Ali Narimani – december2018
SLUTRAPPORT PROJEKT GDPR
1
Projektnamn Behandling av personuppgifter enlig dataskyddsförordning (GDPR)
Projektledare Bijan Narimani
Projektperiod 2017-11-01 till 2018-12-31
2 Innehåll
Inledning ...3
Definitioner & förkortningar...3
Syfte & mål ...3
Syfte ...3
Mål ...3
Omfattning & strategi...4
Omfattning...4
Strategi...4
Avgränsningar ...4
Tidsplan...4
Organisation ...5
Metod/Modell ...6
Projektets genomförande...6
Resultat...6
Registerförteckningar ...6
Utbildningar ...7
Information till ledning ...7
Erfarenheter ...7
3 Inledning
Nytt regelverk från våren 2018 har påverkat den kommunala verksamheten och dess bolag avseende intern och extern informationshantering av personuppgifter: Dataskyddsförordningen (EU) DSF 2016:
hädanefter benämnd efter det engelska namnen General Data Protection Regulation (GDPR). De nya regelverken medför både ekonomiska och verksamhetsmässiga konsekvenser för kommunen.
Definitioner & förkortningar
GDPR - General Data Protection Regulation, Dataskyddsförordningen.
Personuppgifter: Varje upplysning som avser en identifierad eller identifierbar fysisk person
Behandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej
Registerförteckning: Ett strukturerat register över behandling av personuppgifter
DSO (Dataskyddsombud): Kontaktperson mellan kommunen och tillsynsmyndighet samt den registrerade
PUL: Personuppgiftslagen 1995
PUA (Personuppgiftsansvarig): Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå i till. I kommunen är det nämnderna.
PUB (Personuppgiftsbiträde): Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Personuppgiftsbiträdesavtal: Biträdesavtal är ett tilläggsavtal mellan personuppgiftsansvarig och personuppgiftsbiträde som garanterar att personuppgifter behandlas enligt bestämmelserna i GDPR.
Syfte & mål
Syfte
Syftet med projektet har varit att förbereda kommunen, dess nämnder, förvaltningar och verksamheter inför den nya förordningen. Det innebär att bygga grunden och skapa förutsättningar så att all personal i kommunen får lika information och utbildning inom GDPR, för att kunna tillämpa lagen i sitt dagliga arbete.
Mål
Målet med projektet har varit att:
Alla förvaltningar, verksamheter och kommunala bolag ska ha definierat och upprättat en sammanhållen inventering (registerförteckning) av verksamhetens personuppgiftstillgångar.
Alla förvaltningar, verksamheter och kommunala bolag ska identifiera vilka åtgärder som krävs för att uppfylla de nya lagkraven.
Skapa organisation för dataskyddombud (DSO) och andra eventuella organisatoriska förändringar.
4 Omfattning & strategi
Omfattning
Projektet har omfattat hela kommunen enligt dess organisationsschema.
Berörda parter skall ha fått information och kunskap om de nya reglerna samt vara bekväma i vad eventuella förändringar inneburit i termer av krav, arbetssätt,
organisation och verksamhet. Upplägget för projektet var att följa de erfarenheter som fanns i Karlstad, vi benämner detta som ”Karlstadmodellen”.
Strategi
Primärt har varit att kommunen vid projektets slut har fått grunden för att kunna leva upp till GDPR och få in GDPR i vardagen. Följa upp och kvalitetssäkra genom regelbunden granskning och revision av personuppgiftsbehandling i de olika verksamheterna.
Detta säkerställs genom att kommunicera effektivt och regelbundet för att skapa insyn, samsyn och helhet.
Utbildning är också en framgångsfaktor. Ett inledande uppstartsmöte hölls tidigt i projektet för att skapa en gemensam utgångspunkt och målbild.
Information om projektet har regelbundet kommunicerats till berörda parter med stöd av en kommunikationsplan.
Avgränsningar
Projektet har inte hanterat aktiviteter eller det resursbehov som krävs i respektive förvaltning/bolag eller de kostnader som uppkommer vid nödvändiga förändringar inom verksamhetssystem samt
verksamhetsprocesser.
Projektet ansvarade för att förbereda och bygga grunden i kommunen för de nya regelverken. Respektive förvaltning och bolag ansvarade för att uppfylla och hantera de krav och förändringar som regelverken kan ha inneburit.
Projektet hanterade de regelverk som fanns tillgängliga under projekttiden.
Tidsplan
Projektet statades november 2017. Det praktiska arbetet med registerförteckningar påbörjades i januari 2018 efter förberedelserna.
5 Projektplan har varit enligt nedanstående schema.
Rubrik månad 1 2 3 4 5 6 7 8 9 10 11 12 13
Beskrivning/uppstart
Skyddsombud Organisation*
Projekt G1 Inventering
Analys/åtgärd samordning Regler och rutiner Slut rapport
Organisation
Organisationen består av
Projektledare/Dataskyddsombud
Projektgrupp bildades med representanter från varje förvaltning/verksamhet.
