TRYGG DIGITALISERING I OS KOMMUNE - KINS · databehandleravtaler og behandlingsansvarlig ... Eit...

TRYGG DIGITALISERING I OS KOMMUNE

Beate Moberg, kvalitetssjef

Os kommune

KiNS konferansen 5. juni 2019

Folk – Fellesskap – Framtidsretta kommune

Foto. Simen Soltvedt

OS + FUSA = BJØRNAFJORDEN KOMMUNEFrå 1. januar 2020:

• 24.000 innbyggarar

• 517,4 km2

• Osøyro blir kommune- og administrasjonssenter


AGENDA

Fokus på trygg digitalisering i Os kommune før og nå

Nytt regelverk – nytt fokus

Implementering

Utfordringer og muligheter

Et lite ønske


FOKUS PÅ TRYGG DIGITALISERING FØR OG NÅFør:Et omfattende reglement

Utilgjengelig, uforståelig, skapte avstand og tåkelegging

Ingen som eide prosessen eller fulgte denne opp i organisasjonen

Lederne forholdt seg i liten grad til reglementet


NYTT REGLEMENT MED NYE KRAV TIL KOMMUNEN Forståelig personvernerklæring

Tydelige krav til bruken av personopplysninger

Sikre god informasjonsflyt og sikkerhet i forhold til behandling av personopplysninger

Databehandleravtaler

Oppbevaring av personopplysninger

Risikovurdering av personopplysninger (DPIA)

Personvernombud

Informasjonssikkerhet i alle prosesser; intern opplæring, klare ansvar, rutinebeskrivelser, databehandleravtaler og behandlingsansvarlig


HVA GJORDE VI FØRST?

Personvernombud

Personvernerklæring

Sikkerhetsforum

Arbeidsgruppe for sikkerhetsforum

Meldte oss inn i nettverk med andre kommuner


Ny prosess/prosedyre for melding av avvik

Trygg digitalisering - Styringssystem for personvern og informasjonssikkerhet


TRYGG DIGITALISERING

Sikre forståelse, forankring og implementering

Tar utgangspunkt i brukerne sine behov

Gjør teksten enkel og forståelig

Prøver å strukturere innholdet på en brukervennlig måte

Jobber med å ha et bevisst forhold til formuleringene våre



Forenkling, gjøre det lettere å forstå

fremmer at vi bruker reglementet

eierskap og gjenkjenning

skaper tillit

sparer tid og penger

fremmer kommunikasjonen


SIKKERHETSMÅL

Behandlingen av all informasjon skal være i samsvar med lover, regler, avtaler, og den skal bidra til Os kommune når sine samlede mål:

Personvern – vi tar vare på personvernet til ansatte og innbyggere

Konfidensialitet – vi får bare se informasjon vi har rett til å se

Integritet – vi kan stole på at informasjonen vi behandler er korrekt

Tilgjengelighet – vi får tilgang til rett informasjon når vi trenger den


SYSTEMATISK ARBEID - TILTAKOversikt - Føre protokoll over behandlingsaktiviteter, system og tjenester

Risiko - Kartlegge prosesser for å avdekke svakheter og identifisere risiko knyttet til løsninger og rutiner som blir brukt når vi behandler informasjon.

Avvik – melde fra når det skjer feil, mangler eller andre svakheter i behandlingen, slik at vi kan justere tiltakene og redusere risikoen for at noe uønsket skjer.

Beredskap – Planleggge hva vi skal gjøre viss vi bryter kravene til personvern, nødvendig informasjon blir helt eller delvis utilgjengelig, informasjon inneholder alvorlige feil eller mangler eller kommer vi kommer i skade for å dele informasjon med uvendkommende.

Tiltak – Når oversikt og risiko er kartlagt, må det etableres tiltak som skal stå i forhold til den risiko som er avdekket.


ORGANISERING, ROLLER OG ANSVAR


ROLLER OG ANSVAR


PROSEDYRER OG HVOR FINNER VI DISSE?

