Sikkerhedsregulativ for behandling af personoplysninger

DAGSORDEN

for Ordinært møde torsdag den 21. september 2000

Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene samt redegørelse om implementering af Persondataloven.

Det indstilles, at Økonomiudvalget indstiller til Borgerrepræsentationen

at vedlagte forslag til Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene godkendes

at Borgerrepræsentationen delegerer sin kompetence til at godkende nærmere beskrevne behandlinger af personoplysninger til Økonomiudvalget, de stående udvalg og bydelsrådene

at redegørelsen om implementering af Persondataloven i forvaltningerne og forsøgsbydelene tages til efterretning.

Anbefales.

Peter Skaarup tog forbehold.

Folketinget vedtog den 26. maj 2000 lov om behandling af personoplysninger, lov nr. 429 af 31. maj 2000. Loven, der er trådt i kraft den 1. juli 2000, kaldes også Persondataloven. Loven har til formål – på baggrund af et EF-direktiv fra 1995 – at gennemføre en ny databeskyttelsesretlig regulering. Loven erstatter de to tidligere registerlove (lov om offentlige myndigheders registre og lov om private registre).

Umiddelbart efter justitsministerens fremsættelse første gang i april 1998 i Folketinget af forslaget til lov om behandling af personoplysninger, nedsatte Økonomiforvaltningen en arbejdsgruppe bestående af forvaltningernes og bydelenes sikkerhedsledere/deres stedfortrædere med henblik på en koordinering af implementeringen af loven, når den var vedtaget, samt med henblik på udarbejdelse af forslag til et nyt Sikkerhedsregulativ, der tager højde for bestemmelserne i Persondataloven .

Arbejdsgruppen har nu afsluttet sit arbejde med udarbejdelsen af vedlagte forslag til Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene. I forslaget er indeholdt konsekvenserne af den nye lovgivning tillige med en beskrivelse af opgaver og ansvar i forvaltningerne og forsøgsbydelene vedrørende IT-sikkerheden blandt andet som opfølgning på Revisionsdirektoratets protokollater om IT i kommunens forvaltninger, senest revisionsprotokollat nr. 17/1999 .

De væsentligste ændringer i forslaget til Sikkerhedsregulativ i forhold til det hidtil fra november 1997 gældende sikkerhedsregulativ er følgende:

• Persondataloven og dermed også regulativet omfatter nu såvel manuelle registre som edb-registre.
• Persondataloven og dermed også regulativet gælder for enhver form for behandling af personoplysninger, f.eks. indsamling, registrering, systematisering, opbevaring, ændring, søgning, videregivelse, samkøring og sletning.
• De hidtidige registerforskrifter erstattes af anmeldelser til Datatilsynet (tidligere Registertilsynet) om iværksættelse af behandling af personoplysninger.
• Borgerrepræsentationen, der er den dataansvarlige myndighed for behandlinger i Københavns Kommune, kan delegere sin kompetence til at beslutte iværksættelse af behandling af personoplysninger. Denne kompetence foreslås delegeret til Økonomiudvalget og de stående udvalg samt bydelsrådene i forbindelse med godkendelsen af forslaget til Sikkerhedsregulativet.
• Borgernes rettigheder styrkes.
• IT- sikkerhedsopgaverne og IT- organisationen i forvaltningerne og forsøgsbydelene præciseres tillige med ansvaret herfor.

Som opfølgning på kommunens netop vedtagne IT-strategi samt på baggrund af Revisionsdirektoratets bemærkninger vedrørende den generelle IT-anvendelse i kommunen er der igangsat en undersøgelse af sikkerheden i forbindelse med anvendelsen af Københavner-nettet. Undersøgelsen forventes afsluttet inden årets udgang og vil blive fulgt op af en revision/supplering af det nu foreliggende forslag til Sikkerhedsregulativ med bestemmelser om krav til sikkerheden vedrørende den generelle IT-anvendelse i kommunen. Indstilling om revision/supplering af regulativet, der tillige vil tage udgangspunkt i en supplerende vejledning om datasikkerhed, som Datatilsynet har planlagt udsendt inden for kort tid, vil blive forelagt Borgerrepræsentationen til godkendelse i 1. halvår 2001.

Implementering af Persondataloven og Sikkerhedsregulativet i forvaltningerne og forsøgsbydelene vil ske i form af information og kurser for de berørte medarbejdere, tilpasning af forretningsgange, blanketter m.v., så det sikres, at lovens bestemmelser om anmeldelse og de registreredes rettigheder opfyldes.

Det er endnu uafklaret, om forhandlingerne mellem regeringen og de kommunale parter resulterer i økonomisk kompensation for merudgifter som følge af Persondataloven. Sagen drøftes på ny mellem parterne i september 2000.

