Status på implementeringen af EU Databeskyttelsesforordningen i Københavns Kommune og godkendelse af ny informationssikkerhedspolitik- og regulativ
Indstilling
Indstilling om,
- at status pr. den 1. juni 2018 på Københavns Kommunes Legal Compliance Program, herunder Københavns Kommunes risikoprofil pr. den 1. juni 2018, forvaltningernes arbejde med GAP mitigering efter den 25. maj 2018 og kommunens uddannelsesprogram på området, tages til efterretning,
- at governancestrukturen, som beskrevet nedenfor under afsnit 2, på databeskyttelsesområdet tages til efterretning,
- at vedlagte forslag til Københavns Kommunes informationssikkerhedspolitik, jf. bilag 1, og forslag til informationssikkerhedsregulativ, jf. bilag 2, godkendes.
(Økonomiudvalget)
Problemstilling
Den 28. april 2016 vedtog Borgerrepræsentationen (BR) som del af handlingsplan for styrkelse af it- sikkerheden (dagsordenspunkt nr. 54) kommissorium for gennemførelse og implementering af et legal complianceeftersyn i 2016 – 2018 af kommunens it-sikkerhed og behandling af personoplysninger på tværs af kommunens forvaltninger med henblik på implementering og opfyldelse af EU – Databeskyttelsesforordningen (EU 2016/679) frem mod ikrafttrædelsen den 25. maj 2018. Samtidigt blev chefen for Intern Revision udpeget som kommunens lovpligtige databeskyttelsesrådgiver. Eftersynet blev udmøntet i et Legal Compliance Program (LCP).
LCP er et program på tværs af kommunens 7 forvaltninger med deltagelse fra hver forvaltning på projektniveau, herunder med deltagelse af Koncern IT (KIT) og Borgerrådgiveren, samt Intern Revision i kraft af rollen som kommunens databeskyttelsesrådgiver. Økonomiforvaltningen (ØKF) varetager formandsrollen og programledelsen af LCP og fungerer som sekretariat for programmet. Intern Revision bistår i kraft af sin funktion som databeskyttelsesrådgiver forvaltningerne med planlægning og gennemførelse af forvaltningernes egne projekter. KIT deltager endvidere i programledelsen og sikrer koblingen til kommunens fælles it-systemer, herunder informationssikkerheden både vedr. kommunens it – infrastruktur og behandlingen af personoplysninger, samt koblingen til det tværgående arbejde i det sideløbende informationssikkerhedsprogram.
Til løbende styring af LCP, der har kommunens Økonomichefkreds (ØK) som styregruppe, er der nedsat et forum til koordinering mellem programledelsen for programmet, Intern Revision / databeskyttelsesrådgiver og KIT.
Med EU – Databeskyttelsesforordningen, der har direkte virkning i alle EU-medlemslandene, træder såvel private virksomheder som offentlige myndigheder og selskaber mv. ind i en ny æra for beskyttelse af personoplysninger med flere og nye krav til behandling og sikring af personoplysninger, bl.a. skærpede krav til dokumentation af behandlingen af persondata og krav til it-sikkerhed med mulighed for betydelige sanktioner (bøder) for overtrædelse af forordningens bestemmelser. Det hidtil gældende krav om anmeldelse af behandlinger af personoplysninger til Datatilsynet erstattes med et krav om til en hver tid at kunne dokumentere behandlingen af personoplysninger.
En ny databeskyttelseslov (lov nr. 502 af 23. maj 2018 vedtaget af Folketinget den 17. maj 2018), der er en national suppleringslov til databeskyttelsesforordningen, erstatter sammen med databeskyttelsesforordningen den nuværende danske persondatalov (lov nr. 429 af 31. maj 2000) og regler udstedt i medfør heraf. Loven indeholder bl.a. bestemmelser om bøder for offentlige myndigheder for overtrædelse af forordningens bestemmelser. Niveauet herfor vil være indenfor et loft på henholdsvis 2 % af myndighedens driftsbevilling, dog maksimalt 8 mio. kr., eller 4 % af myndighedens driftsbevilling, dog maksimalt 16 mio. kr.
