Personalledernettverket Trøndelag Ørland 22.-23.8. 2018 Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?
En enkel prosessplan (nov 2017)
Enkelhet, helhetlig og synergier: Avgrense til det som er nødvendig enkelhet Integrert i ordinært styringssystem (felles verktøy og rutiner internkontroll - avvikssystem og ROS) - helhetlig Bidrar til digitalisering og kvalitetsutvikling - synergier
System / systematikk
Digitaliseringsstrategi for Overhalla Kommune 2018-2021 - Vi utvikler framtidas attraktive lokalsamfunn med digital nyskaping
En av 6 hovedstrategier i utkastet til digitaliseringsstrategi: 5. Vi har høy bevissthet om informasjonssikkerhet og personvern i arbeidet med digital nyskaping..kommunens internkontroll innen informasjonssikkerhet blir ikke bedre enn medarbeidernes bevissthet, forståelse og kompetanse om risiko/sårbarhet og praktiseringen av våre rutiner på området.
2018 2019 2020 2021 Handlingsprogram for digital nyskaping 2018-2021 Område: Tiltak: Når: Oppfølging: 5. Vi har høy bevissthet om informasjonssikkerhet og personvern i arbeidet med digital nyskaping. 1. Kontinuerlig utvikling av vår internkontroll innen informasjonssikkerhet og personvern. 2. Kontinuerlig bevisstgjøring og opplæring av ledere og medarbeidere i informasjonssikkerhet og personvern. X X X X X X X X
5 Utforme internkontrollsystem / informasjonssikkerhetstiltak / rutiner Januar mai 18
Sikkerhetsmål, Sikkerhetsstrategi og Sikkerhetsorganisasjon Oversikter over behandling av personopplysninger(protokoller art. 30) Personvernerklæring
tine for Innhenting og kontroll av samtykke tine for Innsyn i ansattes epost, filområder tine for Innsyn, retting, supplering mv tine for Oppfyllelse av plikt til informasjon tine for Publisering el. deling av bilder/film/ video tine for Sletting av personopplysninger tine for Dataportabilitet tine for Sikring av kvalitet av personopplysninger tine for Utlevering av personopplysninger til andre tine for Iverksettelse eller opphør av behandling personopplysninger -Sikkerhetsinstruks for ansatte -Sikkerhetsinstruks for ledere -Konfigurasjon og sikkerhetsarkitektur -Autorisasjon og tilgangsstyring -Rutine for Logging -Rutine for Sikkerhetskopiering -Rutine for Skytjenester -Rutine for Trådløs teknologi -Rutine for Hjemmekontor -Rutine for Lagringsmedier inkl. mobilt/bærbar -Rutine for Databehandleravtaler -Rutine for Innebygd personvern -Rutine for Personvernombud -Rutine Beredskapsplan / nødprosedyrer -Sikring mot Ondsinnet programvare
- Rutine for Avvikshåndtering - Prosedyre for Risikovurdering - Prosedyre for Intern revisjon og Ledelsens gjennomgang
Avvikssystem
Verktøy ROS vurdering
Intern revisjon og Ledelsens gjennomgang Jf. Prosedyre for Intern revisjon og Ledelsens gjennomgang bl.a.: 1. Revisjon gjennomføres hvert år innen utgangen av september. 2. Rådmannen sørger for revisjonsprogram, revisjonsteam og igangsetting 3. Enkel revisjonsrapport til rådmannen innen 1.10. Revisjonsprogram 2018-2020 År Revisjonsteam Utvalgte områder for revisjon 2018 Personvernombudet, IT-sjefen, Personalsjefen 2019 Team fastsettes i 2019 2020 Team fastsettes i 2019 1. Avvik og avvikshåndtering (har kommunen et levende avvikssystem?) 2. Krav til behandlingsoversikt / protokoller (jf. artikkel 30) 3. Krav til databehandleravtaler (jf. artikkel 28). Er nødvendige databehandleravtaler på plass? 4. Lagring og forsendelse av sensitive personopplysninger 1. Risikovurderinger og verktøy for dette (blir det gjort risikovurderinger, hvordan blir de fulgt opp, hvordan fungerer verktøyet?) 2. Foreligger tilstrekkelig IT-beredskapsplan og nødprosedyrer og blir det gjennomført øvelser/ tester 1. Blir relevante prosedyrer / rutiner / planer etterlevet i praksis?
