DATASKYDDSOMBUDETS TILLSYNSRAPPORT
Dataskyddsombudets tillsynsrapport gällande efterlevnaden av EU:s dataskyddsförordning i Sollentuna kommun för perioden 25 maj 2018 till 2018-05-25 till 2019-04-01
2019-04
Mattias Moutran Widegren Version: 1.0
Innehållsförteckning
1 Sammanfattning ... 4
2 Uppdrag ... 4
2.1 Beskrivning ... 4
2.2 Omfattning ... 5
2.3 Inledande analys ... 5
3 Aktivitetsplan 2018/2019 ... 6
3.1 Rådgivning genom utbildning och handledning ... 6
3.1.1 Verktyg för handlingsplaner ... 6
3.1.2 Workshops ... 7
3.2 Tillsyn genom revisioner ... 9
3.3 Organisationsresurser inom kommunen ... 10
3.4 Samsyn och samarbete med andra kommuner ... 10
4 Status, överensstämmelse dataskyddsförordningen ... 10
4.1 Registerutdrag ... 10
4.2 Utbildning och kommunikation generellt i kommunen. ... 11
4.3 Kommunikation på ledningsnivå. ... 11
4.4 Personuppgiftshantering inom kommunen ... 12
4.5 Incidentrapportering ... 12
4.6 Revisionsplan ... 14
5 Plan för fortsatt arbete ... 15
6 Slutsatser och råd för fortsättning ... 15 Bilaga 1. Riskbedömningar för personuppgiftshantering inom kommunen.
Förkortningar och begrepp
Datainspektionen. Tillsynsmyndighet för uppyllande av kraven i Dataskyddsförordningen.
DSO – Dataskyddsombud (eng. DPO – Data Protection Officer). Ombudets roll är att kontrollera att GDPR följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. I Sollentuna kommun är dataskyddsombudet en extern aktör, som genom revisioner och rådgivning stöttar och granskar kommunens verksamheter.
GDPR – eng. General Data Protection Regulation. EU-förordning 2016/679, på svenska Dataskyddsförordningen, med svenska tillägg i svensk lag 2018-218.
GDPR-kontaktperson. Den medarbetare i kommunens organisation som lokalt koordinerar frågor och ärenden kopplade till GDPR. Denne ingår i kommunens GDPR-nätverk och har en mer fördjupad insikt och uppdatering i utvecklingen kring tillämpningen av GDPR.
Personuppgiftsincident. Händelse där en obehörig person får tillgång till personuppgifter, som kan leda till att registrerade personer utsätts för risk för skada. Skadan kan vara obetydlig, men varje händelse skall utredas och i vissa fall rapporteras till Datainspektionen.
PUA – PersonUppgiftsAnsvarig. Den organisation eller person som är ansvarig för hanteringen av personuppgifter i ett enskilt fall. För varje hantering där personuppgifter förekommer, måste man ha klart för sig vem som är ansvarig för hanteringen.
PUB – PersonUppgiftsBiträde. Den organisation eller person som på uppdrag av annan hanterar dennes personuppgiftshantering i ett enskilt fall. Om en PUA delegerar viss hantering till en annan part där personuppgiftshantering förekommer, är PUA ansvarig för att PUB gör rätt i varje enskilt fall. Det skall regleras i PUB-avtal, där PUA specificerar hur PUB ska skydda, lagra och hantera de personuppgifter som delegeras.
PUB-avtal – Personuppgiftsbiträdesavtal. Det avtal som reglerar vilka personuppgifter som en PUA delegerar till ett PUB att hantera. Avtalet reglerar också hur PUA kan kontrollera att PUB följer avtalet, och vad som händer om PUB inte följer avtalet och/eller GDPR.
1 Sammanfattning
Denna rapport beskriver status för Sollentuna kommun i maj 2019, när det gäller Dataskydds- förordningens (GDPR) krav som trädde i kraft den 25:e maj 2018. Utvald personal har deltagit i ett GDPR-nätverk inom kommunen, lett av kommunens Dataskyddsombud (DSO). Dessa har genomfört kartläggning av personuppgiftshantering inom kommunen och har genomgått work- shops för fördjupad utbildning och riskhantering.
Kommunen har en generellt bra status vad avser GDPR-uppfyllelse. De huvudsakliga dagliga arbetsflödena inom kommunen är kontrollerade och kartlagda, och medarbetarna i GDPR- nätverket genomför uppföljande arbetsinsatser.
