Nulägesanalys av dataskydd i Hörby kommun Q4 2020
Carine Spång
Expert inom IT- och informationssäkerhet samt dataskydd ArkivIT
Tel: +46706-687766 Växel: 08-410 008 01
E-post: carine.spang@arkivit.se Webb: www.arkivit.se
Adress: Brunnsgatan 13, 111 38 Stockholm
ArkivIT AB · Org. nr. 556854–0883 · info@arkivit.se · Rådmansgatan 49, 113 59 Stockholm
2
Innehåll
Sammanfattning ... 3
Inledning ... 3
Syfte och mål ... 3
Tillvägagångssätt ... 3
Dataskyddsombud ... 4
Sammanställning ... 4
Intranät ... 4
Hemsida ... 4
Behandlingsregister ... 4
PUB-avtal ... 4
Dokumentation av informationssäkerhet och dataskydd ... 4
Inventering av organisationens arbete med dataskyddsförordningen ... 5
Slutord ... 5
Bilagor ... 6
Bilaga 1 ... 6
Bilaga 2 ... 9
ArkivIT AB · Org. nr. 556854–0883 · info@arkivit.se · Rådmansgatan 49, 113 59 Stockholm
3
Sammanfattning
Avsikten med denna analys som genomfördes under oktober 2020 var att kartlägga status och nuläge avseende efterlevnad av dataskyddsförordningen för de av Hörby kommuns informationsmängder och verksamhetssystem som innehåller personuppgifter samt att få underlag till en handlingsplan som ska ligga till grund för fortsatt arbete med att anpassa verksamhet och arbetssätt enligt kraven i dataskyddsförordningen.
Vid analysen har inventering av befintlig dokumentation för informationssäkerhet och dataskydd genomförts. Detta har skett genom ett frågeunderlag som har skickats till
respektive förvaltning, genomlysning av dokumentationen i DraftIT samt den dokumentation som tidigare DSO har producerat. Vidare har den information som finns på kommunens hemsida och på intranätet granskats.
Hörby kommun har genom avtal samarbete med Höör kommun. Ansvar för IT-drift regleras genom avtal med Unikom, som är ett kommunalt bolag.
Inledning
Hörby kommun ersatte under hösten 2020 dataskyddsombud den tidigare
kommunsekreteraren som hade rollen som DSO, till externt DSO genom köp av ”DSO som tjänst” från ArkivIT AB, Stockholm. I samband med byte av dataskyddsombud genomförde Carine Spång, informationssäkerhets- och dataskyddskonsult vid ArkivIT, en granskning av existerande dokumentation, intranät, hemsida samt en analys av vilken kännedom som finns inom kommunen om dataskydd samt vilka arbetssätt och rutiner som finns.
Syfte och mål
Syftet med granskningen var:
• att få en lägesbild om efterlevande av och medarbetarnas kunskap om Dataskyddsförordningen
• att få en uppfattning om vilken information som finns tillgänglig för personal och medborgare
• att få en uppfattning om det finns behov av uppdatering av befintliga styrande dokument eller om det finns behov av nya styrande dokument inom kommunen.
Målet för granskningen var att få en bild av nuläget för dataskyddsarbetet vid Hörby kommun.
Tillvägagångssätt
Den dokumentation som finns hos kommunen samt utdrag ur DraftIT djupgranskades. Ett frågeformulär skickades till och besvarades av medarbetare i de olika förvaltningarna.
ArkivIT AB · Org. nr. 556854–0883 · info@arkivit.se · Rådmansgatan 49, 113 59 Stockholm
4
Dataskyddsombud
Hörby kommun har sedan september 2020, genom avtal externt dataskyddsombud registrerat hos Datainspektionen. Dataskyddsombudet är registrerat för Barn och
utbildningsnämnden, Kommunledningsförvaltningen, Kultur och fritidsnämnden och Tekniska nämnden, Bygg och Miljönämnden (Samhällsbyggnadsförvaltningen).
Sammanställning
I sammanställningen görs en kort objektiv redovisning av respektive kontrollpunkt.
Intranät
Den information om dataskyddsförordningen som finns på kommunens intranät är daterad maj 2018. Det är en information om dataskyddsförordningen införande i Europa samt kort information om hur kommunen arbetar. Det finns en länk till information från
Datainspektionen. De underlag som har granskats har skickats till mig via e-post, varför tillgängligheten inte kan utvärderas.
Hemsida
Information till medborgare finns på www.horby.se. Det är enkelt att hitta informationen via sökfunktionen. Informationen är uppdaterad juli 2020 och det finns länkar för tjänster som till exempel registerutdrag.
