Status personvern Hedmark og Oppland fylkeskommuner Kontrollutvalget Tone Hoddø Bakås, personvernombud 21.5.2019
Personvernlovgivningen Personopplysningslov fra 2000 Ny personopplysningslov fra juli 2018 Ny praksis/veiledninger har kommet det siste året Personvernombud har vært ansatt siden april 2018
Kontroll og tilsyn fra Datatilsynet
Datatilsynets oversikt
OFK har meldt to avvik til Datatilsynet Sensitive opplysninger på avveier Elever fikk for vide tilganger Flere mindre alvorlige avvik er registrert. Disse er ikke er meldt til Datatilsynet
Uavhengige gjennomganger fra 2016 og 2018
Uavhengig gjennomgang fra BDO (mars 2018) Mangler dokumenterte rutiner og prosesser Mangler gjennomføring
Hedmark revisjon Rapport presentert kontrollutvalget 30.08.2016
Revisjonsfunn personvern HFK Personvernombudets tolkning av rapporten, men ikke helt enig i vurderingene. Revisjonskriterier Oversikt over hvem som er ansvarlig Ha en oversikt over hvilke personopplysninger som behandles Ha avklart det rettslige grunnlaget for hver behandling. Dokumentere hvilket formål opplysningene er samlet inn for Oversikt over hvilke krav i personopplysningsloven som gjelder Rutiner som sikrer oppfyllelse av de registrertes rettigheter Ha rutiner for vedlikehold av internkontrollen Sørge for at rutinene er kjent for de som skal følge dem Gjennomføre kontroller for internkontrollen System for avvik Vurdering Dels ikke vurdert
Status mai 2019
Hedmark VS Oppland Samme organisering av arbeidet Omtrent samme status på etterlevelse av de viktige oppgavene Noen forskjeller på rutiner mv Ansatt med personvernkompetanse i HFK/VGO
Vi organiserer arbeidet og deler opp i oppgaver Roller og ansvar Oppbevaring og sletting Behandlingsoversikt Informasjonssikkerhet Opplæring Innsyn og informasjon Intern kontroll og rutiner
Utfordringer med personvernarbeidet Prosjektet er forsinket i forhold til planen Ulik eller manglende kompetanse i linjen til å implementere kravene i personopplysningsloven Prioritering i forhold til regionreformen
Tiltak for å redusere risiko Personvernprosjektet videreføres til 31.12.2019 Øke fokus på å kompetansen i linja Kurs, møter og e-læring Tydeliggjøre prioriteringer fra ledelsen Konsulent for risikovurdering og støtte til oppgaver i linjen
Gjennomførte oppgaver det siste året
Avklaring av ansvar og organisering av arbeidet Viktige roller Behandlingsansvarlig Databehandlere Personvernombud Personvernkoordinatorer Ledere og ansatte Personvernprosjektet Ansvar Fylkesrådmann/ fylkesdirektør Ansvarlig for personvern Leverandører som vi setter ut behandling til Rådgiver og kontroll av etterlevelse Bistå enhetsleder i det daglige arbeidet Ha kompetanse og forståelse til å ivareta personvern i det daglige Bidra til å sette fylkeskommunen i stand til å etterleve ny personopplysningslov Roller og ansvar
Personvernombud Det er obligatorisk å ha personvernombud for offentlige myndigheter Kontrollere overholdelse av personopplysningsloven Skal informere og gi råd til ansatte og ledere Delt stilling for Hedmark og Oppland fylkeskommune 28.09.18
Opplæring for ledere og ansatte Personvernombud har gjennomført 179 møter i ledergrupper, enheter og ansatte for Hedmark og Oppland i 2018 48 % av alle ansatte har gjennomført obligatorisk e- læring (OFK og HFK) Opplæring er viktig i det videre arbeidet Opplæring
De registrertes rettigheter Personvernerklæring på nettsider Rutiner for innsyn i egne personopplysninger Mangler rutiner i linjen på innsynsforespørsler Innsyn og informasjon
Behandlingsoversikt Behandlingsoversikter er et krav i loven (Inventarliste over personopplysninger) Resultatet bidrar til å vise at vi har oversikt å dokumentere at vi har lov til å ha personopplysningene Behandlingsoversikt
Intern kontroll og rutiner/ Dokumentasjon Styrende dokumenter, utførende rutiner og kontrollerende tiltak IKT-systemoversikt Planer for arbeidet Rutiner i enhetene (f eks for sletting) Oppbevaring og sletting Intern kontroll og rutiner
Informasjonssikkerhet Rutiner for risikostyring Gjennomførte risikovurderinger Forbedret tilgangsstyring Rutiner for å håndtere avvik for sikkerhetsbrudd E-læring til alle ansatte Informasjonssikkerhet
Personvernombudets vurdering Oppgave Status Behandlingsoversikt De registrertes rettigheter Roller og ansvar (databehandleravtaler) Interne rutiner og internkontroll Informasjonssikkerhet (risikostyring) Dataminimering Opplæring