Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Transkript

1 Personalledernettverket Trøndelag Ørland Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

2 En enkel prosessplan (nov 2017)

3 Enkelhet, helhetlig og synergier: Avgrense til det som er nødvendig enkelhet Integrert i ordinært styringssystem (felles verktøy og rutiner internkontroll - avvikssystem og ROS) - helhetlig Bidrar til digitalisering og kvalitetsutvikling - synergier

4 System / systematikk

5 Digitaliseringsstrategi for Overhalla Kommune Vi utvikler framtidas attraktive lokalsamfunn med digital nyskaping

6 En av 6 hovedstrategier i utkastet til digitaliseringsstrategi: 5. Vi har høy bevissthet om informasjonssikkerhet og personvern i arbeidet med digital nyskaping..kommunens internkontroll innen informasjonssikkerhet blir ikke bedre enn medarbeidernes bevissthet, forståelse og kompetanse om risiko/sårbarhet og praktiseringen av våre rutiner på området.

7 Handlingsprogram for digital nyskaping Område: Tiltak: Når: Oppfølging: 5. Vi har høy bevissthet om informasjonssikkerhet og personvern i arbeidet med digital nyskaping. 1. Kontinuerlig utvikling av vår internkontroll innen informasjonssikkerhet og personvern. 2. Kontinuerlig bevisstgjøring og opplæring av ledere og medarbeidere i informasjonssikkerhet og personvern. X X X X X X X X

8 5 Utforme internkontrollsystem / informasjonssikkerhetstiltak / rutiner Januar mai 18

9 Sikkerhetsmål, Sikkerhetsstrategi og Sikkerhetsorganisasjon Oversikter over behandling av personopplysninger(protokoller art. 30) Personvernerklæring

10 tine for Innhenting og kontroll av samtykke tine for Innsyn i ansattes epost, filområder tine for Innsyn, retting, supplering mv tine for Oppfyllelse av plikt til informasjon tine for Publisering el. deling av bilder/film/ video tine for Sletting av personopplysninger tine for Dataportabilitet tine for Sikring av kvalitet av personopplysninger tine for Utlevering av personopplysninger til andre tine for Iverksettelse eller opphør av behandling personopplysninger -Sikkerhetsinstruks for ansatte -Sikkerhetsinstruks for ledere -Konfigurasjon og sikkerhetsarkitektur -Autorisasjon og tilgangsstyring -Rutine for Logging -Rutine for Sikkerhetskopiering -Rutine for Skytjenester -Rutine for Trådløs teknologi -Rutine for Hjemmekontor -Rutine for Lagringsmedier inkl. mobilt/bærbar -Rutine for Databehandleravtaler -Rutine for Innebygd personvern -Rutine for Personvernombud -Rutine Beredskapsplan / nødprosedyrer -Sikring mot Ondsinnet programvare

11 - Rutine for Avvikshåndtering - Prosedyre for Risikovurdering - Prosedyre for Intern revisjon og Ledelsens gjennomgang

12 Avvikssystem

13 Verktøy ROS vurdering

14 Intern revisjon og Ledelsens gjennomgang Jf. Prosedyre for Intern revisjon og Ledelsens gjennomgang bl.a.: 1. Revisjon gjennomføres hvert år innen utgangen av september. 2. Rådmannen sørger for revisjonsprogram, revisjonsteam og igangsetting 3. Enkel revisjonsrapport til rådmannen innen Revisjonsprogram År Revisjonsteam Utvalgte områder for revisjon 2018 Personvernombudet, IT-sjefen, Personalsjefen 2019 Team fastsettes i Team fastsettes i Avvik og avvikshåndtering (har kommunen et levende avvikssystem?) 2. Krav til behandlingsoversikt / protokoller (jf. artikkel 30) 3. Krav til databehandleravtaler (jf. artikkel 28). Er nødvendige databehandleravtaler på plass? 4. Lagring og forsendelse av sensitive personopplysninger 1. Risikovurderinger og verktøy for dette (blir det gjort risikovurderinger, hvordan blir de fulgt opp, hvordan fungerer verktøyet?) 2. Foreligger tilstrekkelig IT-beredskapsplan og nødprosedyrer og blir det gjennomført øvelser/ tester 1. Blir relevante prosedyrer / rutiner / planer etterlevet i praksis?