Centrala anvisningar och rutiner har utarbetats för att säkerställa att personuppgiftshantering inom kommunen uppfyller kravbilden i GDPR, och för att hantera begäran till kommunen om registerutdrag baserade på personuppgifter.
De delar av arbetet som återstår är till stor del av strukturell natur, som till exempel generell e- post-hantering och hantering av rutiner på enhetsnivå. Det arbetet tar längre tid att genomföra, och kommer att följas upp under kommande år.
Centralt för kommunens arbete är kommunikationsvägar där personuppgifter kan hanteras med minskad risk för incidenter. Kommunen har upphandlat och inför så kallade ”Säkra
meddelanden”, ett system för säker kommunikation mellan kommunen och externa parter som till exempel kommuninnevånare, andra kommuner och myndigheter.
2 Uppdrag 2.1 Beskrivning
Det upphandlade uppdraget avser externt dataskyddsombud med rådgivande och kontrollerande funktion. Ombudets roll regleras i artikel 37-39 i dataskyddsförordningen och stipulerar att ombudets roll är
Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar personuppgifter om deras skyldigheter enligt
förordningen och andra av unionens eller medlemsstaternas dataskyddsbestämmelser.
Att övervaka efterlevnaden av förordningen, av andra av unionens eller
medlemsstaternas dataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet
ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning.
Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35.
Att samarbeta med tillsynsmyndigheten.
Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36, och vid behov samråda i alla andra frågor.
Tillsynsdelen
Tillsyn av Sollentuna kommuns dataskyddsarbete ska genomföras vid två planerade tillfällen 2018, närmare bestämt i samband med tertial 2 och tertial 3. Därutöver ska tillsyn genomföras om så är påkallat av externa faktorer, ex. att det framkommer klagomål som föranleder tillsyn. Här avses även sådana fall där nationell tillsynsmyndighet kontaktar ombudet för att få det stöd som anges i förordningen.
Tillsynsarbetet preciseras inte närmare i upphandlingen eftersom det skulle motverka den fristående ställning som dataskyddsombudet ska ha enligt förordningen. Ombudet ska med förordningen som grund självständigt planera tillsynsarbetet.
Rådgivningsdelen
I tjänsten ska ingå den rådgivningsfunktion till organisationen i alla typer av GDPR-frågor som anges i förordningen. Rådgivningen ska även innehålla projektledningsstöd i införandet av GDPR-förordningen i organisationen.
2.2 Omfattning
Den kommunala organisationen bestod 2018 vid sidan av en kommunfullmäktigeförsamling och en kommunstyrelse av ett antal nämnder, närmare bestämt
- Barn och ungdomsnämnden - Kultur- och fritidsnämnden - Miljö- och byggnadsnämnden - Socialnämnden
- Stadsbyggnadsnämnden - Trafik- och fastighetsnämnden
- Utbildning- och arbetsmarknadsnämnden - Valnämnden
- Vård- och omsorgsnämnden
- Överförmyndarnämnden (gemensam nämnd med Sigtuna och Upplands Väsby kommuner)
Kommunstyrelsen och samtliga nämnder är var och en personuppgiftsansvarig för personuppgifter inom styrelsens/nämndens verksamhet.
2.3 Inledande analys
Under våren 2018 genomfördes en första GDPR-utbildning av personalen, och ett
kartläggningsarbete inleddes av de personuppgiftshanteringar som utförs inom kommunens verksamheter.
Kartläggningen genomfördes av kommunens egen personal, som per kontor registrerade vilka dagliga arbetsflöden som innehåller personuppgiftshantering och vilka IT-system som används.
Vid kartläggningen bedömdes också vilka lagar och förordningar som styrde hanteringen.
Kartläggningen dokumenterades som en informationshanteringsplan.
Vid DSOs tillträde i arbetet var större delen av kommunens verksamheter på nämnders
kontorsnivå kartlagd i dessa informationshanteringsplaner. Vid en rundfrågning bland personal som varit involverad i arbetet, meddelade många att de förstod varför de gjorde kartläggningen, men de var osäkra på vad de skulle använda resultaten till. Huvuddelen av de registrerade
arbetsflödena var väl införda, och visade på god insikt om vilka olika lagrum som påverkade arbetet. Bland de kontor som inte hade lämnat in kartläggningen, fanns problem med
omfattningsbegränsning – man var osäker på vilken detaljnivå man skulle ange i kartläggningen, vilket hade lett till att man inte kom till skott med arbetet.