Folketinget vedtog den 26. maj 2000 lov om behandling af personoplysninger, lov nr. 429 af 31. maj 2000. Loven, der er trådt i kraft den 1. juli 2000, kaldes også Persondataloven. Loven har til formål – på baggrund af EF – direktiv fra 1995 om behandling af personoplysninger (direktiv 95/46/EF) – at gennemføre en ny databeskyttelsesretlig regulering. Loven erstatter de to tidligere registerlove (lov om offentlige myndigheders registre og lov om private registre).

Umiddelbart efter justitsministerens fremsættelse første gang i april 1998 i Folketinget af forslaget til lov om behandling af personoplysninger, nedsatte Økonomiforvaltningen en arbejdsgruppe bestående af forvaltningernes og bydelenes sikkerhedsledere/ deres stedfortrædere med henblik på koordinering af implementeringen af loven, når den var vedtaget, samt med henblik på udarbejdelse af forslag til et nyt Sikkerhedsregulativ, der tager højde for bestemmelserne i Persondataloven samt outsourcingen af KKI til Kommunedata A/S.

Arbejdsgruppen har nu afsluttet sit arbejde med udarbejdelsen af vedlagte forslag til "Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene". Det ny regulativ erstatter "Sikkerhedsregulativ for Københavns Kommunes og Bydelenes edb-systemer", november 1997.

I forslaget til det nye Sikkerhedsregulativ er konsekvenserne af Persondataloven indarbejdet, ligesom regulativet indeholder en præcisering af opgave- og ansvarsplaceringen i forvaltningerne og forsøgsbydelene vedrørende IT-sikkerheden blandt andet som opfølgning på Revisionsdirektoratets protokollater om IT i forvaltningerne, senest protokollat nr. 17/1999 til Økonomiudvalget.

De væsentligste ændringer i forslaget til Sikkerhedsregulativ i forhold til det hidtil fra november 1997 gældende "Sikkerhedsregulativ for Københavns Kommunes og Bydelenes edb-systemer" er følgende:

• Persondataloven og dermed også Sikkerhedsregulativet omfatter nu såvel manuelle registre som edb-registre.
• Persondataloven og dermed også Sikkerhedsregulativet gælder for enhver form for behandling af personoplysninger, f.eks. indsamling, registrering, systematisering, opbevaring, ændring, søgning, videregivelse, samkøring og sletning.
• De hidtidige registerforskrifter for de enkelte edb-systemer erstattes af anmeldelser til Datatilsynet (tidligere Registertilsynet) om iværksættelse af behandling af personoplysninger.
• Borgerrepræsentationen, der er den dataansvarlige myndighed for behandling af personoplysninger i Københavns Kommune, har kompetence til at beslutte iværksættelse af behandling. Persondataloven rummer mulighed for delegering af denne kompetence. I forbindelse med godkendelse af det nye sikkerhedsregulativ foreslås denne kompetence delegeret til Økonomiudvalget og de stående udvalg samt bydelsrådene i forsøgsbydelene.
• Borgernes rettigheder styrkes i form af en udvidelse af den dataansvarliges oplysningspligt over for den registrerede. Borgerne har nu ikke kun indsigtsret i edb-registre, men i alle registre, for så vidt angår behandlinger af oplysninger vedrørende den pågældende. Forvaltningerne og bydelene har en oplysningspligt overfor borgerne, når en behandling af personoplysninger vedrørende den pågældende iværksættes, og borgeren har ret til at gøre indsigelse mod, at behandlingen af oplysninger finder sted. Hvis indsigelsen er berettiget, skal databehandlingen ophøre.
• Som følge af Persondataloven har borgeren endvidere ret til at gøre indsigelse mod, at pågældende undergives afgørelser, der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig grad, og som alene er truffet på grundlag af elektronisk databehandling.
• Borgeren har iflg. Persondataloven ret til at få oplysninger, der er urigtige eller vildledende, rettet, slettet eller blokeret, samt i den forbindelse forlange, at andre, der har modtaget oplysningerne, orienteres om dette.
• Videregivelse af oplysninger er omfattet af Persondatalovens bestemmelser om behandling af personoplysninger. Reglerne om videregivelse i henhold til den tidligere gældende lovgivning er som følge heraf ændret.
• Det er præciseret, at IT-sikkerhedsmæssige krav også gælder behandling hos eksterne databehandlere.
• Der er sket en præcisering af de IT-sikkerhedsmæssige opgaver og ansvaret herfor i forvaltningerne og forsøgsbydelene, herunder en nærmere beskrivelse af sikkerhedsledernes henholdsvis de systemansvarliges og de IT-ansvarliges opgaver og ansvar, som opfølgning på revisionsprotokollaterne om IT i forvaltningerne.