Om den nye forordning har Justitsministeriet i maj 2017 afgivet en betænkning om bestemmelserne i databeskyttelsesforordningen og nærmere om de retlige rammer og konsekvenser for dansk lovgivning. Endvidere har Justitsministeriet i samarbejde med Datatilsynet pt. udarbejdet 10 ud af i alt 13 bebudede vejledninger om udvalgte områder under forordningen, herunder om databeskyttelsesrådgivere, samtykke, fortegnelseskravet, skabelon for databehandleraftaler, de registreredes (borgernes) rettigheder m.v.
Den 13. juni 2017 tog Økonomiudvalget (ØU) første status på LCP til efterretning, herunder om status på forvaltningernes arbejde med kortlægning og registrering af grunddata med henblik på opfyldelse af kravet om dokumentation af forvaltningernes aktiviteter og behandlingsprocesser. Kortlægning og registrering af grunddata var pr. medio maj 2017 stort set gennemført med en færdiggørelsesgrad tæt på 100 % for alle forvaltninger.
Den 10. april 2018 tog ØU anden status på LCP til efterretning, herunder om status på forvaltningernes arbejde med gennemgang af dataflows og vurdering af behandlingsprocesser til efterretning. Med indstillingen fremlagde Økonomiforvaltningen samtidigt et foreløbigt risikobillede og dataprofil af kommunen som dataansvarlig på området for beskyttelse af personoplysninger.
Løsning
I Københavns Kommune er BR øverst ansvarlig for kommunens behandling af personoplysninger og it-sikkerhed. ØU har det umiddelbare ansvar for varetagelse af kommunens overordnede og tværgående it-forhold og har indseende med administrationen af kommunens opgaver indenfor alle kommunens forvaltningsområder. Det øverste daglige administrative ansvar for forvaltningernes behandling af personoplysninger og it-sikkerhed varetages af overborgmesteren og borgmestrene indenfor hver deres forvaltningsområde med ansvar overfor ØU og BR.
1. Status på forvaltningernes arbejde under LCP pr. den 1. juni 2018
Efter nærmere tilrettelæggelse og beslutning om rammerne og metoden for programmets gennemførelse har forvaltningerne siden marts 2017 for at få et samlet overblik over kommunens behandling af personoplysninger arbejdet med kortlægning og registrering af grunddata med henblik på fastlæggelse af aktivitetslandskaber på forvaltningsniveau. Efterfølgende har forvaltningerne arbejdet med at identificere behandlingsprocesser og underliggende dataflows, herunder vurdering af hjemmelsgrundlag for behandlingen af personoplysninger indenfor hver deres forvaltningsområde. Det bærende element i arbejdet med dataflowanalysen har været en risikobaseret tilgang, defineret ved karakteren af personoplysninger, hvor behandlingsprocesser med følsomme personoplysninger efter programplanen analyseres først.
Forvaltningerne har i perioden maj - oktober 2017 indleveret dataflows til indlæsning i et tværgående it-system, Pactius. Pactius understøtter databeskyttelsesrådgiverens og forvaltningernes compliancearbejde efter den 25. maj 2018, og vil ydermere kunne give en konkret risikovurdering til brug for vurderingen af eventuelle mitigerende handlinger frem mod og efter den 25. maj 2018.
Registreringen af dataflows på forvaltningernes respektive områder fra maj til oktober 2017 viste sig at være mere omfattende, hvorfor det blev besluttet at gennemføre forvaltningsprojekterne i tre tempi (bølger). Forvaltningerne har hertil afleveret dataflow i november 2017 (første bølge) og i december 2017 (anden bølge). Dataflow i den tredje og sidste bølge er indleveret løbende fra marts 2018 med efterfølgende kvalitetssikring og tilbageløb frem mod den 25. maj 2018 samt efter den 25. maj 2018 for det efterfølgende arbejde med GAP -mitigering.
Databeskyttelsesrådgiveren screener de indleverede dataflows for manglende oplysninger i forlængelse af hver bølge og indlæser disse løbende i Pactius med henblik på at kunne gennemføre en samlet risikovurdering, og dermed et billede af kommunens profil som dataansvarlig på området for beskyttelse af personoplysninger. Databeskyttelsesrådgiveren foretager efterfølgende kvalitetssikringen af forvaltningernes dataflows som led i sit senere tilsyn på området. Mængden og arten af henholdsvis indleverede dataflows og manglende dataflows på identificerede behandlingsprocesser viser, hvor forvaltningerne har udeståender, som der ud fra en fastlagt risikobaseret tilgang skal arbejdes videre med som led i den forudsatte GAP mitigering indenfor hvert forvaltningsområde. Dermed sikres kommunens efterlevelse af lovgivningen på området.
