Databeskyttelsesrådgiverens statusrapport om Københavns Kommunes arbejde med databeskyttelse 2021

Før Borgerrepræsentationen kan tage stilling til en indstilling, skal Økonomiudvalgets erklæring om enhver sag, der vedrører kommunens planlægningsopgaver, økonomiske forhold eller almindelige administrative forhold, indhentes, jf. Københavns Kommunes styrelsesvedtægt § 12, stk. 5.

I nærværende indstilling, skal Økonomiudvalget således alene tage stilling til den foreslåede erklæring i afsnittet "Indstilling".

I overensstemmelse med Københavns Kommunes Informationssikkerhedsregulativ skal Databeskyttelsesrådgiveren aflægge en årlig statusrapport til Borgerrepræsentationen om Københavns Kommunes arbejde med databeskyttelse. 

Revisionsudvalget anbefaler over for Økonomiudvalget og Borgerrepræsentationen, 

1. at Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2020 til 1. oktober 2021 tages til efterretning. 

Økonomiforvaltningen indstiller, at Økonomiudvalget oversender sagen til Borgerrepræsentationen med følgende erklæring:

Økonomiudvalget noterer, at Databeskyttelsesrådgiveren vurderer, at i forhold til at have passende regler og retningslinjer, har Københavns Kommune generelt et højt eller tilstrækkeligt modenhedsniveau på databeskyttelsesområdet.

Økonomiudvalget noterer, at Databeskyttelsesrådgiveren har gennemført to tilsyn vedrørende fortegnelseskrav og oplysningspligt og på den baggrund konkluderer, at 2021 har vist en nedadgående kurve i forhold til at efterleve regler og retningslinjer. Det anbefales, at der i langt højre grad sikres ensartet administration på tværs af forvaltningerne ved udarbejdelse af fællesadministrative forretningsgange.

Økonomiudvalget bemærker, at Databeskyttelsesrådgiveren i statusrapporten har identificeret seks særlige risikoområder, der anbefales prioriteret i 2022. Dette bør ifølge rapporten bl.a. ske ved udarbejdelse af fællesadministrative forretningsgange.

Økonomiudvalget noterer, at Økonomiforvaltningen i august 2021 har etableret et GDPR Forum, der består af forvaltningerne og databeskyttelsesrådgiveren, som har til formål at koordinere og styrke en effektiv efterlevelse af reglerne om databeskyttelse i Københavns Kommune.

Økonomiforvaltningen og de øvrige forvaltninger har drøftet Databeskyttelsesrådgiverens anbefalinger, og Økonomiforvaltningen har på den baggrund udarbejdet en handleplan for håndtering af de seks identificerede risikoområder, der er vedlagt som bilag 2. Det fremgår heraf, at Økonomiforvaltningen er indstillet på at udarbejde de relevante fællesadministrative forretningsgange, som forvaltningerne efterfølgende kan tilslutte sig.

Det skal i den forbindelse bemærkes, at det følger af styrelsesvedtægten og kommunens informationssikkerhedsregulativ, at overborgmesteren og borgmestrene inden for hver deres udvalgsområde har ansvaret for den øverste daglige administrative ledelse, og at der heri bl.a. ligger ansvaret for, at forvaltningens behandling af personoplysninger efterlever den til enhver tid gældende lovgivning, herunder databeskyttelseslovgivningen og kommunens fastsatte rammer og retningslinjer.

Økonomiudvalget noterer, at der i lighed med tidligere år alene foreligger en statusrapport, som omfatter kommunen som helhed. Det fremgår, at Databeskyttelsesrådgiveren er opmærksom på, at dette ikke er i overensstemmelse med funktionsbeskrivelsen for Intern Revision og Databeskyttelsesrådgiveren, og Databeskyttelsesrådgiveren tilkendegiver, at statusrapporten fremover vil blive udarbejdet i overensstemmelse med funktionsbeskrivelsen, hvor det fremgår at Databeskyttelsesrådgiver årligt pr. 1. oktober udarbejder en risikovurdering pr. forvaltning og for kommunen som helhed.

Økonomiudvalget noterer, at Databeskyttelsesrådgiveren grundet Covid-19 samt andre udefra påvirkende omstændigheder, herunder Schrems II-afgørelsen, har måtte udsætte opfølgning med tilsynet med forvaltningernes uddannelsesplaner fra 2019 samt tilsyn med håndtering af persondatabrud til 2022.

I overensstemmelse med Københavns Kommunes Informationssikkerhedsregulativ og Forretningscirkulære for persondatabeskyttelse, dokumentation og compliance, udarbejder Databeskyttelsesrådgiveren årligt pr. 1. oktober en statusrapport. Rapporten indeholder en vurdering af databeskyttelsen samt øvrige forhold i relation til databeskyttelse i Københavns Kommune.

Rapporten fremsendes til forvaltningernes direktioner, til Revisionsudvalget og til Borgerrepræsentationen efter forudgående indhentet erklæring fra Økonomiudvalget.

Revisionsudvalget godkender Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2020 til 1. oktober 2021.

Der er ingen økonomi forbundet med indstillingen

Efter Revisionsudvalgets godkendelse af Statusrapporten oversender Databeskyttelsesrådgiveren statusrapporten og den godkendte indstilling til Økonomiudvalget.

Økonomiudvalget oversender Databeskyttelsesrådgiverens statusrapport for 2021 til Borgerrepræsentationen sammen med udvalgets erklæring.

Borgerrepræsentationen behandler Databeskyttelsesrådgiverens statusrapport for 2021.

Statusrapporten gøres tilgængelig på Intern Revisions hjemmeside.

/ Jesper Andersen

Databeskyttelsesrådgiveren indstiller til Revisionsudvalget,

1. at Revisionsudvalget godkender Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2020 til 1. oktober 2021,
2. at Revisionsudvalget anbefaler Borgerrepræsentationen – efter forudgående indhentet erklæring fra Økonomiudvalget – at tage Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2020 til 1. oktober 2021 til efterretning.

Revisionsudvalgets beslutning i mødet den 14. december 2021

Indstillingen blev godkendt

Protokolbemærkninger:

Ingen

Dagsordenspunkt 22: Databeskyttelsesrådgiverens statusrapport om Københavns Kommunes arbejde med databeskyttelse 2021

Økonomiudvalgets beslutning i mødet den 26. januar 2022

Økonomiudvalget besluttede at udsætte behandlingen af sagen til mødet den 22. februar 2022.