Behandlingsregister
Dataskyddsförordningen Artikel 30, kräver att den personuppgiftsansvariga ska föra register över de behandlingar av personuppgifter som utförts under dess ansvar. Hörby kommun dokumenterar alla personuppgiftsbehandlingar i mallen för behandlingsregister i DraftIT.
PUB-avtal
Ansvarsfördelning mellan personuppgiftsansvarig och personuppgiftsbiträde ska regleras i personuppgiftsbiträdesavtal, dataskyddsförordningen Artikel 28.3. Antalet upprättade personuppgiftsbiträdesavtal varierar mellan förvaltningarna.
Dokumentation av informationssäkerhet och dataskydd
Styrande dokument för informationssäkerhet och dataskydd utgörs av följande:
Informationssäkerhetsinstruktion – användare, godkända av IT-nämnd Skåne Nordost, 2013-04-25. Beslutet omfattar detta godkännande samt uppmaningen till respektive kommun att fastställa förslaget till ” Informationssäkerhetsinstruktion – Användare”.
Riktlinjer för informationssäkerhet, beslutade i Kommunstyrelsen 2013-10-08.
Beslut om tillsättande av säkerhetsskyddschef, fattades av Räddningstjänst Skåne Mitt, 2019-12-17.
ArkivIT AB · Org. nr. 556854–0883 · info@arkivit.se · Rådmansgatan 49, 113 59 Stockholm
5
Inventering av organisationens arbete med dataskyddsförordningen
Ett frågeunderlag skickades till organisationen i syfte att få en övergripande lägesbild per förvaltning. Samtliga frågor besvarades inom stipulerad tid.
Frågor och svar redovisas i Bilaga 1.
Av utkastet till handlingsplan, framgår förslag på åtgärder och förslag till prioritetsordning samt hänvisning till aktuell artikel i Dataskyddsförordningen, Bilaga 2.
Slutord
Av genomförd granskning framgår att Hörby kommun väl förberedde organisationen inför dataskyddsförordningen. Dokument och information avsedd för medarbetare och
medborgare togs fram, hemsidan och intranätet uppdaterades, medarbetarna utbildades.
Digitala tjänster för att tillgodose den registrerades rättigheter infördes.
registerförteckningar upprättades och godkändes.
Till följd av stor personalomsättning och chefsbyten saknar flera medarbetare och chefer utbildning i dataskyddsförordningen.
Organisationen bör återuppta sitt påbörjade arbete för att anpassa metoder och arbetssätt till dataskyddsförordningen samt införa ett systematiskt arbete med informationssäkerhet.
Hörby 2020-11-13
--- Carine Spång
Konsult/ dataskyddsombud Hörby kommun
ArkivIT AB · Org. nr. 556854–0883 · info@arkivit.se · Rådmansgatan 49, 113 59 Stockholm
6
Bilagor
Bilaga 1
Inventering av organisationens GDPR-arbete.
Ett frågeunderlag skickades till medarbetare inom organisationen i syfte att få en övergripande lägesbild per förvaltning. Samtliga frågor besvarades inom stipulerad tid.
Tabell ”Frågor och svar” (svaren är samanställda av inkomna svar) Frågor för att få underlag till en
nulägesanalys
Sammanställt svar Har ni utsett Dataskyddsombud och anmält
hen till Datainspektionen?
Samtliga nämnder har utsett och anmält dataskyddsombud till Datainspektionen.
Vad menas med att man ”behandlar” eller
”hanterar” personuppgifter?
Allt man gör med personuppgifter, samlar in, registrerar, lagrar, lämnar ut
Hantering (samla in, lagra, lämna ut) av all information som direkt eller indirekt kan knytas till en person.
Vad menas med "personuppgifter"? All slags information som direkt eller indirekt kan knytas till en person, till exempel
registreringsnummer på bil, namn, adress, personnummer, foton, e-postadress.
Finns det någon enhet/avdelning (förutom HR) som är ”personuppgiftsintensiv”?
Utbildningssidan av Kultur-, fritids- och utbildningsförvaltningen. På
kommunledningsförvaltningen är HR, Ekonomi och Kansliavdelningen förhållandevisa
personuppgiftsintensiva. Bygg och miljö.
Vilka typer av personuppgifter finns (behandlas) i era system?
Namn, personnummer, adresser,
telefonnummer, information om hälsa och etniskt ursprung, fastighetsbeteckningar, kön, foton, registreringsnummer för fordon.
Behandlas några känsliga personuppgifter?
(Personnummer är i praktiken en känslig uppgift, andra känsliga uppgifter är till exempel facklig tillhörighet, politiska åsikter, etniskt ursprung, sexuell läggning).
Hälsotillstånd (HR), Politiska åsikter
(partibeteckningar), facklig tillhörighet (HR för att göra lönerevision) läkarintyg (bostadsanpassning och parkeringstillstånd), personnummer.
