persondataforordningsprojektet projektbeskrivelse … · projektgruppen har været på 1-dags...
TRANSCRIPT
1
PERSONDATAFORORDNINGSPROJEKTET
Projektbeskrivelse
26. juli 2017
GSH/CAR
2
Indhold Baggrund 3
Formål og succeskriterier 4
Faser og overordnet tidsplan 5
Projektorganisering 8
Risikoanalyse 9
Tidsforbrug og ressourcer 9
Budget 10
Andre indsatser 10
Ordbog 11
3
Baggrund
EU har vedtaget nye regler for, hvordan virksomheder, offentlige myn-
digheder og andre skal håndtere persondata. De nye regler skærper kravene
til, hvordan virksomheder indsamler, håndterer og anvender persondata.
Persondata er både medlemsdata og medarbejderdata og gælder alle person-
data lige fra fx e-mailadresser og telefonnumre til mere følsomme personda-
ta som fx helbredsoplysninger og medlemskab af fagforening.
Reglerne er offentliggjort i: EUROPA-PERLAMENTETS OG RÅDETS
FORORDNING (EU) 2016/679 af 27. april 2016:
http://eur-lex.europa.eu/legal-
content/DA/TXT/PDF/?uri=CELEX:32016R0679&from=DA
Justitsministeriet har endvidere udgivet en betænkning om forordningen i 2 dele:
http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/20
17/betaenkning_nr._1565_del_i_bind_1.pdf
http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/20
17/betaenkning_nr._1565_del_i_bind_2.pdf
4
Den nye persondataforordning træder i kraft 25. maj. 2018.
Overholdes reglerne ikke efter denne dag, er sanktionerne markant øgede,
med risiko for bøder op til 20 mio. euro eller 4 % af årlig global omsætning-
hvad der måtte være højest.
Det er ikke mindst pga. dette, at fokus på persondataforordningen er så stort
hos mange virksomheder.
Desuden må det forventes at mediebevågenheden på dette område øges
betydeligt efter 25. maj 2018, og det kan være særdeles skadeligt for en
virksomheds omdømme, hvis medierne kan præsentere et databrud.
Det er Datatilsynet, der fører tilsyn med om reglerne overholdes, og det er
også datatilsynet, der skal have besked, når der sker databrud.
Arbejdet med implementeringen i dansk lovgivning er i gang og er forankret
i Justitsministeriet, som har nedsat en tværministeriel arbejdsgruppe som
skal se på konsekvenserne af forordningen ift. dansk lovgivning.
Beskæftigelsesministeriet indgår i arbejdsgruppen og spiller via STAR ind
på vores område.
En af de ting der fortsat er uklart, er om vi skal ansætte en DPO (Data
Protection Officer).
Betænkning fra Justitsministeriet var forventet i starten af april, men kom
først 24. maj 2017, se link på side 3.
Danske A-kasser har nedsat en arbejdsgruppe, som Suzi Magnus , Carsten
Ramhøj og Gitte Skydsbæk Vestergaard sidder med i- næste møde var
planlagt til 29. maj 2017, men blev først afholdt 22. juni 2017 pga. den
forsinkede betænkning.
Formål og succeskriterier
Formålet med projektet er helt grundlæggende, at Akademikernes A-kasse
overholder lovgivningen, når den finder anvendelse fra 25. maj 2018.
Desuden giver arbejdet mulighed for, at vi får et langt bedre overblik over
vores data og forretningsgange, som alle skal vurderes, dokumenteres og
beskrives i dette projekt og fremadrettet.
5
Det er umiddelbart vores vurdering, at vi langt hen af vejen lever op til
persondataloven, som den ser ud i dag, men der er mange nye regler, bl.a.
dokumentationskravet, sletteregler, oplysningspligt mm., som vi ikke
opfylder i alle henseender.
Målet er, at kommer datatilsynet på besøg, så kan vi fremvise den
nødvendige dokumentation på, at vi behandler persondata efter reglerne.
