Kommunens databeskyttelsesrådgiveren (DPO) har udarbejdet rapport med henblik på at informere kommunens øverste politiske ledelse om status på Rebild Kommunes implementering og overholdelse af databeskyttelsesreglerne - som fastlagt i EU-Databeskyttelsesforordningen (GDPR), samt i de danske vedtagne bestemmelser. Rapporten afsluttes med databeskyttelsesrådgiverens vurdering af Rebild Kommunes efterlevelse af reglerne, samt DPO's anbefalinger til det fortsatte arbejde.

DPO vurderer, at Rebild Kommune overordnet set har et relativt højt modenhedsniveau i forhold til databeskyttelsesrettens krav. Dog er det også DPO’s vurdering, at der fortsat er områder, hvor der er behov for, at kommunen iværksætter yderligereorganisatoriske foranstaltninger til implementering af nødvendige tiltag og efterlevelse af gældende databeskyttelsesregler. Det er DPO’s vurdering og forventning, at Rebild Kommune med den rette mængde ressourcer og en tilpasset indsats, vil kunne rette op på de nævnte mangler på forsvarlig vis.

På baggrund af rapporten er DPO fremkommet med følgende anbefalinger til Rebild Kommune:

• 1. Tilsyn med databehandlere og databehandleraftaler - DPO anbefaler på det kraftigste, at der snarest iværksættes løbende og regelmæssigt tilsyn med de mindre databehandlere og databehandleraftaler, der ikke omfattes af Databehandlersekretariatets tilsyn. DPO kritiserer, at der ikke konsekvent og struktureret har været ført tilsyn med disse mindre databehandleraftaler siden 2020.
• 2. Opfølgning på brugerrettigheder - DPO anbefaler på det kraftigste, at kommunen retter op på efterslæbet af kontroller af såvel brugerrettigheder som loginforsøg. Arbejdet med at etablere en systematisk og struktureret procedure for fremtidig kontrol af brugeradgange og logning bør ligeledes prioriteres, og iværksættes snarest. DPO kritiserer, at der ikke konsekvent og struktureret er sket opfølgning siden 2020.
• 3. Sletning - DPO anbefaler på det kraftigste, at den allerede iværksatte indsats med at få etableret sagsgange og rutiner, der sikrer, at kommunen lever op til databeskyttelsesreglerne om sletning, fortsat prioriteres meget højt.
• 4. It-sikkerhedshåndbog – DPO anbefaler, at der sker en gennemgang af den eksisterende sikkerhedshåndbog, med henblik på at indarbejde databeskyttelsesreglerne og de nyeste beslutninger om informationssikkerhed. DPO anbefaler, at der snarest iværksættes initiativer til at udarbejde en fyldestgørende it-sikkerhedshåndbog.
• 5. Privacy by Design - DPO anbefaler at der fastsættes en frist for iværksættelse af gennemgang af allerede indkøbte og ibrugtagne systemer.

Forvaltningen har inddraget anbefalingerne fra DPO i planlægningen af det videre arbejde med informationssikkerhed for det kommende år.

Kommunens informationssikkerhedsudvalg har ligeledes behandlet rapporten og har godkendt Forvaltningens redegørelse for, hvorledes der følges op på anbefalingerne.

Forvaltningen oplyser om de enkelte punkter:

Ad.1: Tilsyn med databehandleraftaler håndteres for en stor del af Det Fælles Databehandlersekretariat, som Rebild kommune tilsluttede sig i 2022. DPO's anbefaling omhandler de mindre databehandleraftaler, hvor der er færre end 20 kommuner, der anvender systemerne. Tilsynet med disse er indarbejdet i it-sikkerhedsteamets årsplan for 2023 og forventningen er, at anbefalingen dermed kan imødekommes.

Ad.2: Opfølgning på brugeradgange er igangsat i januar 2023. Kontrol af loginforsøg er ikke muligt generelt, men kræver investering i logningssystemer og etablering af systematiske procedurer til opfølgning.

Der udarbejdes en projektplan for logningssystemer til implementering i 2023 og forventningen er, at anbefalingen hermed kan imødekommes.

Ad.3: Sletning er et delprojekt under "Datarejsen", som med revideret projektplan og øget ledelsesmæssigt fokus er sat til gennemførelse inden udgangen af 2023. Forventningen er derfor, at anbefalingen hermed kan imødekommes.

Ad.4: Arbejdet med revidering af sikkerhedshåndbog er indarbejdet i årsplanen for sikkerhedsteamet. Forventningen er derfor, at anbefalingen hermed kan imødekommes.

Ad.5: Gennemgang af allerede indkøbte systemer er en del af Datarejsen, der gennemføres i 2023. Forventningen er derfor, at anbefalingen hermed kan imødekommes fsva. disse systemer.

Forvaltningen indstiller, at Økonomiudvalget overfor byrådet anbefaler, at rapporten tages til orientering.

