Personvernløype for kommuner som samarbeider om personvern

Oppdatert: feb. 13

Mange kommuner velger å samarbeide om personvern. Her er noen tips på hvordan dere kan få gevinster som følge av samarbeidet. Innspillene her er basert på erfaring vi har fra andre kommuner som søker å gjøre ting sammen, samt på erfaringen vi har fra personvernombud som følger opp flere kommuner via Sureway personvernløsning. Innspillene er laget som en «løype», men dere kan selvsagt velge en annen rekkefølge. Innspillet her er laget ut ifra at dere bruker en teknisk personvernløsning, i dette tilfellet Sureway. Vi ser uansett at dere har mye å hente på å samarbeide og håper vi har beskrevet mulighetene på en forståelig måte i dette dokumentet.

1. TEAM OG FORSTÅELSE AV PERSONVERN

Det er selvsagt nødvendig å ha en gruppe med deltakere fra hver kommune. Vi har ikke noen synspunkt på hvem som bør delta i denne fra hver kommune, men det kan være en fordel om gruppen tilsammen har deltakelse fra PVO, IT-avdelinger og HR.

Vår erfaring er at en ofte ser på personvern som en intern sak der fokuset settes på sikring av personopplysningene, noe som igjen fører til at en bare har fokus på pliktene i lovgivningen. Vi vil også fremheve at personvern er rettigheter som kunder, borgere og ansatte har, og at det er viktig å tenke på denne måten i utarbeidelse, og ikke minst for driften av personvernet. Dere skal bygge tillit til borgere og ansatte slik at dere kan bruke opplysningene til beste for borgerne og på en måte som gjør at tjenestene dere levere kan leveres smidig og rett.


2. BEHANDLINGER

Kort sagt kan en si at en behandling er tjeneste eller oppgave som utføres, eksempelvis innmelding av elever på skolen, levering av hjemmetjeneste eller betaling av lønn. Behandlingene kan deles opp i to, de som utføres for borgere/kunder og de som utføres overfor ansatte. På websidene til kommunene er ofte de aller fleste tjenestene nevnt, eksempelvis på www.tromso.kommune.no. Ut fra tjenestene kan dere bygge en oversikt over behandlingene. I tillegg kan det være noen behandlinger inne i de andre behandlingene som kanskje må ses på særskilt. Eksempler på dette er bruk av ny velferdsteknologi og kameraovervåkning. Disse bør det kanskje også gjennomføres DPIA for. I Sureway har vi en liste over de vanligste behandlingene, oppdelt etter typer, så som for landbruk, brann, barn og unge, omsorg etc. Hør gjerne med oss om denne. I et samarbeid bør dere utarbeide ÉN liste over behandlinger – så kan den enkelte kommune velge bort de som er uaktuelle, om tjenestene ikke leveres.


3. PROTOKOLLER

For hver behandling skal det utarbeides en protokoll, og i denne skal det være med mange forholdsvis detaljerte opplysninger. Protokollene er kjernen/hjertet i personvernet da det er her dere sier hvilke opplysninger dere behandler og hvor dere behandler dem (deler med, sletteregler, lagringssted etc.).

Opplysningene i protokollene vil være nokså identiske fra kommune til kommune. Dere behandler de samme opplysningene, deler med samme eksterne virksomhetene (NAV, PPT etc.), formålet er likt og behandlingsgrunnlaget det samme for alle. Ulikhetene er at dere bruker ulike systemer og at opplysningene lagres på ulike steder. Vi ser også at lagringstiden kan være noe ulik, men den burde egentlig være nokså lik mellom to nabokommuner.


Rådet er derfor selvsagt at kommuner som samarbeider fordeler og utarbeider noen protokoller hver for å få dekt opp alle. Så kan dere kvalitetssikre på tvers. Hvis de samarbeidende kommunene bruker Sureway, kan alle protokollene utarbeides/legges inn i løsningen, med tilgang for alle i samarbeidsprosjektet, på en og samme konto. Protokoller som er utarbeidet i Excel kan også lastes opp. Protokollene kan fra denne kontoen publiseres internt overfor avdelinger i kommunene for kvalitetssikring (på samme måte som personvernerklæringer i Sureway publiseres). Avdelingene gir tilbakemelding til sin kontaktperson i samarbeidsgruppen, som igjen korrigerer «sine» protokoller.