Under våren 2018 togs en personuppgiftsbiträdesmall (PUB-avtalsmall) fram i samarbete med advokatfirman Mannheimer Swartling. Avsikten var att under våren säkerställa att alla
avtalsrelationer där personuppgiftshantering förekom skulle regleras, men flera leverantörer hade invändningar mot utformningen och förhandlingarna drog ut på tiden. Vid tiden för dataskyddsförordningens ikraftträdande, 25:e maj 2018, var många av kommunens externa relationer där personuppgiftshantering förekommer avtalshanterade, men några kritiska kvarstod.
Vår slutsats vid tillträdet den 25:e maj 2018 var att personalen behövde en bättre förståelse för GDPRs inverkan på praktiska, dagliga arbetsflöden och på vilka aktiviteter som behövde vidtas för att säkerställa att kommunen uppfyller lagkraven i GDPR i varje enskild verksamhet. Vi fann också att kartläggningsarbetet som gjorts var av bra kvalitet överlag, och att den skulle tjäna som bra dokumentationsgrund för fortsatt arbete, efter viss utbyggnad och formalisering.
Kartläggningsdokumentationen benämns hädanefter informationshanteringsplan i rapporten.
Varje kontor hade under våren också fått uppgiften att utse en eller två GDPR-kontaktpersoner som kunde kanalisera frågor av GDPR-karaktär, och vara deltagare i kommunens GDPR- nätverk. Vid vårt tillträde kunde vi konstatera att flertalet var motiverade och hade viss insikt i behovet av mer detaljerat arbete. Rent generellt rådde uppfattningen att de alla riskerade att vara de enda som arbetade med sakfrågorna. En mindre del kände att de blivit infösta i något de inte hade kontroll över.
3 Aktivitetsplan 2018/2019
3.1 Rådgivning genom utbildning och handledning
För att så fort som möjligt komma till rätta med de möjliga avvikelser som framkommit i den inledande analysen, tog vi fram en plan omfattande ett strukturerande verktyg och ett
utbildningsmoment. Vi föreslog en inledande fas där vi genom att genomföra workshops med alla kontor skulle både komplettera kartläggningsarbetet och utbilda de närvarande mer på djupet. Deltagare skulle inte bara vara de personer som ingick i GDPR-nätverket, utan även andra nyckelpersoner i kontorets arbetsflöden, liksom ansvarig chef. Kanslichefen godkände vår plan, och vi började under juni månad med de första workshopparna.
3.1.1 Verktyg för handlingsplaner
Sveriges Kommuner och Landsting, SKL, har tagit fram ett digitalt verktyg för att planera och kontrollera laguppfyllelse för IT-system; KLASSA. En arbetsgrupp inom SKL har med stor sakkunskap tagit fram ett antal kontrollpunkter, som vid godkänt genomförande till stor del säkerställer att systemet uppfyller kraven i GDPR.
I verktyget dokumenteras överensstämmelse med GDPR, och handlingsplaner tas fram för fortsatt arbete.
Vi valde att använda verktyget även för att kontrollera laguppfyllelse på arbetsflöden utanför IT-systemen, men att dokumentera resultaten i enskilda revisonsunderlagsrapporter. Dessa följer således KLASSA-strukturen och med samma benämningar, för att underlätta förståelse och jämförelse mellan digitala och manuella arbetsflöden.
3.1.2 Workshops
Inför varje workshop ombads GDPR-kontaktpersonen för kontoret att namnge de personer på kontoret som var förvaltningsledare för de IT-system som användes på kontoret. Dessa registrerades sedan som användare i KLASSA för sina respektive system.
Workshopen inleddes med en introduktion till målen med övningen: detaljerad kartläggning, riskbedömning och utbildning. Ett av IT-systemen som det aktuella kontoret har
förvaltningsansvar för valdes därefter ut för KLASSA-hantering på storbildskärmen. Genom att gå igenom de olika bedömningspunkterna i KLASSA för det aktuella systemet, exemplifiera lagtexten som den berörde och diskutera aktuella aspekter av tillämpningen för det aktuella kontoret, uppnåddes gradvis de tre målen undan för undan. Vid varje bedömningspunkt kontrollerades ställningstaganden för de övriga systemen, och förvaltningsledarna
dokumenterade själva status och handlingsplaner för sina system. Kursledaren tecknade ned arbetsflöden och ställningstaganden för manuella arbetsflöden som inte hanteras av IT-system, som grund för kommande revisioner.
