Revidering af IT-sikkerhedsarbejdet - sikkerhedsinstruks
Revidering af IT-sikkerhedsarbejdet - sikkerhedsinstruks
Sundheds- og Omsorgsudvalget
DAGSORDEN
for ordinært møde torsdag den 7. december 2006
Sager til beslutning
5. Revidering af IT-sikkerhedsarbejdet - sikkerhedsinstruks
SOU 398/2006 J.nr. 30/1998
INDSTILLING
Sundheds- og Omsorgsforvaltningen indstiller,
at Sundheds- og
Omsorgsudvalget godkender den vedlagte reviderede Sikkerhedsinstruks
at Sundheds- og Omsorgsudvalget godkender, at
sundheds- og omsorgsborgmesteren bemyndiges til at godkende nye behandlinger,
der er undtaget fra pligten til anmeldelse,
at Sundheds- og Omsorgsudvalget godkender, at
sundheds- og omsorgsborgmesteren bemyndiges til at godkende mindre ændringer,
der er efterfølgende anmeldes til Datatilsynet.
RESUME
Sundheds- og Omsorgsforvaltningens
Sikkerhedsinstruks er blevet revideret dels på baggrund af bemærkninger fra
Københavns Revisionsdirektorat, dels i forbindelse med den årlige gennemgang,
der skal foretages i følge regulativet
for IT–sikkerhed for Københavns Kommune (Sikkerhedsregulativet). Den
reviderede Sikkerhedsinstruks forelægges med henblik på godkendelse af
Sundheds- og Omsorgsudvalget.
Det foreslås, at
Sundheds- og Omsorgsudvalget bemyndiger sundheds- og omsorgsborgmesteren til at
godkende nye behandlinger, der ikke er omfattet af anmeldelsespligten til Datatilsynet.
Endvidere foreslås
det, at Sundheds- og Omsorgsudvalget bemyndiger sundheds- og
omsorgsborgmesteren til at godkende mindre ændringer, som f.eks.
adresseændringer og lignende der efterfølgende anmeldes til Datatilsynet.
SAGSBESKRIVELSE
Der er foretaget en
revision af Sikkerhedsinstruksen fra 2005. Sikkerhedsinstruksen baserer sig på
Persondataloven, Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse
af personoplysninger, som behandles for den offentlige forvaltning, Nr.528 af
15. juni 2000, samt regulativet for IT-sikkerhed for Københavns Kommune
(Sikkerhedsregulativet). Sikkerhedsinstruksen er en uddybning af
Sikkerhedsregulativet.
Revisionen er et led
i den årlige revision af Sikkerhedsinstruksen, og er også dels en
anmodning fra Københavns Revisionsdirektorat om en ændring i kapitel 6 om
længden af opbevaring af sikkerhedsloggen, hvor teksten "gemmes i mindst 6
måneder" erstattes af "op til 6 måneder". Desuden er der i Sikkerhedsinstruksen
og tilhørende bilag foretaget en generel ændring fra Sundhedsforvaltningen til
Sundheds- og Omsorgsforvaltningen.
Ifølge
Bekendtgørelse om undtagelse fra pligten til anmeldelse af visse behandlinger,
som foretages for den offentlige forvaltning bekendtgørelse, er der en række
områder, hvor behandlinger ikke skal anmeldes til Datatilsynet. Det drejer sig
om områder som personaleadministrationssystemer, undervisningssystemer og
offentlige servicesystemer m.fl. Således kan behandlingerne vedrørende de
personaleadministrative systemer eksempelvis omfatte oplysninger om personer,
der virker eller har virket i offentlig tjeneste eller hverv, herunder
oplysninger om sygefravær og sygeperioder, pensionsforhold og lignende.
Sundheds- og
Omsorgsudvalget kan i følge Sikkerhedsregulativet § 47 stk. 3 bemyndige
borgmesteren, som den øverste daglige ansvarlige administrative leder af
forvaltningen, til at træffe beslutningen om behandling. I henhold til
Sikkerhedsinstruksen kan den af borgmesteren udpegede IT-sikkerhedsleder træffe
beslutninger på vegne af borgmesteren.
Ifølge
Sikkerhedsregulativet § 56 stk. 2 kan borgmesteren beslutte ændringer af mindre
væsentlig betydning, hvorefter IT–sikkerhedslederen foretager anmeldelse til
Datatilsynet.
Sager om nye
systemer, der er er omfattet af anmeldelsespligt til Datatilsynet, vil fortsat
blive forelagt Sundheds- og Omsorgsudvalget til godkendelse.
ØKONOMI
Der er ingen
økonomiske konsekvenser af indstillingen.
MILJØVURDERING
Sagstypen er ikke
omfattet af Sundheds- og Omsorgsforvaltningen positivliste over sager, der skal
miljøvurderes.
BILAG
Sundheds- og
Omsorgforvaltningens Sikkerhedsinstruks
Hanne Baastrup
/Lisbeth
Ravn