Svar på medlemsforslag om styrket beskyttelse af personoplysninger
Indstilling
Økonomiforvaltningen indstiller, at Økonomiudvalget over for Borgerrepræsentationen anbefaler,
- at de 3 forslag til styrket beskyttelse af personoplysninger, som er nærmere beskrevet nedenfor og i bilag 2, godkendes,
- at det godkendes, at Københavns Kommunes økonomiske kompensation for de nye administrative krav i reglerne om databeskyttelse DUT anvendes til delvis finansiering heraf og fordeles, som beskrevet nedenfor,
- at det godkendes, at det af Borgerrepræsentationen vedtagne medlemsforslag fra Enhedslisten, Liberal Alliance, Det Konservative Folkeparti og Radikale Venstre om styrket beskyttelse af personoplysninger, jf. bilag 1, hermed er håndteret.
Problemstilling
Den 21. juni 2018 godkendte Borgerrepræsentationen (BR) vedlagte medlemsforslag om styrket beskyttelse af personoplysninger, jf. bilag 1. BR pålagde i den forbindelse Økonomiforvaltningen (ØKF) og Databeskyttelsesrådgiverfunktionen i Intern Revision (DBR) at undersøge mulighederne for at styrke den funktion, som Databeskyttelsesrådgiveren har i forbindelse med at sikre beskyttelse af personoplysninger mv. i Københavns Kommune med mulighed for og ressourcer til at indhente yderligere viden i forhold til emner som privatlivsbeskyttelse, data-etik og transparens.
KL har nu oplyst, at KL og regeringen har indgået aftale om økonomisk kompensation til kommunerne for de nye administrative krav i reglerne om databeskyttelse.
Med henblik på opfyldelse af intentionerne i BR’s vedtagne medlemsforslag fremlægger ØKF og DBR med denne indstilling 3 konkrete forslag til styrket beskyttelse af personoplysninger samt forslag om, at Københavns Kommunes økonomiske kompensation for de nye administrative krav i reglerne om databeskyttelse (DUT) anvendes til delvis finansiering heraf.
Løsning
Med KL´s aftale med regeringen om økonomisk kompensation til kommunerne for de nye administrative krav i reglerne om databeskyttelse vil kommunerne blive kompenseret med 60,3 mio. kr. i 2018, 86,6 mio. kr. i 2019 og 68,5 mio. kr. fra 2020. Aftalen udspringer af en enighed om, at reglerne vil give direkte eller afledte øgede udgifter for kommunerne.
Københavns Kommunes andel af kompensationen udgør ca. 10,8 % af det samlede beløb svarende til
- 6,50 mio. kr. i 2018
- 9,35 mio. kr. i 2019
- 7,40 mio. kr. i 2020 og frem
ØKF og DBR har undersøgt mulighederne for styrkelse af behandlingen af personoplysninger og foreslår følgende tre konkrete forslag:
1.Styrkelse af DPO (Data Protection Officer) Business partnerrollerne i forvaltningerne.
2.a) Tilbud til de selvejende institutioner om, at kommunens databeskyttelsesrådgiver varetager rollen som databeskyttelsesrådgiver også for dem, samt at der i givet fald,
2.b) gennemføres et Legal Compliance Projekt i de selvejende institutioner.
3.Taskforce til GAP mittegering af risikofyldte områder i forvaltningerne.
De tre forslag er kort beskrevet nedenfor og mere uddybende i vedlagte bilag 2.
Det foreslås endvidere, at Københavns Kommunes økonomiske kompensation (DUT-kompensationen) anvendes til delvis finansiering af de 3 forslag. Den resterende del af finansieringen kommer fra forvaltningerne.
Budgetmidlerne foreslås under henvisning hertil anvendt og fordelt som anført i følgende oversigt, jf. supplerende noter nedenfor.
Område |
2018 |
2019 |
2020 og frem |
|||
Engangs- |
Drifts- |
Engangs- |
Drifts- |
Engangs- |
Varig |
|
Finansiering via DUT-midler jf. ovenfor |
|
|
|
|
|
|
DPO Business Partner (1) Tildeles forvaltningerne |
|
2.540.000 |
|
3.250.000 |
|
3.250.000 |
DPO Selvejende institutioner Tildeles DPO |
|
450.000 |
|
1.710.000 |
|
1.710.000 |
Taskforce Tildeles DPO*) |
1.400.000 |
760.000 |
|
2.520.000 |
|
2.440.000 |
Compliance Projekt Selvejende Institutioner Tildeles DPO |
1.350.000 |
|
1.870.000 |
|
|
|
Finansiering via DUT-midler jf. ovenfor |
2.750.000 |
3.750.000 |
1.870.000 |
7.480.000 |
|
7.400.000 |
TOTAL |
6.500.000 |
9.350.000 |
7.400.000 |
|||
Finansiering via forvaltningerne |
|
|
|
|
|
|
Compliance Projekt Selvejende Institutioner Tildeles DPO *) |
|
|
3.530.000 |
|
|
|
TOTAL Finansiering via forvaltningerne |
|
|
3.530.000 |
|
|
|
*) En Taskforce til GAP mittegering sikrer håndtering at de forskellige udeståender, som er afdækket i forbindelse med forvaltningernes arbejde under LCP (Legal Compliance Projekt) programmet. Midler til taskforce arbejdet i oversigtens pkt. 3 er midlertidigt placeret hos Københavns Kommunes DBR, men disponeres af IT-kredsen efter indstilling fra DBR. Midler i oversigtens pkt. 2b placeres ligeledes hos DBR i projektets løbetid.
