Københavns Kommunes Legal Compliance Program til implementering af EU Databeskyttelsesforordningen
Økonomiforvaltningen (ØKF) orienterer hermed Økonomiudvalget (ØU) om status på kommunens Legal Compliance Program (LCP), herunder om status på forvaltningernes gennemgang af aktiviteter og behandlingsprocesser mv. med det formål at sikre implementering og opfyldelse af EU Databeskyttelsesforordningen, som træder i kraft den 25. maj 2018.
Indstilling
Økonomiforvaltningen indstiller over for Økonomiudvalget,
- at status pr. 1. juni 2017 på Københavns Kommunes Legal Compliance Program tages til efterretning.
Problemstilling
Den 28. april 2016 vedtog Borgerrepræsentationen (BR) kommissorium for gennemførelse og implementering af et legal compliance eftersyn i 2016 – 2018 af kommunens it-sikkerhed og behandling af personoplysninger på tværs af kommunens forvaltninger med henblik på implementering og opfyldelse af Databeskyttelsesforordningen. Samtidigt blev chefen for Intern Revision udpeget som kommunens databeskyttelsesrådgiver (DPO).
EU – Forordningen om Databeskyttelse (Databeskyttelsesforordningen) blev vedtaget i Europa - Parlamentet den 14. april 2016 og får direkte virkning i medlemslandene den 25. maj 2018. Databeskyttelsesforordningen skal således ikke implementeres ved en særlig lov, men vil fra den 25. maj 2018 umiddelbart erstatte den gældende persondatalov. Med forordningen indtræder såvel private virksomheder som offentlige myndigheder, herunder kommuner og regioner mv., i en ny æra for beskyttelse af personoplysninger og underlægges flere og nye krav til behandling og sikring af personoplysninger, bl.a. skærpede krav til dokumentation af behandlingen af persondata og it-sikkerhed i organisationens it-infrastruktur med mulighed for sanktioner (bøder) for overtrædelse af forordningens bestemmelser.
Justitsministeriet har nedsat en række implementeringsgrupper og iværksat en dialog med ressortministerier og andre interessenter om konsekvenserne for dansk lovgivning, herunder behovet for lovændringer, som skal kunne træde i kraft samtidig med forordningen i maj 2018.
Justitsministeriet forventer at komme med udkast til lovgivningsmæssige konsekvenser inden sommerferien 2017 og at fremsætte de nødvendige lovforslag i Folketinget til oktober 2017.
Løsning
Borgerrepræsentationens (BR) beslutning om gennemførelse og implementering af legal compliance eftersynet programmet 2016-2017 er udmøntet i et program med deltagelse fra hver forvaltning på projektniveau, herunder med deltagelse af Koncern IT (KIT) og Borgerrådgiveren, samt Intern Revision i kraft af deres rolle som kommunens databeskyttelsesrådgiver. Økonomiforvaltningen (ØKF) varetager formandsrollen og programledelsesopgaven for gennemførelse af det fælles tværgående legal compliance program og fungerer som sekretariat for programmet.
Intern Revision bistår i kraft af sin funktion som DPO forvaltningerne med planlægning og gennemførelse af forvaltningernes egne projekter med henblik på, at man kan dokumentere og vurdere behandlingen af personoplysninger i de enkelte fagforvaltninger. KIT deltager i programledelsen og sikrer koblingen til kommunens fælles it-systemer, herunder it-sikkerhed og behandlingen af personoplysninger, samt det tværgående arbejde i det sideløbende sikkerhedsprogram og it-projekterne i regi heraf.
Til styring af Legal Compliance Programmet er der nedsat et forum til koordinering mellem programledelsen for programmet, Intern Revision / DPO og KIT.
Programmets vision og gennemførelse
Programmets vision er Lovlig forvaltningsvirksomhed og tryghed for borgerne og virksomhederne i mødet med Københavns Kommune. Målet for programmet er, at de enkelte forvaltninger efterlever gældende lovgivning og god skik vedrørende behandling af personoplysninger samt it –sikkerhed.
Programmet gennemføres som et tværgående program med inddragelse af alle forvaltninger, og styres og gennemføres via følgende 3 parallelle spor:
1. Dokumentation og sikring af compliance. Heri indgår:
- Kortlægning af forvaltningernes behandlingsaktiviteter
- Dokumentation og vurdering af behandlingsaktiviteter
- Sikring af, at behandlingsaktiviteter efterlever Databeskyttelsesforordningen
Spor 1 varetages af forvaltningerne med bistand fra Intern Revision /DPO.
2. Håndtering af de registreredes rettigheder. Heri indgår:
- Håndtering af kommunens oplysningspligt og den registreredes indsigtsret (herunder aktindsigt), samt retten til sletning, håndtering af sikkerhedsbrud mv.
- Dokumentation af forvaltningernes processer for indsigtsanmodning, sletning og sikkerhedsbrud med videre.
- Udarbejdelse af code of conduct samt awareness - tiltag til implementering og vedligeholdelse af Databeskyttelsesforordningens bestemmelser blandt kommunens medarbejdere.
- Sikring af udarbejdelse af uddannelsesprogram til relevante medarbejdere i kommunen.
Spor 2 varetages af programledelsen (ØKF) med bistand fra KIT.