IMPLEMENTERING - MÅL

Sikre at de ansatte får nødvendig opplæring for å kunne ivareta informasjonssikker-heten på en tilfredstillendemåte.


IMPLEMENTERING - TILTAK Utarbeide tilstrekkelig informasjon til de ansatte om

informasjonssikkerhet og personvern

Lederpresentasjon - enkel presentasjon – for å skape

forståelse for helheten i regelverket

Jungle map – digital opplæringsøkt for alle ansatte for å sikre

at de kjenner til prinsippene for akseptabel bruk av IT-verktøy

Etter hvert flere tiltak – personverndag, bevissthet gjennom

ulike fokusområder hvert kvartal

Jevnlig tema på personalmøter

Inn i rådmannen sitt årshjul og områdene/enhetene sitt årshjul


Styringssystem for personvern og informasjonssikkerheit

Introduksjon

LEIARPRESENTASJON

Namn

Biometrisk informasjon

Ansiktsbilder

Geografisk plassering

Internettadresse

Telefon/fax #

Enhets-ID

E-postadresse

Helsedata

Person #

Økonomiske transaksjonar

Adresse

Handlingsmønster Førerkort/køyretøy #

PERSONOPPLYSNINGER


NYTT REGELVERK, NYE PLIKTER OG MULIGHETER

Kilde: www.datatilsynet.no/rettigheter-og-plikter/virksomhetens-plikter


http://www.datatilsynet.no/rettigheter-og-plikter/virksomhetens-plikter


åpen, informert og sikker


Eit døme på behandlingsprotokoll etter Datatilsynet s mal.

SØRGE FOR Å FØRE EI DOKUMENTERT OVERSIKT OVER KVA FOR INFORMASJO N EININGA BEHANDLAR , KOR DET SKJER OG KVEN SOM GJER DET.

Internt ansvarleg Funksjonsområde Kva gjeld behandlinga Formål med behandlinga Kategoriar av registrerte

F.eks. avdeling, rolle eller person Kva for overordna funksjons-

eller verksemdsområde fell

behandlinga inn under?

Verksemdsområde, overordna

behandlingsaktivitet

Pleie og omsorg, Heimetenester,

Tenester for utviklingshemma, Os

legevakt, Bestillar- og

forvaltarkontoret, NAV sosiale

tenester, Flyktningetenesta,

Varafjell avlastning

Kvardagsrehabilitering

Intensiv kvardagstrening,

tilrettelegging og støtte til

meistring av daglege aktivitetar

for heimebuande i starten av eit

hjelpebehov

Behandling av søknad om

kvardagsrehabilitering,

oppfølging

Tenestemottakar (innbyggarar)







Heimehjelp

Krav på hjelp til nødvendige,

praktiske gjeremål i heimen for

årsakar som sjukdom,

funksjonshemming eller aller som

fører til at brukarane ikkje klarar

å utføre slike oppgåver sjølve.

Rettleiing.


heimehjelp, oppfølgingTenestemottakar (innbyggarar)







Heimesjukepleie

Hjelp i eigen heim for å få dekka

grunnleggande pleie- og

omsorgsbehov. Opplæring og

rettleiing for hjelpetrengande så

dei er mest mogleg sjølvhjulpne.


heimesjukepleie, oppfølgingTenestemottakar (innbyggarar)


SØRGE FOR AT E ININGA JAMLEG DOKUMENTERER E I SYSTEMATISK VURDER ING AV R IS IKO FOR AT E IGA BEHANDLING AV INFORMASJON BRYT MED KOMMUNEN S INE S IKKERHE ITSMÅL .

Eit utdrag frå mal for tilrådde akseptkriterum i personvern og informasjonssikkerheit.

Konsekvensområde Ubetydeleg (1) Liten (2) Moderat (3) Alvorleg (4) Kritisk (5)

Informasjon på avvegar Rutinemessig eller teknisk

svakheit kan føre til at

personopplysningar eller

interne opplysningar KAN

komme på avvegar.

Rutinemessig eller teknisk

svakheit kan føre til at

særlege kategoriar


interne opplysningar KAN

komme på avvegar.