Beregningsgrundlag for budgetmidler: Et årsværk koster 630.000 kr. og kan levere 1.400 produktionstimer pr. år svarende til 450 kr. / time.
Midlerne i 2018 er fordelt som supplement til eksisterende udgifter og til gennemførelse af de konkrete aktiviteter i de sidste 3 måneder af 2018.
Fordelingen af midlerne i oversigtens pkt. 2a og 2b afhænger af det faktiske omfang af selvejende institutioner, som omfattes af aftaler om, at kommunens DBR varetager databeskyttelsesrådgiverfunktionen, jf. den uddybende beskrivelse i bilag 2.
1) Styrkelse af DPO Business partnerrollerne i forvaltningerne
Midlerne anvendes til at opnormere DPO Business Partner- rollen i hver forvaltning til fuldtidsstillinger, jf. uddybende beskrivelse i bilag 2.
2a) Tilbud til de selvejende institutioner om, at kommunens databeskyttelsesrådgiver varetager rollen som databeskyttelsesrådgiver også for dem, samt at der i givet fald
Midlerne anvendes til finansiering af 2,7 årsværk, når kommunens DBR skal være databeskyttelsesrådgiver for de for nærværende anslåede 214 selvejende institutioner, som kommunen har en driftsoverenskomst med, jf. uddybende beskrivelse i bilag 2. Den gennemsnitlige udgift pr. enhed vil være 8.000 kr. / år.
2b) Gennemføres et Legal Compliance Projekt i de selvejende institutioner
Midlerne anvendes til gennemførelse af et complianceprojekt hos alle selvejende institutioner, hvor Københavns Kommunes DBR bliver ansvarlig databeskyttelsesrådgiver. Complianceprojektet skal sikre, at institutionerne overholder databeskyttelseslovningen.
Beløbet omfatter udgifter til 8,5 årsværk, der skal frikøbes/stilles til rådighed fra de involverede forvaltninger. Midlerne er en engangsinvestering, der anvendes i 4. kvartal 2018 og hele 2019 svarende til 15 måneder.
Opgaven finansieres delvist af DUT-midler svarende til kr. 3.220.000 og delvist af involverede forvaltningerne svarende til kr. 3.530.000, der beregnes efter en fordelingsnøgle, når institutioner mv. er endeligt identificeret.
Implementeringen af databeskyttelseslovgivningen hos selvejende institutioner andrager i gennemsnit 31.500. kr. Der er ikke afsat midler til institutionernes interne arbejder.
3) Taskforce til GAP mittegering af risikofyldte områder i forvaltningerne
Med GAP mittegering forestås håndtering af de forskellige udeståender, som er afdækket på forvaltningernes egne områder. Der afsættes 4 årsværk til udbedrende aktiviteter, der sikrer kommunens overholdelse af databeskyttelseslovningen, svarende til 2.520.000 kr. pr. år i 2018 og 2019, svarende til 5.600 timer eller gennemsnitligt 800 timer pr. forvaltning. Fra 2020 og frem udgør beløbet 2.440.000 kr. svarende til 3,7 årsværk.
I 2018 gives endvidere et engangstilskud til frikøb af medarbejdere i hver forvaltning for at yde en ekstraordinær indsats i 4. kvartal 2018 ift. mittegerende aktiviteter. Den samlende investering til mittegerende aktiviteter i 2018 anslås til 2.160.000 kr., svarende til 4.800 timer eller gennemsnitlig 685 timer pr. forvaltning.
De tre forslag samt forslaget til finansieringen heraf er forud for ØKF ’s indstilling koordineret og tiltrådt i den i kommunen på tværs af forvaltningerne nedsatte IT-kreds.
Økonomi
Københavns Kommunes økonomiske kompensation (DUT-kompensationen) anvendes til delvis finansiering af de 3 forslag, jf. oversigten ovenfor. Den resterende del af finansieringen kommer fra forvaltningerne.
Videre proces
I forlængelse af Økonomiudvalgets og Borgerrepræsentationens beslutning vil ØKF og Københavns Kommunes DBR sikre udmøntningen af beslutning om de 3 konkrete forslag og herigennem anvendelse og fordeling af budgetmidlerne som ovenfor.
Peter Stensgaard Mørch /Mads Grønvall
Beslutning
Dagsordenspunkt 10: Svar på medlemsforslag om styrket beskyttelse af personoplysninger (2018-0236147)
Økonomiudvalgets beslutning i mødet den 25. september 2018
Indstillingen blev anbefalet over for Borgerrepræsentationen uden afstemning.