Vid slutet av varje workshop hade varje kontor handlingsplaner för de IT-system de hade förvaltningsansvar för och även för de manuella arbetsflöden som inte hanteras digitalt. Totalt har kommunen 67 system registrerade och hanterade i KLASSA.
Ett tydligt utfall från dessa workshops är att avsaknaden av ett centralt ledningssystem för kvalitet skapar problem när rutiner och processbeskrivningar skall skapas och hanteras inom kommunen. Det är en stark rekommendation från DSO att ett sådant system etableras, för att respektive kontor skall kunna underhålla en reglerad verksamhet med rutiner. Därtill ökar möjligheten för central förvaltning att nå ut med centrala riktlinjer och policies.
Tabell 1 Redovisning av enheter som genomgått workshops och deras IT-system som är registrerade i KLASSA.
Kontor/avdelning IT-system
Barn- och utbildningskontoret IST Extens Skolplattform ProReNata Skolvalskarta Kultur- och fritidskontoret StudyAlong
Book-IT iLOQ Miljö- och byggnadskontoret LEB/Faciem
REQS I-binder
Socialkontoret Procapita IFO
Kontor/avdelning IT-system PMO AlkT
Stadsbyggnadsavdelningen Castor
Avdelningen för kommunikation och näringsliv Extern webb Solsidan
Ekonomiavdelningen (inköp) Kommers
Ekonomiavdelningen (redovisning) Visma affärslösningar StratSys
PowerBI 2CB
Personalavdelningen (HR) Mia
KIA Springlife Avonova Luvit LMS
Personalavdelningen (Lön) Visma Personec P Lön Visma Personec Förhandling Visma Personec Utdata Visma Neptune
WinLas Administrativa avdelningen (IT-enheten) Solidus
CMG Companion Tele2 operatör TellusTalk Tele2 konferens MIM
Active Directory Azure AD HAG ServiceNow Snow
Tjänsteområde Change Mngmnt inkl relDB
Kontor/avdelning IT-system
Tjänsteområde kundstöd, FL IT Tjänsteområde ServiceDesk Tjänsteområde telefoni Tjänsteområde IT arbetsplats Administrativa avdelningen
(Överförmyndarenheten)
Wärna TabQuick Administrativa avdelningen
(Säkerhetsavdelning)
Trusted Dialog Hadoc (LTA) Administrativa avdelningen
(Kansliet)
Visual Arkiv Public 360 FotoWare Administrativa avdelningen
(Service-enheten)
Serviceportalen ProofX
Passersystemet ServiceNow
Trafik- och fastighetskontoret Uppgick 2019-01-01 i ny organisation Utbildning- och arbetsmarknadskontoret ProCapita AME
Schoolsoft Alvis
Vård- och omsorgskontoret Pulsen Combine
Phoniro Care Tunstall BAB-online
3.2 Tillsyn genom revisioner
Det arbetsmaterial som producerades under workshopparna i form av handlingsplaner i KLASSA och revisionsprotokoll för manuella arbetsflöden används som underlag för interna GDPR-revisioner. Vid revisionerna gås arbetsmaterialet igenom och DSO väljer olika delar för detaljdiskussioner, för att undersöka om förståelsen och genomförandet är på en nivå som säkerställer att kommunen uppfyller kraven i dataskyddsförordningen. Medverkande under revisonen är ansvarig chef, GDPR-kontaktpersonen från kontoret och DSO. Ansvarig chef väljer om fler sakkunniga bör vara med på mötet.
Resultatet dokumenteras i revisionsprotokoll, och om avvikelser finns kommer de att diskuteras med ansvarig chef, för planering av åtgärdsplan.
3.3 Organisationsresurser inom kommunen
Under våren 2018 etablerades ett nätverk av representanter från varje nämnds kontor, i syfte att säkerställa god penetration av kunskap, insyn och bärande av centrala riktlinjer. Antalet
representanter har varierat något under året, men det har alltid minst varit en representant per kontor. Regelbundna nätverksträffar har hållits varannan vecka, för att säkerställa att arbete utförs och att utbildningsnivån bland samordnarna gradvis höjs. Träffarna har sammankallats av DSO, och agendan till varje träff har utgjorts av diskussionspunkter som deltagarna anmält sitt intresse för. I samband med att informationssäkerhetssamordnaren tillträdde sitt uppdrag i april 2019, tog denne över ansvaret för att hålla i gruppen och utveckla dess arbete.
