Status personvern Hedmark og Oppland fylkeskommuner

Transkript

1 Status personvern Hedmark og Oppland fylkeskommuner Kontrollutvalget Tone Hoddø Bakås, personvernombud

2 Personvernlovgivningen Personopplysningslov fra 2000 Ny personopplysningslov fra juli 2018 Ny praksis/veiledninger har kommet det siste året Personvernombud har vært ansatt siden april 2018

3 Kontroll og tilsyn fra Datatilsynet

4 Datatilsynets oversikt

5

6

7

8 OFK har meldt to avvik til Datatilsynet Sensitive opplysninger på avveier Elever fikk for vide tilganger Flere mindre alvorlige avvik er registrert. Disse er ikke er meldt til Datatilsynet

9 Uavhengige gjennomganger fra 2016 og 2018

10 Uavhengig gjennomgang fra BDO (mars 2018) Mangler dokumenterte rutiner og prosesser Mangler gjennomføring

11 Hedmark revisjon Rapport presentert kontrollutvalget

12 Revisjonsfunn personvern HFK Personvernombudets tolkning av rapporten, men ikke helt enig i vurderingene. Revisjonskriterier Oversikt over hvem som er ansvarlig Ha en oversikt over hvilke personopplysninger som behandles Ha avklart det rettslige grunnlaget for hver behandling. Dokumentere hvilket formål opplysningene er samlet inn for Oversikt over hvilke krav i personopplysningsloven som gjelder Rutiner som sikrer oppfyllelse av de registrertes rettigheter Ha rutiner for vedlikehold av internkontrollen Sørge for at rutinene er kjent for de som skal følge dem Gjennomføre kontroller for internkontrollen System for avvik Vurdering Dels ikke vurdert

13 Status mai 2019

14 Hedmark VS Oppland Samme organisering av arbeidet Omtrent samme status på etterlevelse av de viktige oppgavene Noen forskjeller på rutiner mv Ansatt med personvernkompetanse i HFK/VGO

15 Vi organiserer arbeidet og deler opp i oppgaver Roller og ansvar Oppbevaring og sletting Behandlingsoversikt Informasjonssikkerhet Opplæring Innsyn og informasjon Intern kontroll og rutiner

16 Utfordringer med personvernarbeidet Prosjektet er forsinket i forhold til planen Ulik eller manglende kompetanse i linjen til å implementere kravene i personopplysningsloven Prioritering i forhold til regionreformen

17 Tiltak for å redusere risiko Personvernprosjektet videreføres til Øke fokus på å kompetansen i linja Kurs, møter og e-læring Tydeliggjøre prioriteringer fra ledelsen Konsulent for risikovurdering og støtte til oppgaver i linjen

18 Gjennomførte oppgaver det siste året

19 Avklaring av ansvar og organisering av arbeidet Viktige roller Behandlingsansvarlig Databehandlere Personvernombud Personvernkoordinatorer Ledere og ansatte Personvernprosjektet Ansvar Fylkesrådmann/ fylkesdirektør Ansvarlig for personvern Leverandører som vi setter ut behandling til Rådgiver og kontroll av etterlevelse Bistå enhetsleder i det daglige arbeidet Ha kompetanse og forståelse til å ivareta personvern i det daglige Bidra til å sette fylkeskommunen i stand til å etterleve ny personopplysningslov Roller og ansvar

20 Personvernombud Det er obligatorisk å ha personvernombud for offentlige myndigheter Kontrollere overholdelse av personopplysningsloven Skal informere og gi råd til ansatte og ledere Delt stilling for Hedmark og Oppland fylkeskommune

21 Opplæring for ledere og ansatte Personvernombud har gjennomført 179 møter i ledergrupper, enheter og ansatte for Hedmark og Oppland i % av alle ansatte har gjennomført obligatorisk e- læring (OFK og HFK) Opplæring er viktig i det videre arbeidet Opplæring

22 De registrertes rettigheter Personvernerklæring på nettsider Rutiner for innsyn i egne personopplysninger Mangler rutiner i linjen på innsynsforespørsler Innsyn og informasjon

23 Behandlingsoversikt Behandlingsoversikter er et krav i loven (Inventarliste over personopplysninger) Resultatet bidrar til å vise at vi har oversikt å dokumentere at vi har lov til å ha personopplysningene Behandlingsoversikt

24 Intern kontroll og rutiner/ Dokumentasjon Styrende dokumenter, utførende rutiner og kontrollerende tiltak IKT-systemoversikt Planer for arbeidet Rutiner i enhetene (f eks for sletting) Oppbevaring og sletting Intern kontroll og rutiner

25 Informasjonssikkerhet Rutiner for risikostyring Gjennomførte risikovurderinger Forbedret tilgangsstyring Rutiner for å håndtere avvik for sikkerhetsbrudd E-læring til alle ansatte Informasjonssikkerhet

26 Personvernombudets vurdering Oppgave Status Behandlingsoversikt De registrertes rettigheter Roller og ansvar (databehandleravtaler) Interne rutiner og internkontroll Informasjonssikkerhet (risikostyring) Dataminimering Opplæring