Personopplysningar eller

interne opplysningar kjem

på avvegar.

Særlege kategoriar


interne opplysningar kjem

på avvegar.

Store mengder

opplysningar kjem på

avvegar.

Feil eller manglar på informasjon Rutinemessig eller teknisk

svakheit KAN føre til at det

oppstår feil eller manglar.


svakheit KAN føre til at det

oppstår vesentlege feil

eller manglar.

Det oppstår feil eller

manglar i informasjonen.

Det oppstår vesentlege feil

eller manglar i

informasjonen.

Det oppstår mange

og/eller ofte feil eller

manglar i informasjonen.

Informasjon er utilgjengeleg Rutinemessig eller teknisk

svakheit KAN føre til at

informasjon blir

utilgjengeleg.


svakheit KAN føre til at

vesentleg informasjon blir

utilgjengeleg.

Informasjon blir

utilgjengeleg.

Vesentleg informasjon blir

utilgjengeleg.

Informasjon blir ofte

og/eller lenge utilgjngeleg.

Konsekvensar for enkeltindivid sine rettar og fridomar: Rutinemessig eller teknisk

svakheit KAN


svakheit KAN


svakheit VIL

Eitt eller eit fåtal

enkeltindivid sine rettar

Mange enkeltindivid sine

rettar og fridomar

- kunnskap om informasjonsbehandlinga føre til at enkeltindivid føre til at enkeltindivid føre til at enkeltindivid og fridomar er blitt er blitt krenka.

- føreseielegheit i informasjonsbehandlinga sine rettar og fridomar sine rettar og fridomar sine rettar og fridomar krenka.

- medråderett i informasjonsbehandlinga blir svekka. blir vesentleg krenka. VIL BLI krenka.

- tilllit til informasjonsbehandlinga


SØRGE FOR AT ENHETEN RAPPORTERER OG FØLGER OPP AVVIK FRA KOMMUNENS SIKKERHETSMÅL.


SØRGE FOR AT EININGA HAR EIN PLAN ELLER EIT TILTAKSKORT FOR Å HANDTERE ALVORLEGE BROT PÅ KOMMUNEN SINE SIKKERHETSMÅL.


UTFORDRINGER OG MULIGHETER

Tid til å sette fokus på personvern

Tid til å gjøre alt vi skal

Oppfølging, oppfølging, oppfølging

Bedre oversikt

Større bevissthet

Ivaretar personvernet bedre


HVA HAR VI OPPNÅDD? Mer kunnskap gjennom samhandling og refleksjon

Bedre oversikt

Større fokus

Større bevissthet i organisasjonen

Gode diskusjoner i ulike fora

Flere avvik på dette område

Ledere som vet hva vi snakker om

Ledere som gjør regelverket til sitt og som setter det på agendaen i egen organisasjon

Medarbeidere som blir mer og mer bevisst sitt ansvar på dette området

Vi vet hva vi må bli bedre på – mye vil ha mer…


VEIEN VIDEREFortsetter arbeidet med:

Internopplæring - forståelse,

forankring og oppfølging

Oversikter

Risikovurderinger

Tiltak


Beredskapsplaner


Vi har et hav av arbeid foran oss

TIL SLUTT ET LITE ØNSKE


Kan vi forenkle dette arbeidet i kommunenorge?

426 kommuner som bruker like mye tid på dette som oss

Hvordan koordinere og samordne oss for å bli bedre og samtidig bruke mindre ressurser

Kan vi bruke KS mer aktivt i dette arbeidet?

TAKK FOR MEG


Kontaktinformasjon:

Beate Moberg

Kvalitetssjef Os kommune

Tlf. 95 20 15 11

E-post: [email protected]

TRYGG DIGITALISERING I OS KOMMUNE - KINS · databehandleravtaler og behandlingsansvarlig ... Eit...

Documents

Transcript of TRYGG DIGITALISERING I OS KOMMUNE - KINS · databehandleravtaler og behandlingsansvarlig ... Eit...