15 Utvalgte områder for revisjon 1. Avvik og avvikshåndtering (har kommunen et levende avvikssystem?) 2. Krav til behandlingsoversikt / protokoller (jf. artikkel 30) 3. Krav til databehandleravtaler (jf. artikkel 28). Er nødvendige databehandleravtaler på plass? Rapport fra Intern revisjon Observasjoner/ konklusjoner Nesten alle enheter (2 unntak) har tatt avviksmodulen i bruk og melder avvik (se vedlagt statistikk). Avvik: Nåværende behandlingsoversikter fyller ikke nye krav (artikkel 30). Anbefaling: Datatilsynets mal /regneark brukes som verktøy Avvik: Det mangler samlet oversikt over databehandleravtaler. Anbefaling: Alle databehandleravtaler samles i egen mappe i Ephorte. (Endelig kontroll foretas når oversikt over behandlinger er oppdatert) Avvik: Det har forekommet tilfeller av at sensitive opplysninger er 4. Lagring og forsendelse av sendt pr. e-post sensitive Anbefaling: Det utredes og iverksettes gode alternativer for å personopplysninger formidle/ sende dokumenter med sensitive opplysninger.

16 Implementering av rutiner mv opplæring og bevisstgjøring

17

18

19

20 tine for Innhenting og kontroll av samtykke tine for Innsyn i ansattes epost, filområder tine for Innsyn, retting, supplering mv tine for Oppfyllelse av plikt til informasjon tine for Publisering el. deling av bilder/film/ video tine for Sletting av personopplysninger tine for Dataportabilitet tine for Sikring av kvalitet av personopplysninger tine for Utlevering av personopplysninger til andre tine for Iverksettelse eller opphør av behandling personopplysninger -Sikkerhetsinstruks for ansatte -Sikkerhetsinstruks for ledere -Konfigurasjon og sikkerhetsarkitektur -Autorisasjon og tilgangsstyring -Rutine for Logging -Rutine for Sikkerhetskopiering -Rutine for Skytjenester -Rutine for Trådløs teknologi -Rutine for Hjemmekontor -Rutine for Lagringsmedier inkl. mobilt/bærbar -Rutine for Databehandleravtaler -Rutine for Innebygd personvern -Rutine for Personvernombud -Rutine Beredskapsplan / nødprosedyrer -Sikring mot Ondsinnet programvare

21 tine for Innhenting og kontroll av samtykke tine for Innsyn i ansattes epost, filområder tine for Innsyn, retting, supplering mv tine for Oppfyllelse av plikt til informasjon tine for Publisering el. deling av bilder/film/ video tine for Sletting av personopplysninger tine for Dataportabilitet tine for Sikring av kvalitet av personopplysninger tine for Utlevering av personopplysninger til andre tine for Iverksettelse eller opphør av behandling personopplysninger -Sikkerhetsinstruks for ansatte -Sikkerhetsinstruks for ledere -Konfigurasjon og sikkerhetsarkitektur -Autorisasjon og tilgangsstyring -Rutine for Logging -Rutine for Sikkerhetskopiering -Rutine for Skytjenester -Rutine for Trådløs teknologi -Rutine for Hjemmekontor -Rutine for Lagringsmedier inkl. mobilt/bærbar -Rutine for Databehandleravtaler -Rutine for Innebygd personvern -Rutine for Personvernombud -Rutine Beredskapsplan / nødprosedyrer -Sikring mot Ondsinnet programvare

22 Rutine for sletting av personopplysninger Formålet med denne rutinen er å sikre at personopplysninger slettes når det ikke lenger er grunnlag for å oppbevare dem. 1. Hovedregelen er at personopplysninger skal slettes når formålet med registreringen er oppnådd. Jf. tabell Milepæler el. Hvem / ansvarlig Når Hva/ merknad Periodisk gjennomgang / vurdering Rektorer og styrere Ved oppstart nytt barnehage- /skoleår Gjelder opplysninger som ikke skal bevares etter riksarkivarens forskrift 7-28 eller ikke omfattes av merbevaring etter F.eks. skal bilder av barn/elever som det ikke lenger er grunnlag for å oppbevare, slettes.

23 Introduksjonsvideo Personvern - Internkontrollsystem

24 Personvern er et LEDERANSVAR

25

26 Asle Lydersen Personalsjef i Overhalla kommune Asle.lydersen@overhalla.kommune.no Tlf