Mødedato: 03.03.2022, kl. 17:30
Mødested: Borgerrepræsentationens mødesal

Databeskyttelsesrådgiverens statusrapport om Københavns Kommunes arbejde med databeskyttelse 2021

Se alle bilag

I overensstemmelse med Københavns Kommunes Informationssikkerhedsregulativ skal Databeskyttelsesrådgiveren aflægge en årlig statusrapport til Borgerrepræsentationen om Københavns Kommunes arbejde med databeskyttelse. 

Indstilling

Indstilling om, 

  1. at Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2020 til 1. oktober 2021 tages til efterretning. 

Det noteres, at Databeskyttelsesrådgiveren vurderer, at i forhold til at have passende regler og retningslinjer, har Københavns Kommune generelt et højt eller tilstrækkeligt modenhedsniveau på databeskyttelsesområdet.

Det noteres, at Databeskyttelsesrådgiveren har gennemført to tilsyn vedrørende fortegnelseskrav og oplysningspligt og på den baggrund konkluderer, at 2021 har vist en nedadgående kurve i forhold til at efterleve regler og retningslinjer. Det anbefales, at der i langt højre grad sikres ensartet administration på tværs af forvaltningerne ved udarbejdelse af fællesadministrative forretningsgange.

Det bemærkes, at Databeskyttelsesrådgiveren i statusrapporten har identificeret seks særlige risikoområder, der anbefales prioriteret i 2022. Dette bør ifølge rapporten bl.a. ske ved udarbejdelse af fællesadministrative forretningsgange.

Det noteres, at Økonomiforvaltningen i august 2021 har etableret et GDPR Forum, der består af forvaltningerne og databeskyttelsesrådgiveren, som har til formål at koordinere og styrke en effektiv efterlevelse af reglerne om databeskyttelse i Københavns Kommune.

Økonomiforvaltningen og de øvrige forvaltninger har drøftet Databeskyttelsesrådgiverens anbefalinger, og Økonomiforvaltningen har på den baggrund udarbejdet en handleplan for håndtering af de seks identificerede risikoområder, der er vedlagt som bilag 2. Det fremgår heraf, at Økonomiforvaltningen er indstillet på at udarbejde de relevante fællesadministrative forretningsgange, som forvaltningerne efterfølgende kan tilslutte sig.

Det skal i den forbindelse bemærkes, at det følger af styrelsesvedtægten og kommunens informationssikkerhedsregulativ, at overborgmesteren og borgmestrene inden for hver deres udvalgsområde har ansvaret for den øverste daglige administrative ledelse, og at der heri bl.a. ligger ansvaret for, at forvaltningens behandling af personoplysninger efterlever den til enhver tid gældende lovgivning, herunder databeskyttelseslovgivningen og kommunens fastsatte rammer og retningslinjer.

Det noteres, at der i lighed med tidligere år alene foreligger en statusrapport, som omfatter kommunen som helhed. Det fremgår, at Databeskyttelsesrådgiveren er opmærksom på, at dette ikke er i overensstemmelse med funktionsbeskrivelsen for Intern Revision og Databeskyttelsesrådgiveren, og Databeskyttelsesrådgiveren tilkendegiver, at statusrapporten fremover vil blive udarbejdet i overensstemmelse med funktionsbeskrivelsen, hvor det fremgår at Databeskyttelsesrådgiver årligt pr. 1. oktober udarbejder en risikovurdering pr. forvaltning og for kommunen som helhed.

Det noteres, at Databeskyttelsesrådgiveren grundet Covid-19 samt andre udefra påvirkende omstændigheder, herunder Schrems II-afgørelsen, har måttet udsætte opfølgning med tilsynet med forvaltningernes uddannelsesplaner fra 2019 samt tilsyn med håndtering af persondatabrud til 2022.

(Revisionsudvalget)

Problemstilling

I overensstemmelse med Københavns Kommunes Informationssikkerhedsregulativ og Forretningscirkulære for persondatabeskyttelse, dokumentation og compliance, udarbejder Databeskyttelsesrådgiveren årligt pr. 1. oktober en statusrapport. Rapporten indeholder en vurdering af databeskyttelsen samt øvrige forhold i relation til databeskyttelse i Københavns Kommune.

Rapporten fremsendes til forvaltningernes direktioner, til Revisionsudvalget og til Borgerrepræsentationen efter forudgående indhentet erklæring fra Økonomiudvalget.

Løsning

Revisionsudvalget godkender Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2020 til 1. oktober 2021.

Økonomi

Der er ingen økonomi forbundet med indstillingen

Videre proces

Efter Revisionsudvalgets godkendelse af Statusrapporten oversender Databeskyttelsesrådgiveren statusrapporten og den godkendte indstilling til Økonomiudvalget.

Økonomiudvalget oversender Databeskyttelsesrådgiverens statusrapport for 2021 til Borgerrepræsentationen sammen med udvalgets erklæring.