Det finns vissa behov av att tydliggöra rollen som GDPR-kontaktperson inom kommunen, avseende till exempel mandat att utarbeta rutiner.
Det är av stor vikt för att ett strukturellt arbete skall kunna fortsätta att rollen definieras och etableras centralt på ett tydligt sätt, så uppdragen som GDPR-kontaktperson hanteras likvärdigt inom alla förvaltningar. Kontaktpersonerna bör inte vara ansvariga för att GDPR uppfylls på enheten, utan bistå med rådgivning till chefer och förmedling av kunskap till medarbetarna. Det är chefer och ytterst nämnderna som är ansvariga för att förordningen uppfylls.
3.4 Samsyn och samarbete med andra kommuner
Under hösten 2018 skedde personuppgiftsincidenter i gränssnittet mellan olika
norrortskommuner och behovet av en mer stadigvarande kommunikation utvecklades gradvis.
Det som tydligast visade på behovet av samarbete var införandet av PUB-avtal mellan kommuner och olika leverantörer, där samma leverantörer strävade emot och vägrade anta liknande villkor i olika kommuner.
I dagsläget har sexton norrortskommuner inlett ett samarbete som innebär månatliga träffar och däremellan diskussioner via e-mail och egna digitala forum. Deltagarna utgörs av kommunernas DSO:er. Syftet är att utveckla DSO-rollen, att i möjligaste mån likrikta personuppgiftshantering på avtalsnivå och att dela framgångsrika tillvägagångssätt mellan kommunerna.
I frågan om PUB-avtalen kom det sk DSO Norrort-nätverket fram till att SKLs mall för PUB- avtal från december 2018 var den som borde förordas, och den har sedan framgångsrikt använts i ökande utsträckning.
Personuppgiftsincidenter diskuteras också, i syfte att dels bidra till att andra kommuner inte upprepar redan gjorda misstag, men också för att följa Datainspektionens arbete med sin uppföljning av rapporterade incidenter, i syfte att lära av de kontakter som myndigheten haft med respektive kommun.
I dagsläget har inte Datainspektionen meddelat praxis för personuppgiftshantering utanför de skrivningar som finns i förordningen. Det är av vikt för kommunen att bevakning av kommande justeringar i bedömningen av personuppgiftsincidenters allvarlighet fortgår, och
norrortssamarbetet är ett lämpligt forum för detta.
4 Status, överensstämmelse dataskyddsförordningen 4.1 Registerutdrag
Under 2018 har endast en renodlad begäran inkommit om ett komplett registerutdrag över samtliga personuppgifter inom kommunen för en viss individ. Kommunen svarade inom rimlig
tid från de förvaltningar där individens personuppgifter förekom, med undantag för en komplett genomsökning av alla mailkonton på kommunen. Just det sistnämnda är en teknisk utmaning som kommunen bearbetar aktivt för att kunna hantera bättre.
Kommunens organisation hanterade begäran om registerutdrag bra, under serviceenhetens kontaktcenter som koordinerande enhet. Redan tidigare, innan GDPR, har till exempel
Socialkontoret relativt ofta hanterat liknande förfrågningar, men då baserat på Socialtjänstlagen.
Rutin och vana att hantera förfrågningar om registerutdrag fanns redan, och kunde utökas till att omfatta GDPR och andra enheter.
4.2 Utbildning och kommunikation generellt i kommunen.
De utbildningsinsatser som workshopparna har utgjort, har nått en ”inre kärna” på respektive kontor, medan det stora flertalet medarbetare inom kommunen tog del av utbildning som gavs under början av 2018. För att vidare lyfta den allmänna utbildningsnivån utarbetas ett program för självstudier via så kallad e-learning av DSO och en arbetsgrupp. Syftet är både att etablera ett grundläggande utbildningspaket för nyanställda, och ett mindre utbildningspaket för uppföljningskontroll av redan tidigare utbildad personal.
En tanke bakom GDPR-nätverket med kontaktpersoner på varje kontor har varit att lättare fånga upp de personuppgiftsincidenter som skall rapporteras enligt förordningens krav. Det är inte alltid uppenbart för de medarbetare som inte ingår i nätverket att en rapporteringsbar händelse inträffat, och det är därför en av GDPR-kontaktpersonernas uppgifter att försöka uppmärksamma de gånger sådana händelser inträffar. Det finns dock svårigheter i de större förvaltningarna, tex inom skolområdet, att nå ut till alla verksamheter och fånga upp de incidenter som eventuellt inträffar. Kommunikationen från verksamheternas yttersta delar till den centrala informationssäkerhetssamordnaren behöver förbättras, för att minska risken för att incidenter inte uppmärksammas och rapporteras. Systematiserade insatser för att ge
kommunikations-verktyg bedöms inte vara den viktigaste åtgärden att vidta, utan
utbildningsinsatser som leder till ökad medvetenhet bör ge störst utfall för ökad kvalitet.