Når alt er kvalitetssikret kopieres samarbeidskontoen til en konto hver kommune.

Fordelen med Sureway er at dere kan bruke løsningen som et samarbeidsverktøy. I Sureway så er opplysningene i protokollene strukturerte data som automatisk kan gjenbrukes i personvernerklæringer, innsyn, instrukser, e-læring etc. Mer om dette nedenfor.


4. PERSONVERNERKLÆRINGER

I Sureway fungerer det sånn at det automatisk produseres en personvernerklæring per behandling, som kan publiseres på kommunens webside via Sureway. I tillegg kan dere legge inn en generell (overordnet) erklæring. I samarbeidet kan dere sammen utarbeide den generelle erklæringen på samarbeidskontoen, og eventuelt tilpasse den til lokale forhold på egne kontoer. Dette bør være grei oppgave for samarbeidsprosjektet, særlig når det meste utføres automatisk via løsningen.


På denne måten gjør også dere kommunen(e) transparent angående deres bruk av personopplysninger. Borgere kan finne fram til aktuelle behandlinger/tjenester og se i detalj hvordan opplysningene behandles. På mange måter er dette også en måte å levere en del av innsynet på, dere informerer jo i detalj, hvorfor skal det være så aktuelt å få innsyn i alt? Det vil nok oppleves som riktig at dere har et likt konsept for personvernerklæringer sett fra borgernes side.


5. INFORMASJON/INSTRUKSER FOR ANSATTE

Det er ikke mulig å involvere alle ansatte i utarbeidelse av personvernsystemet. Det er derfor nødvendig å informere om hvordan det hele fungerer. Å utarbeide instrukser og regler kan være tidkrevende. Dog vil de fleste reglene være like for alle kommuner, så det er mye å hente på å samarbeide om dette.


I Sureway automatiseres instrukser for ansatte for alle behandlingene – som igjen kan publiseres til alle ansatte i hver kommune via Sureway. Dere kan også ta ut disse instruksene og legge dem inn i annet kvalitetssystem dere bruker.


I tillegg til instruksene vil det også være behov for å utarbeide en del interne regler for behandling av opplysninger, så som bruk av hjemme-PC, tilgangskontroll, bruk av minnepenner etc. Til sammen blir dette til en personvernhåndbok. Dere bør gå sammen om å utarbeide denne. Vi er helt sikre på at dere til sammen allerede har det innholdet som det er behov for – det handler mer om å samkjøre og tilpasse. I Sureway har vi en mal til en personvernhåndbok som våre kunder får tilgang på. Vi har forsøkt å lage denne så lettfattelig som mulig for å gjøre det mest mulig tilgjengelig for alle i kommunen. Kanskje kan denne brukes som mal for deres personvernhåndbok?


6. E-LÆRING

E-læring er en treffsikker metode for å sikre at ansatte følger reglene. I Sureway produseres det derfor automatisk et mikro e-læringskurs per behandling, oppdelt etter brannvern, landbruk, barn og unge, omsorg mv. Kursene gjøres tilgjengelig for ansatte. Her må de lese og svare på spørsmål før de kan gå videre. Kommunen får en oversikt over hvem som har utført hva, kan legge inn automatisk purring etc.


I tillegg er det i e-læringsløsningen mulig å lage kurs helt på egenhånd, enkelt er det også. Eksempelvis kan en lage kurs i beredskap, HMS, ansettelser etc. Og så kan dere gi ansatte tilgang. Kanskje kan dere samarbeide om disse kursene slik at dere ikke utarbeider alt på egenhånd?


7. SIKKERHET

Kommuner har ofte like sikkerhetsløsninger og konsepter, og mange av systemene som benyttes er det samme. Personvernreglene krever at dere sjekker ut om dere har innført tilfredsstillende tekniske og organisatoriske tiltak. Hva som er tilfredsstillende er egentlig opp til dere, men det finnes noen minimumskrav som dere bør forholde dere til.


