Mødedato: 27.09.2022, kl. 15:30
Mødested: Rådhuset, Udvalgsværelse F på 2. sal

Handleplan for Københavns Kommunes Databank

Se alle bilag

Databeskyttelsesrådgiveren (DPO’en) har i 1. halvår af 2022 foretaget et tilsyn med kommunens administration af it-platformen KK Databank. I forbindelse med tilsynet har DPO’en identificeret nogle forhold, som er vurderet som kritiske. Det har medført henstillinger og anbefalinger, som er nærmere beskrevet nedenfor. På baggrund af tilsynet har DPO’en udbedt sig en handleplan fra Økonomiforvaltningen for udbedring af forholdene fundet ved dette tilsyn. Økonomiforvaltningen har udarbejdet denne handleplan, som blev præsenteret for revisionsudvalget den 2. september 2022, og som nu forelægges Økonomiudvalget til godkendelse.

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

  1. at ”Handleplan for KK Databank”, jf. bilag 1, godkendes.

Problemstilling

Københavns Kommunes (KK) Databank er en Microsoft Cloud-baseret dataplatform, som anvendes til at indsamle, sammensætte og behandle forskellige datakilder, eksempelvis fra Københavns Kommunes fagsystemer. KK Databank blev etableret i 2016. Formålet med KK Databank er at skabe et datagrundlag, som kan anvendes til eksempelvis ledelsesrapportering eller machine learning.

Koncern IT har ansvaret for at udvikle og drifte KK Databank. Selve anvendelsen af KK Databank er dog struktureret således, at forvaltningerne som anvender KK Databank, har deres eget arbejdsområde, hvor de indhenter og behandler data. Således har forvaltningerne selv ansvaret for at sikre overholdelse af databeskyttelsesregler ifm. behandling af data i deres respektive dele af KK Databank. Dette instrueres forvaltningerne i, når de får adgang til KK Databank.

KK Databank er brugermæssigt struktureret således, at et begrænset antal medarbejdere, som arbejder med data, bliver individuelt tildelt adgang til KK Databank. Samlet set har under 100 medarbejdere adgang til at anvende og behandle data i systemet. Som udgangspunkt kan forvaltningerne kun se egne data, men ved behov kan de tildeles adgang til hinandens data. Det fremgår af logningen i KK Databank hvilke medarbejdere, som har set eller anvendt de forskellige datasæt. I forbindelse med forvaltningerne anvendelse af KK Databank er der udarbejdet en række retningslinjer og vejledninger, som brugerne skal efterleve i deres arbejde i KK Databank.

KK Databank anvender i dag data fra en række forskellige datakilder eksempelvis overbliksdata over indkommende digital post, telefonidata fra kommunens telefonisystem, CPR-register data, økonomidata fra Københavns Kommunes økonomisystem, medarbejderes arbejdstidsdata og Københavns Kommunes organisationsdata. KK Databank anvendes aktivt af Økonomiforvaltningen (ØKF), Teknik- og Miljøforvaltningen, Kultur- og Fritidsforvaltningen og Socialforvaltningen.

I perioden januar 2022 til juni 2022 har DPO’en foretaget et tilsyn med KK Databank. DPO’en har i tilsynsrapporten lagt særlig vægt på, at Koncern IT og forvaltningerne i forening ikke har løst alle de påkrævede opgaver ifm. håndtering af de data som er placeret i KK Databank, hvorved kommunens regler ikke er efterlevet. Forvaltningerne har ikke i tilstrækkelig grad sørget for at udarbejde eksempelvis fortegnelser over data og datastrømme, og Koncern IT har ikke haft tilstrækkelige processer for at følge op på at disse opgaver blev udført af forvaltningerne.

Således har tilsynet medført følgende henstillinger og anbefalinger.

  1. Det henstilles, at den systemansvarlige chef sikrer, at kommunens regler efterleves vedrørende databanken.
  2. Der skal udpeges en forretningsmæssig systemejer i hver forvaltning, der har den nødvendige uddannelse, som kræves i rollen som forretningsmæssig systemejer.
  3. Det anbefales, at det vurderes, hvordan den systemansvarlige chef skal sikre, at den forretningsmæssige systemejer udfører de opgaver, der kræves i rollen, når systemet anvendes i flere forvaltninger.