Ved den risikobaserede tilgang i GAP mitigeringen vil der - svarende til grundlaget for risikovurderingen - blive lagt vægt på karakteren af personoplysninger, der behandles, mængden af personoplysninger, antal behandlere, antal dataflows, herunder om typen af behandling og om denne foretages af en ekstern leverandør og databehandler for kommunen, samt om behandlingen er delvis manuel.
Københavns Kommunes risikobillede pr. den 1. juni 2018
Københavns Kommune er en virksomhed med ca. 45.000 ansatte, der stort set alle behandler personoplysninger både vedr. kommunens ca. 600.000 borgere, eksterne samarbejdspartnere og brugere i øvrigt af kommunens servicetilbud mv.
Pr. den 1. juni 2018 har kommunen kortlagt 290 behandlingsprocesser, hvori der behandles personoplysninger af forskellig karakter. Under behandlingsprocesserne er kortlagt 3.760 dataflows, som dokumenterer indholdet af kommunens behandling af personoplysninger og hjemmelsgrundlaget herfor.
Kommunen har en række behandlingsprocesser, som efter risikovurderingen kan karakteriseres som værende henholdsvis med en høj, middel og lav risikoprofil.
Af de 290 behandlingsprocesser har kommunen 119 processer med høj risikoprofil, 95 processer med middel risikoprofil og 64 processer med lav risikoprofil.
At behandlingsprocesser har en høj risikoprofil betyder, at de forhold, som knytter sig til behandlingsprocessen (antal registrerede, antal behandlere, karakter af personoplysninger mv.), i sammenhæng viser, hvor stor en risiko der vil kunne være for, at databeskyttelsen kompromitteres og konsekvenserne heraf.
Eksempelvis: Jo flere sagsbehandlere, der har adgang til personoplysningerne, jo større risiko for, at personoplysningerne kan komme til uvedkommendes kendskab. I sådanne tilfælde skal kommunen udvise ansvarlighed, ved på forhånd at have foretaget tilstrækkelige overvejelser/foranstaltninger for at imødegå risikoen, og kommunen skal kunne dokumentere dette.
Risikobilledet giver forvaltningerne mulighed for en saglig prioritering af opgaverne med henblik på opfyldelse af kravene til behandling af personoplysninger og dermed sikre, at områder med størst risiko håndteres først til sikring af den videre opfyldelse af databeskyttelsesforordningens krav til behandling af personoplysninger og efterlevelse af de it-sikkerhedsmæssige krav.
Uddannelsesprogram til medarbejdere i Københavns Kommune
Til brug for forvaltningernes kompetenceudvikling til sikring af den videre opfyldelse af databeskyttelsesforordningens krav til behandling af personoplysninger og efterlevelse af de it-sikkerhedsmæssige krav, er der besluttet et sæt uddannelsesmoduler i form af e-learning. Disse moduler er udarbejdet og lanceret i følgende tre bølger: 1. Grundlæggende it- sikkerhedsbudskaber, 2: Grundlæggende persondatabeskyttelse og 3: Håndtering af sikkerhedshændelser. Den første bølge er lanceret i februar 2018, mens bølge 2 og 3 lanceres i maj og juni 2018. Modulerne afvikles via Plan2Learn og kan tilpasses/sammensættes for den enkelte medarbejder ud fra dennes funktion og arbejdsområder.
Uddannelsesprogrammet er et tilbud til forvaltningerne. Ansvaret for medarbejdernes nødvendige viden og kompetence på databeskyttelsesområdet påhviler den enkelte forvaltning. Forvaltningerne kan derfor vælge et andet uddannelsesforløb for deres medarbejdere, hvis det vurderes mest hensigtsmæssigt under henvisning til forvaltningens opgaver og medarbejdersammensætning.
Det er forventningen, at størstedelen af kommunens nuværende medarbejdere har gennemført et konkret tilrettelagt uddannelsesforløb inden sommerferien 2018. Nye medarbejdere skal ligeledes efter behov gennemføre uddannelsesforløb. Arbejdet med udvikling af uddannelsesmoduler er forankret i KS og KIT i regi af Sikkerhedsprogrammet og har haft reference til LCP programledelsen.