Målet er desuden at alle medarbejdere bliver opmærksom på de nye regler,
og forstår og handler i overensstemmelse med dem. Det kræver undervisning
og indkøring af nye vaner, da databrud ellers er et sandsynligt scenarie.
Faser og overordnet tidsplan
Projektet har overordnet set 5 faser:
marts-april 17
Opstart og planlægning
maj-nov. 17
Kortlægning og dokumentation,
indhente databehandlerafta
ler
nov. - marts. 18
Analyse af regelefterlevelse og udbedre hvor
regler ikke overholdes
marts-maj 18
Udarbejde persondata-politik og
informere medlemmer, samt
intern undervisning
maj 18-->:
Implemen-tering, drift og
plan for løbende kontrol og opdatering
Fase 0 Fase 1 Fase 2 Fase 3 Fase 4
6
Marts- april 2017: Opstart- og planlægning
Fasen går ud på at sætte gang i projektet. Projektgruppe og styregruppe
nedsættes, der afholdes kick off-møde, projektbeskrivelse udarbejdes,
gruppen tager på seminar og planlægningen af projektet tager form.
Leverancer i fase 0
• Projektbeskrivelse
Maj- nov. 2017: Kortlægning og dokumentation
Denne fase kortlægger, hvilke persondata vi har samt hvor, hvordan og
hvem, der behandler dem. Der udarbejdes et Excel ark, som giver overblik
over dette.
Når alt er kortlagt udarbejdes mere udførlige beskrivelser af arbejdsgange og
behandling af data.
Denne fase er langvarig, men vigtig, og forventes at vare til ind i efteråret. I
den nye forordning er det ligegyldigt om man i praksis overholder reglerne,
hvis dette ikke er beviseligt i beskrivelser og dokumentation.
Leverancer i fase 1
• Revideret projektbeskrivelse ud fra erfaringer og vejledninger
• Skabelon til kortlægning og beskrivelse af processer
• Samtlige processer kortlagt og beskrevet i skabelonform
• Indstilling vedr. ekstern konsulentbistand
Nov.- marts 2018: Analyse af regelefterlevelse, prioritering og afhjælpning
I denne fase gøres det klart, hvor der er huller ifht. de nye krav og hvad
risikoen er for ”den registrerede”, som det hedder. Der laves herudfra en
prioritering af hvilke problemer der er størst og skal afhjælpes først.
Det er også her evt. videreudvikling til vores systemer, eller evt. nye
systemer skal sættes ind, så vi afhjælper de udfordringer, der måtte være.
Fase 0
Fase 1
Fase 2
7
Desuden indhentes/udarbejdes databehandleraftaler med alle leverandører af
systemer/services der indeholder persondata.
Leverancer i fase 2
• Revideret projektbeskrivelse ud fra erfaringer og vejledninger
• Beskrivelser af arbejdsgange og behandling af data, som sikrer
datasikkerhed i overensstemmelse med forordningen
• Databehandleraftaler med alle leverandører af systemer/services der
indeholder persondata udarbejdes/indhentes
• Analyse af GAP i forhold til indhentelse af samtykke til
indhentelse/brug af data fra medlemmer og medarbejdere
• Analyse og prioriteret plan for afhjælpning af evt. manglende
compliance
• Beskrivelse af Akademikernes overordnede datasikkerhed
• Procesplan for evt. datalæk
Marts-maj 18: Information til medlemmer, persondatapolitik samt intern
undervisning
Der forberedes og gennemføres intern undervisning og indkøring af
nye/ændrede processer. Der laves planer for den løbende kontrol og
governance, både internt og ifht. databehandleraftaler.
Medlemmerne adviseres jf. oplysningspligten.
Evt. ansættes/uddannes en DPO.
Leverancer i fase 3
• Revideret projektbeskrivelse ud fra erfaringer og vejledninger
• Beskrivelse af test af systemændringer – hvilke data må bruges mv.
