Tre lyckade utbildningsdagar om EUs nya dataskyddsförordning

Förra veckan hölls de två sista utbildningsdagarna i VästKoms utbildningspaket kring den nya dataskyddsförordningen som den 25 maj 2018 ersätter den svenska personuppgiftslagen. Den nya förordningen innebär ett stort antal förändringar som stärker individens rättigheter och innebär ett utökat ansvar för kommunerna samt personuppgiftsombuden, som ersätts av dataskyddsombud.

För att höja förståelsen och kompetensen för hur den nya förordningen kommer påverka kommunerna har VästKom arrangerat tre utbildningsdagar på temat. Den första utbildningsdagen hölls i juni och gav en övergripande bild av EU-förordningen där exempelvis datainspektionens roll i granskning av förordningen beskrevs, även informationssäkerhet utifrån nya krav i förordningen och NIS-direktivet samt bakgrund och exempel på nyheter som kommunerna behöver ha koll på.

Dataskyddsombudets roll och ansvar

Den andra utbildningsdagen med målgrupp personuppgiftsombud och jurister hölls den 6 september. Agnes Hammarstrand, IT-advokat och delägare på Advokatfirman Delphi, erfaren föreläsare och expert på juridik inom IT, behandlade bland annat personuppgiftsombudets roll och ansvar idag jämfört med dataskyddsombudets imorgon, vad konkret blir skillnaderna för kommunerna och hur behöver vi förbereda oss och arbeta praktiskt med frågorna redan nu. Kolla gärna in datainspektionens checklista Länk till annan webbplats. som tar upp 13 frågor som ni som behandlar personuppgifter bör ta ställning till redan nu för att förbereda inför införandet i mitten av 2018.

Tekniska och verksamhetsmässiga åtgärder och möjligheter

När den tredje och sista dagen i VästKoms utbildningssvit hölls förra veckan var målgruppen IT-chefer, IT-strateger, IT-arkitekter, systemägare samt verksamhetschefer. Ämnet för dagen cirkulerade kring hur dataskyddsförordningen påverkar IT-arkitekturen i en Svensk kommun, och arbetar vi verkligen metodiskt med IT-säkerhet?

- Varför händer inget, eller mer, på informationssäkerhetsområdet, frågade sig Thomas Nilsson från informations- och IT-säkerhetsföretaget Certezza, när han tog plats på scen för att bland annat dela med sig av sina erfarenheter från arbetet med att sjösätta Huddinge kommuns E-tjänstelegitimationer, de första i landet att bli godkända som svensk e-legitimation.

Thomas riktade också strålkastarljuset mot metodiskt arbete med IT-säkerhet. Teknikens framfart bär med sig en enorm förändringsfaktor och ger nya användarmönster och förändrade beteenden. Den yngre generationen bryr sig mer om och har insikt kring vad som sker med information, medan det offentliga Sverige halkar efter. Mycket i den nya dataskyddsförordningen handlar om organisatoriskt arbete, något som Thomas Nilsson likt föreläsarna Peter Olsson och Mats Jensen från Karlstads kommun pekade på.

Sju steg till framgång från Karlstads kommun

I Värmland har de ett framgångsrikt samordnat arbete mellan samtliga kommuner och landstinget kring personuppgiftshantering med fokus på identitet och åtkomst. Peter och Mats från Karlstads kommun gav råd på vägen inför den nya förordningens tillträde, här är deras sju steg till framgång.

1. Utse ett dataskyddsombud. Personen ska rapportera direkt till ledningen och får inte ha några konkurrerande arbetsuppgifter.
   
2. Inventera alla era behandlingar av personuppgifter och upprätta så kallade registerbeskrivningar.
   
3. Utvärdering och analys av nuläge kontra börläge.
   
4. Ta fram nya policys, riktlinjer och rutinbeskrivningar.
   
5. Informationsmaterial och metoder för samtyckeshantering måste etableras.
   
6. Utbilda beslutsfattare och all personal som hanterar personuppgifter.
   
7. Se över alla leverantörsavtal.

Ge invånarna mer insyn

Vidare gavs information om verktyg och arkitektur för personuppgiftshantering av David Ahlén och Lars Nikamo från mjukvaruföretaget Micro Focus. De pekade bland annat på att vi bör börja med arbetet på flera fronter för att hinna med och komma framåt samt inte arbeta sekventiellt då mycket arbete faktiskt kan ske parallellt.
En inspirerande föreläsning stod Tobias Pulls, postdoktor på Datavetenskap på Karlstads universitet, för. Tobias forskar kring personlig integritet, datasäkerhet samt mänskliga rättigheter och har bland annat utvecklat integritetsvänlig teknik i det europeiska forskningsprojektet A4Cloud (a4cloud.eu Länk till annan webbplats.).

- En ansvarsfull organisation är tydlig med vad den gör med personuppgifter, den har koll på vad den gör, den loggar men den läser också loggarna. Den noterar skillnader mellan vad som borde ske och vad som faktiskt sker, rättar till och rättfärdigar alla handlingar den tar, säger Tobias Pulls.

I forskningsprojektet A4Cloud har de fått tackla många av de krav kring dataskydd som finns i dataskyddsförordningen, bland annat utvecklades verktyg för att ge användare av molntjänster bättre insyn i hur deras personuppgifter används.

- A och O är att bilda sig en uppfattning om vad för personuppgifter ni har i exempelvis en kommun och vad gör ni med dem. Men även förståelse för datalagring i molntjänster är viktigt, vad sker med informationen, lagras den i Sverige, Europa eller någon annan stans i världen. Min magkänsla är att den förståelsen inte är bra, svarar Tobias Pulls på frågan om vad kommunerna redan nu kan börja arbeta med inför förordningens tillträde 2018.