Hur har ni kontroll över era personuppgiftsbehandlingar?
Svaren skiftar mellan förvaltningarna, saknas tydliga rutiner för att hålla registerförteckningar uppdaterade. Rutin finns vad gäller behörigheter i ärendehanteringssystemet.
Registerförteckningar är inte fullständiga, registrering sker i DraftIT.
För ni register över vilka behandlingar av personuppgifter ni utför?
DraftIT system för registerförteckningar
användas, hur långt man kommit i arbetet skiljer mellan förvaltningarna.
Hur ofta uppdateras registret över era personuppgiftsbehandlingar?
Det uppdateras regelbundet men det skiftar mellan de olika förvaltningarna hur ofta och i vilken utsträckning uppdateringar genomförs.
Har ni ett specifikt syfte med respektive behandling?
Ja.
ArkivIT AB · Org. nr. 556854–0883 · info@arkivit.se · Rådmansgatan 49, 113 59 Stockholm
7
Är syftet konkret formulerat för varje behandling?
Ja. Vissa syften är mer konkreta/specifika än andra. Behöver förtydligas.
Har ni identifierat vilken/vilka den lagliga grunden är för varje behandling?
Svaren skiftar mellan förvaltningarna, från att laglig grund inte är angiven för respektive behandling till att all dokumentation görs i DraftIT där man har laglig grunden för de
personuppgiftsbehandlingar som registrerats där, men det behöver troligen gås igenom igen för att säkerställa att det inte finns några luckor.
Vilka PUB-avtal finns? Svaren skiftar mellan förvaltningarna
Det ska finnas ett PUB-avtal till varje avtal med leverantör som kan komma att behandla personuppgifter för kommunens
personuppgiftsansvarigs räkning. I diariet för KS finns personuppgiftsbiträdesavtal mellan Hörby kommun och Self Point Sverige AB, Unikom, Formpipe, Myndighet för samhällsskydd och beredskap, Visma (Tendsign), Xpand,
Hörbybostäder, Vision, Mittbygge, Timecenter, Vision.
Saknas det avtal med någon av dem som behandlar personuppgifter för er räkning?
Kan inte besvaras.
Överför ni personuppgifter till något land utanför EU/EES?
Kan inte besvaras.
Vet de registrerade om att de är registrerade? Information enligt dataskyddsförordningen finns på ansökningsblanketter, till exempel för bygglov, dock osäkert om det finns för alla typer av
blanketter. Förtroendevalda och medborgare (medborgarförslag).
Hur informeras den registrerade? Via Hörby kommuns hemsida eller via en generell text som finns på till exempel beslut som
innehåller personuppgifter.
Hur säkerställer ni att det bara är de personuppgifter som är nödvändiga för behandlingen ni samlar in?
Det saknas rutin för att säkerställa att uppgifter samlas in som inte är nödvändig. Information i verksamheten, men kontroller behöver utföras för att säkerställa följsamhet. Det säkerställs inte annat än genom att personalen vet om detta.
Hur vanligt är det att personnummer samlas in vare sig det behövs eller inte?
Personnummer samlas inte in aktivt men det är möjligt att vi har insamlade uppgifter som inte behövs. Vissa "bra att ha listor" förekommer.
Finns gallringsbeslut för uppgifterna? För vilka personuppgifter finns i så fall gallringsbeslut?
Det är angivet i Dokumenthanteringsplaner. Det saknas strukturerad gallringsrutin generellt sett.
Har ni några områden där vi behöver titta mera noggrant på
personuppgiftsbehandlingen?
Generella rutiner för personuppgiftshantering.
Har ni genomfört någon GDPR-utbildning? Ja och nej, beroende på förvaltning.
ArkivIT AB · Org. nr. 556854–0883 · info@arkivit.se · Rådmansgatan 49, 113 59 Stockholm
8
När genomfördes utbildningen? Det har genomförts en utbildning 2018. det framgår inte av svaren vilka förvaltningar som omfattats.
Till vilka grupper erbjöds utbildningen? Utbildning erbjöds alla i dåvarande personal.
Personalomsättning sedan dess.
Hur lång var utbildningen? Digital utbildning och arbetsplatsträffar.
Var genomfördes utbildningen? Kommunens lokaler.
Vem/vilka höll utbildningen? Dataskyddsombud, Draft it, Datainspektionen (vissa funktioner).
ArkivIT AB · Org. nr. 556854–0883 · info@arkivit.se · Rådmansgatan 49, 113 59 Stockholm
9
Bilaga 2
Inför GDPR:s införande dokumenterades arbetsrutiner. 470 registerförteckningar upprättades och godkändes.
