TRYGG DIGITALISERING I OS KOMMUNE

Transkript

1 TRYGG DIGITALISERING I OS KOMMUNE Beate Moberg, kvalitetssjef Os kommune KiNS konferansen 5. juni 2019 Foto. Simen Soltvedt

2 OS + FUSA = BJØRNAFJORDEN KOMMUNE Frå 1. januar 2020: innbyggarar 517,4 km2 Osøyro blir kommune- og administrasjonssenter

3 AGENDA Fokus på trygg digitalisering i Os kommune før og nå Nytt regelverk nytt fokus Implementering Utfordringer og muligheter Et lite ønske

4 FOKUS PÅ TRYGG DIGITALISERING FØR OG NÅ Før: Et omfattende reglement Utilgjengelig, uforståelig, skapte avstand og tåkelegging Ingen som eide prosessen eller fulgte denne opp i organisasjonen Lederne forholdt seg i liten grad til reglementet

5 NYTT REGLEMENT MED NYE KRAV TIL KOMMUNEN Forståelig personvernerklæring Tydelige krav til bruken av personopplysninger Sikre god informasjonsflyt og sikkerhet i forhold til behandling av personopplysninger Databehandleravtaler Oppbevaring av personopplysninger Risikovurdering av personopplysninger (DPIA) Personvernombud Informasjonssikkerhet i alle prosesser; intern opplæring, klare ansvar, rutinebeskrivelser, databehandleravtaler og behandlingsansvarlig

6 HVA GJORDE VI FØRST? Personvernombud Personvernerklæring Sikkerhetsforum Arbeidsgruppe for sikkerhetsforum Meldte oss inn i nettverk med andre kommuner Databehandleravtaler Ny prosess/prosedyre for melding av avvik Trygg digitalisering - Styringssystem for personvern og informasjonssikkerhet

7 TRYGG DIGITALISERING Sikre forståelse, forankring og implementering Tar utgangspunkt i brukerne sine behov Gjør teksten enkel og forståelig Prøver å strukturere innholdet på en brukervennlig måte Jobber med å ha et bevisst forhold til formuleringene våre

8 TRYGG DIGITALISERING Forenkling, gjøre det lettere å forstå fremmer at vi bruker reglementet eierskap og gjenkjenning skaper tillit sparer tid og penger fremmer kommunikasjonen

9 SIKKERHETSMÅL Behandlingen av all informasjon skal være i samsvar med lover, regler, avtaler, og den skal bidra til Os kommune når sine samlede mål: Personvern vi tar vare på personvernet til ansatte og innbyggere Konfidensialitet vi får bare se informasjon vi har rett til å se Integritet vi kan stole på at informasjonen vi behandler er korrekt Tilgjengelighet vi får tilgang til rett informasjon når vi trenger den

10 SYSTEMATISK ARBEID - TILTAK Oversikt - Føre protokoll over behandlingsaktiviteter, system og tjenester Risiko - Kartlegge prosesser for å avdekke svakheter og identifisere risiko knyttet til løsninger og rutiner som blir brukt når vi behandler informasjon. Avvik melde fra når det skjer feil, mangler eller andre svakheter i behandlingen, slik at vi kan justere tiltakene og redusere risikoen for at noe uønsket skjer. Beredskap Planleggge hva vi skal gjøre viss vi bryter kravene til personvern, nødvendig informasjon blir helt eller delvis utilgjengelig, informasjon inneholder alvorlige feil eller mangler eller kommer vi kommer i skade for å dele informasjon med uvendkommende. Tiltak Når oversikt og risiko er kartlagt, må det etableres tiltak som skal stå i forhold til den risiko som er avdekket.

11 ORGANISERING, ROLLER OG ANSVAR

12 ROLLER OG ANSVAR

13 PROSEDYRER OG HVOR FINNER VI DISSE?

14 IMPLEMENTERING - MÅL Sikre at de ansatte får nødvendig opplæring for å kunne ivareta informasjonssikkerheten på en tilfredstillende måte.

