Databeskyttelsesrådgiverens statusrapport for 2022 fra Revisionsudvalget
I overensstemmelse med Københavns Kommunes Informationssikkerhedsregulativ skal Databeskyttelsesrådgiveren aflægge en årlig statusrapport til Borgerrepræsentationen om Københavns Kommunes arbejde med databeskyttelse.
Indstilling
Indstilling om,
- at Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2021 til 1. oktober 2022 tages til efterretning.
Det noteres, at Databeskyttelsesrådgiveren i forhold til implementering af regler og retningslinjer vedrørende fortegnelser, risikovurderinger samt konsekvensanalyser ser en fremgang.
Det noteres desuden, at Databeskyttelsesrådgiveren ser positivt på, at alle forvaltningerne i 2022 har medvirket til at justere konceptet for modenhedsvurdering og foretaget en selvangivelse i forhold til forvaltningens modenhed på 46 complianceområder.
Det noteres herudover, at Databeskyttelsesrådgiveren peger på, at der er behov for at få etableret en governance, som skaber klarhed over, hvordan vi løser de enkelte databeskyttelsesretlige opgaver bedst muligt med fokus på at gøre tingene ensartet, højne niveauet samt løse opgaverne på en mere omkostningseffektiv måde.
Det fremgår, at Økonomiforvaltningen og de øvrige forvaltninger har drøftet Databeskyttelsesrådgiverens anbefaling, og Økonomiforvaltningen har på den baggrund udarbejdet en handleplan for styrket governance, koordination og fremdrift på databeskyttelsesområdet, der er vedlagt som bilag 2.
Det skal i den forbindelse bemærkes, at det følger af styrelsesvedtægten og kommunens informationssikkerhedsregulativ, at overborgmesteren og borgmestrene inden for hver deres udvalgsområde har ansvaret for den øverste daglige administrative ledelse, og at der heri bl.a. ligger ansvaret for, at forvaltningens behandling af personoplysninger efterlever den til enhver tid gældende lovgivning, herunder databeskyttelseslovgivningen og kommunens fastsatte rammer og retningslinjer. Den behandlende forvaltning har således overfor den respektive borgmester ansvaret for, at behandlingen og dokumentationen mv. af personoplysninger overholder den til enhver tid gældende lovgivning. En stor del af indsatsen på databeskyttelsesområdet skal derfor også ske i de enkelte forvaltninger.
Det bemærkes i forlængelse heraf, at Databeskyttelsesrådgiveren udover en generel statusrapport også for første gang har udarbejdet delrapporter for de enkelte forvaltninger. Delrapporterne indeholder forvaltningens egen særskilte modenhedsvurdering, men fremstår herudover meget ensartede. Økonomiforvaltningens delrapport er vedlagt som bilag 3.
Det noteres i den udarbejdede handleplan for styrket governance, koordination og fremdrift på databeskyttelsesområdet, at alle forvaltninger bl.a. gennem GDPR-forum arbejder på at følge op på modenhedsanalyserne. Det fremgår også, at Københavns Kommunes kreds af IT-direktører (IT-kredsen) vil gå i dialog med Databeskyttelsesrådgiveren om, hvordan forvaltningerne kan arbejde med modenhedsanalyserne, således at modenhedsanalyserne og dermed også delrapporterne ikke bare bliver en konstatering eller en revionsrapport, men et værktøj, som de ansvarlige forvaltninger kan tage udgangspunkt i og arbejde målrettet med på eget område.
Det bemærkes, at den foreliggende rapport er den fjerde statusrapport fra Databeskyttelsesrådgiveren. Økonomiudvalget finder, at Databeskyttelsesrådgiveren med fordel kan finde en fast form for statusrapporten, der gør det muligt at sammenligne rapporterne fra år til år. Økonomiudvalget finder det i den forbindelse nyttigt, at Databeskyttelsesrådgiveren som i statusrapporten fra 1. oktober 2020 – 1. oktober 2021 foretager en overordnet vurdering af, om Københavns Kommune generelt har et højt eller tilstrækkeligt modenhedsniveau på databeskyttelsesområdet og på baggrund af modenhedsvurderinger og gennemførte tilsyn udpeger prioriterede indsatsområder, der giver grundlag for udarbejdelse af handleplaner i forvaltningen.
(Revisionsudvalget)
Problemstilling
I overensstemmelse med Københavns Kommunes Informationssikkerhedsregulativ og Forretningscirkulære for persondatabeskyttelse, dokumentation og compliance, udarbejder Databeskyttelsesrådgiveren årligt pr. 1. oktober en statusrapport. Rapporten indeholder en vurdering af databeskyttelsen samt øvrige forhold i relation til databeskyttelse i Københavns Kommune.
Rapporten fremsendes til forvaltningernes direktioner, til Revisionsudvalget og til Borgerrepræsentationen efter forudgående indhentet erklæring fra Økonomiudvalget.
Løsning
Revisionsudvalget godkender Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2021 til 1. oktober 2022.
Økonomi
Der er ingen økonomi forbundet med indstillingen.
Videre proces
Efter Revisionsudvalgets godkendelse af Statusrapporten oversender Databeskyttelsesrådgiveren statusrapporten og den godkendte indstilling til Økonomiforvaltningen med henblik på videre behandling i Økonomiudvalget og Borgerrepræsentationen.