3. It-sikkerhed. Heri indgår:
- Selvstændige projekter i KIT med henblik på at sikre efterlevelse af Databeskyttelsesforordningens krav til tekniske foranstaltninger og it-sikkerhed for beskyttelse af kommunens persondata.
- Sikring af opdatering og ajourføring af kommunens database for registrering af oplysninger (FISKK), herunder ibrugtagningstilladelser og sikkerhedsgodkendelser af eksisterende it-systemer
- Revision af it – sikkerhedsregulativet
Spor 3 varetages af KIT.
Gennemførelse af Legal Compliance Programmet i forvaltningerne
Vurdering og sikring af opfyldelse af såvel gældende som kommende lovgivning på persondataretsområdet samt håndtering af registreredes rettigheder, kræver dokumentation af kommunens persondatastrømme (behandling af personoplysninger på aktivitetsniveau) og tilhørende informationer. Dokumentationen skal sikre, at forvaltningerne kan dokumentere efterlevelse af Databeskyttelsesforordningens krav. Desuden skal dokumentationen sikre, at forvaltningerne overfor registrerede personer, samarbejdspartnere og myndigheder kan dokumentere, at forvaltningerne og Københavns Kommune opfylder sine forpligtigelser på det persondataretlige område.
Programmet udgør hertil en paraply, hvorunder hver forvaltning har ansvaret for etablering og gennemførelse af et forvaltningsprojekt, som inden for forvaltningsområdet skal kortlægge og dokumentere behandlingsprocesser og datastrømme. Såfremt behandlingsprocesser er systemunderstøttet, angives tilhørende systemer blandt andet til brug for KIT’s it-sikkerhedsarbejde. Til brug for dette arbejde har programledelsen i samarbejde med kommunens DPO udviklet en fælles struktureret plan og model, som forvaltningerne pt. kortlægger og dokumenterer konkrete aktiviteter og processer ud fra. Der arbejdes ud fra en risikobaseret tilgang, der sikrer, at behandlingsprocesser med størst risikoprofil dokumenteres/håndteres først. Således kan der inden årets udgang foretages en risikovurdering af kommunens samlede potentielle usikkerhedsområder og udarbejdes en plan med henblik på at sikre, at kommunen opfylder sine forpligtigelser.
Status på og tidsplan for forvaltningernes arbejde under Legal Compliance Programmet
Forvaltningerne har siden marts 2017 arbejdet med kortlægning og registrering af grunddata, således at hver forvaltning får dannet et overblik over egne aktiviteter (aktivtetslandskab) og behandlingsprocesser i relation til personoplysninger. I samarbejde med kommunens DPO foretages dernæst en kvalitetssikring af disse grunddata med henblik på at kunne foretage en prioritering af hver forvaltnings behandlingsprocesser ud fra en risikobaseret tilgang. Kvalitetssikringen og prioriteringen foretages efter planen medio maj 2017.
Kortlægning og registrering af grunddata er pr. medio maj 2017 stort set gennemført med en færdiggørelsesgrad tæt på 100 % for alle forvaltninger.
Kortlægningen over hver forvaltnings aktivitetslandskab skal danne grundlag for det videre arbejde med datastrømme og en analyse af hvordan, personoplysninger indsamles, behandles og videresendes, såvel indenfor kommunen som til eksterne databehandlere, herunder eventuelle til 3. lande.
Næste led i den fælles struktureret plan for forvaltningernes arbejde er kortlægning af disse datastrømme. Dette arbejde påbegyndes ultimo maj 2017 og vil fortsætte frem til oktober 2017, og vil give forvaltningerne et stadigt øget indblik i deres risikoprofil for behandling af personoplysninger. Det afgørende for datastrømsanalysen er den risikobaserede tilgang defineret ved karakteren af personoplysninger, hvor behandlingsprocesser med følsomme personoplysninger vil blive analyseret først.
Primo oktober 2017 vil der på alle de behandlingsprocesser, hvor datastrømme er dokumenteret, kunne foretages en konkret risikovurdering til brug for det videre arbejde og til en vurdering af nødvendigheden af eventuelle mitigerende handlinger.
Sideløbende hermed pågår et tæt samarbejde mellem LCP-programledelsen, DPO og KIT om den tekniske systemunderstøttelse af forvaltningernes behandlinger af personoplysninger.
Programledelsen forventer i samarbejde med KIT at udarbejde et code of conduct samt fastlægge awareness-tiltag i forlængelse af fremsættelsen af de relevante lovforslag i oktober 2017. Sideløbende hermed vil programledelsen sikre udvikling af uddannelsesprogrammer til brug for medarbejdernes kompetenceudvikling inden udgangen af 4. kvartal 2017.
Økonomi
Udgifterne til implementering af legal compliance programmet afholdes indenfor ØKFs og fagforvaltningernes egne rammer.
Videre proces
Forvaltningerne vil fortsætte deres arbejde under Legal Compliance Programmet ud fra den ovenfor beskrevne tidsplan.
ØKF forventer at orientere ØU om status på programmets videre arbejde i 1. kvartal 2018.
Peter Stensgaard Mørch /Mads Grønvall
Beslutning
Dagsordenspunkt 24: Københavns Kommunes Legal Compliance Program til implementering af EU Databeskyttelsesforordningen (2017-0205337)
Økonomiudvalgets beslutning i mødet den 13. juni 2017
Indstillingen blev taget til efterretning uden afstemning.