15 IMPLEMENTERING - TILTAK Utarbeide tilstrekkelig informasjon til de ansatte om informasjonssikkerhet og personvern Lederpresentasjon - enkel presentasjon for å skape forståelse for helheten i regelverket Jungle map digital opplæringsøkt for alle ansatte for å sikre at de kjenner til prinsippene for akseptabel bruk av IT-verktøy Etter hvert flere tiltak personverndag, bevissthet gjennom ulike fokusområder hvert kvartal Jevnlig tema på personalmøter Inn i rådmannen sitt årshjul og områdene/enhetene sitt årshjul

16 LEIARPRESENTASJON Styringssystem for personvern og informasjonssikkerheit Introduksjon

17 PERSONOPPLYSNINGER Biometrisk informasjon Namn Helsedata Telefon/fax # Ansiktsbilder Person # E-postadresse Geografisk plassering Enhets-ID Adresse Internettadresse Handlingsmønster Førerkort/køyretøy # Økonomiske transaksjonar

18 NYTT REGELVERK, NYE PLIKTER OG MULIGHETER Kilde:

19 TRYGG DIGITALISERING åpen, informert og sikker

20 SØRGE FOR Å FØRE EI DOKUMENTERT OVERSIKT OVER KVA FOR INFORMASJO N EININGA BEHANDLAR, KOR DET SKJER OG KVEN SOM GJER DET. Internt ansvarleg Funksjonsområde Kva gjeld behandlinga Formål med behandlinga Kategoriar av registrerte F.eks. avdeling, rolle eller person Kva for overordna funksjonseller verksemdsområde fell Verksemdsområde, overordna behandlingsaktivitet behandlinga inn under? Pleie og omsorg, Heimetenester, Tenester for utviklingshemma, Os legevakt, Bestillar- og forvaltarkontoret, NAV sosiale tenester, Flyktningetenesta, Varafjell avlastning Pleie og omsorg, Heimetenester, Tenester for utviklingshemma, Os legevakt, Bestillar- og forvaltarkontoret, NAV sosiale tenester, Flyktningetenesta, Varafjell avlastning Pleie og omsorg, Heimetenester, Tenester for utviklingshemma, Os legevakt, Bestillar- og forvaltarkontoret, NAV sosiale tenester, Flyktningetenesta, Varafjell avlastning Kvardagsrehabilitering Heimehjelp Heimesjukepleie Intensiv kvardagstrening, tilrettelegging og støtte til meistring av daglege aktivitetar for heimebuande i starten av eit hjelpebehov Krav på hjelp til nødvendige, praktiske gjeremål i heimen for årsakar som sjukdom, funksjonshemming eller aller som fører til at brukarane ikkje klarar å utføre slike oppgåver sjølve. Rettleiing. Hjelp i eigen heim for å få dekka grunnleggande pleie- og omsorgsbehov. Opplæring og rettleiing for hjelpetrengande så dei er mest mogleg sjølvhjulpne. Behandling av søknad om kvardagsrehabilitering, oppfølging Behandling av søknad om heimehjelp, oppfølging Behandling av søknad om heimesjukepleie, oppfølging Tenestemottakar (innbyggarar) Tenestemottakar (innbyggarar) Tenestemottakar (innbyggarar) Eit døme på behandlingsprotokoll etter Datatilsynet s mal.