Alle henstillinger og anbefalinger er nærmere beskrevet i bilag 2 ”DPO Tilsynsrapport Databank ØKF”.

Løsning

Økonomiforvaltningen har modtaget ovennævnte henstillinger og anbefalinger og har, på baggrund af dialog med DPO’en, udarbejdet ”Handleplan for KK Databank”, som fremgår af bilag 1 til denne sag.

Handleplanen tilsiger, at følgende overordnede tiltag igangsættes.  

  1. Der udpeges forretningsmæssige systemejere i de forvaltninger, som anvender databank
  2. Forvaltningernes forretningsmæssige systemejere pålægges at gennemføre den påkrævede uddannelse
  3. Forvaltningernes forretningsmæssige systemejere pålægges at sikre overholdelse af gældende regler
  4. Systemansvarlig chef i ØKF indskærper kontrolproces
  5. Systemansvarlig chef i ØKF overvejer, hvorvidt rollen som systemansvarlig chef også skal uddelegeres til de enkelte forvaltninger.
  6. ØKF udarbejder ”Fælles administrativ forretningsgang for tværgående behandlingsprocesser”.

Pkt. 1 indføres for at sikre, at ansvaret for databehandlingerne er entydigt forankret. Det er nu tydeligt defineret hvilke ansvarsområder som påhviler Koncern IT i forbindelse med udvikling og drift af IT-systemet KK Databank og hvilke ansvarsområder, som varetages af de anvendende forvaltninger.

Pkt. 2 tilsikrer at de udnævnte forretningsmæssige systemejere har gennemført det krævede uddannelsesforløb, som giver forudsætningerne for at varetage deres ansvar.

Pkt. 3 har i handleplanen præciseret hvilke opgaver der ligger forbundet med at sikre, at databeskyttelsesretslige regler er overholdt.

Pkt. 4 indskærper hvordan der gennemføres kontroller af, at de forretningsmæssige systemejere lever op til deres ansvar.

Pkt. 5 vedrører en afklaring af, hvorvidt forvaltningerne også skal tildeles rollen som systemansvarlig chef i deres delområder af KK Databank. Det vil på databeskyttelsesområdet placere det fulde ansvar hos de anvendende forvaltninger.

Pkt. 6 er inkluderet i handleplanen, da tilsynet med KK Databank har identificeret problemstillinger omkring databehandlinger hvor data trækkes ud fra et IT-system for efterfølgende at blive anvendt til andre formål i nye systemer. Der er i det nuværende regelsæt ikke tilstrækkelig vejledning om hvordan ansvarskæderne håndteres og hvilke opgaver, der skal foretages af de medarbejdere og systemejere som er involverede i denne form for behandling. Denne forretningsgang skal således regulere tværgående behandlingsprocesser generelt, så alle systemer hvor denne type behandling finder sted er tilstrækkeligt reguleret.

DPO’en har vurderet at ”Handleplan for KK Databank” samlet set reducerer risici forbundet med databehandlinger i KK Databank tilstrækkeligt. Forretningscirkulæret for Organisering af Informationssikkerhed er vedlagt som bilag 3 til denne sag.

Økonomi

Sagen har ingen direkte økonomiske konsekvenser.

Videre proces

Med Økonomiudvalgets godkendelse vil Koncern IT påbegynde implementering af ”Handleplan for KK Databank”. Handleplanen er endeligt implementeret Q1 2023.

Søren Hartmann Hede           /Mads Grønvall

Beslutning

Dagsordenspunkt 8: Handleplan for Københavns Kommunes Databank (2022-0269747)

Økonomiudvalgets beslutning i mødet den 27. september 2022

Indstillingen blev godkendt uden afstemning.

 

Enhedslisten og Radikale Venstre afgav følgende protokolbemærkning:

”Enhedslisten og Radikale Venstre ser med stor alvor på, at der ikke har været udpeget systemejere i de forvaltninger, der anvender databanken. Der er tale om samkøring af personfølsomme oplysninger, og derfor er det afgørende, at Københavns Kommune har helt styr på, hvem der har adgang til disse. Økonomiudvalget ønsker derfor at få en opfølgning på gennemførelsen af handleplanen.”

Til top