Status på Københavns Kommunes arbejde med implementering af EU Databeskyttelsesforordningen (Legal Compliance Programmet)

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

1. at status pr. den 1. marts 2018 på Københavns Kommunes Legal Compliance Program tages til efterretning,
2. at risikobilledet pr. den 1. marts 2018 af Københavns Kommunes profil som dataansvarlig på databeskyttelsesområdet tages til efterretning.

Problemstilling

Den 28. april 2016 vedtog Borgerrepræsentationen (BR) kommissorium for gennemførelse og implementering af et legal compliance eftersyn i 2016 – 2018 af kommunens it-sikkerhed og behandling af personoplysninger på tværs af kommunens forvaltninger med henblik på implementering og opfyldelse af Databeskyttelsesforordningen. Samtidigt blev chefen for Intern Revision udpeget som kommunens databeskyttelsesrådgiver (DPO).  

Den 13. juni 2017 tog Økonomiudvalget (ØU) indstilling om status på forvaltningernes arbejde med kortlægning og registrering af hver forvaltnings grunddata med henblik på identifikation af aktiviteter og behandlingsprocesser i regi af Legal Compliance Program (LCP) til efterretning. Kortlægning og registrering af grunddata var pr. medio maj 2017 stort set gennemført med en færdiggørelsesgrad tæt på 100 % for alle forvaltninger. Næste led i den samlede plan for forvaltningernes arbejde var kortlægning af dataflows og vurdering af behandlingsprocesser.

EU – Forordningen om Databeskyttelse (databeskyttelsesforordningen) blev vedtaget i Europa - Parlamentet den 14. april 2016 og får direkte virkning i medlemslandene den 25. maj 2018. Databeskyttelsesforordningen skal således ikke implementeres ved en særlig lov, men vil fra den 25. maj 2018 umiddelbart erstatte den gældende persondatalov. Med forordningen indtræder såvel private virksomheder som offentlige myndigheder, herunder kommuner og regioner mv., i en ny æra for beskyttelse af personoplysninger og underlægges flere og nye krav til behandling og sikring af personoplysninger, bl.a. skærpede krav til dokumentation af behandlingen af persondata og it-sikkerhed i organisationens it-infrastruktur med mulighed for sanktioner (bøder) for overtrædelse af forordningens bestemmelser.

Justitsministeriet afgav maj 2017 en betænkning om databeskyttelsesforordningen og de retlige rammer og konsekvenser for dansk lovgivning. Endvidere har Justitsministeriet i samarbejde med Datatilsynet pt. udarbejdet 7 ud af i alt 13 bebudede vejledninger om udvalgte områder under forordningen, herunder bl.a. om samtykke, fortegnelseskravet, skabelon for databehandleraftale, de registreredes (borgernes) rettigheder (som fortsat udestår) m.v. 

Justitsministeriet har oktober 2017 fremsat et forslag til ny databeskyttelseslov. Lovforslaget er en national suppleringslov, som sammen med databeskyttelsesforordningen fra den 25. maj 2018 erstatter den nuværende danske persondatalov og regler udstedt i medfør heraf. Lovforslaget er førstebehandlet november 2017 og forventes vedtaget af Folketinget april 2018. Lovforslaget indeholder bestemmelser om bøder for offentlige myndigheder for overtrædelse af forordningens bestemmelser. Niveauet herfor vil være indenfor et loft på henholdsvis 2 % af myndighedens driftsbevilling, dog maksimalt 8 mio. kr., eller 4 % af myndighedens driftsbevilling, dog maksimalt 16 mio. kr. 

Løsning

I Københavns Kommune er BR øverst ansvarlig for kommunens behandling af personoplysninger og it-sikkerhed. ØU har det umiddelbare ansvar for kommunens overordnede og tværgående it-forhold og har indseende med administrationen indenfor alle kommunens forvaltningsområder. Det øverste daglige administrative ansvar for forvaltningernes behandling af personoplysninger og it-sikkerhed varetages af overborgmesteren og borgmestrene indenfor hver deres forvaltningsområde med ansvar overfor ØU og BR.

BR´s beslutning om gennemførelse og implementering af legal compliance eftersynet er udmøntet i et program på tværs af kommunens 7 forvaltninger med deltagelse fra hver forvaltning på projektniveau, herunder med deltagelse af Koncern IT (KIT) og Borgerrådgiveren, samt Intern Revision i kraft af deres rolle som kommunens databeskyttelsesrådgiver (DPO). Økonomiforvaltningen (ØKF) varetager formandsrollen og programledelsesopgaven for gennemførelse af det fælles tværgående LCP og fungerer som sekretariat for programmet. Intern Revision bistår i kraft af sin funktion som DPO forvaltningerne med planlægning og gennemførelse af forvaltningernes egne projekter. KIT deltager endvidere i programledelsen og sikrer koblingen til kommunens fælles it-systemer, herunder it-sikkerhed og behandlingen af personoplysninger, samt det tværgående arbejde i det sideløbende sikkerhedsprogram og it-projekterne i regi heraf.

Til styring af Legal Compliance Programmet er der nedsat et forum til koordinering mellem programledelsen for programmet, Intern Revision / DPO og KIT.

Status på forvaltningernes arbejde under LCP

I forlængelse af kortlægning og registrering af grunddata og aktivitetslandskaber har forvaltningerne siden ultimo maj 2017 arbejdet med kortlægning og registrering af behandlingsprocesser og underliggende dataflow herunder vurdering af hjemmelsgrundlag for behandlingen af personoplysninger på egne områder. Det bærende element i arbejdet med dataflowanalysen har været en risikobaseret tilgang, defineret ved karakteren af personoplysninger, hvor behandlingsprocesser med følsomme personoplysninger efter programplanen analyseres først. 

Efter programplanen skulle forvaltningerne inden oktober 2017 indlevere dataflow til indlæsning i et it-system, Pactius. Pactius skal understøtte DPO´ens og forvaltningernes compliancearbejde efter den 25. maj 2018, og kan ydermere fremstille en konkret risikovurdering til brug for en vurdering af eventuelle mitigerende handlinger frem mod 25. maj 2018.

Kortlægning af dataflow på forvaltningernes respektive områder fra maj til oktober 2017 viste sig at være af en mere omfattende karakter, hvorfor det blev besluttet, at projektarbejdet skulle foregå i tre tempi og dermed udgøre tre runder (bølger), således at hver forvaltning arbejder efter en aftalt tidsplan og indleverer egne dataflow til kvalitetssikring og indlæsning i Pactius. 

Forvaltningerne har hertil afleveret dataflow i november 2017 (første bølge) og i december 2017 (anden bølge). Den tredje og sidste bølge forventes indleveret til marts 2018 med efterfølgende kvalitetssikring og tilbageløb frem til maj 2018.

DPO´en foretager kvalitetssikring af de indleverede dataflow i forlængelse af hver bølge og indlæser disse løbende i Pactius med henblik på at kunne foretage en risikovurdering, og dermed tegne et billede af Københavns Kommunes profil som dataansvarlig på databeskyttelsesområdet. Ved risikovurderingen vil der - ud over karakteren af personoplysninger, der behandles -  blive lagt vægt på bl.a. mængden af personoplysninger, antal behandlere, antal dataflow, herunder om typen af behandling og om denne foretages af en ekstern leverandør og databehandler for kommunen, samt om behandlingen er delvis manuel. Forudsætningen for at kunne tegne et retvisende risikobillede og profil af kommunen som dataansvarlig er et tilstrækkeligt validt datasæt i form af en vis mængde korrekte dataflows. For nærværende arbejder forvaltningerne fortsat med dataflows til indlæsning i Pactius, hvorfor nedenstående risikobillede alene er et foreløbigt billede og som sådan præsenteres som et foreløbigt udtryk for kommunens profil som dataansvarlig pr. den 1. marts 2018.

Københavns Kommunes risikobillede pr. den 1. marts 2018

Pr. den 20. februar 2018 har kommunen kortlagt 253 behandlingsprocesser, hvori der behandles personoplysninger af forskellig karakter. Under behandlingsprocesserne er kortlagt 3.411 dataflows, som dokumenterer indholdet af kommunens behandling af personoplysninger og hjemmelsgrundlaget herfor.

Kommunen har en række behandlingsprocesser, som efter risikovurderingen kan karakteriseres som værende henholdsvis med en høj, middel og lav risikoprofil.