21 SØRGE FOR AT EININGA JAMLEG DOKUMENTERER EI SYSTEMATISK VURDERING AV RISIKO FOR AT EIGA BEHANDLING AV INFORMASJON BRYT MED KOMMUNEN SINE SIKKERHEITSMÅL. Konsekvensområde Ubetydeleg (1) Liten (2) Moderat (3) Alvorleg (4) Kritisk (5) Informasjon på avvegar Rutinemessig eller teknisk svakheit kan føre til at personopplysningar eller interne opplysningar KAN komme på avvegar. Rutinemessig eller teknisk svakheit kan føre til at særlege kategoriar personopplysningar eller interne opplysningar KAN komme på avvegar. Personopplysningar eller interne opplysningar kjem på avvegar. Særlege kategoriar personopplysningar eller interne opplysningar kjem på avvegar. Store mengder opplysningar kjem på avvegar. Feil eller manglar på informasjon Rutinemessig eller teknisk Rutinemessig eller teknisk Det oppstår feil eller svakheit KAN føre til at det svakheit KAN føre til at det manglar i informasjonen. oppstår feil eller manglar. oppstår vesentlege feil eller manglar. Det oppstår vesentlege feil eller manglar i informasjonen. Det oppstår mange og/eller ofte feil eller manglar i informasjonen. Informasjon er utilgjengeleg Rutinemessig eller teknisk svakheit KAN føre til at informasjon blir utilgjengeleg. Rutinemessig eller teknisk svakheit KAN føre til at vesentleg informasjon blir utilgjengeleg. Informasjon blir utilgjengeleg. Vesentleg informasjon blir utilgjengeleg. Informasjon blir ofte og/eller lenge utilgjngeleg. Konsekvensar for enkeltindivid sine rettar og fridomar: Rutinemessig eller teknisk svakheit KAN Eit utdrag frå mal for tilrådde akseptkriterum i personvern og informasjonssikkerheit. Rutinemessig eller teknisk svakheit KAN Rutinemessig eller teknisk svakheit VIL Eitt eller eit fåtal enkeltindivid sine rettar Mange enkeltindivid sine rettar og fridomar - kunnskap om informasjonsbehandlinga føre til at enkeltindivid føre til at enkeltindivid føre til at enkeltindivid og fridomar er blitt er blitt krenka. - føreseielegheit i informasjonsbehandlinga sine rettar og fridomar sine rettar og fridomar sine rettar og fridomar krenka. - medråderett i informasjonsbehandlinga blir svekka. blir vesentleg krenka. VIL BLI krenka. - tilllit til informasjonsbehandlinga

22 SØRGE FOR AT ENHETEN RAPPORTERER OG FØLGER OPP AVVIK FRA KOMMUNENS SIKKERHETSMÅL.

23 SØRGE FOR AT EININGA HAR EIN PLAN ELLER EIT TILTAKSKORT FOR Å HANDTERE ALVORLEGE BROT PÅ KOMMUNEN SINE SIKKERHETSMÅL.

24 UTFORDRINGER OG MULIGHETER Tid til å sette fokus på personvern Tid til å gjøre alt vi skal Oppfølging, oppfølging, oppfølging Bedre oversikt Større bevissthet Ivaretar personvernet bedre

25 HVA HAR VI OPPNÅDD? Mer kunnskap gjennom samhandling og refleksjon Bedre oversikt Større fokus Større bevissthet i organisasjonen Gode diskusjoner i ulike fora Flere avvik på dette område Ledere som vet hva vi snakker om Ledere som gjør regelverket til sitt og som setter det på agendaen i egen organisasjon Medarbeidere som blir mer og mer bevisst sitt ansvar på dette området Vi vet hva vi må bli bedre på mye vil ha mer

26 VEIEN VIDERE Fortsetter arbeidet med: Internopplæring - forståelse, forankring og oppfølging Oversikter Risikovurderinger Tiltak Databehandleravtaler Beredskapsplaner Vi har et hav av arbeid foran oss

27 TIL SLUTT ET LITE ØNSKE Kan vi forenkle dette arbeidet i kommunenorge? 426 kommuner som bruker like mye tid på dette som oss Hvordan koordinere og samordne oss for å bli bedre og samtidig bruke mindre ressurser Kan vi bruke KS mer aktivt i dette arbeidet?

28 TAKK FOR MEG Kontaktinformasjon: Beate Moberg Kvalitetssjef Os kommune Tlf E-post: