Årsberetning om IT-sikkerhedsarbejdet i 2003

9. Årsberetning om IT-sikkerhedsarbejdet i 2003

SOU 418/2003 J.nr. 30/98

Sundhedsforvaltningen indstiller,

at Sundheds- og Omsorgsudvalget godkender den fremlagte årsberetning om IT- sikkerhed for året 2003 og fremsender beretningen til Økonomiforvaltningen med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsentationen.

Ifølge Regulativ for IT – sikkerhed i Københavns Kommune (Sikkerhedsregulativet) skal der afgives en årsberetning vedrørende IT - sikkerhedsarbejdets forløb. Der er for året 2003 udarbejdet en årsberetning for Sundhedsforvaltningen.

Der er i året 2003 ikke anmeldt nye systemer til Datatilsynet.

Der er i året 2003 ikke anmeldt ændringer til eksisterende systemer til Datatilsynet.

Der er ikke noteret nogle sikkerhedsbrud eller forsøg herpå. Det skal dog bemærkes, at der i forbindelse med en del nye brugere uden den store IT – erfaring er en øget opmærksomhed på brugernes anvendelse af PC, da der lettere kan opstå sikkerhedsproblemer.

Der er i året 2003 blevet anmodet om registerindsigt i 5 tilfælde.

Fredag den 13. december 2002 var Datatilsynet på inspektion i forvaltningen. Inspektionen er afsluttet med brev af 22. december 2003. Datatilsynet kunne konstatere at Sundhedsforvaltningen havde overholdt sin anmeldelsespligt i henhold til Persondatalovens kapitel 12. Der var dog tvivl om anmeldelse af dokumenthåndteringssystemet Cirius. Datatilsynet er efterfølgende blevet orienteret om at dokumenthåndteringssystemet Cirius er anmeldt som en fælleskommunal behandling af Økonomiudvalget.

Foranlediget af Datatilsynets inspektion har Sundhedsforvaltningen anmodet og fået tilladelse til kontrolsamkøring af data på økonomiområdet i forbindelse med beregning af pension i henhold til retssikkerhedslovens § 12.

Datatilsynet har ingen bemærkninger til Sundhedsforvaltningens forretningsgang vedrørende oplysningspligt og indsigtsret. Der er dog aftalt at Sundhedsforvaltningen for god ordens skyld gennemgår og vedligeholder forvaltningens forskellige procedurer med henblik på at sikre, at persondatalovens regler om oplysningspligt iagttages.

Det blev konstateret at Sundhedsforvaltningen alene foretager systemteknisk kontrol af medarbejderes anvendelse af internet og af elektronisk post.

Sundhedsforvaltningen offentliggøre ikke personbilleder på internettet.

I forbindelse med Datatilsynets inspektion har Sundhedsforvaltningen kortlagt hvilke interne arbejdsgangsbeskrivelser og forrertningsgangsbeskrivelser der eksisterer i Sundhedsforvaltningen. Endvidere er der efter Datatilsynets besøg udarbejdet en række nye interne arbejdsgangsbeskrivelser og forretningsgangsbeskrivelser foranlediget af Datatilsynets besøg og foranlediget af anvendelse af ny teknologi.

Disse interne arbejdsgangsbeskrivelser og forretningsgangsbeskrivelser vil blive sammenfattet i en ny samlet sikkerhedsinstruks for Sundhedsforvaltningen der vil blive forelagt til godkendelse for Sundheds- og Omsorgsudvalget.

Se resumé.

ØKONOMI

Der er ingen økonomiske konsekvenser af indstillingen.

Der er ingen miljømæssige konsekvenser af indstillingen.

1: Beretning om IT- Sikkerhed for året 2003 – Sundhedsforvaltningens bidrag med følgende underbilag:

A: Oversigt over brugere af KMD-systemer pr. 31.12.03

B:. 2003Oversigt over godkendte behandlinger pr. 31.12.03

C: Brev fra Datatilsynet af 22. december 2003.

Lau Svendsen-Tune

/ Jørn Jan Nielsen