Databehandleraftaler
Databeskyttelsesforordningen indebærer skærpede krav til kommunens ansvar for og kontrol med behandlingen af kommunens personoplysninger hos eksterne parter. På baggrund heraf er der i LCP i samarbejde med KIT og databeskyttelsesrådgiveren udarbejdet en standardskabelon for Københavns Kommunes databehandleraftaler, som opfylder de skærpede krav.
I forslaget til Informationsregulativ, jf. nedenfor under afsnit 3, er det fastsat, at forvaltningernes aftaler med eksterne parter, medmindre særlige forhold gør sig gældende, skal opfylde kravene i Københavns Kommunes fælles standardskabeloner og skal være kvalitetssikret af medarbejdere med henholdsvis juridisk, faglig og teknisk kompetence inden for det givne aftalefelt.
Der skal i relevant omfang ske en løbende opfølgning og tilsyn med det aftalte samarbejde. Såfremt der ikke kan træffes aftale om kommunens eget tilsyn af eksterne parter, kan det efter en risikobaseret vurdering være nødvendigt at indgå aftale om periodisk indhentelse af revisorerklæring.
2. Governancestruktur på databeskyttelsesområdet efter den 25. maj 2018
Legal Compliance Forum på tværs af forvaltningerne
For at sikre overgangen fra det tværgående LCP-program til drift og fortsat efterlevelse af lovgivningen på databeskyttelsesområdet efter den 25. maj 2018 er der nedsat et Legal Compliance Forum (LCF) på tværs af forvaltningerne. LCF´s formål er bl.a. at koordinere styring og drift af kommunens fortsatte efterlevelse af lovgivningen vedrørende EU databeskyttelsesforordningen, herunder så vidt muligt at koordinere forvaltningernes ansvar for varetagelse af opgaverne på databeskyttelsesområdet og deres ansvar som dataansvarlige som en del af governancestrukturen på området i relation til databeskyttelsesrådgiveren-funktionen. Governancestrukturen er nærmere beskrevet i forslaget til Informationssikkerhedsregulativ, jf. nedenfor.
LCF er sammensat af medlemmer og repræsentanter fra de 7 forvaltninger med kompetencer indenfor jura og/eller compliance og en repræsentant for KIT. Endvidere deltager Borgerrådgiveren som observatør, og databeskyttelsesrådgiveren-funktionen, når LCF drøfter emner af relevans for databeskyttelsesrådgiverens område. LCF er implementeret primo 2018 og første møde er afholdt i februar 2018.
DPO Business partnere i hver forvaltning
Som nævnt ovenfor har overborgmesteren og borgmestrene indenfor hver deres forvaltningsområde det øverste daglige administrative ansvar overfor ØU og BR for varetagelse af forvaltningernes behandling af personoplysninger og it-sikkerhed.
Til supplering af den tværgående governance på databeskyttelsesområdet i form af LCF er det - som led i varetagelsen af forvaltningernes ansvar for efterlevelsen af lovgivningen på området indenfor hvert udvalgsområde - besluttet, at der i hver forvaltning udpeges en "DPO Business Partner" (BP) til understøttelse af databeskyttelsesrådgiverens arbejde efter den 25. maj 2018.
BP udgør forvaltningens kontaktpunkt til databeskyttelsesrådgiveren og er dermed databeskyttelsesrådgiverens indgang til forvaltningerne i forbindelse med varetagelsen af databeskyttelsesrådgiverens opgaver, herunder tillige rådgivning og tilsyn med forvaltningens efterlevelse af databeskyttelsesforordningen. Med BP sikres en fast videns- og kontaktperson som har et overordnet overblik over hver forvaltnings organisation og behandling af personoplysninger, således at kommunen i praksis kan efterkomme databeskyttelsesforordningens krav, herunder ikke mindst i forhold til løbende at kunne sikre dokumentation for behandling af personoplysninger overfor tilsynsmyndigheden (Datatilsynet) og rettidig indberetning til Datatilsynet i tilfælde af sikkerhedsbrud på et givent område.
3. Forslag til Københavns Kommunes informationssikkerhedspolitik og informationssikkerhedsregulativ
Kravet om et it-sikkerhedsregulativ i den nugældende lovgivning er ikke opretholdt i lovgivningen efter databeskyttelsesforordningen. Økonomiforvaltningen har imidlertid fundet det rigtigst, at Københavns Kommune fortsat har en af Økonomiudvalget og Borgerrepræsentationen vedtaget informationssikkerhedspolitik og et informationssikkerhedsregulativ, dels for at sikre robuste rammer og retningslinjer for varetagelse af databeskyttelsesopgaverne, herunder i forhold til de nye opgaver, funktioner og roller i organisationen, dels for at sikre rammer og retningslinjer for en forsvarlig og tidssvarende håndtering af it- og datasikkerheden i kommunen.