Utbildningsinsatserna bör riktas särskilt till de verksamheter där känsligheten är störst, t ex inom skola, vård och omsorg.
4.3 Kommunikation på ledningsnivå.
Kommunikationen har löpande bedrivits mellan DSO och kommunens ledningsgrupp, och vid ett tillfälle med kommunstyrelsens arbetsutskott.
Kommunikationen med kommunledningskontoret har fungerat mycket väl.
Det är viktigt att DSO kommer i kontakt med nämnderna, som har det yttersta ansvaret för att dataskyddsförordningen följs inom sina ansvarsområden. Målet är att både ge utbildning om GDPR och att informera om status i de verksamheter som lyder under nämnderna.
Ytterligare en ledningsnivå som bedöms vara mycket viktig för att kommunen skall kunna säga att dataskyddsförordningen följs, är rektorerna på kommunens skolor. Skolväsendet bedöms vara den verksamhet där riskerna för personuppgiftsincidenter är stor, och skaderisken störst, eftersom barns personuppgifter är särskilt skyddsvärda. DSO vill därför erbjuda rektorerna en möjlighet till utbildning och diskussion kring tillämpningen av GDPR i deras verksamheter.
4.4 Personuppgiftshantering inom kommunen
DSOs bedömning är att kommunen har en generellt god personuppgiftshantering. Till och med april 2019 har kommunen kartlagt huvuddelen av de personuppgiftshanteringar som hanteras och genomförs på förvaltningarnas kontor och via de digitala verktyg som kommunens förvaltningar tillhandahåller alla verksamheter. Kartläggningens dokumenterade status skall undersökas under interna revisioner under det andra kvartalet 2019 och har påbörjats.
Störst risk för personuppgiftsincidenter är vid kommunikationer med externa parter, som till exempel kommuninnevånare, andra kommuner och myndigheter. För att minska risken för felaktig kommunikation där obehöriga kan nå personuppgifter, har kommunen upphandlat ett system för ”säkra meddelanden” (Trusted Dialog). DSO bedömer att införandet kommer att reducera risker vid kommunikation avsevärt och är ett starkt bidrag till att säkra uppfyllelsen av GDPR i kommunen.
Det finns arbetsflöden som inbegriper personuppgiftshantering utanför de centrala verksamheterna som ännu inte är kartlagda och kan innebära risker för
personuppgiftsincidenter. Till dessa hör till exempel kommunala skolors lokala hantering av personuppgiftsregister i form av pappersbaserade listor och enskilda anställdas hantering av tex elevers personuppgifter utanför den centrala skolplattformen. Fram till dess att kommunens rektorer är ytterligare informerade och upplysta om skyldigheter, ansvar och befogenheter avseende personuppgiftshantering kvarstår riskbedömningen.
4.5 Incidentrapportering
Kommunen har upptäckt ett flertal händelser som kan klassificeras som personuppgiftsincidenter, och har rapporterat dessa enligt nedanstående tabell.
Händelse- datum
Nämnd Händelsebeskrivning Antal drabbade personer
Risk- bedömning
Datainspek- tionens svar
2018-09-05 Utbildning Huddinge kommun skickade uppgifter om elev med skyddad identitet i betalningsunderlag till Sollentuna kommun.
1 Obetydlig Väntar på DI’s svar
2018-09-15 Utbildning Vid leverans av ett yttrande till Skolinspektionen bilades av misstag ett beslut rörande en annan elev.
1 Obetydlig Väntar på DI’s svar
2018-08 Utbildning I november 2018
uppmärksammades att en elev som fått skyddade personuppgifter fortfarande hade sina uppgifter synliga på kommunens
skolplattform, inklusive namnen på två
vårdnadshavare.
3 Begränsad Väntar på DI’s svar
Händelse- datum
Nämnd Händelsebeskrivning Antal drabbade personer
Risk- bedömning
Datainspek- tionens svar
2019-02 Utbildning En vårdnadshavare uppmärksammade kommunen på att skolplattformen tilldelar samma lösenord till alla elever (som uppmanas att ändra dem).
