Når den nye databeskyttelsesforordning træder i anvendelse den 25. maj 2018, skal virksomheder, organisationer og offentlige myndigheder kunne dokumentere, at de overholder forordningens bestemmelser.
Det nye ved databeskyttelsesforordningen er, at kravene til dokumentationen er strengere, og der indføres bøder til det offentlige, organisationer og virksomheder, hvis reglerne om datasikkerhed ikke overholdes.
For kommunerne betyder det blandt andet, at de skal udarbejde fortegnelser, hvor de skal redegøre for, hvad de bruger virksomhedernes og borgernes data til, hvem der har adgang til dem og hvor længe de opbevares m.m.
Databeskyttelse i de digitale arbejdsgange
På it-området betyder de nye regler, at kommunen skal dobbelttjekke, at databeskyttelse er bygget ind i systemer, dataprocesser og it-arkitekturen. Det arbejde forudsætter, at kommuner har overblik over deres systemlandskab.
I dag er 78 kommuner tilsluttet OS2kitos (kommunernes it-overblikssystem). Her registrerer de fleste kommuner deres it-systemer med oplysninger som: Hvilke systemer er indkøbt, hvilke data registreres i systemerne, og på hvilke it-kontrakter i kommunen. Leverandører vil også opleve, at kommunerne stiller større krav til datasikkerheden og indholdet i deres kontrakter. Databeskyttelse skal derfor ikke blot tænkes ind i designfasen af et system, men ind i alle de digitale arbejdsgange på tværs af kommunerne.
Udviklingsforslaget – OS2kitos
Da der vil blive stillet større krav til datasikkerheden og dokumentationsmetoderne, har en del kommuner i OS2kitos-samarbejdet fundet sammen, for at finde en ensartet registreringspraksis til registrering af oplysninger om persondata.
I OS2kitos har 27 kommuner økonomisk støttet et udviklingsinitiativ, der skal understøtte kommunerne med at overholde kravene i databekyttelsesforordningen. Det har derfor været oplagt at samle dokumentationskravene i et system, som i forvejen bruges af mange kommuner.
Udgangspunktet i udviklingsforslaget har været, at nøgleinformationer skal kunne registreres i OS2kitos. Det er fx oplysninger om;
- hvorvidt et system indeholder personoplysninger eller ej
- kategorier af personoplysninger
- oplysninger om databehandleraftaler
I løsningen vil der via referencer henvises til mere detaljerede informationer. Fx kommunernes fortegnelser og risikovurderinger. Altså oplysninger som man kan finde i andre systemer som fx SecureAware og ESDH m.fl. Læs forslaget her.
Et frivilligt og uforpligtende tilbud
Det er ikke et krav, at kommunerne bruger OS2kitos til registrering af deres it-systemer og sikkerhedskrav. Fordelen ved, at så mange kommuner bruger ét fælles værktøj er dog, at registreringsmetoderne bliver ensartede, og dataene bliver strukturerede.
Frem for, at hver enkelt kommune skal sætte sig ind i de nye komplekse krav i forordningen, er der i en fælleskommunal arbejdsgruppe blevet taget stilling til, hvad den enkelte kommune som minimum bør registrere, for at leve op til kravene i databeskyttelsesforordningen.
Det er dog stadig op til den enkelte kommune, at sikre, at de overholder kravene i databeskyttelsesforordningen.
Baggrund
Der blev i foråret 2017 nedsat en arbejdsgruppe bestående af Favrskov, Frederikssund, Glostrup, Ballerup kommune og Digitaliseringsforening Sjælland (Digit). Arbejdsgruppen har specificeret udviklingskravene til OS2kitos, så OS2kitos kan fungere som et understøttende værktøj for databeskyttelsesarbejdet.
Implementering
Den 6. december 2017 blev udviklingsforslaget præsenteret på et brugerklubmøde i OS2kitos og godkendt af OS2kitos’ styregruppe. Udviklingskravene er netop ved at blive implementeret i løsningen af leverandøren af OS2kitos. Den 7. marts 2018 vil de nye funktioner til registrering af dokumentationskravene være tilgængelige i OS2kitos.
Vejledningsmateriale
OS2kitos sekretariatet vil sammen med kommunerne lave vejledninger til, hvordan den enkelte kommune kan komme i gang med at registrere oplysninger om databeskyttelse i OS2kitos.
Kontakt
Anne Hansen på anh6@balk.dk, hvis du vil vide mere om projektet.