• Analyse og beslutning af frister for sletning af de forskellige
kategorier af data
• Opdateret persondatapolitik på aka.dk
• Procedure for regelmæssig afprøvning og vurdering af tekniske og
organisatoriske foranstaltninger til datasikkerhed fastlægges
Fase 3
8
• Plan for awareness kampagner for medarbejdere udarbejdes
• Plan for løbende kontrol af persondatahåndtering og opdatering af
procesbeskrivelser udarbejdes
• Medlemmer adviseres jf. oplysningspligten
• Undervisningsmateriale til medarbejdere om håndtering af
persondata udarbejdes
• Undervisning af medarbejdere foretages
Maj 18 : Implementering, drift, løbende kontrol og opdatering
Vi går i luften og laver løbende kontrol af både dokumentation, manuelle
processer mm.
Projektorganisering
Direktionen, med Britt Haun som projektejer, udgør projektets styregruppe.
Jeg, Gitte Skydsbæk Vestergaard, er projektleder frem til 1. oktober 2017,
hvorefter jeg går på barsel. Det foreslås at Carsten Ramhøj, som sidder i
projektgruppen og er jurist og erfaren projektleder, overtager
projektlederrollen herefter. Deltagerne i den tværorganisatoriske
projektgruppe er:
• Vivi Damkjær fra Jobmatch (Administration)
• Carsten Ramhøj fra Forsikring (Controller Lean)
• Henrik Varmer fra Analyse
• Henrik Jangö fra Økonomi
• Suzi Magnus fra Digitalisering
• Andreas Vogel Kielgast fra HR
• Marie Louise Kragh fra Marketing og Kommunikation
Projektlederens rolle
Daglig leder af projektopgaverne og for samarbejdet med styregruppe og evt.
eksterne konsulenter. Ansvar for fremdrift, intern kommunikation og
ressourceallokering i samarbejde med lederne.
Fase 4
9
Projektdeltagernes rolle
Projektdeltagerne er hver især ansvarlige for deres områder og skal løbende
inddrage flere ressourcer - det gælder i særdeleshed Vivi i JobMatch,
Carsten i Forsikring og Suzi i Digitalisering, hvis områder behandler rigtigt
mange persondata.
Projektgruppen har været på 1-dags seminar hos Plesner i ”Alt du skal vide
om persondataforordningen”, som har givet os en god indføring i, hvad
opgaven går ud på, og hvad de vigtigste regler er.
Suzi Magnus har desuden været på en uges kursus og fået DPO-uddannelsen
hos Bech-Bruun, så er dermed den i projektgruppen, der har den dybeste
viden.
Som nævnt sidder Suzi, Carsten og jeg med i arbejdsgruppen hos Danske A-
kasser.
Behov for løbende ekstern konsulentbistand
Da kun en enkelt i projektgruppen er jurist og ingen af os har den fornødne
indsigt i forordningen – og ej heller vil kunne nå at opbygge den undervejs i
projektet - vil vi se os nødsaget til at købe os til ekstern bistand undervejs,
som kan be- eller afkræfte os i vores formodninger om, hvordan loven skal
tolkes, og om vi har gjort det vi skal, og godt nok.
Vi forventer at skulle indhente ekstern bistand allerede tidligt i projektet i
forbindelse med kortlægningen af systemer og data, for at sikre, at vi er på
rette spor og tolker reglerne korrekt.
Risikoanalyse
Projektgruppen udarbejder ikke en overordnet risikoanalyse for projektet,
men risikoanalyser for mange forskellige processer er en stor del af
projektet, og der vil blive lavet en mængde af dem undervejs.
Tidsforbrug og ressourcer
Det forventes, at deltagerne i projektgruppen kommer til at bruge temmelig
meget tid på opgaven, da bl.a. dokumentationsarbejdet er meget omfattende.
I perioder må det forventes at deltagerne – nogle mere end andre - skal bruge
op mod 50 % af deres tid på projektet.