Økonomiforvaltningen indstiller derfor, at ØU overfor BR anbefaler vedlagte forslag til Københavns Kommunes Informationssikkerhedspolitik (bilag 1) og forslag til Informationssikkerhedsregulativ for Københavns Kommune (bilag 2).
Informationssikkerhedspolitikken fastsætter som styringsdokument de overordnede rammer for forvaltningen af kommunens efterlevelse af informationssikkerhedsreglerne og persondatalovgivningen med udgangspunkt i den til enhver tid gældende lovgivning, herunder EU databeskyttelsesforordning, lov om databeskyttelse og øvrig lovgivning på området. På it-sikkerhedsområdet følges tillige ISO-principperne.
Informationssikkerhedsregulativet hører som styringsdokument under informationspolitikken, og fastlægger de overordnede styringsprincipper, herunder ledelses- og beslutningshierarkiet samt datebeskyttelsesrådgiverens funktion og opgaver.
Informationssikkerhedsregulativet suppleres hen over efteråret / vinteren 2018 med i alt 6 forretningscirkulærer for henholdsvis persondatabeskyttelse, dokumentation og compliance, organisering af informationssikkerhed, it-beskyttelse og it-sikkerhed, it-anskaffelser samt it-livscyklus.
I tilknytning til de 6 forretningscirkulærer udarbejdes et sæt fælles administrative forretningsgange for hoved- og delprocesser omfattet af cirkulærerne. Disse indeholder beskrivelse og kortlægning af de processer, som er defineret i cirkulærerne på området, herunder en beskrivelse af aktiviteter samt dokumentation af risikovurdering. I forretningsgangene beskrives også roller og ansvar. De fælles administrative forretningsgange udgør dermed vejledninger og skabeloner for forvaltningerne til understøttelse af deres praktiske arbejde med de respektive områder omfattet af cirkulærerne. Forvaltningerne vil på grundlag heraf hver især efter behov kunne udarbejde forvaltningsspecifikke forretningsgange, arbejdsgangsbeskrivelser, vejledninger mv.
Økonomi
Den nye lovgivning på databeskyttelsesområdet har ikke medført DUT kompensation.
Forvaltningernes udgifter til implementeringen af Databeskyttelsesforordningen, herunder sikring af medarbejdernes kompetencer på området, afholdes indenfor forvaltningernes egne rammer.
Videre proces
Forvaltningerne har med Databeskyttelsesforordningens ikrafttræden den 25. maj 2018 overtaget ansvaret for den videre implementering og efterlevelse af lovgivningen indenfor hver deres forvaltningsområde.
Chefen for Intern Revision har med Databeskyttelsesforordningens ikrafttræden den 25. maj 2018 overtaget ansvaret for opgaverne som kommunens lovpligtige databeskyttelsesrådgiver.
I LCP fortsætter arbejdet med udarbejdelse af forretningscirkulærer og forretningsgangsbeskrivelser i samarbejde med KIT og databeskyttelsesrådgiveren.
Peter Stensgaard Mørch /Mads Grønvall
Oversigt over politisk behandling
Økonomiforvaltningen indstiller, at Økonomiudvalget over for Borgerrepræsentationen anbefaler,
- at status pr. den 1. juni 2018 på Københavns Kommunes Legal Compliance Program, herunder Københavns Kommunes risikoprofil pr. den 1. juni 2018, forvaltningernes arbejde med GAP mitigering efter den 25. maj 2018 og kommunens uddannelsesprogram på området, tages til efterretning,
- at governancestrukturen, som beskrevet nedenfor under afsnit 2, på databeskyttelsesområdet tages til efterretning,
- at vedlagte forslag til Københavns Kommunes informationssikkerhedspolitik, jf. bilag 1, og forslag til informationssikkerhedsregulativ, jf. bilag 2, godkendes.
Økonomiudvalgets beslutning i mødet den 12. juni 2018
Indstillingen blev anbefalet over for Borgerrepræsentationen uden afstemning.
Beslutning
Borgerrepræsentationens beslutning i mødet den 21. juni 2018
Indstillingen blev godkendt uden afstemning.