Af de 253 behandlingsprocesser har kommunen 116 processer med høj risikoprofil, 84 processer med middel risikoprofil og 53 processer med lav risikoprofil.

At behandlingsprocesser har en høj risikoprofil betyder, at de forhold som knytter sig til behandlingsprocessen (antal registrerede, antal behandlere, karakter af personoplysninger mv.) i sammenhæng viser, hvor stor sandsynligheden er for, at databeskyttelsen kompromitteres samt hertil det mulige konsekvensniveau, hvis databeskyttelseslovgivningen ikke overholdes.

Eksempelvis: Jo flere sagsbehandlere, der har adgang til personoplysningerne, jo større risiko for, at personoplysningerne kan komme til uvedkommendes kendskab. I sådanne tilfælde skal kommunen udvise ansvarlighed, ved på forhånd at have foretaget tilstrækkelige overvejelser/foranstaltninger for at imødegå risikoen, og kommunen skal kunne dokumentere dette.

Indsigt i behandlingsprocessernes risikoprofil giver mulighed for at foretage en vurdering af, om risikoen kan nedbringes, eksempelvis ved mitigerende handlinger, øget it-sikkerhed, øget kontrol eller ledelsestilsyn mv. Disse mitigerende handlinger indgår i hver forvaltnings arbejde på eget område frem mod den 25. maj 2018.

Risikobilledet er et udtryk for et øjebliksbillede pr. den 1. marts 2018 og giver dermed kommunen mulighed for at fokusere på områder med høj risiko, således at forvaltningerne i perioden frem mod den 25. maj 2018 kan udvise rettidig omhu og sikre lovlig forvaltningsvirksomhed på de respektive områder, hvor risici for mangelfuld efterlevelse af krav til behandling af personoplysninger og kompromittering af personoplysninger er størst.

Pr. medio februar 2018 er 85% af kommunens dataflows kortlagt, kvalitetssikret og indlæst i Pactius. Sidste og afsluttende tredje runde forventes indlæst i løbet af april 2018. Med denne sidste registrering forventes kommunen at have opfyldt størsteparten af dokumentationskravet og dermed kunne sikre efterlevelse af databeskyttelsesforordningens krav til offentlige myndigheder og dataansvarliges behandling af personoplysninger og dokumentation herfor.

Forankring af LCP efter den 25. maj 2018 og governance på databeskyttelsesområdet

For at sikre overgangen fra det tværgående LCP-program til drift og fortsat efterlevelse af lovgivningen på databeskyttelsesområdet efter den 25. maj 2018 er nedsat et Legal Compliance Forum (LCF) på tværs af forvaltningerne. LCF´s formål er bl.a. at sikre governance og drift af kommunens fortsatte efterlevelse af lovgivningen vedrørende EU databeskyttelsesforordningen, herunder så vidt muligt koordinere forvaltningernes decentrale varetagelse af opgaverne på databeskyttelsesområdet fremadrettet og deres ansvar som dataansvarlige og del af governancestrukturen i relation til DPO-funktionen.

LCF vil endvidere udvikle og vedligeholde en fælles koordineret indsats og kultur på tværs af kommunens forvaltninger til sikring af compliance på de forvaltningsprocessuelle områder, herunder særligt på forvaltningslovens, offentlighedslovens og databeskyttelseslovgivningens områder. Med LCF styrkes således kommunens sikring af lovlig forvaltningsvirksomhed, og der er skabt rammer for understøttelse af forvaltningernes compliance på de forvaltningsretlige områder generelt.

LCF er sammensat af medlemmer og repræsentanter fra de 7 forvaltninger med kompetencer indenfor jura og/eller compliance og en repræsentant for KIT. Hertil deltager Borgerrådgiveren som observatør, og DPO-funktionen, når LCF drøfter emner af relevans for DPO’ens område. LCF er implementeret primo 2018 og første møde er afholdt i februar 2018.

