Nulägesanalys av dataskydd i Hörby kommun Q4 2020

(1)

Nulägesanalys av dataskydd i Hörby kommun Q4 2020

Carine Spång

Expert inom IT- och informationssäkerhet samt dataskydd ArkivIT

Tel: +46706-687766 Växel: 08-410 008 01

E-post: carine.spang@arkivit.se Webb: www.arkivit.se

Adress: Brunnsgatan 13, 111 38 Stockholm

(2)

ArkivIT AB · Org. nr. 556854–0883 · info@arkivit.se · Rådmansgatan 49, 113 59 Stockholm

2

Innehåll

Sammanfattning ... 3

Inledning ... 3

Syfte och mål ... 3

Tillvägagångssätt ... 3

Dataskyddsombud ... 4

Sammanställning ... 4

Intranät ... 4

Hemsida ... 4

Behandlingsregister ... 4

PUB-avtal ... 4

Dokumentation av informationssäkerhet och dataskydd ... 4

Inventering av organisationens arbete med dataskyddsförordningen ... 5

Slutord ... 5

Bilagor ... 6

Bilaga 1 ... 6

Bilaga 2 ... 9

(3)

3

Sammanfattning

Avsikten med denna analys som genomfördes under oktober 2020 var att kartlägga status och nuläge avseende efterlevnad av dataskyddsförordningen för de av Hörby kommuns informationsmängder och verksamhetssystem som innehåller personuppgifter samt att få underlag till en handlingsplan som ska ligga till grund för fortsatt arbete med att anpassa verksamhet och arbetssätt enligt kraven i dataskyddsförordningen.

Vid analysen har inventering av befintlig dokumentation för informationssäkerhet och dataskydd genomförts. Detta har skett genom ett frågeunderlag som har skickats till

respektive förvaltning, genomlysning av dokumentationen i DraftIT samt den dokumentation som tidigare DSO har producerat. Vidare har den information som finns på kommunens hemsida och på intranätet granskats.

Hörby kommun har genom avtal samarbete med Höör kommun. Ansvar för IT-drift regleras genom avtal med Unikom, som är ett kommunalt bolag.

Inledning

Hörby kommun ersatte under hösten 2020 dataskyddsombud den tidigare

kommunsekreteraren som hade rollen som DSO, till externt DSO genom köp av ”DSO som tjänst” från ArkivIT AB, Stockholm. I samband med byte av dataskyddsombud genomförde Carine Spång, informationssäkerhets- och dataskyddskonsult vid ArkivIT, en granskning av existerande dokumentation, intranät, hemsida samt en analys av vilken kännedom som finns inom kommunen om dataskydd samt vilka arbetssätt och rutiner som finns.

Syfte och mål

Syftet med granskningen var:

• att få en lägesbild om efterlevande av och medarbetarnas kunskap om Dataskyddsförordningen

• att få en uppfattning om vilken information som finns tillgänglig för personal och medborgare

• att få en uppfattning om det finns behov av uppdatering av befintliga styrande dokument eller om det finns behov av nya styrande dokument inom kommunen.

Målet för granskningen var att få en bild av nuläget för dataskyddsarbetet vid Hörby kommun.

Tillvägagångssätt

Den dokumentation som finns hos kommunen samt utdrag ur DraftIT djupgranskades. Ett frågeformulär skickades till och besvarades av medarbetare i de olika förvaltningarna.

(4)

4

Dataskyddsombud

Hörby kommun har sedan september 2020, genom avtal externt dataskyddsombud registrerat hos Datainspektionen. Dataskyddsombudet är registrerat för Barn och

utbildningsnämnden, Kommunledningsförvaltningen, Kultur och fritidsnämnden och Tekniska nämnden, Bygg och Miljönämnden (Samhällsbyggnadsförvaltningen).

Sammanställning

I sammanställningen görs en kort objektiv redovisning av respektive kontrollpunkt.

Intranät

Den information om dataskyddsförordningen som finns på kommunens intranät är daterad maj 2018. Det är en information om dataskyddsförordningen införande i Europa samt kort information om hur kommunen arbetar. Det finns en länk till information från

Datainspektionen. De underlag som har granskats har skickats till mig via e-post, varför tillgängligheten inte kan utvärderas.

Hemsida

Information till medborgare finns på www.horby.se. Det är enkelt att hitta informationen via sökfunktionen. Informationen är uppdaterad juli 2020 och det finns länkar för tjänster som till exempel registerutdrag.