Borgerrepræsentationen er den dataansvarlige myndighed og skal som sådan træffe beslutning om iværksættelse af behandling. Persondataloven rummer imidlertid mulighed for, at Borgerrepræsentationen kan delegere denne kompetence. I forslaget til det nye Sikkerhedsregulativ kapitel 4 er derfor indarbejdet, at Borgerrepræsentationen delegerer kompetencen til at træffe beslutning om iværksættelse af behandling til Økonomiudvalget, de stående udvalg samt bydelsrådene i forsøgsbydelene. Samtidig gives der mulighed for, at udvalgene og bydelsrådene kan bemyndige borgmesteren henholdsvis bydelsrådsformanden som den øverste daglige ansvarlige administrative leder af den pågældende forvaltning henholdsvis forsøgsbydel til at træffe beslutning om behandlinger af almindelige personoplysninger, der er undtaget fra anmeldelsespligten til Datatilsynet. Herved gøres den da glige administration af persondatalovgivningen mindre bureaukratisk.

Til forslaget til Sikkerhedsregulativet er udarbejdet en række bilag, omfattende blandt andet en nærmere beskrivelse af minimumsbestemmelser vedrørende sikkerhedsforanstaltninger på en række IT-områder.

Som opfølgning på kommunens netop vedtagne IT-strategi samt på baggrund af Revisionsdirektoratets bemærkninger vedrørende den generelle IT- anvendelse i kommunen har Økonomiforvaltningen igangsat en undersøgelse af sikkerheden i forbindelse med anvendelsen af Københavner-nettet, herunder afdækning af eventuelle behov for ændringer/suppleringer af kravene til sikkerheden i forvaltningerne og bydelene.

En revision/supplering af det nu forelagte forslag til Sikkerhedsregulativ kan derfor forventes, dels som konsekvens af resultatet af ovennævnte undersøgelse, dels som følge af en supplerende vejledning om datasikkerhed, som Datatilsynet har planlagt udsendt indenfor kort tid. Et nyt revideret forslag til sikkerhedsregulativ forventes forelagt Borgerrepræsentationen til godkendelse i første halvår 2001.

Som et yderligere led i implementeringen af Persondataloven med tilhørende bekendtgørelser, vejledninger mv. vil forvaltningernes og forsøgsbydelenes systemansvarlige medarbejdere, de berørte IT-medarbejdere og medarbejdere med borgerkontakt få uddybende information, blandt andet på lokalt i forvaltningerne gennemførte kurser, om konsekvenserne af den nye lovgivning og indholdet i det nye sikkerhedsregulativ.

Samtlige forvaltninger og forsøgsbydele er hver især ansvarlige for, at der udarbejdes sikkerhedsinstruks, herunder uddybende retningslinier for behandlingssikkerhed, ligesom forvaltningerne og forsøgsbydelene er ansvarlige for, at indgåede aftaler med eksterne databehandlere evt. tilpasses med henblik på at sikre, at disse overholder Persondataloven og sikkerhedsregulativet. Forretningsgange, blanketter m.m., skal tilpasses, således at oplysningspligt m.v. overfor borgerne opfyldes.

Endelig skal iværksættelse af behandlinger af personoplysninger godkendes i vedkommende udvalg og bydelsråd og efterfølgende anmeldes til Datatilsynet. Persondataloven indeholder overgangsbestemmelser for anmeldelserne, således at anmeldelse af behandlinger, iværksat før 24. oktober 1998, skal ske senest 1. april 2001, mens anmeldelse af behandlinger, iværksat 24. oktober 1998 til og med 30. juni 2000, skal ske senest 21. oktober 2000.

Det er den generelle opfattelse i Kommunernes Landsforening og Amtsrådsforeningen og også i forvaltningerne og bydelene, at den nye lovgivning vil medføre merudgifter såvel i forbindelse med implementeringen som løbende, navnlig som følge af den udvidede oplysningspligt overfor borgerne.

I forbindelse med de afsluttende forhandlinger om kommunernes økonomi for det kommende år mellem regeringen og de kommunale parter blev det aftalt at udskyde stillingtagen til de økonomiske konsekvenser af Persondataloven. Sagen drøftes på ny mellem parterne i september 2000.

Forslaget til Sikkerhedsregulativ er sendt til Datatilsynet med henblik på en udtalelse. I det omfang Datatilsynets udtalelse giver anledning til væsentlige ændringer i det forelagte forslag, vil regulativet blive forelagt på ny til godkendelse i Borgerrepræsenttionen.

• Forslag til Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommunes og forsøgsbydelene med tilhørende bilag.

Bjarne Winge