Prosjektet: GDPR i Sporveien Konsernledermøtet 20. desember 2017 v/informasjonssikkerhetsavdelingen - ISA
Prosjektet: «GDPR i Sporveien» Bakgrunn og prosess Videreføre tilrettelegging og iverksettelse av aktiviteter for å innfri GDPR-krav Prosjektorganisering for å sikre standardisert gjennomgang, gjenbruk av metoder og materiell, samt læring på tvers av konsernet Beslutningssak: Bestilling til ledergruppen Saken legges for å sikre forankring i det videre GDPR-arbeidet Sentrale problemstillinger Tilrettelegge og støtte daglig behandlingsansvarlige og andre nøkkelpersoner i arbeidet med å innfri GDPR-krav Sikre evne til å avdekke avvik/brudd på behandlingen av personopplysninger Forslag til beslutning KL gir sin tilslutning til prosjektet og vil bidra til at prosjektet får nødvendig støtte slik at fremdriften kan sikres. Prosjektet GDPR i Sporveien legger frem mer detaljert omfang og plan for prosjektet i medio februar 2018. 2
«GDPR i Sporveien» - Prosjektmål Overordnet: sikre behandling av personopplysninger i henhold til den nye personvernforordningen GDPR Kartlegge bruk personopplysninger områder som ikke er kartlagt Risikobasert vurdering for prioritering av nødvendige tiltak Støtte operativt behandlingsansvarlige og andre nøkkelpersoner med koordinering og tilrettelegging av aktiviteter og tiltak Total oversikt aktiviteter og tiltak i forbindelse med GDPR Bistå tilrettelegging av de daglige rutinene som skal sikre god personvern i henhold til GDPR i fremtiden gjenbruk: sjekklister, felles systemliste, læring koordinering på tvers tiltak og org.enheter Kartlegging Risikovurdering Tiltak Gjennomføring GDPR i Sporveien 3
Forslag prosjektplan Første beslutningsrunde tiltak Kartleggin g Styringsgruppemøter GDPR 25. mai 2018 Oppstart Gjennomføringen mai Gjennomføring etter mai Sporing og overvåkning des 2017 jan feb mars apri l mai juni 2018 juli aug sept okt nov des 2019 GDPR i Sporveien 4
Spesielle utfordringer Personopplysninger registreres i systemer som ikke er tiltenkt personopplysninger Krever en opprydding i rutiner og forståelse av formål med løsningene Har skapt overraskelser og utvidelser i omfanget i arbeidet Initiativ bruk av uautoriserte app er i daglig arbeid hvor personopplysninger også registreres Krever en opprydding i rutiner for å ta i bruk nye løsninger Finne frem til godkjente alternativer for å ikke redusere effektivitet Svært mange i organisasjonen må involveres for en fullstendig oversikt Krever forståelse og prioritet for å få gjennomført arbeidet, dvs. at prosjektet har mandat til å etterspørre og å få støtte Krever tydelige roller og ansvar Krever én felles oversikt med all relevant informasjon Sikre basis kompetanse og felles kultur for god personvern Flere utbyttede systemer med personopplysninger holdes aktive av arkiverings- og oppslagshensyn Sikkerheten på disse vil reduseres over tid pga manglende oppdateringer Ikke gjennomgående klare tidsfrister og rutiner for sletting av personopplysninger Best practices-arbeidet vil være styrende Mangler løsninger i dag for sporing og overvåkning av informasjonsstrømmer Kan vanskelig avdekke brudd/avvik på personvern i elektronisk behandling av personopplysninger Vanskelig å finne frem til hvor informasjon om enkelt personer befinner seg på tvers av systemer Kundedata foreløpig: i forbindelse med utleie av eiendom og linjer til eksterne 5
Forslag til prosjektorganisering Prosjekteier Anders Riiber Prosjektleder Ole Birger Hestvik Styringsgruppe Ingeborg Holten Bjørn Granviken Christina Wiggen Ingvill Grønli Marius Sommerseth Prosjektdeltakere Olav Fredvik prosjektassistent (IT-FT) Siri Therese Ribsskog (HR) Truls Roar Søvde (Kvalitet og HMS) Richard Mach (IE) Operativt behandlingsansvarlig Innkjøp og logistikk Operativt behandlingsansvarlig Unibuss Trond Borge Karlsen (IT-Drift) Lars Martin Undheim (ISA) Bistand Konsernjuridisk Mette Borchgrevink Beslutningsgrunnlag - GDRP i Sporveien 6
Prosjektet: «GDPR i Sporveien» Bakgrunn og prosess Videreføre tilrettelegging og iverksettelse av aktiviteter for å innfri GDPR-krav Prosjektorganisering for å sikre standardisert gjennomgang, gjenbruk av metoder og materiell, samt læring på tvers av konsernet Beslutningssak: Bestilling til ledergruppen Saken legges for å sikre forankring i det videre GDPR-arbeidet Sentrale problemstillinger Tilrettelegge og støtte daglig behandlingsansvarlige og andre nøkkelpersoner i arbeidet med å innfri GDPR-krav Sikre evne til å avdekke avvik/brudd på behandlingen av personopplysninger Forslag til beslutning KL gir sin tilslutning til prosjektet og vil bidra til at prosjektet får nødvendig støtte slik at fremdriften kan sikres. Prosjektet GDPR i Sporveien legger frem mer detaljert omfang og plan for prosjektet i medio februar 2018. 7