Behandlingsregister

Dataskyddsförordningen Artikel 30, kräver att den personuppgiftsansvariga ska föra register över de behandlingar av personuppgifter som utförts under dess ansvar. Hörby kommun dokumenterar alla personuppgiftsbehandlingar i mallen för behandlingsregister i DraftIT.

PUB-avtal

Ansvarsfördelning mellan personuppgiftsansvarig och personuppgiftsbiträde ska regleras i personuppgiftsbiträdesavtal, dataskyddsförordningen Artikel 28.3. Antalet upprättade personuppgiftsbiträdesavtal varierar mellan förvaltningarna.

Dokumentation av informationssäkerhet och dataskydd

Styrande dokument för informationssäkerhet och dataskydd utgörs av följande:

Informationssäkerhetsinstruktion – användare, godkända av IT-nämnd Skåne Nordost, 2013-04-25. Beslutet omfattar detta godkännande samt uppmaningen till respektive kommun att fastställa förslaget till ” Informationssäkerhetsinstruktion – Användare”.

Riktlinjer för informationssäkerhet, beslutade i Kommunstyrelsen 2013-10-08.

Beslut om tillsättande av säkerhetsskyddschef, fattades av Räddningstjänst Skåne Mitt, 2019-12-17.

(5)

5

Inventering av organisationens arbete med dataskyddsförordningen

Ett frågeunderlag skickades till organisationen i syfte att få en övergripande lägesbild per förvaltning. Samtliga frågor besvarades inom stipulerad tid.

Frågor och svar redovisas i Bilaga 1.

Av utkastet till handlingsplan, framgår förslag på åtgärder och förslag till prioritetsordning samt hänvisning till aktuell artikel i Dataskyddsförordningen, Bilaga 2.

Slutord

Av genomförd granskning framgår att Hörby kommun väl förberedde organisationen inför dataskyddsförordningen. Dokument och information avsedd för medarbetare och

medborgare togs fram, hemsidan och intranätet uppdaterades, medarbetarna utbildades.

Digitala tjänster för att tillgodose den registrerades rättigheter infördes.

registerförteckningar upprättades och godkändes.

Till följd av stor personalomsättning och chefsbyten saknar flera medarbetare och chefer utbildning i dataskyddsförordningen.

Organisationen bör återuppta sitt påbörjade arbete för att anpassa metoder och arbetssätt till dataskyddsförordningen samt införa ett systematiskt arbete med informationssäkerhet.

Hörby 2020-11-13

--- Carine Spång

Konsult/ dataskyddsombud Hörby kommun

(6)

6

Bilagor

Bilaga 1

Inventering av organisationens GDPR-arbete.

Ett frågeunderlag skickades till medarbetare inom organisationen i syfte att få en övergripande lägesbild per förvaltning. Samtliga frågor besvarades inom stipulerad tid.

Tabell ”Frågor och svar” (svaren är samanställda av inkomna svar) Frågor för att få underlag till en

nulägesanalys

Sammanställt svar Har ni utsett Dataskyddsombud och anmält

hen till Datainspektionen?

Samtliga nämnder har utsett och anmält dataskyddsombud till Datainspektionen.

Vad menas med att man ”behandlar” eller

”hanterar” personuppgifter?

Allt man gör med personuppgifter, samlar in, registrerar, lagrar, lämnar ut

Hantering (samla in, lagra, lämna ut) av all information som direkt eller indirekt kan knytas till en person.

Vad menas med "personuppgifter"? All slags information som direkt eller indirekt kan knytas till en person, till exempel

registreringsnummer på bil, namn, adress, personnummer, foton, e-postadress.

Finns det någon enhet/avdelning (förutom HR) som är ”personuppgiftsintensiv”?

Utbildningssidan av Kultur-, fritids- och utbildningsförvaltningen. På

kommunledningsförvaltningen är HR, Ekonomi och Kansliavdelningen förhållandevisa

personuppgiftsintensiva. Bygg och miljö.

Vilka typer av personuppgifter finns (behandlas) i era system?

Namn, personnummer, adresser,

telefonnummer, information om hälsa och etniskt ursprung, fastighetsbeteckningar, kön, foton, registreringsnummer för fordon.

Behandlas några känsliga personuppgifter?

(Personnummer är i praktiken en känslig uppgift, andra känsliga uppgifter är till exempel facklig tillhörighet, politiska åsikter, etniskt ursprung, sexuell läggning).