Utvalgte områder for revisjon 1. Avvik og avvikshåndtering (har kommunen et levende avvikssystem?) 2. Krav til behandlingsoversikt / protokoller (jf. artikkel 30) 3. Krav til databehandleravtaler (jf. artikkel 28). Er nødvendige databehandleravtaler på plass? Rapport fra Intern revisjon Observasjoner/ konklusjoner Nesten alle enheter (2 unntak) har tatt avviksmodulen i bruk og melder avvik (se vedlagt statistikk). Avvik: Nåværende behandlingsoversikter fyller ikke nye krav (artikkel 30). Anbefaling: Datatilsynets mal /regneark brukes som verktøy Avvik: Det mangler samlet oversikt over databehandleravtaler. Anbefaling: Alle databehandleravtaler samles i egen mappe i Ephorte. (Endelig kontroll foretas når oversikt over behandlinger er oppdatert) Avvik: Det har forekommet tilfeller av at sensitive opplysninger er 4. Lagring og forsendelse av sendt pr. e-post sensitive Anbefaling: Det utredes og iverksettes gode alternativer for å personopplysninger formidle/ sende dokumenter med sensitive opplysninger.
Implementering av rutiner mv opplæring og bevisstgjøring
tine for Innhenting og kontroll av samtykke tine for Innsyn i ansattes epost, filområder tine for Innsyn, retting, supplering mv tine for Oppfyllelse av plikt til informasjon tine for Publisering el. deling av bilder/film/ video tine for Sletting av personopplysninger tine for Dataportabilitet tine for Sikring av kvalitet av personopplysninger tine for Utlevering av personopplysninger til andre tine for Iverksettelse eller opphør av behandling personopplysninger -Sikkerhetsinstruks for ansatte -Sikkerhetsinstruks for ledere -Konfigurasjon og sikkerhetsarkitektur -Autorisasjon og tilgangsstyring -Rutine for Logging -Rutine for Sikkerhetskopiering -Rutine for Skytjenester -Rutine for Trådløs teknologi -Rutine for Hjemmekontor -Rutine for Lagringsmedier inkl. mobilt/bærbar -Rutine for Databehandleravtaler -Rutine for Innebygd personvern -Rutine for Personvernombud -Rutine Beredskapsplan / nødprosedyrer -Sikring mot Ondsinnet programvare
tine for Innhenting og kontroll av samtykke tine for Innsyn i ansattes epost, filområder tine for Innsyn, retting, supplering mv tine for Oppfyllelse av plikt til informasjon tine for Publisering el. deling av bilder/film/ video tine for Sletting av personopplysninger tine for Dataportabilitet tine for Sikring av kvalitet av personopplysninger tine for Utlevering av personopplysninger til andre tine for Iverksettelse eller opphør av behandling personopplysninger -Sikkerhetsinstruks for ansatte -Sikkerhetsinstruks for ledere -Konfigurasjon og sikkerhetsarkitektur -Autorisasjon og tilgangsstyring -Rutine for Logging -Rutine for Sikkerhetskopiering -Rutine for Skytjenester -Rutine for Trådløs teknologi -Rutine for Hjemmekontor -Rutine for Lagringsmedier inkl. mobilt/bærbar -Rutine for Databehandleravtaler -Rutine for Innebygd personvern -Rutine for Personvernombud -Rutine Beredskapsplan / nødprosedyrer -Sikring mot Ondsinnet programvare
Rutine for sletting av personopplysninger Formålet med denne rutinen er å sikre at personopplysninger slettes når det ikke lenger er grunnlag for å oppbevare dem. 1. Hovedregelen er at personopplysninger skal slettes når formålet med registreringen er oppnådd. Jf. tabell Milepæler el. Hvem / ansvarlig Når Hva/ merknad Periodisk gjennomgang / vurdering Rektorer og styrere Ved oppstart nytt barnehage- /skoleår Gjelder opplysninger som ikke skal bevares etter riksarkivarens forskrift 7-28 eller ikke omfattes av merbevaring etter 7-23. F.eks. skal bilder av barn/elever som det ikke lenger er grunnlag for å oppbevare, slettes.
Introduksjonsvideo Personvern - Internkontrollsystem
Personvern er et LEDERANSVAR
Asle Lydersen Personalsjef i Overhalla kommune Asle.lydersen@overhalla.kommune.no Tlf. 97758259