Kommunal samhandlingsplattform for personvern
Norske kommuner skal levere et mangfold av tjenester til sine innbyggere. Tjenestene skal leveres effektivt og korrekt og i henhold til gjeldende lover og regler. Iconfirm forenkler og effektiviserer personvernarbeidet med sin plattform for digital samhandling.
KiNS webinar 25. oktober 2021
Personvern - en kommunal suksesshistorie fra Sandefjord
Emner i videoen
- 00:00 - Introduksjon ved KiNS Harald Torbjørnsen, Daglig leder KiNS
- 08:16 - Kommuneforlaget AS, Skjematisk illustrasjon over kompleksiteten i verdikjeden, Haakon Meland Eriksen
- 28:55 - Bakgrunn og valg av tilnærming, Sandefjord kommune, Sondre Andersen
- 40:20 - Organisering og involvering av systemansvarlige, Sandefjord kommune, Sondre Andersen
- 44:20 - Systemoversikt i Iconfirm, Sandefjord kommune, Sondre Andersen
- 46:45 - Gjennomgang av protokoll for enkeltsystem, Sandefjord kommune, Sondre Andersen
- 55:55 - Legge til nytt system – markedsplass under utvikling, Gjenbruk av Sandefjord systemregister, Sandefjord kommune, Sondre Andersen
- 1:01:30 - Automatisk fletting til databehandleravtalemal, Sandefjord kommune, Sondre Andersen
- 1:04:50 - Automasjon ved anskaffelse – demonstrasjon, Sandefjord kommune, Sondre Andersen
- 1:14:08 - Kommuneadvokatens perspektiv, Sandefjord kommune, Marie E S Reiten
- 1:25:30 - Spørsmål og svar, Sandefjord kommune, Marie E S Reiten
- 1:33:28 - Sikkerhetsbrudd, Sandefjord kommune, Sondre Andersen
- 1:39:10 - Spørsmål og svar, Sandefjord kommune, Sondre Andersen
- 1:42:30 - Introduksjon av ressursbank under utvikling, Harald Torbjørnsen, Daglig leder KiNS
Kommunenes utfordringer ved behandling av personopplysninger
Behandling av personopplysninger
Mange av tjenestene innebærer behandling av personopplysninger, og er derfor omfattet av personopplysningsloven/GDPR.
Dette stiller betydelige krav til behandlingen av personopplysninger og til dokumentasjon av at kravene etterleves.
Ofte vil tjenestene dessuten kunne berøre sårbare grupper eller enkeltpersoner, og da stilles det særskilte krav til personvernet
Stort antall systemer og leverandører
Kommunene bruker ofte et stort antall systemer og leverandører for å levere tjenestene. Samtidig pågår det en forrykende teknologi- og tjenesteutvikling, og «smart» teknologi tas i bruk innenfor stadig flere tjenesteområder.
For kommunene er dette en stor utfordring. Risikoen for brudd på personvernreglene øker i takt med antall systemer og leverandører.
Risikoen øker også dersom ny teknologi tas i bruk uten tilstrekkelig vurdering av personvernkonsekvensene.
Ineffektivt dobbeltarbeid
Mange kommuner bruker de samme fagsystemene. Dette innebærer at kommunene må holde oversikt over, og følge opp, de samme leverandørene, samtidig som at disse leverandørene må svare opp og levere mer eller mindre samme dokumentasjon til alle kommunene.
Dette kan være komplisert og veldig arbeidskrevende. Dagens praksis medfører en betydelig mengde ineffektivt dobbeltarbeid for både kommuner og leverandører.
Begrenset kapasitet
I en hektisk hverdag opplever mange at det er vanskelig å prioritere personvernarbeidet. Det er begrenset kapasitet og personvern kan være komplekst.
Samtidig varierer personvernkompetansen, både i kommuner og hos deres leverandører. I tillegg er ofte personvernarbeidet sentralisert, og ikke plassert der den faktiske behandlingen av personopplysninger foregår eller der teknologien utvikles.
Krevende å sikre god styring
En konsekvens av alt dette er at arbeidet med å sikre innbyggernes personvern blir fragmentert og ofte lite konsistent.
I tillegg blir det vanskelig å sikre at påkrevet dokumentasjon, som for eksempel databehandleravtaler, behandlingsprotokoller eller sikkerhetsdokumentasjon, finnes, er oppdatert og reflekterer den faktiske situasjonen.
Dette gjør det krevende å sikre god styring («governance») og medfører økt risiko for brudd på personvernet («compliance»).
Sandefjord kommune
Kommunal samhandling i praksis
Iconfirm gjør det enklere for Sandefjord kommune å etterleve personvernreglene og å ha oversikt og kontroll. I tillegg er Iconfirm et godt verktøy for intern dokumentasjon der de enkelte etater vil få et effektivt administrativt verktøy i hverdagen ved at all nødvendig informasjon som er lovpålagt for arkiv er samlet på samme sted.
Iconfirm dekker både kommunenes GDPR-behov og arkivområdets lovpålagte plikter.
I stedet for to forskjellige registre, er nå systemregisteret i Iconfirm navet i kommunens personvernarbeidet som de kan jobbe videre ut fra.
