Svar på medlemsforslag om styrket beskyttelse af personoplysninger

Borgerrepræsentationen skal tage stilling til styrket beskyttelse af personoplysninger samt om anvendelse af Københavns Kommunes DUT (Det Udvidede Totalbalanceprincip) kompensation for de nye administrative krav i reglerne om databeskyttelse.

Indstilling

Indstilling om,

(Økonomiudvalget)

Den 21. juni 2018 godkendte Borgerrepræsentationen (BR) vedlagte medlemsforslag om styrket beskyttelse af personoplysninger, jf. bilag 1. BR pålagde i den forbindelse Økonomiforvaltningen (ØKF) og Databeskyttelsesrådgiverfunktionen i Intern Revision (DBR) at undersøge mulighederne for at styrke den funktion, som Databeskyttelsesrådgiveren har i forbindelse med at sikre beskyttelse af personoplysninger mv. i Københavns Kommune med mulighed for og ressourcer til at indhente yderligere viden i forhold til emner som privatlivsbeskyttelse, data-etik og transparens.

KL har nu oplyst, at KL og regeringen har indgået aftale om økonomisk kompensation til kommunerne for de nye administrative krav i reglerne om databeskyttelse.

Med henblik på opfyldelse af intentionerne i BR’s vedtagne medlemsforslag fremlægger ØKF og DBR med denne indstilling 3 konkrete forslag til styrket beskyttelse af personoplysninger samt forslag om, at Københavns Kommunes økonomiske kompensation for de nye administrative krav i reglerne om databeskyttelse (DUT) anvendes til delvis finansiering heraf.

Med KL´s aftale med regeringen om økonomisk kompensation til kommunerne for de nye administrative krav i reglerne om databeskyttelse vil kommunerne blive kompenseret med 60,3 mio. kr. i 2018, 86,6 mio. kr. i 2019 og 68,5 mio. kr. fra 2020. Aftalen udspringer af en enighed om, at reglerne vil give direkte eller afledte øgede udgifter for kommunerne.

Københavns Kommunes andel af kompensationen udgør 10,192 % i 2018 og 10,222 % i 2019 og frem af det samlede beløb svarende til

• 6,15 mio. kr. i 2018
• 8,86 mio. kr. i 2019
• 7,00 mio. kr. i 2020 og frem

ØKF og DBR har undersøgt mulighederne for styrkelse af behandlingen af personoplysninger og foreslår følgende tre konkrete forslag: 

1.Styrkelse af DPO (Data Protection Officer) Business partnerrollerne i forvaltningerne.

2.a) Tilbud til de selvejende institutioner om, at kommunens databeskyttelsesrådgiver varetager rollen som databeskyttelsesrådgiver også for dem, samt at der i givet fald,

2.b) gennemføres et Legal Compliance Projekt i de selvejende institutioner.

3.Taskforce til GAP mittegering af risikofyldte områder i forvaltningerne.

De tre forslag er kort beskrevet nedenfor og mere uddybende i vedlagte bilag 2.

Det foreslås endvidere, at Københavns Kommunes økonomiske kompensation (DUT-kompensationen) anvendes til delvis finansiering af de 3 forslag. Den resterende del af finansieringen kommer fra forvaltningerne.

Budgetmidlerne foreslås under henvisning hertil anvendt og fordelt som anført i følgende oversigt, jf. supplerende noter nedenfor.

Område	2018		2019		2020 og frem
	Engangs- udgift	Drifts- udgift	Engangs- udgift	Drifts- udgift	Engangs- udgift	Varig  drifts- udgift
Finansiering via DUT-midler jf. ovenfor
DPO Business Partner (1) Tildeles forvaltningerne		2.540.000		3.250.000		3.250.000
DPO Selvejende institutioner (2a) Tildeles DPO		450.000		1.710.000		1.710.000
Taskforce til GAP mittegering (3) Tildeles DPO*)	1.046.000	760.000		2.032.000		2.040.000
Compliance Projekt Selvejende Institutioner (2b) Tildeles DPO	1.350.000		1.870.000
Finansiering via DUT-midler jf. ovenfor	2.396.000	3.750.000	1.870.000	6.922.000		7.000.000
TOTAL	6.146.000		8.862.000		7.000.000
Finansiering via forvaltningerne
Compliance Projekt Selvejende Institutioner Tildeles DPO *)			3.530.000
TOTAL Finansiering via forvaltningerne			3.530.000

*) En Taskforce til GAP mittegering sikrer håndtering at de forskellige udeståender, som er afdækket i forbindelse med forvaltningernes arbejde under LCP (Legal Compliance Projekt) programmet. Midler til taskforce arbejdet i oversigtens pkt. 3 er midlertidigt placeret hos Københavns Kommunes DBR, men disponeres af IT-kredsen efter indstilling fra DBR. Midler i oversigtens pkt. 2b placeres ligeledes hos DBR i projektets løbetid.