Mallar och arbetsdokument, till exempel mall för samtycke, information och biträdesavtal upprättades.
Hemsidan och intranätet uppdaterades med information om GDPR. Kontaktvägar för löpande kontakt med externa kontakter, såsom Datainspektionen, DraftIT, Kommunförbundet, samarbetskommuner och Unikom upprättades. Information i kommunövergripande system samt dokument i K-mapp, inventerades och rensades vid behov.
Tjänsten ”Begäran om registerutdrag” digitaliserades. Utbildning och rådgivning till kommunens verksamheter och samtliga medarbetare, politiker och bolag har genomförts. Utbildningsinsatser omfattade 141
utbildningstimmar exklusive förberedelser.
Av genomförd granskning framgår att Hörby kommun har genomfört ett inledande GDPR-arbete. Det finns information avsedd för medarbetare och medborgare. Utbildningar genomfördes inför GDPR:s införande.
Utifrån genomförd granskning föreslås bifogad handlingsplan. Målet med planen är att:
• ett organiserat och proaktivt arbetssätt säkerställs
• ha tillgång till mätbara mål för uppföljning och avstämning
• kunna kvalitetssäkra och mäta effekten av ”DSO som tjänst”
• säkerställa att det hos medarbetarna inom organisationen finns en tillräcklig kunskap
• genom arbetssätt och kunskap säkerställs att det finns ett tillräckligt skydd för personuppgifter som behandlas inom organisationen
• organisationen har policys och rutiner för att proaktivt upptäcka förlust eller läckage av personuppgifter
• det finns anvisningar eller rutiner för att hantera de registrerades rättigheter
• organisationen har transparens gentemot medarbetare och medborgare
• det finns en ändamålsenlig organisation för incidenthantering utifrån dataskyddsförordningens krav
Förslag till handlingsplan,
Hög prioritet (inom 3 månader) Medel prioritet (inom 4-8 månader) Låg prioritet (inom 18 månader) Löpande
Aktivitet Åtgärd Prioritet
DraftIT & behandlingsregister GDPR, Artikel 30
Rutin för periodvis uppdatering av behandlingsregister i DraftIT
Löpande Rutiner, mallar och arbetsdokument Dokumentera befintliga mallar
Identifiera saknade mallar.
Uppdatera vid behov Skapa nya vid behov
Medel - Låg
Intranät Information samt uppdatera
befintlig information
Hög
Hemsidan Ta fram infotext och uppdatera
information till medborgare
Hög Kompetenshöjning GDPR Plan och dokumentera
utbildning för nyanställda samt för att fortbilda anställda
Låg
Policys, riktlinjer, anvisningar Se över och dokumentera styrdokument för informationssäkerhet och dataskydd
Uppdatera
Hög
Rutin för incidenthantering och Incidentrapportering till tillsynsmyndighet
Skapa organisation för incidenthantering
Hög
ArkivIT AB · Org. nr. 556854–0883 · info@arkivit.se · Rådmansgatan 49, 113 59 Stockholm
10
GDPR Artikel 33 Medarbetare ska vara
informerade om hur
personuppgiftsincidenter ska rapporteras.
Se över och dokumentera om det behövs en rutin för misstanke om
personuppgiftsincident
Hög
Dokumentera rutin för att rapportera
personuppgiftsincidenter till tillsynsmyndigheten som säkerställer att detta sker inom 72 timmar samt om och hur berörda ska informeras
Hög
Personuppgiftsbiträdesavtal GDPR Artikel 28
Se över och dokumentera om det behövs en rutin för diarieföring av biträdesavtal, bör administreras tillsammans med huvudavtalet då PUB är bilaga
Löpande
Personuppgiftsbiträdesavtal ska vara tecknat med samtliga personuppgiftsbiträden.
Hög Löpande
E-post Se över och dokumentera om
det behövs en rutin för att hantera personuppgifter i e- post det finns instruktion på intranätet samt Unikoms IT- policy
Hög bör göras snarast
Fritextfält i verksamhetssystem Se över och dokumentera om det behövs en rutin för vad som får skrivas i ett fritextfält
Hög Löpande
Behörighetstilldelning i verksamhetssystem
Se över och dokumentera om en rutin behövs
förbehörighetstilldelning.
Medel
Registerutdrag GDPR Artikel 15
Det är möjligt att på begäran från den registrerade göra en sammanställning av den registrerades personuppgifter i systemet.
ID-kort, bankID
Hög - Medel
Instruktion till medarbetare om rutinen att samla in och sammanställa registerutdrag
Hög - Medel
Rutin för hantering av begäran om registerutdrag och
utlämning av sammanställning.
(per nämnd)
Hög - Medel