Iconfirm har sørget for at vi har en robust løsning som dekker våre behov innenfor GDPR, IKT og arkiv.
Sondre Andersen, IT-sjef og leder for smartby Sandefjord kommune
Løsningen er digital samhandling for bedre personvern
Felles systemregister
Iconfirms GDPR verktøy for digital samhandling tar utgangspunkt i et felles systemregister med relevant strukturert data, hvor systeminformasjon kan vedlikeholdes av systemleverandørene mens informasjon om hvordan systemene blir brukt, vedlikeholdes av kommunene.
Systemet er til rettelagt slik at informasjonen kan «fores» fra de som sitter tettest på kunnskapen og som har operativt ansvar. Desentralt vedlikehold sparer tid for dem som jobber sentralt, samtidig som det sikrer at informasjon er korrekt, konsistent og tidsmessig.
Bedre samhandling med kommunens innbyggere
I tillegg til et robust grunnlag for å oppfylle lovgivningens krav til dokumentasjon og oppgaver som er pålagt begge parter, som f.eks. behandlingsprotokoll, etablering og oppfølging av databehandleravtaler og oppfølging ved brudd, sikrer plattformen også effektiv bistand i oppfyllelse av de registrertes rettigheter, som krav til innsyn, sletting etc.
Dermed blir også samhandlingen med kommunens innbyggere mer konsistent og effektiv.
Effektivitet, presisjon og store besparelser
Til sammen medfører Iconfirms samhandlingsplattform en løsning for kommunikasjon, deling av informasjon og integrasjon, som vil gi kommunene og leverandørene økt effektivitet, større presisjon og store besparelser i sitt arbeid knyttet til personvern.
Grunnstrukturen i løsningen ivaretar perspektivet til både kommunene (som Behandlingsansvarlige), systemleverandørene (som Databehandlere) og innbyggerne (som de Registrerte).
Løsningen er allerede tilgjengelig og i drift, så dette gir gode mulighet for raske og synlige gevinster for alle parter. Samtidig er løsningen godt tilrettelagt for stegvis tilnærming.
Både kommunene og leverandørene har mulighet til å realisere gevinst uavhengig av om «motparten» også er kunde av Iconfirm. Størst effekt oppnås selvsagt om begge parter er kunder.
Innbyggerperspektivet
Bygger tillit
Godt personvern i en kompleks hverdag handler nettopp om å ivareta innbyggerperspektivet i vurderingene om hvordan data behandles.
Enkeltpersoners rettigheter er en sentral del av regelverket, og innbyggerne har økende bevissthet og interesse samt en forventning om åpenhet og tilgang til egne opplysninger.
Det er også viktig å huske at det som er uproblematisk for en person kan være voldsomt inngripende for en annen.
Kommuner og leverandører som håndterer dette effektivt og korrekt, bygger tillit.
Iconfirm er medlem av KiNS
Formålet med KiNS, Foreningen Kommunal Informasjonssikkerhet, er å bidra til økt informasjonssikkerhet i kommuner og fylkeskommuner. Iconfirm er et aktivt bedriftsmedlem i KiNS.
Nøkkelfordeler med Iconfirm kommunal samhandlingsplattform
Samhandling om systemoversikt
- Sikre god ressursutnyttelse og fjerning av dobbeltarbeid med god kompetanseoverføring mellom kommunene.
- Sikre at teknologi er kvalitetssikret før det tas i bruk. Kommuner vil kunne sjekke eksisterende dokumentasjon og vurderinger, evt bistå i arbeidet med å kvalitetssikre om ny teknologi skal introduseres.
- Strukturert informasjon gir mulighet for analyser og god oversikt samt konsistent gjenbruk av data i behandlingsprotokoll, databehandleravtaler og internkontroll.
- Når en innbygger velger å utøve sine rettigheter, vil dette kunne involvere en rekke systemer og leverandører. Systemoversikten spiller en nøkkelrolle i å lede slike forespørsler til riktig sted og tid.
- Automatisk utfylling av databehandleravtaler basert enten på malen fra Digitaliserings-direktoratet eller den danske standarden som er forankret i det Europeiske personvernrådet og anbefalt av Datatilsynet.
Tilleggsfunksjoner
- Effektiv varsling ved databrudd/ avvikshåndtering
- Effektiv prosess-støtte for håndtering av de registrertes rettigheter. Mulighet for varsling, utveksling av filer og data, oppgaver og meldinger samt loggføring av aktiviteter og rettidig gjennomføring.
- Mulighet for systemintegrasjoner for integritet, konfidensialitet og automasjon i databehandling.
- Praktisk løsning for pseudonymisering og splittet behandling for å møte kravene til supplerende tiltak for overføring av opplysninger ut av EU/EØS
- Godt støttesystem for internkontroll
- DPIA screening, evt deling av disse.
- Rutiner for revisjonssykler og varsler ved oppdatering av informasjon
- Loggførsel over alle aktiviteter.
- God tilgangskontroll og sikkerhet hvor brukere i Iconfirm er sterkt autentisert.
- Innhenting av samtykker inkl håndtering av foresatte med mulighet for synkronisering på tvers av systemer.
- Mulighet for god samhandling/ innbyggerdialog gjennom PersonvernPortalen.