I praksis betyr dette at hver kommune må vurdere sikkerheten for både behandlinger og systemer, noe som er e utfordrende jobb. Her kan dere spare en masse om dere kan gjøre dette sammen, eller at enkeltkommuner gjør vurderinger på vegne av alle kommunene som samarbeider.

Alle disse vurderingene kan gjøres i Sureway, og hvis en risikovurdering gjøres i en kommune, kan denne skrive inn at dette også omfatter flere kommuner – og deretter dele vurderingen med de andre kommunene via Sureway.


8. DATABEHANDLERAVTALER

Et anslag er at kommuner som samarbeider har minst 50% samme type programvarer, la oss si at dette antallet er 40 systemer. Databehandleravtalen skal speile deres krav til sikkerhet og tilgjengelighet. Dere må derfor enten utarbeide avtaler selv som systemeierne må signere, eller så må dere sørge for at avtaler utarbeidet av systemeierne har med deres krav. I praksis vil dette bety at dere vil bruke 10 timer+ per avtale. Hvis dere gjør dette per kommune vil tidsbruken være 400 timer per kommune, til sammen 2400 timer. Hvis dere samarbeider og fordeler de 40 avtalene på 6 kommuner vil det brukes 60 – 70 timer per kommune. Så et samarbeid er svært nyttig mht. databehandleravtaler.


En måte å gjøre dette på er å utarbeide en mal for databehandleravtaler som inkluderer det som de samarbeidende kommunene mener er viktig. Så gjør man en felles henvendelse til systemeieren for å få avtalen signert for alle kommunene. Alternativt kan en ha en kravliste som skal inngå i en avtalemal utarbeidet av systemeier. For noen systemeiere (f.eks. Microsoft) vil dere ikke klare å få egne eller tilpassede avtaler. Hvis dere bruker Sureway kan alle avtalene lastes opp i løsningen for kvalitetssikring og deretter fordeles på alle kommunene.


Vi nevner også at vi i Sureway skal i gang med et prosjekt for databehandleravtaler på vegne av mange kommuner der vi bruker samme oppskrift som i det første avsnittet. Vi ser for oss at vi kan få mange kommuner med på dette prosjektet, noe som gir kundemakt nok til å få systemeiere til å gå for en mal utarbeidet av kommunene.


9. DPIA

Det vil være de samme behandlingene som det skal utføres DPIA for de aller fleste kommunene. Dere bør derfor gå sammen om å utarbeide DPIA for kameraovervåkning, velferdsteknologi mv. Kanskje kan DPIA gjennomføres med en tverrfaglig gruppe med deltakere fra alle kommunene. Dere kan utføre DPIA i Sureway, på samarbeidskontoen, og deretter sende vurderingen/rapporten til de andre kommunenes konto.


10. HÅNDTERING AV RETTIGHETER

Alle kommuner skal legge til rette for at borgere får bruke sine rettigheter. Og måten dette legges til rette på bør kanskje være likt, sånn at det ikke oppleves at en kommune legger bedre/dårligere til rette enn nabokommunen. Hvis dere bruker Sureway kan dere alle bruke innsynsportalen (rettighetsportalen) som konsept, basert på jobben dere har utført til sammen med protokollene. Dere kan kanskje også lære av hverandre hvordan dere løser innsynssaker som kommer inn.


KONKLUSJONER

Dere har svært mye å vinne på å samarbeide om personvern, siden kravene er like og opplysningene og behandlingene er de samme. Dere vil spare ressurser da dere vil kunne fordele arbeid og dere vil få bedre kvalitet siden dere kan kvalitetssikre hverandres arbeid. Det vil oppleves som riktig fra borgernes side om det er likt personvern blant nabokommuner. Om dere bruker en felles teknisk løsning som Sureway vil arbeidet forenkles og dere vil ha en løsning som er enklere å drifte.


--


Ta gjerne kontakt for en presentasjon eller diskusjon på web, eventuelt kan vi komme til et fellesmøte dere har der dere holder til.

Kjetil Odin Johnsen

Sureway AS

Tel: 95216433

kjetil@whatif.as

www.sureway.no

0 visninger

Sureway/Whatif 20202

Kontakt oss
  • Black Facebook Icon