Monrad
Lyngby-Taarbæk

Forvaltningens opfølgning på DPO'ens rapport for 2025 (beslutning)

85.10.00-P00-1-26 -

Prompt resultater

Relevans v1

Relevans

Nej

Bilag

First-agenda Sagsfremstilling

Resume

Lyngby-Taarbæk Kommunes DPO (Data Protection Officer) har udarbejdet sin årlige rapport med status på organisationens arbejde med GDPR og informationssikkerhed i 2025, og rapporten blev behandlet på Økonomiudvalgets møde den 19. februar 2026. På baggrund af rapporten samt udviklingen på området generelt, foreslår forvaltningen en række opfølgende aktiviteter. 

Indstilling

Forvaltningen foreslår, at de beskrevne aktiviteter godkendes. 

Problemstilling

I DPO rapporten for 2025 anbefaler kommunens DPO, at forvaltningen i 2026 arbejder med fokus nedenstående otte databeskyttelsesretlige forpligtelser, der menes at udgøre de største risici i organisationen:

  • Bruger- og adgangsstyring, herunder periodisk kontrol
  • Risikovurdering af behandlingsaktiviteter
  • Risikovurdering af systemer
  • Vurdering af risici for den registrerede ved brugen af AI
  • Konsekvensanalyser (DPIA)
  • Tilsyn med databehandlere
  • Procedurer for databeskyttelse samt dokumentation
  • Håndtering af indsigtssager (og aktindsigtssager)

Ud fra ovenstående, anbefaler DPO'en at følgende områder særligt bør prioriteres: 

  • Risikovurderinger
  • Konsekvensanalyser (DPIA)
  • Bruger- og adgangsstyring med periodisk kontrol

Både under risikovurderinger og konsekvensanalyser (DPIA´er) skal der være fokus på særlige risici for den registrerede ved brugen af AI. 

Det seneste år (2025) har forvaltningen særligt haft fokus på netop risikovurderinger og konsekvensanalyser, hvor der er gennemført forskellige arbejdsmøder og workshops med bl.a. undervisning via ekstern advokat. Her har alle fagområder kunne deltage med nøglemedarbejdere, for at sikre, at viden om området og opgaverne blev forankret bredt i organisationen. Samtidig er det blevet prioriteret, at alle centre har kunne sende deres GDPR repræsentant (en medarbejder der sidder med opgaver på området i større eller mindre omfang) afsted på ekstern uddannelse ("Certifikat i Persondataret", som er et 5 dages kursus, med en meget grundig indføring i databeskyttelsesretten og den seneste udvikling). Medarbejderne har deltaget på samme hold på uddannelsen, for samtidig med at få den faglige opkvalificering også at understøtte, at de internt har kunne bruge hinanden til sparring og videndeling. 

Løsninger

På baggrund af DPO'ens anbefalinger - og det generelle arbejde på området - foreslår forvaltningen, at der i 2026 vil blive arbejdet med følgende aktiviteter, som igennem året understøttes af det centrale team, der arbejder med GDPR og Informationssikkerhed:

  • Bruger- og rettighedsstyring: Der vil være fokus på at mindske antallet af de systemer hvor bruger- og rettighedsstyringen håndteres manuelt, samt at få automatiseret så mange manuelle steps som muligt i de generelle bruger- og rettighedsstyringsprocesser.
  • Internt netværk blandt medarbejdere: I det tværgående GDPR-netværk, som centrenes GDPR-repræsentanter deltager i, vil der blive undervist og trænet i hvordan man skal udarbejde risikovurderinger og konsekvensanalyser. Der vil efterfølgende være workshops, hvor de centrale ressourcer på området bistår med den konkrete udarbejdelse af risikovurderinger og konsekvensanalyser.
  • Fokus på AI: Forvaltningen vil sammen med DPO'en holde interne oplæg, der kommer til at have fokus på AI, og som afledt af dette, vil der i oplægget også være fokus på, at man skal sørge for at få tilpasset sine risikovurderinger, så man tager højde for brugen af AI. 
  • Indsigtsretsprocessen: Der vil blive holdt arbejdet videre med at oplære relevant personale (både fra Borgerservice, der modtager henvendelserne om indsigtsret, samt centrenes tovholdere, der arbejder med at afsøge data til borgeren i eget center) ift. at understøtte indsigtsprocessen, samt introducere tilpasninger af den eksisterende arbejdsgang, på baggrund af konkrete input fra de forskellige parter..
  • GDPR uddannelse (fysisk): De centrale ressourcer på området fortsætter med et par gange om året at en intern GDPR-uddannelse der er obligatorisk for nye ledere, men som også andre medarbejdere med opgaver indenfor området kan deltage i.
  • E-learning indenfor GDPR og Cyber- og Informationssikkerhed: Forvaltningen vil implementere nye udgaver af e-learningskurser indenfor GDPR og Cyber- og Informationssikkerhed, der er kortere, mere målrettede, som vil blive skubbet ud til medarbejderne med en højere frekvens, hvormed awareness på området højnes. Ledelsen kan følge medarbejdernes gennemførsel af kurserne.