Vårdnadshavaren lyckades få tillgång till andra elevers information genom att använda lösenordet tillsammans med andra elevers användarnamn.
180 Betydande Väntar på DI’s svar
2019-02-14 Utbildning En anonym anmälare lyckades få tillgång till en elevs personnummer och profilbild, genom att söka informationen som inloggad ansvändare.
1 Begränsad Väntar på DI’s svar
Utbildningsnämnden är i dagsläget den enda enhet som upptäckt, rapporterat och åtgärdat incidenter. Som tidigare nämnts i rapporten har utbildningsnämndens verksamheter en högre risk vad avser möjliga incidenter på grund av det stora elevantalet som hanteras, men
rapporteringen i sig bör ses som ett utslag av att medarbetarna på skolförvaltningen har varit särskilt uppmärksamma och medvetna om de risker för personuppgiftsincidenter som förekommer.
Tre av de fem rapporteringarna anses bero på mänsklig faktor. Denna bild stämmer relativt väl med Datainspektionens samlade bild över de 2300 incidentrapporter de mottog under 2018, där den mänskliga faktorn utgör den övervägande orsaken till de incidenter som rapporterats (se figur 1).
Kommunens plan är att genom vidareutbildning minska risker för incidenter beroende av mänskliga faktorer. Ju mer medvetna alla medarbetare är om sin egen roll i hanteringen av personuppgifter, desto mer uppmärksamma kommer de att vara och därmed minskar risken för omedvetna fel.
En viktig nyckel till framgång är GDPR-nätverket, vars medlemmar sprider information till sina medarbetare i hela organisationen fortlöpande. Utbildning och informationsspridning genom dessa kanaler är viktigast för nå flest av kommunens medarbetare.
Figur 1 Datainspektionens redovisning av orsaker till incidenter. (Källa: Datainspektionens rapport 2019:1)
Två av dem avser tekniska fel i en underleverantörs produkt och klassificeras som tekniska fel.
Strukturerade diskussioner genomförs med leverantören, som i ett fall har korrigerat och i ett annat helt har stängt säkerhetsluckan, som fördjupat sitt säkerhetsarbete märkbart i dialogen med kommunen. De incidenter som rapporterats avser fall där obehörig åtkomst skett, vilket i Datainspektionens rapport är den näst vanliga orsaken (se figur 2).
Figur 2 Datainspektionens redovisning av typer av incidenter (Källa: Datainspektionens rapport 2019:1)
4.6 Revisionsplan
Första omgången av interna revisioner avseende GDPR inleds april 2019 och skall vara avslutade senast juni 2019. I denna första kontrollomgång kommer resultaten från
workshopparna att granskas, där enheterna gjorde handlingsplaner både för IT-system och för manuella arbetsflöden.
Följande internrevisionsomgång inleds november 2019 och slutförs december 2019. Planen för denna andra genomgång är dels strukturerad uppföljning av tidigare skapade handlingsplaner, men framförallt ska riskbedömningar och rutiner gås igenom. Även uppföljningsutbildningar skall gås igenom, eftersom den enskilt största risken för att personuppgiftsincidenter ska inträffa är genom den mänskliga faktorn. Genom att se till att uppföljningsutbildningarna är välbesökta, säkerställs i hög grad att kommunen följer GDPR.
5 Plan för fortsatt arbete
Det strukturerade arbete som krävs för att kommunen skall kunna sägas fullt ut följa
Dataskyddsförordningen, berör till stor del strukturerat kvalitetsarbete kopplat till kommunens organisation.
Chefer saknar idag möjlighet att strukturerat upprätta lokala rutiner för sin egen verksamhet, vilket bromsar möjligheterna att snabbare nå ett läge där vi kan anse oss ”klara” med
implementationen.
Det är därför av yttersta vikt att ett strukturerat ledningsarbete för kvalitet etableras i
kommunen. Med ett sådant på plats kan samtliga chefer avkrävas dokumenterade rutiner för de arbetsmoment som tillkommit i samband med Dataskyddsförordningens införande.
Under arbetets gång har det framkommit att kommunen inte har rutiner för riskhantering införda, vilket behövs för att uppfylla Dataskyddsförordningens krav. Ett riskbaserat
tillvägagångssätt för att prioritera insatser förenklar och tydliggör målbilden för medarbetare och är helt i linje med kraven i GDPR. På enhetsnivå dokumenteras riskbedömningarna tillsammans med informationshanteringsplanerna och skapar ett underlag som lätt kan följas och kontrolleras.