Borgerrepræsentationen behandler Databeskyttelsesrådgiverens statusrapport for 2021.

Statusrapporten gøres tilgængelig på Intern Revisions hjemmeside.

 

/ Jesper Andersen

Oversigt over politisk behandling

Databeskyttelsesrådgiveren indstiller til Revisionsudvalget,

  1. at Revisionsudvalget godkender Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2020 til 1. oktober 2021,
  2. at Revisionsudvalget anbefaler Borgerrepræsentationen – efter forudgående indhentet erklæring fra Økonomiudvalget – at tage Databeskyttelsesrådgiverens Statusrapport om Københavns Kommunes arbejde med databeskyttelse 1. oktober 2020 til 1. oktober 2021 til efterretning.

 

Revisionsudvalgets beslutning i mødet den 14. december 2021

 

Indstillingen blev godkendt

 

Protokolbemærkninger:

Ingen

 

 

Økonomiforvaltningen indstiller, at Økonomiudvalget oversender sagen til Borgerrepræsentationen med følgende erklæring:

 

Økonomiudvalget noterer, at Databeskyttelsesrådgiveren vurderer, at i forhold til at have passende regler og retningslinjer, har Københavns Kommune generelt et højt eller tilstrækkeligt modenhedsniveau på databeskyttelsesområdet.

 

Økonomiudvalget noterer, at Databeskyttelsesrådgiveren har gennemført to tilsyn vedrørende fortegnelseskrav og oplysningspligt og på den baggrund konkluderer, at 2021 har vist en nedadgående kurve i forhold til at efterleve regler og retningslinjer. Det anbefales, at der i langt højre grad sikres ensartet administration på tværs af forvaltningerne ved udarbejdelse af fællesadministrative forretningsgange.

 

Økonomiudvalget bemærker, at Databeskyttelsesrådgiveren i statusrapporten har identificeret seks særlige risikoområder, der anbefales prioriteret i 2022. Dette bør ifølge rapporten bl.a. ske ved udarbejdelse af fællesadministrative forretningsgange.

 

Økonomiudvalget noterer, at Økonomiforvaltningen i august 2021 har etableret et GDPR Forum, der består af forvaltningerne og databeskyttelsesrådgiveren, som har til formål at koordinere og styrke en effektiv efterlevelse af reglerne om databeskyttelse i Københavns Kommune.

 

Økonomiforvaltningen og de øvrige forvaltninger har drøftet Databeskyttelsesrådgiverens anbefalinger, og Økonomiforvaltningen har på den baggrund udarbejdet en handleplan for håndtering af de seks identificerede risikoområder, der er vedlagt som bilag 2. Det fremgår heraf, at Økonomiforvaltningen er indstillet på at udarbejde de relevante fællesadministrative forretningsgange, som forvaltningerne efterfølgende kan tilslutte sig.

 

Det skal i den forbindelse bemærkes, at det følger af styrelsesvedtægten og kommunens informationssikkerhedsregulativ, at overborgmesteren og borgmestrene inden for hver deres udvalgsområde har ansvaret for den øverste daglige administrative ledelse, og at der heri bl.a. ligger ansvaret for, at forvaltningens behandling af personoplysninger efterlever den til enhver tid gældende lovgivning, herunder databeskyttelseslovgivningen og kommunens fastsatte rammer og retningslinjer.

 

Økonomiudvalget noterer, at der i lighed med tidligere år alene foreligger en statusrapport, som omfatter kommunen som helhed. Det fremgår, at Databeskyttelsesrådgiveren er opmærksom på, at dette ikke er i overensstemmelse med funktionsbeskrivelsen for Intern Revision og Databeskyttelsesrådgiveren, og Databeskyttelsesrådgiveren tilkendegiver, at statusrapporten fremover vil blive udarbejdet i overensstemmelse med funktionsbeskrivelsen, hvor det fremgår at Databeskyttelsesrådgiver årligt pr. 1. oktober udarbejder en risikovurdering pr. forvaltning og for kommunen som helhed.

Økonomiudvalget noterer, at Databeskyttelsesrådgiveren grundet Covid-19 samt andre udefra påvirkende omstændigheder, herunder Schrems II-afgørelsen, har måttet udsætte opfølgning med tilsynet med forvaltningernes uddannelsesplaner fra 2019 samt tilsyn med håndtering af persondatabrud til 2022.

 

Økonomiudvalgets beslutning i mødet den 22. februar 2022

 

Chef for Intern Revision, Jesper Andersen, var til stede under behandlingen af dagsordenspunktet af hensyn til sagens oplysning.

 

Økonomiudvalget besluttede at oversende indstillingen med udvalgets erklæring til behandling i Borgerrepræsentationen uden afstemning.

 

Beslutning

Borgerrepræsentationens beslutning i mødet den 3. marts 2022

Indstillingen blev godkendt uden afstemning.

Til top