Beregningsgrundlag for budgetmidler: Et årsværk koster 630.000 kr. og kan levere 1.400 produktionstimer pr. år svarende til 450 kr. / time.

Midlerne i 2018 er fordelt som supplement til eksisterende udgifter og til gennemførelse af de konkrete aktiviteter i de sidste 3 måneder af 2018.

Fordelingen af midlerne i oversigtens pkt. 2a og 2b afhænger af det faktiske omfang af selvejende institutioner, som omfattes af aftaler om, at kommunens DBR varetager databeskyttelsesrådgiverfunktionen, jf. den uddybende beskrivelse i bilag 2.

1) Styrkelse af DPO Business partnerrollerne i forvaltningerne

Midlerne anvendes til at opnormere DPO Business Partner- rollen i hver forvaltning til fuldtidsstillinger, jf. uddybende beskrivelse i bilag 2.

2a) Tilbud til de selvejende institutioner om, at kommunens databeskyttelsesrådgiver varetager rollen som databeskyttelsesrådgiver også for dem, samt at der i givet fald

Midlerne anvendes til finansiering af 2,7 årsværk, når kommunens DBR skal være databeskyttelsesrådgiver for de for nærværende anslåede 214 selvejende institutioner, som kommunen har en driftsoverenskomst med, jf. uddybende beskrivelse i bilag 2. Den gennemsnitlige udgift pr. enhed vil være 8.000 kr. / år.

2b) Gennemføres et Legal Compliance Projekt i de selvejende institutioner

Midlerne anvendes til gennemførelse af et complianceprojekt hos alle selvejende institutioner, hvor Københavns Kommunes DBR bliver ansvarlig databeskyttelsesrådgiver. Complianceprojektet skal sikre, at institutionerne overholder databeskyttelseslovningen.

Beløbet omfatter udgifter til 8,5 årsværk, der skal frikøbes/stilles til rådighed fra de involverede forvaltninger. Midlerne er en engangsinvestering, der anvendes i 4. kvartal 2018 og hele 2019 svarende til 15 måneder.

Opgaven finansieres delvist af DUT-midler svarende til kr. 3.220.000 og delvist af involverede forvaltningerne svarende til kr. 3.530.000, der beregnes efter en fordelingsnøgle, når institutioner mv. er endeligt identificeret.

Implementeringen af databeskyttelseslovgivningen hos selvejende institutioner andrager i gennemsnit 31.500. kr. Der er ikke afsat midler til institutionernes interne arbejder.

3) Taskforce til GAP mittegering af risikofyldte områder i forvaltningerne

Med GAP mittegering forestås håndtering af de forskellige udeståender, som er afdækket på forvaltningernes egne områder. Der afsættes 4 årsværk til udbedrende aktiviteter, der sikrer kommunens overholdelse af databeskyttelseslovningen, svarende til 2.160.000 kr. i 2018 og 2.032.000 kr.  i 2019, svarende til 4.800 timer eller gennemsnitligt 685 timer pr. forvaltning. Fra 2020 og frem udgør beløbet 2.040.000 kr. svarende til 3,1 årsværk.

I 2018 gives endvidere et engangstilskud til frikøb af medarbejdere i hver forvaltning for at yde en ekstraordinær indsats i 4. kvartal 2018 ift. mittegerende aktiviteter. Den samlende investering til mittegerende aktiviteter i 2018 anslås til 1,8 mio. kr., svarende til 4.000 timer eller gennemsnitlig 570 timer pr. forvaltning.

De tre forslag samt forslaget til finansieringen heraf er forud for ØKF ’s indstilling koordineret og tiltrådt i den i kommunen på tværs af forvaltningerne nedsatte IT-kreds.

Økonomi

Københavns Kommunes økonomiske kompensation (DUT-kompensationen) anvendes til delvis finansiering af de 3 forslag, jf. oversigten ovenfor. Den resterende del af finansieringen kommer fra forvaltningerne.

I forlængelse af Økonomiudvalgets og Borgerrepræsentationens beslutning vil ØKF og Københavns Kommunes DBR sikre udmøntningen af beslutning om de 3 konkrete forslag og herigennem anvendelse og fordeling af budgetmidlerne som ovenfor.

Peter Stensgaard Mørch                         /Mads Grønvall

Økonomiforvaltningen indstiller, at Økonomiudvalget over for Borgerrepræsentationen anbefaler,

Borgerrepræsentationens beslutning i mødet den 11. oktober 2018

Indstillingen blev godkendt uden afstemning.