En första enkel modell har föreslagits GDPR-nätverket att börja med, på samma bas som det som visas i bilaga 1 till denna rapport. Det finns många olika modeller och standarder för hur riskhantering kan genomföras, och en utredning bör göras om vad som passar de olika
verksamheterna i kommunen bäst.
De områden som kommer att följas särskilt noga under kommande år är skolverksamheten (eftersom riskbedömningen är hög för lokala avvikelser), vård- och omsorg (eftersom konsekvenserna är stora om incidenter inträffar) och HR (avseende chefers hantering av medarbetares personuppgifter utanför de styrande IT-systemen).
6 Slutsatser och råd för fortsättning
Sollentuna kommun har genomfört en genomgripande kartläggning av personuppgiftshantering i relevanta arbetsflöden och har utbildat nyckelpersoner inom varje förvaltning. Det återstående behovet av kartläggning och fördjupad utbildning utgörs främst av lokala
personuppgiftshanteringar i kommunens skolor.
Kommunen har upprättat ett nätverk för informationsspridning och incidentrapportering till dataskyddsombud och informationssäkerhetsansvarig. I nätverket representeras alla
förvaltningars enheter.
Kommunen har en generellt god nivå vad gäller överensstämmelse med
Dataskyddsförordningen. De kända problemställningar som finns är till stor del av teknisk natur avseende IT-strategier, och ett aktivt arbete för att komma till rätta med dessa pågår.
Kommunens beredskap vid personuppgiftsincidenter är god. Genom det interna GDPR- nätverket har Dataskyddsombudet god möjlighet att både fånga upp och agera på signaler om problem.
Bilaga 1 – Riskbedömning för övergripande personuppgiftshantering i kommunen
Nedanstående tabell beskriver det riskhanteringsverktyg som används inom kommunens GDPR-nätverk och ta enbart upp några exempel på riskbedömningar och kopplade åtgärder som behöver införas.
Identifierad risk Vad kan hända? Sannolikhet Allvarlighet Riskbedömning Åtgärd
Sannolikhet efter åtgärd
Allvarlighet efter åtgärd
Riskbedömning efter åtgärd
Åtgärdsplan om incident baserad på risk inträffar Personal inom
kommunen skickar personuppgifter i mail.
Så har man gjort tidigare, och det är vanemönster som inte är lätta att bryta.
Obehörig åtkomst från annan än
mailmottagaren kan inträffa.
Stor
sannolikhet Begränsad 6
Kommunen planerar utbildningar som ska leda till ökad medvetenhet och bryta vanemönstret.
Låg sannolikhet Begränsad 4
Om incident inträffar, skall behov av särskild utbildningsinsats för medarbetaren och dennes avdelning göras.
Personuppgiftshantering utanför kontrollerade digitaliserade
arbetsflöden genomförs.
Kartläggning av dessa saknas.
Personuppgiftsincidenter kan inträffa pga låg medvetenhet och obehörigt röjande av personuppgift kan inträffa.
Stor
sannolikhet Begränsad 6
DSO måste beredas möjlighet att öka medvetenhet i de verksamheter som finns utanför de centrala kontoren.
Genom utbildning kan användningen av de okontrollerade arbetsflödena begränsas.
Låg sannolikhet Begränsad 4
Om incident inträffar, skall behov av särskild utbildningsinsats för medarbetaren och dennes avdelning göras.
Användning av sociala medier i relation med minderåriga måste särskilt beakatas. Dessa kan inte själva avgöra om det är lämpligt att bilder på dem läggs upp i sociala medier eller inte.
Enskildas identitet kan röjas vid publicering av bilder på tex skolgård med barn. Särskilt känsligt om det finns barn med skyddad identitet på bilderna.
Stor
sannolikhet Betydande 9
Instruktioner till all personal som arbetar med barn att bllder och omnämnanden aldrig får visa ansikten eller identifierbara delar av individer eller deras klädsel i sociala medier eller nyhetsbrev.
Försumbar
sannolikhet Betydande 3
Om incident inträffar, skall behov av särskild utbildningsinsats för medarbetaren och dennes avdelning göras.
Rapportering till Datainspektionen är nödvändig, liksom detaljerad uppföljning med ansvarig chef för att förhindra upprepning.
Konsekvensanalys för den drabbade skall genomföras och särskilt
åtgärdsprogram vidtas om det bedöms nödvändigt.