I tillæg til LCF og sikring af governance på databeskyttelsesområdet udpeges der i hver forvaltning en "DPO Business Partner" (BP) til understøttelse af DPO´ens arbejde fra den 25. maj 2018. BP vil udgøre forvaltningens kontaktpunkt til DPO-funktionen og dermed indgang til forvaltningerne i forbindelse med DPO´ens varetagelse af sine opgaver, herunder rådgivning og tilsyn med forvaltningens efterlevelse af databeskyttelsesforordningen. Med BP sikres en fast videns- og kontaktperson med overblik over egen organisation og behandlinger af personoplysninger, således at kommunen i praksis kan efterkomme databeskyttelsesforordningens krav, herunder ikke mindst i forhold til at kunne sikre løbende dokumentation for behandling af personoplysninger overfor tilsynsmyndigheden (Datatilsynet) og rettidig indberetning til Datatilsynet i tilfælde af sikkerhedsbrud på et givent område.  

Uddannelsesprogram til medarbejdere i Københavns Kommune

Til brug for forvaltningernes kompetenceudvikling til sikring af løbende opfyldelse af databeskyttelsesforordningens krav til behandling af personoplysninger og efterlevelse af de it-sikkerhedsmæssige krav, er der besluttet et sæt uddannelsesmoduler i form af e-learning. Disse moduler udarbejdes og lanceres i følgende tre bølger: 1. Grundlæggende it- sikkerhedsbudskaber, 2: Grundlæggende persondatabeskyttelse og 3: Håndtering af sikkerhedshændelser. Den første bølge er lanceret i februar 2018, mens bølge 2 og 3 lanceres i april og juni 2018. Modulerne afvikles via Plan2Learn og kan tilpasses/sammensættes for den enkelte medarbejder ud fra dennes funktion og arbejdsområder.

Uddannelsesprogrammet er et tilbud til forvaltningerne. Ansvaret for medarbejdernes nødvendige viden og kompetence på databeskyttelsesområdet påhviler den enkelte forvaltning. Forvaltningerne kan derfor vælge et andet uddannelsesforløb for deres medarbejdere, hvis det vurderes mest hensigtsmæssigt under henvisning til forvaltningens opgaver og medarbejdersammensætning.       

Det er forventningen, at størstedelen af kommunens nuværende medarbejdere har gennemført et konkret tilrettelagt uddannelsesforløb inden sommerferien 2018. Nye medarbejdere skal ligeledes efter behov gennemføre uddannelsesforløb. Arbejdet med udvikling af uddannelsesmoduler er forankret i KS og KIT i regi af Sikkerhedsprogrammet med reference til LCP programledelsen. 

Status på arbejdet med ny it-sikkerhedspolitik og it-sikkerhedsregulativ

Som en del af implementeringen af databeskyttelsesforordningen er det besluttet at revidere Københavns Kommunes nuværende it-sikkerhedspolitik og it-sikkerhedsregulativ. Forordningen indeholder ikke et krav herom, men det sker for dels at sikre robuste rammer og retningslinjer i forhold til de nye opgaver, funktioner og roller i organisationen, og dels for at sikre en forsvarlig og tidssvarende håndtering af it-sikkerheden i kommunen. Endelig medfører revideringen et bredere fokus på informationssikkerhed, hvor området for datasikkerhed opprioriteres til sikring af kommunens efterlevelse af kravene i databeskyttelsesforordningen.

It-sikkerhedsregulativet suppleres således med cirkulærer / vejledninger om it-sikkerhed, anskaffelse af it-systemer og om databeskyttelse, herunder bl.a. om retningslinjer for håndtering af borgernes rettigheder, samtykke, brud på persondatasikkerheden mv. 

Revidering af it-sikkerhedspolitik og it-sikkerhedsregulativ gennemføres med respekt for Justitsministeriets vejledninger på området og i et tæt samarbejde mellem KIT og kommunens databeskyttelsesrådgiver (DPO) og forventes forelagt ØU og BR til godkendelse inden sommerferien 2018.

Økonomi

Udgifterne til implementering af LCP herunder medarbejdernes gennemførelse af uddannelsesaktiviteter afholdes indenfor ØKF´s og fagforvaltningernes egne rammer.

Videre proces

Forvaltningerne vil fortsætte deres arbejde under LCP ud fra den ovenfor beskrevne tidsplan. ØKF forventer at orientere ØU om status på programmets arbejde og resultater i 3. kvartal 2018.

 Peter Stensgaard Mørch                           /Mads Grønvall