Beslutning fra Økonomiudvalget, 22. marts 2023, pkt. 54:

Indstilles taget til efterretning.

Sagen afgøres i: Økonomiudvalget

17. december 2021 trådte ny lov om etablering af en whistleblowerordning i kraft. Loven blev vedtaget 29. juni 2021 og er en gennemførelse af det såkaldte EU-whistleblowerdirektiv.

Formålet med direktivet er at styrke håndhævelsen af EU-retten og politikker inden for specifikke områder, ved at fastsætte minimumsstandarder i EU, der skal sikre et højt beskyttelsesniveau for personer, der indberetter overtrædelser af EU-retten. Anvendelsesområdet gælder inden for flere specifikke EU-retsakter, fx: offentligt udbud, hvidvask af penge og finansiering af terrorisme, produktsikkerhed og forbrugerbeskyttelse, miljøbeskyttelse mv

Loven om beskyttelse af whistleblowere stiller blandt andet krav om, at virksomheder og offentlige myndigheder af en vis størrelse skal etablere en intern whistleblowerordning, herunder fastlægge en politik på området. Rebild kommune har også etableret en ordning, som betjenes via en særlig portal på kommunens hjemmeside. Portalen er udviklet af og faciliteres af Revisionsselskabet BDO.

Ordningens omfang:

En ordning skal som minimum give ansatte mulighed for at indberette forhold om arbejdsrelaterede aktiviteter, hvor der kan være mistanke om lovovertrædelser, men der gives mulighed for at udvide ordningen til andre persongrupper. Der er blandt nordjyske kommuner valgt forskellige modeller for ordningens omfang - et par stykker har valgt en minimumsordning, mens andre har udvidet kredsen af personer, der kan foretage anmeldelse. Ordningen i Rebild kommune omfatter både ansatte, tidligere ansatte, kommende ansatte/jobansøgere, borgere og samarbejdspartnere – herunder leverandører. Dette svarer til ordningens omfang på statens område.

Årlig redegørelse:

Kommunalbestyrelsen har i medfør af whistleblowerlovens § 27 pligt til mindst én gang årligt at offentliggøre oplysninger om kommunens virksomhed efter whistleblowerloven.

Oplysningerne omfatter blandt andet antal indberetninger, status for opfølgning, herunder hvor mange henvendelser,
der er afvist, hvor mange henvendelser, der er realitetsbehandlet og hvor mange henvendelser, der har givet anledning til politianmeldelser.

Whistleblowerlovens særlige tavshedspligt og reglerne om videregivelse skal fortsat iagttages i forbindelse med offentliggørelsen af oplysningerne. Det indebærer, at de overordnede beskrivelser skal udformes på en sådan måde, at det ikke er muligt at identificere whistlebloweren eller den berørte person, og beskrivelsen bør ikke indeholde nærmere oplysninger fra de enkelte indberetninger. De overordnede temaer kan for eksempel være indberetninger om potentielt strafbare forhold, overtrædelser af EU-retsakter, overtrædelser af love og regler udstedt i medfør heraf, tilsidesættelse af forvaltningsretlige principper, seksuel chikane eller anden chikane

Procedure for indberetning og opfølgning:

Der er etableret en indberetningsportal i samarbejde med kommunens eksterne revisionsselskab BDO. Indberetningsportalen skal gennem etablering og drift sikre, at den indberettendes personidentitet forbliver anonym, at fortroligheden for enhver tredjepart nævnt i indberetningen er beskyttet samt at uautoriserede medarbejderes adgang forhindres. Der er ikke pligt til at sikre anonymitet, men dette praktiseres dog her. Dette for at sikre ordningens legitimitet og i forhold til medarbejderne ligeledes af personalepolitiske årsager.

Rebild Kommune har udarbejdet en politik for whistleblowerordningen - vedlagt som bilag 1: Whistleblowerpolitik.

Den enkelte kommune vurderer selv, hvilke medarbejdere, der er kvalificerede, og skal bemande kommunens whistleblowerenhed. Direktører, herunder kommunaldirektøren, kan dog ikke være en del af den interne whistleblowerenhed. Det fremgår af whistleblowerpolitikken i Rebild Kommune, at det er få betroede medarbejdere, der kan se og behandle anmeldelserne. I Rebild Kommune er der tale om 3 personer, der via deres respektive funktioner i organisationen er udpegede til opgaven. Det er dog ikke
en forudsætning, at alle deltager ved behandling af hver enkelt anmeldelse. De udpegede er hhv. centerchef i Fællescenter Sekretariatet, funktionsleder for jura og centerchef i Center Natur og Miljø.

Der gælder efter § 25 i whistleblowerloven en særlig tavshedspligt om identiteten på whistlebloweren og indholdet af indberetningen, herunder identiteten på de personer, der anklages for at have begået lovovertrædelser eller andre alvorlige forhold i forbindelse med den kommunale administration. Det gælder, hvad enten indberetningen angår en ansat, en chef, en direktør, borgmesteren eller et kommunalbestyrelsesmedlem. Overtrædelse af tavshedspligten er særskilt strafsanktioneret i whistleblowerloven og kan straffes med bøde jf. lovens § 30.

