Mødedato: 26.04.2007, kl. 14:00

Årsberetning om IT - sikkerhedsarbejdet i 2006

Årsberetning om IT - sikkerhedsarbejdet i 2006

Sundheds- og Omsorgsudvalget

 

BESLUTNINGSPROTOKOL

fra Ordinært møde torsdag den 26. april 2007

 

 

11.      Årsberetning  om IT - sikkerhedsarbejdet i 2006

 

SOU 106/2007  J.nr. 30/1998

 

 

 

INDSTILLING OG BESLUTNING

Sundheds- og Omsorgsudvalget orienteres om den udarbejdede årsberetning for it – sikkerhedsarbejdet i 2006.

 

BESLUTNING

Sundheds- og Omsorgsforvaltningen indstiller,

1.      at Sundheds- og Omsorgsudvalget tager orienteringen om den udarbejdede årsberetning for it - sikkerhedsarbejdet for året 2006 til efterretning og fremsender beretningen til Økonomiforvaltningen med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsentationen.

 

Sundheds- og Omsorgsudvalgets beslutning i mødet den 26. april 2007:

Udvalget tog indstillingen til efterretning.

 

Problemstilling

Overborgmesteren og de enkelte borgmestre skal afgive en årsberetning om it - sikkerhedsarbejdets forløb indenfor hver deres område jf. sikkerhedsregulativets § 20.

 

Årsberetningerne skal udarbejdes for hver forvaltning samt forelægges det relevante fagudvalg til orientering og fremsendes til Økonomiforvaltningen. Det sker med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsentationen.

 

Løsning

Å rsberetningen omfatter:

1. Anmeldelser til Datatilsynet. Sundheds- og Omsorgsudvalget er ansvarlig for at godkende enhver behandling af persondata, som er specifik for forvaltningen. På baggrund af udvalgets godkendelse skal der ske anmeldelse til Datatilsynet. Ændringer i eksisterende systemer skal ligeledes godkendes og anmeldes. Der er i 2006 anmeldt 4 systemer til Datatilsynet. Sundheds- og Omsorgudvalget har godkendt anmeldelse af 5 systemer. Det ene af disse systemer "statistik vedr. kommunal medfinansiering af regionale sundhedsydelser" er endnu ikke anmeldt, da der afventes beslutning om hvilket system, der skal anvendes.

Der er ikke anmeldt ændringer til eksisterende systemer til Datatilsynet

En oversigt over alle anmeldte systemer findes i bilag 2

 

2. Sikkerhedsbrud. Kommunens regulativ for IT – sikkerhed anviser, at sikkerhedsbrud eller forsøg herpå skal anmeldes til borgmesteren, og at der skal rapporteres til udvalget herom i årsberetningen. I året 2006 har der været 1 sikkerhedsbrud. En medarbejder havde lånt sin brugerident og password ud til en række medarbejdere. Hændelsen medførte en opsigelse og en advarsel.

 

3. Registerindsigt. Enhver borger har ret til at få indsigt i hvilke oplysninger, Københavns kommune har registreret om borgeren. Sundheds- og Omsorgsforvaltningen skal som myndighed besvare forespørgsler i de tilfælde, hvor Sundheds- og Omsorgsforvaltningen er systemansvarlig. Kravet om registerindsigt kan gælde alle systemer eller specifikke systemer. Hvis borgeren anmoder om indsigt i alle systemer, svarer alle forvaltninger i forhold til de systemer, som de er ansvarlige for. Anmoder borgeren om indsigt i et specifikt system, svarer den forvaltning, som er systemansvarlig for det pågældende system. Der er i 2006 blevet anmodet om registerindsigt i 6 tilfælde.

 

4. Sikkerhedsinstruks. Hver forvaltning skal udarbejde en IT – sikkerhedsinstruks, som en udmøntning af kommunens regulativ for IT – sikkerhed. IT – sikkerhedsinstruksen skal blandt andet anvise, hvorledes IT – sikkerhedsleder, systemansvarlige og autoriserede brugere konkret skal forholde sig til kommunens regulativ for IT – sikkerhed.

Ifølge kommunens regulativ for IT - sikkerhed skal forvaltningens IT -sikkerhedsinstruks revideres en gang årligt. Der er foretaget revision af Sundheds- og Omsorgsforvaltningens sikkerhedsinstruks i 2006.

 

5. Risikovurdering. I følge kommunens regulativ for IT - sikkerhed skal forvaltningen foretage en risikovurdering årligt. Der er foretaget en risikovurdering i 2006 udført af konsulentfirmaet PriceWaterhouseCoopers. Hensigten med risikovurderingen er at illustrere trusselsniveauet for alle forvaltningens udvalgte aktiviteter. PriceWaterhouseCoopers vurdering er, at det generelle trusselsniveau hos Sundheds- og Omsorgsforvaltningen er normalt. Niveauet normalt er et ud af fem mulige (meget højt, højt, normalt, lavt, meget lavt).

 

6. Henvendelse fra Datatilsynet. En borger har klaget over, at Sundheds- og Omsorgsforvaltningen har videregivet personoplysninger til et pengeinstitut. Denne procedure er ændret med øjeblikkelig virkning. Sundheds- og Omsorgsforvaltningen har overfor borgeren beklaget det skete.

 

Økonomi

Ingen

 

Videre proces

Årsberetningen for it - sikkerhedsarbejdet skal fremsendes til Økonomiforvaltningen, Borgerrepræsentationens Sekretariat.

 

På vegne af Overborgmesteren koordinerer Borgerrepræsentationens sekretariat arbejdet med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsen-tationen

 

Bilag

Bilag 1: Årsberetning for it- sikkerhedsarbejdet i 2006

Bilag 2: Oversigt over systemer anmeldt efter juni 2000

Bilag 3: KMD's oversigt over antal autoriserede brugere pr. system

 

         Hanne Baastrup

                                                         /Torben Hedegaard Jensen

 

 

Til top