Hälsotillstånd (HR), Politiska åsikter

(partibeteckningar), facklig tillhörighet (HR för att göra lönerevision) läkarintyg (bostadsanpassning och parkeringstillstånd), personnummer.

Hur har ni kontroll över era personuppgiftsbehandlingar?

Svaren skiftar mellan förvaltningarna, saknas tydliga rutiner för att hålla registerförteckningar uppdaterade. Rutin finns vad gäller behörigheter i ärendehanteringssystemet.

Registerförteckningar är inte fullständiga, registrering sker i DraftIT.

För ni register över vilka behandlingar av personuppgifter ni utför?

DraftIT system för registerförteckningar

användas, hur långt man kommit i arbetet skiljer mellan förvaltningarna.

Hur ofta uppdateras registret över era personuppgiftsbehandlingar?

Det uppdateras regelbundet men det skiftar mellan de olika förvaltningarna hur ofta och i vilken utsträckning uppdateringar genomförs.

Har ni ett specifikt syfte med respektive behandling?

Ja.

(7)

7

Är syftet konkret formulerat för varje behandling?

Ja. Vissa syften är mer konkreta/specifika än andra. Behöver förtydligas.

Har ni identifierat vilken/vilka den lagliga grunden är för varje behandling?

Svaren skiftar mellan förvaltningarna, från att laglig grund inte är angiven för respektive behandling till att all dokumentation görs i DraftIT där man har laglig grunden för de

personuppgiftsbehandlingar som registrerats där, men det behöver troligen gås igenom igen för att säkerställa att det inte finns några luckor.

Vilka PUB-avtal finns? Svaren skiftar mellan förvaltningarna

Det ska finnas ett PUB-avtal till varje avtal med leverantör som kan komma att behandla personuppgifter för kommunens

personuppgiftsansvarigs räkning. I diariet för KS finns personuppgiftsbiträdesavtal mellan Hörby kommun och Self Point Sverige AB, Unikom, Formpipe, Myndighet för samhällsskydd och beredskap, Visma (Tendsign), Xpand,

Hörbybostäder, Vision, Mittbygge, Timecenter, Vision.

Saknas det avtal med någon av dem som behandlar personuppgifter för er räkning?

Kan inte besvaras.

Överför ni personuppgifter till något land utanför EU/EES?

Kan inte besvaras.

Vet de registrerade om att de är registrerade? Information enligt dataskyddsförordningen finns på ansökningsblanketter, till exempel för bygglov, dock osäkert om det finns för alla typer av

blanketter. Förtroendevalda och medborgare (medborgarförslag).

Hur informeras den registrerade? Via Hörby kommuns hemsida eller via en generell text som finns på till exempel beslut som

innehåller personuppgifter.

Hur säkerställer ni att det bara är de personuppgifter som är nödvändiga för behandlingen ni samlar in?

Det saknas rutin för att säkerställa att uppgifter samlas in som inte är nödvändig. Information i verksamheten, men kontroller behöver utföras för att säkerställa följsamhet. Det säkerställs inte annat än genom att personalen vet om detta.

Hur vanligt är det att personnummer samlas in vare sig det behövs eller inte?

Personnummer samlas inte in aktivt men det är möjligt att vi har insamlade uppgifter som inte behövs. Vissa "bra att ha listor" förekommer.

Finns gallringsbeslut för uppgifterna? För vilka personuppgifter finns i så fall gallringsbeslut?

Det är angivet i Dokumenthanteringsplaner. Det saknas strukturerad gallringsrutin generellt sett.

Har ni några områden där vi behöver titta mera noggrant på

personuppgiftsbehandlingen?

Generella rutiner för personuppgiftshantering.

Har ni genomfört någon GDPR-utbildning? Ja och nej, beroende på förvaltning.

(8)

8

När genomfördes utbildningen? Det har genomförts en utbildning 2018. det framgår inte av svaren vilka förvaltningar som omfattats.

Till vilka grupper erbjöds utbildningen? Utbildning erbjöds alla i dåvarande personal.

Personalomsättning sedan dess.

Hur lång var utbildningen? Digital utbildning och arbetsplatsträffar.

Var genomfördes utbildningen? Kommunens lokaler.

Vem/vilka höll utbildningen? Dataskyddsombud, Draft it, Datainspektionen (vissa funktioner).

(9)

9

Bilaga 2

Inför GDPR:s införande dokumenterades arbetsrutiner. 470 registerförteckningar upprättades och godkändes.

Mallar och arbetsdokument, till exempel mall för samtycke, information och biträdesavtal upprättades.