10
Det vil desuden blive nødvendigt at indhente yderligere ressourcer særligt
fra Forsikring, JobMatch og Digitalisering.
Projektlederen kan på månedlig basis underrette deltagernes ledere om det
forventede tidsforbrug for perioden, hvis dette ønskes.
Budget
Der er pt. ikke afsat noget budget til projektet, men det er forventeligt, at der
skal købes både yderligere IT-sikkerhed, ændres i arbejdsgange og it-
procedurer samt som sagt købes ekstern konsulentbistand.
Evt. skal der også ansættes en DPO, som ansættes på tillidsmandslignende
vilkår.
Andre indsatser
Det er vigtigt for projektet, at projektgruppen får viden om andre indsatser
og projekter i organisationen, som på en eller anden måde har med
persondata at gøre. Det vil i praksis sige stort set alle projekter.
Det skal allerede nu tænkes ind i ethvert nyt projekt eller tiltag, at
forordningens krav overholdes og designes ind i systemerne som standard -
”protection by design” og ”protection by default”.
11
Ordbog
Accountability Ansvarlighed – den dataansvarlige skal kunne påvise at de grundlæggende principper i Art. 5 overholdes:
• Persondata skal behandles lovligt, rimeligt og gennemsigtigt (Behandlingsgrundlag – samtykke/lovgrundlag)
• Behandling skal ske til udtrykkeligt angivne og saglige formål. Behandling til andre formål kan ske, hvis de andre formål er "forenelige" med de oprindelige formål (eller samtykke/lov)
• Persondata skal være relevante, tilstrækkelige og begrænset til det, som er nødvendigt i forhold til det/de saglige formål – 'need to know', ikke 'nice to know'
• Krav om behandling af korrekte og ajourførte persondata
• Persondata må ikke behandles i længere tid end nødvendigt af hensyn til det/de saglige formål, som forfølges med behandlingen
• Krav om datasikkerhed
• Processer/procedurer skal kunne påvises Art. 5, 22, 24, 28 og 30
Databehandler Systemleverandør/behandler af oplysninger på vegne af dataansvarlig
Dataansvarlig ”Ejeren” af data
Compliance Overholdelse af lovgivningen
Governance Styring og overvågning af processer, kontroller og compliance
Notifikationspligt Krav om anmeldelse af sikkerhedsbrud
Oplysningspligt Pligt til at give den registrerede oplysninger om registrerede data mv., Art. 13 og 14
Indsigtsret Ret til at vide hvilke oplysninger der er registreret og hvorfor, Art. 15
Berigtigelse Ret til at rette eller slette urigtige oplysninger
Right to be forgotten Hvilke oplysninger skal slettes og hvornår og hvilke skal gemmes og hvor længe
Ret til dataportabilitet Ret til at tage egne oplysninger med fra virksomheden
Ret til indsigelse Ret til at gøre indsigelse mod registreringen af oplysninger
Automatisk afgørelse Ret til at kende algoritmen
Tredjelande Lande uden for EU/EØS
Codes of conduct Retningslinjer for ansvarlig og god praksis for medarbejdere og organisation
Data breach notification Krav om oplysning af sikkerhedsbrist
Data protection by design Implementering af passende tekniske og organisatoriske foranstaltninger som understøtter databeskyttelse
12
Data protection by default Begrænse mængden, behandlingen, opbevaringen og adgangen til data
PIA Privacy Impact Assessment – konsekvensanalyse med:
• en generel beskrivelse af databehandlingen
• analyse af risici
• foranstaltninger til at afhjælpe risici og
• sikkerhedsforanstaltninger
DPIA Data Protection Impact Assessment – risici- og konsekvensanalyse af de registreredes rettigheder vedr. databeskyttelse DPO Data Protection Officer
Dokumentationspligt Art. 30 – pligt til at føre fortegnelser over behandlingsaktiviteter
13
Fase 1
14
15
16
Fase 2
17
18
19
Fase 3 Fase 4
20
21