Derudover fortsætter de lokalt forankrede indsatser igennem året. Her arbejder centrene kontinuerligt med opgaver, der er forankret i deres årshjul, og som er indarbejdet/skal indarbejdes som en del af driften. Det kan fx handle om tilsyn med databehandleraftaler, fortegnelse over behandlingsaktiviteter, oplysningspligten etc. 

 

Strategisk ramme

Rammerne for arbejdet med er databeskyttelsesreglerne som fastlagt i databeskyttelsesforordningen (2016/679 af 27. april 2016), samt de danske vedtagne bestemmelser om samme (Databeskyttelsesloven nr. 502 af 23. maj 2018). Dertil kommer forskellige lovgivning som fx AI Act, NSIS og NIS2, der alle - på forskellig vis - rammesætter arbejdet med digitale identiteter, sikkerhedsniveau for databehandling og brugen af AI. 

Videre proces

Såfremt Økonomiudvalget godkender de foreslåede aktiviteter, vil forvaltningen arbejde videre med dem henover 2026. 

Økonomi

Sagen har ingen bevillingsmæssige konsekvenser, men det bemærkes at arbejdet kræver løbende prioritering af ressourcer på tværs af hele organisationen. 

Beslutningskompetence

Økonomiudvalget beslutter.

Beslutning

Godkendt.

Er du enig eller uenig?