Statusrapporten gøres tilgængelig på Intern Revisions hjemmeside.
Oversigt over politisk behandling
Databeskyttelsesrådgiveren indstiller til Revisionsudvalget,
- at Revisionsudvalget godkender Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2021 til 1. oktober 2022,
- at Revisionsudvalget anbefaler Borgerrepræsentationen – efter forudgående indhentet erklæring fra Økonomiudvalget – at tage Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2021 til 1. oktober 2022 til efterretning.
Revisionsudvalget beslutning i mødet den 16. december 2022
Indstillingen blev godkendt.
Protokolbemærkninger:
Ingen.
Økonomiforvaltningen indstiller, at Økonomiudvalget oversender sagen til Borgerrepræsentationen med følgende erklæring:
Økonomiudvalget noterer, at Databeskyttelsesrådgiveren i forhold til implementering af regler og retningslinjer vedrørende fortegnelser, risikovurderinger samt konsekvensanalyser ser en fremgang.
Økonomiudvalget noterer desuden, at Databeskyttelsesrådgiveren ser positivt på, at alle forvaltningerne i 2022 har medvirket til at justere konceptet for modenhedsvurdering og foretaget en selvangivelse i forhold til forvaltningens modenhed på 46 complianceområder.
Økonomiudvalget noterer herudover, at Databeskyttelsesrådgiveren peger på, at der er behov for at få etableret en governance, som skaber klarhed over, hvordan vi løser de enkelte databeskyttelsesretlige opgaver bedst muligt med fokus på at gøre tingene ensartet, højne niveauet samt løse opgaverne på en mere omkostningseffektiv måde.
Det fremgår, at Økonomiforvaltningen og de øvrige forvaltninger har drøftet Databeskyttelsesrådgiverens anbefaling, og Økonomiforvaltningen har på den baggrund udarbejdet en handleplan for styrket governance, koordination og fremdrift på databeskyttelsesområdet, der er vedlagt som bilag 2.
Det skal i den forbindelse bemærkes, at det følger af styrelsesvedtægten og kommunens informationssikkerhedsregulativ, at overborgmesteren og borgmestrene inden for hver deres udvalgsområde har ansvaret for den øverste daglige administrative ledelse, og at der heri bl.a. ligger ansvaret for, at forvaltningens behandling af personoplysninger efterlever den til enhver tid gældende lovgivning, herunder databeskyttelseslovgivningen og kommunens fastsatte rammer og retningslinjer. Den behandlende forvaltning har således overfor den respektive borgmester ansvaret for, at behandlingen og dokumentationen mv. af personoplysninger overholder den til enhver tid gældende lovgivning. En stor del af indsatsen på databeskyttelsesområdet skal derfor også ske i de enkelte forvaltninger.
Økonomiudvalget bemærker i forlængelse heraf, at Databeskyttelsesrådgiveren udover en generel statusrapport også for første gang har udarbejdet delrapporter for de enkelte forvaltninger. Delrapporterne indeholder forvaltningens egen særskilte modenhedsvurdering, men fremstår herudover meget ensartede. Økonomiforvaltningens delrapport er vedlagt som bilag 3.
Økonomiudvalget noterer i den udarbejdede handleplan for styrket governance, koordination og fremdrift på databeskyttelsesområdet, at alle forvaltninger bl.a. gennem GDPR-forum arbejder på at følge op på modenhedsanalyserne. Det fremgår også, at Københavns Kommunes kreds af IT-direktører (IT-kredsen) vil gå i dialog med Databeskyttelsesrådgiveren om, hvordan forvaltningerne kan arbejde med modenhedsanalyserne, således at modenhedsanalyserne og dermed også delrapporterne ikke bare bliver en konstatering eller en revionsrapport, men et værktøj, som de ansvarlige forvaltninger kan tage udgangspunkt i og arbejde målrettet med på eget område.
Økonomiudvalget bemærker, at den foreliggende rapport er den fjerde statusrapport fra Databeskyttelsesrådgiveren. Økonomiudvalget finder, at Databeskyttelsesrådgiveren med fordel kan finde en fast form for statusrapporten, der gør det muligt at sammenligne rapporterne fra år til år. Økonomiudvalget finder det i den forbindelse nyttigt, at Databeskyttelsesrådgiveren som i statusrapporten fra 1. oktober 2020 – 1. oktober 2021 foretager en overordnet vurdering af, om Københavns Kommune generelt har et højt eller tilstrækkeligt modenhedsniveau på databeskyttelsesområdet og på baggrund af modenhedsvurderinger og gennemførte tilsyn udpeger prioriterede indsatsområder, der giver grundlag for udarbejdelse af handleplaner i forvaltningen.
Økonomiudvalgets beslutning i mødet den 25. januar 2023
Chef for Intern Revision, Jesper Andersen, deltog under sagens behandling af hensyn til sagens oplysning.
Økonomiudvalget besluttede at oversende indstillingen med udvalgets erklæring til behandling i Borgerrepræsentationen uden afstemning.
Beslutning
Borgerrepræsentationens beslutning i mødet den 2. februar 2023
Indstillingen blev godkendt uden afstemning.