De flesta av dessa medlemmar hade jobbat med PUL i kommunen innan projektstart.
Roller, ansvar och befogenheter1
1 Referensgruppen har inte fungerat i den tilltänkta rollen I expertgruppen har inte IT-enheten påverkat på något sätt
Beställare/ägare
Projektbeställaren kan i samråd med styrgruppen beslutaom ändringar eller avbryta projektet i förtid.
Styrgrupp Styrgruppen har till uppgift att svara för beslutsfattande inom projektet.
Projektledare
Projektgrupp
Personal som hanterar frågan idag
Projektledaren ansvarar för allt som ligger inom projektets ramar enligt projektspecifikation.
Projektgruppen arbetar för att föra projekts operativa arbete framåt.
Expertgrupp It enheten - konsult
Referensgrupp
Dåvarande PUL ansvarig informatör
Referensgruppens roll är att vara informationsbärare och ansvarar för att relevanta beslut tas i respektive verksamhet.
Expertgruppen bistår projektgruppen bl.a. med kunskap och kvalitetssäkring. Arbetar stödjande med expertkunskaper inom respektive område.
6 Metod/Modell
Då det inte fanns beskrivna projektmodeller i Forshaga kommun för att kunna kvalitetssäkra projektet, användes Karlstad kommuns projektmodell som stöd för beslut, resurstillsättning, kommunikation och dokumentation.
Genom utbildning, kunskap och information underlättades projektets måluppfyllelse.
Den valda metoden för att kunna lyckas med projektet skulle vara en beprövat metod och för det valdes MSB´s systematiska metod som i sin tur baseras på ISO/IEC-standard.
Projektets genomförande
Alla förvaltningar och bolag har definierat och upprättat en sammanhållen inventering av respektive verksamheters personuppgiftstillgångar
(Registerförteckningar)2som regleras enligt GDPR.
Definierat termer och begrepp vilka sedan tillämpats i aktiviteter och kommunikation för att nå projektets mål3.
Inventering av personuppgiftstillgångar i syfte att identifiera tillgångar och processer som hanterade personuppgifter (nuläge, Gap-analys, anpassning).
Alla förvaltningar och bolag har identifierat vilka åtgärder4 som krävts för att uppfylla de nya lagkraven kopplat till den egna verksamheten.
Samordning och stöd till kommunens verksamheter för att de ska ges förutsättningar att implementera GDPR genom utbildning, samverkan och informationsutbyte mellan berörda parter i projektet.
Informera och stödja kommunens ledning (nämnder och kommunledningsgrupp) gällande de nya lagarna.
Genomföra utbildnings- och kompetenshöjande insatser till alla tjänsteman i två omgångar.
Resultat
Registerförteckningar
Nästan 200 stycken behandlingar av personuppgifter med olika ändamål i digital och manuellt format har identifierats och kartlagts. De nödvändiga åtgärderna för anpassningar till GDPR i form av
ändamålsanpassning, principer, lagliga grunder enligt GDPR är registrerat. Genom kontakt med systemleverantörer har biträdesavtal tagits fram.
Det finns ett 40 tal system som administreras av It- avdelning. Forshaga kommun har inte fått vare sig kartläggning eller biträdesavtal gällande dessa system.
2 Verktyget licenserades av Draftit AB, det rekommenderades av de flesta kommunerna i Värmland
3 Enligt definitioner i artikel 4 i GDPR
4 Biträdesavtal med systemleverantörer enligt artikel 28 i GDPR
7 Utbildningar
Nästan all personal som hanterar personuppgifter i sitt arbete har fått utbildning.
Projektgruppen har deltagit i utbildningar via SKL.
Föreläsning gällande nämndens roll som personuppgiftsansvarig (utförd av projektledare).
Internutbildning för personalen i form av föreläsningar under APT möten i två omgångar (utförd av projektledare).
Framtagning av anpassat utbildningsmaterial med en avslutande test. All personal som behandlar personuppgifter kommer att genomföra utbildningen.
Information till ledning
Regelbunden information har lämnats till projektägare (kommunchefen) och styrgruppen (kommunledningsgruppen).
Erfarenheter
Forshaga kommun behöver ha en egen projektmodell. Det uppstår kvalitetsbristkostnader när vi tvingas anpassa oss utifrån andra kommuner med andra organisationer som ibland kräver andra arbetssätt.
Uppdatering av befintliga policys, framtagning av nya riktlinjer och anpassning av befintliga dokument till GDPR måste utföras.
Informationsflödet från kommunledningsgruppen till personalen i verksamheterna måste förbättras.
En lärdom under projektet är att det finns brister i hanteringen av informationssäkerhet som måste hanteras. Här är MSB metod den enda metod som är kvalitetssäkrad.
Räddningstjänstförbundet har under projektet uppmuntrats av kommunerna i Karlstadsregionen att utgöra en samordnande funktion för informationssäkerhet, bl.a. genom att likrikta
ambitionsnivån i kommunernas arbete (GDPR är en del av Informationssäkerheten).