras. Rådet lyfte frågan i ledningsgruppen som ville att arbetet skulle genomföras i projektform med representanter från varje kontor.
Det aktiviteter som genomfördes fram till den 25 maj 2018 var nulägesanalys, utbildningsinsatser, inventeringar, förteckningsarbete, juridiska genomgångar, kontroll av juridiska dokument, kontroll av tekniska och organisatoriska åtgärder samt framlagda förslag på organisation för det fortsatta arbetet med GDPR.
Under våren 2018 fattades ett beslut i kommunens ledningsgrupp om att alla nämnder och bolag i kommunen ska utse ett gemensamt dataskyddsombud.
Inledningsvis gjordes försök att rekrytera ett dataskyddsombud då många kommuner rekryterade samtidigt var antalet ansökningar få och någon kandidat som uppfyllde kommunens önskemål kunde inte hittas. Parallellt med
rekryteringsförsöken upphandlades ett externt ombud för alla nämnderna för att undvika att stå utan dataskyddsombud när lagkravet på detta trädde ikraft.
Dataskyddsombudets årsrapport 2018
4