De personer, som oplysningerne i whistlebloweranmelderne handler om, vil ikke nødvendigvis opnå kendskab til indholdet af indberetningen, eller at der behandles oplysninger om dem. Det afhænger af, hvordan den konkrete sag kan belyses. Personerne vil aldrig få kendskab til whistleblowerens identitet, medmindre whistlebloweren samtykker hertil.

Når der indsendes en anmeldelse i portalen, modtager de 3 betroede medarbejdere besked i deres arbejdsmail fra Rebild Kommune med meddelelse om, at der foreligger en anmeldelse:

Fra: Rebild Kommune <notifications@globaleaks.org>
Sendt: (her fremgår dato og klokkeslet)
Til: Navn <xxxx@rebild.dk>
Emne: Rebild Kommune - Ny indberetning

Kære (her er anført navn på en af de 3 betroede medarbejdere)

Dette er en e-mail for at orientere dig om, at en whistleblower har valgt dig som modtager af sin indsendelse.

Du skal være særligt opmærksom på oplysninger og materiale, der er indeholdt heri. Vær opmærksom på, at whistleblowere ofte udsætter sig selv for store personlige risici i offentlighedens interesse. Derfor skal det indleverede materiale håndteres som særligt følsomt.

Indberetningen kan tilgås på: (heri er link til den konkrete sag)

Med venlig hilsen

Rebild Kommune

Ved sagens modtagelse, oprettes sag i journalsystem under særlig journalkode. Sagen kan alene tilgås af de 3 særligt betroede medarbejdere.

Anmeldelsen gennemgås, og det vurderes, om den er omfattet af kommunens whistleblower politik.

Anmelderen modtager en kvittering på anmeldelsen, hvori det oplyses om anmeldelsen falder indenfor politikken eller udenfor politikken.

Kommunaldirektøren underrettes om sagens modtagelse samt tema. Det følger af whistleblowerloven, at kommunens whistleblowerenhed skal sikre, at der følges omhyggeligt op på en indberetning til whistleblowerenheden. I den forbindelse er det KL’s vurdering, at det ofte vil være relevant, at den interne whistleblowerenhed før den iværksætter en undersøgelse af en indberetning, der angår en alvorlig lovovertrædelse eller et andet alvorligt forhold, forhører sig hos kommunaldirektøren (medmindre denne selv vil være genstand for undersøgelse) om, hvorvidt forholdet allerede er undersøgt/er i færd med at blive undersøgt, således at whistleblowerenheden ikke iværksætter undersøgelser af forhold, som kommunen allerede har undersøgt.

Det er i den forbindelse vigtigt at være opmærksom på, at indholdet af en indberetning med undtagelse af oplysninger om whistleblowerens identitet og oplysninger, som kan afsløre identiteten, som følge af den særlige tavshedspligt må videregives, når det er nødvendigt for at følge op på indberetningen. Det er KL’s vurdering, at denne indledende konsultation af kommunaldirektøren er en sådan nødvendig videregivelse.

De personer, som oplysninger fra indberetningen videregives til, bliver selv undergivet den særlige tavshedspligt.

Status på antal indberetninger

Siden ordningens etablering i december 2021 og frem til 31. januar 2023, er der indkommet 5 sager: 3 testsager samt 2 konkret henvendelse vedr. forhold i et driftsområde:

Sag 1 vedr. generel chikane: Er afsluttet uden behandling, idet den ikke faldt indenfor whistleblowerordningens politik. Anmelder er tilbudt at henvendelsen kan behandles i rette forvaltningsspor, men ligeledes oplyst om, at dette kræver samtykke fra anmelder.

Sag 2 vedr. overtrædelse af love og regler: Er modtaget og pt. under behandling.

Der er ikke indgivet politianmeldelse i nogle af sagerne.

Evaluering

Det indkøbte system til håndtering af anmeldelser er velfungerende og brugervenligt. Henset til de meget få antal henvendelser, der indtil nu har været, er der fortsat overvejelser omkring den praktiske håndtering af indkomne henvendelser, men det er opfattelsen, at systemet som det er opbygget nu, er både driftssikkert og stabilt.

Som bilag til sagen er foruden bilag 1 Rebild kommunes whistleblowerpolitik, vedlagt bilag 2 KL's evalueringsnotat vedr. ordningen, fremlagt for KL98 samt bilag 3 Byrådets protokol fra 18. november 2022, hvor whistleblowerordningen blev godkendt.

Forvaltningen indstiller, at Økonomiudvalget overfor Byrådet tager orienteringen til efterretning.

Beslutning fra Økonomiudvalget, 22. marts 2023, pkt. 50:

Indstilles taget til efterretning.

Økonomiudvalget, Byrådet