Hemsidan och intranätet uppdaterades med information om GDPR. Kontaktvägar för löpande kontakt med externa kontakter, såsom Datainspektionen, DraftIT, Kommunförbundet, samarbetskommuner och Unikom upprättades. Information i kommunövergripande system samt dokument i K-mapp, inventerades och rensades vid behov.

Tjänsten ”Begäran om registerutdrag” digitaliserades. Utbildning och rådgivning till kommunens verksamheter och samtliga medarbetare, politiker och bolag har genomförts. Utbildningsinsatser omfattade 141

utbildningstimmar exklusive förberedelser.

Av genomförd granskning framgår att Hörby kommun har genomfört ett inledande GDPR-arbete. Det finns information avsedd för medarbetare och medborgare. Utbildningar genomfördes inför GDPR:s införande.

Utifrån genomförd granskning föreslås bifogad handlingsplan. Målet med planen är att:

• ett organiserat och proaktivt arbetssätt säkerställs

• ha tillgång till mätbara mål för uppföljning och avstämning

• kunna kvalitetssäkra och mäta effekten av ”DSO som tjänst”

• säkerställa att det hos medarbetarna inom organisationen finns en tillräcklig kunskap

• genom arbetssätt och kunskap säkerställs att det finns ett tillräckligt skydd för personuppgifter som behandlas inom organisationen

• organisationen har policys och rutiner för att proaktivt upptäcka förlust eller läckage av personuppgifter

• det finns anvisningar eller rutiner för att hantera de registrerades rättigheter

• organisationen har transparens gentemot medarbetare och medborgare

• det finns en ändamålsenlig organisation för incidenthantering utifrån dataskyddsförordningens krav

Förslag till handlingsplan,

Hög prioritet (inom 3 månader) Medel prioritet (inom 4-8 månader) Låg prioritet (inom 18 månader) Löpande

Aktivitet Åtgärd Prioritet

DraftIT & behandlingsregister GDPR, Artikel 30

Rutin för periodvis uppdatering av behandlingsregister i DraftIT

Löpande Rutiner, mallar och arbetsdokument Dokumentera befintliga mallar

Identifiera saknade mallar.

Uppdatera vid behov Skapa nya vid behov

Medel - Låg

Intranät Information samt uppdatera

befintlig information

Hög

Hemsidan Ta fram infotext och uppdatera

information till medborgare

Hög Kompetenshöjning GDPR Plan och dokumentera

utbildning för nyanställda samt för att fortbilda anställda

Låg

Policys, riktlinjer, anvisningar Se över och dokumentera styrdokument för informationssäkerhet och dataskydd

Uppdatera

Hög

Rutin för incidenthantering och Incidentrapportering till tillsynsmyndighet

Skapa organisation för incidenthantering

Hög

(10)

10

GDPR Artikel 33 Medarbetare ska vara

informerade om hur

personuppgiftsincidenter ska rapporteras.

Se över och dokumentera om det behövs en rutin för misstanke om

personuppgiftsincident

Hög

Dokumentera rutin för att rapportera

personuppgiftsincidenter till tillsynsmyndigheten som säkerställer att detta sker inom 72 timmar samt om och hur berörda ska informeras

Hög

Personuppgiftsbiträdesavtal GDPR Artikel 28

Se över och dokumentera om det behövs en rutin för diarieföring av biträdesavtal, bör administreras tillsammans med huvudavtalet då PUB är bilaga

Löpande

Personuppgiftsbiträdesavtal ska vara tecknat med samtliga personuppgiftsbiträden.

Hög Löpande

E-post Se över och dokumentera om

det behövs en rutin för att hantera personuppgifter i e- post det finns instruktion på intranätet samt Unikoms IT- policy

Hög bör göras snarast

Fritextfält i verksamhetssystem Se över och dokumentera om det behövs en rutin för vad som får skrivas i ett fritextfält

Hög Löpande

Behörighetstilldelning i verksamhetssystem

Se över och dokumentera om en rutin behövs

förbehörighetstilldelning.

Medel

Registerutdrag GDPR Artikel 15

Det är möjligt att på begäran från den registrerade göra en sammanställning av den registrerades personuppgifter i systemet.

ID-kort, bankID

Hög - Medel

Instruktion till medarbetare om rutinen att samla in och sammanställa registerutdrag

Hög - Medel

Rutin för hantering av begäran om registerutdrag och

utlämning av sammanställning.

(per nämnd)

Hög - Medel