Rebild Kommunes Data Protection Officer (DPO) udarbejder en årlig rapport, som forelægges Økonomiudvalget og Byrådet til orientering.
Årets DPO-rapport konkluderer overordnet, at Rebild Kommune overordnet set har et relativt højt modenhedsniveau i forhold til databeskyttelsesrettens krav. Rapporten finder dog fortsat områder, hvor kommunen endnu ikke lever op til et fuldt tilfredsstillende niveau, og her angiver rapporten en række anbefalinger. Disse gennemgås i hovedtræk nedenfor, hvor også forvaltningens bemærkninger hertil er medtaget.
DPO-rapportens anbefalinger
1. Tilsyn med databehandlere og databehandleraftaler
DPO anbefaler skærpet tilsyn med databehandlere og databehandleraftaler. Tilsyn med databehandleraftaler håndteres for en stor del af Det fælleskommunale Databehandlersekretariat, som Rebild kommune tilsluttede sig i 2022. Anbefalingen fra DPO omhandler de databehandleraftaler, hvor der er færre end 20 kommuner, der anvender systemerne, og som kommunen derfor selv skal føre tilsyn med.
Forvaltningens bemærkning: Tilsynsopgaven i forhold til tilsyn med de databehandleraftaler, som Det fælleskommunale Databehandlersekretariat ikke håndterer, er prioriteret til gennemførelse i 2024.
2. Opfølgning på brugerrettigheder og afviste loginforsøg
DPO anbefaler, at arbejdet med at etablere en systematisk og struktureret procedure for jævnlig kontrol af brugeradgange og opfølgning på afviste loginforsøg prioriteres og iværksættes snarest.
Forvaltningens bemærkning: Kontrol af brugeradgange for systemer med decentral brugeradministration er en del af system- og dataejernes (centerchefernes) ansvar. Opgaven er igangsat ved at centrene i efteråret 2023 har modtaget vejledning med henblik på igangsættelse af opgaven. Kontrol af brugeradgange i systemer med central brugeradministration foretages sideløbende hermed. Kontrol af loginforsøg kræver imidlertid en investering i logningssystem og etablering af systematiske procedurer til opfølgning. Investering og implementering heraf gennemføres i 2024.
3. Sletning af personoplysninger
DPO anbefaler, at processen med at udrede slettefrister og etablere procedurer for sletning på hele forvaltningens område fremskyndes, idet det på nuværende tidspunkt ikke vurderes, at Rebild Kommune samlet set overholder databeskyttelsesbestemmelserne om sletning.
Forvaltningens bemærkning: Sletning er et delprojekt under Projekt Datarejsen og som led heri har system- og dataejere i efteråret 2023 modtaget vejledning med henblik på igangsætning af at etablere og dokumentere slettefrister og procedurer for sletning.
4. It- og informationssikkerhedshåndbog
DPO anbefaler, at der snarest iværksættes initiativer til at udarbejde en fyldestgørende IT-sikkerhedshåndbog.
Forvaltningens bemærkning: Arbejdet med udarbejdelse af nye informationssikkerhedsregler/-håndbog har påstået i 2023 og forventes færdiggjort inden udgangen af 2023.
5. Opfølgning på Privacy by Design i it-systemer
DPO anbefaler, at det undersøges, om allerede indkøbte og ibrugtagne systemer er designet og indrettet sådan, at forordningens krav og beskyttelseshensyn varetages som en integreret del i hele behandlingsforløbet. Dette kan ske ved at holde systemet op imod en udarbejdet tjekliste.
Forvaltningens bemærkning: Privacy by Design indgår ved nyanskaffelser. Gennemgangen af allerede indkøbte systemer er en del af Projekt Datarejsen, der gennemføres i 2023. Forventningen er derfor, at anbefalingen imødekommes.
6. Awareness
DPO anbefaler, at den indkøbte e-learning vedr. GDPR og Cybersikkerhed udrulles snarest.
Forvaltningens bemærkning: E-learning vedrørende GDPR og Cybersikkerhed udrulles i centrene via to omgange hhv. i 4. kvartal 2023 og 1. kvartal 2024 jf. beslutning i Strategisk Ledergruppe.
I øvrigt
I Budget 2024 har byrådet besluttet at nedlægge den interne DPO-funktion. Pr. 1. januar 2024 er der således i stedet indgået aftale med advokatfirmaet Bech-Bruun om varetagelse af en ekstern DPO-funktion.