22 items
  • Lydfiler null
  • Ressourcer null
  • Felter 1 items
    1. 6 items
      • Navn ""
      • Html "<div><div id='sagsfremstillingContainer'> <h3>Resume</h3> <span class='resume'><p>Lyngby-Taarbæk Kommunes DPO (Data Protection Officer) har udarbejdet sin årlige rapport med status på organisationens arbejde med GDPR og informationssikkerhed i 2025, og rapporten blev behandlet på Økonomiudvalgets møde den 19. februar 2026. På baggrund af rapporten samt udviklingen på området generelt, foreslår forvaltningen en række opfølgende aktiviteter. </p></span> <h3>Indstilling</h3> <span class='indstilling'><p>Forvaltningen foreslår, at de beskrevne aktiviteter godkendes. </p></span> <h3>Problemstilling</h3> <span class='ukendt'><p>I DPO rapporten for 2025 anbefaler kommunens DPO, at forvaltningen i 2026 arbejder med fokus nedenstående otte databeskyttelsesretlige forpligtelser, der menes at udgøre de største risici i organisationen:</p><ul><li>Bruger- og adgangsstyring, herunder periodisk kontrol</li><li>Risikovurdering af behandlingsaktiviteter</li><li>Risikovurdering af systemer</li><li>Vurdering af risici for den registrerede ved brugen af AI</li><li>Konsekvensanalyser (DPIA)</li><li>Tilsyn med databehandlere</li><li>Procedurer for databeskyttelse samt dokumentation</li><li>Håndtering af indsigtssager (og aktindsigtssager)</li></ul><p>Ud fra ovenstående, anbefaler DPO'en at følgende områder særligt bør prioriteres: </p><ul><li>Risikovurderinger</li><li>Konsekvensanalyser (DPIA)</li><li>Bruger- og adgangsstyring med periodisk kontrol</li></ul><p>Både under risikovurderinger og konsekvensanalyser (DPIA´er) skal der være fokus på særlige risici for den registrerede ved brugen af AI. </p><p>Det seneste år (2025) har forvaltningen særligt haft fokus på netop risikovurderinger og konsekvensanalyser, hvor der er gennemført forskellige arbejdsmøder og workshops med bl.a. undervisning via ekstern advokat. Her har alle fagområder kunne deltage med nøglemedarbejdere, for at sikre, at viden om området og opgaverne blev forankret bredt i organisationen. Samtidig er det blevet prioriteret, at alle centre har kunne sende deres GDPR repræsentant (en medarbejder der sidder med opgaver på området i større eller mindre omfang) afsted på ekstern uddannelse ("Certifikat i Persondataret", som er et 5 dages kursus, med en meget grundig indføring i databeskyttelsesretten og den seneste udvikling). Medarbejderne har deltaget på samme hold på uddannelsen, for samtidig med at få den faglige opkvalificering også at understøtte, at de internt har kunne bruge hinanden til sparring og videndeling. </p></span> <h3>Løsninger</h3> <span class='ukendt'><p>På baggrund af DPO'ens anbefalinger - og det generelle arbejde på området - foreslår forvaltningen, at der i 2026 vil blive arbejdet med følgende aktiviteter, som igennem året understøttes af det centrale team, der arbejder med GDPR og Informationssikkerhed:</p><ul type="disc"><li><strong>Bruger- og rettighedsstyring</strong>: Der vil være fokus på at mindske antallet af de systemer hvor bruger- og rettighedsstyringen håndteres manuelt, samt at få automatiseret så mange manuelle steps som muligt i de generelle bruger- og rettighedsstyringsprocesser.</li><li><strong>Internt netværk blandt medarbejdere</strong>: I det tværgående GDPR-netværk, som centrenes GDPR-repræsentanter deltager i, vil der blive undervist og trænet i hvordan man skal udarbejde risikovurderinger og konsekvensanalyser. Der vil efterfølgende være workshops, hvor de centrale ressourcer på området bistår med den konkrete udarbejdelse af risikovurderinger og konsekvensanalyser.</li><li><strong>Fokus på AI</strong>: Forvaltningen vil sammen med DPO'en holde interne oplæg, der kommer til at have fokus på AI, og som afledt af dette, vil der i oplægget også være fokus på, at man skal sørge for at få tilpasset sine risikovurderinger, så man tager højde for brugen af AI. </li><li><strong>Indsigtsretsprocessen</strong>: Der vil blive holdt arbejdet videre med at oplære relevant personale (både fra Borgerservice, der modtager henvendelserne om indsigtsret, samt centrenes tovholdere, der arbejder med at afsøge data til borgeren i eget center) ift. at understøtte indsigtsprocessen, samt introducere tilpasninger af den eksisterende arbejdsgang, på baggrund af konkrete input fra de forskellige parter..</li><li><strong>GDPR uddannelse (fysisk)</strong>: De centrale ressourcer på området fortsætter med et par gange om året at en intern GDPR-uddannelse der er obligatorisk for nye ledere, men som også andre medarbejdere med opgaver indenfor området kan deltage i.</li><li><strong>E-learning indenfor GDPR og Cyber- og Informationssikkerhed</strong>: Forvaltningen vil implementere nye udgaver af e-learningskurser indenfor GDPR og Cyber- og Informationssikkerhed, der er kortere, mere målrettede, som vil blive skubbet ud til medarbejderne med en højere frekvens, hvormed awareness på området højnes. Ledelsen kan følge medarbejdernes gennemførsel af kurserne.</li></ul><p>Derudover fortsætter de lokalt forankrede indsatser igennem året. Her arbejder centrene kontinuerligt med opgaver, der er forankret i deres årshjul, og som er indarbejdet/skal indarbejdes som en del af driften. Det kan fx handle om tilsyn med databehandleraftaler, fortegnelse over behandlingsaktiviteter, oplysningspligten etc. </p><p><span> </span></p></span> <h3>Strategisk ramme</h3> <span class='ukendt'><p>Rammerne for arbejdet med er databeskyttelsesreglerne som fastlagt i databeskyttelsesforordningen (2016/679 af 27. april 2016), samt de danske vedtagne bestemmelser om samme (Databeskyttelsesloven nr. 502 af 23. maj 2018). Dertil kommer forskellige lovgivning som fx AI Act, NSIS og NIS2, der alle - på forskellig vis - rammesætter arbejdet med digitale identiteter, sikkerhedsniveau for databehandling og brugen af AI. </p></span> <h3>Videre proces</h3> <span class='ukendt'><p>Såfremt Økonomiudvalget godkender de foreslåede aktiviteter, vil forvaltningen arbejde videre med dem henover 2026. </p></span> <h3>Økonomi</h3> <span class='oekonomi'><p>Sagen har ingen bevillingsmæssige konsekvenser, men det bemærkes at arbejdet kræver løbende prioritering af ressourcer på tværs af hele organisationen. </p></span> <h3>Beslutningskompetence</h3> <span><p>Økonomiudvalget beslutter.</p></span> <h3>Beslutning</h3> <span><p>Godkendt.</p></span> </div></div>"
      • Tekst null
      • Id "00000000-0000-0000-0000-000000000000"
      • Link "https://dagsordener.ltk.dk/Vis/Pdf/bilag/bb93f0a6-763b-4164-9297-573f06e7d8e9"
      • DocumentId "bb93f0a6-763b-4164-9297-573f06e7d8e9"
  • Presentations null
  • ItemDecision null
  • SagsNummer "85.10.00-P00-1-26"
  • Navn "Forvaltningens opfølgning på DPO'ens rapport for 2025 (beslutning)"
  • Punktnummer "8"
  • Bilag 0 items
    1. Documents null
    2. Id "5a8ba399-26f7-480f-b8b0-34967040e6e1"
    3. IntegrationUid "00000000-0000-0000-0000-000000000000"
    4. CorporationUid "00000000-0000-0000-0000-000000000000"
    5. AgendaUid "e12a6079-67bc-470f-aac3-d9d9d29a2e44"
    6. Number "8"
    7. Sorting 8
    8. IsOpen true
    9. CaseNumber "85.10.00-P00-1-26"
    10. SourceId "7c9a3a4a-232d-46dc-8d33-630429724e62"
    11. Caption "Forvaltningens opfølgning på DPO'ens rapport for 2025 (beslutning)"
    12. CasePresentationUid null
    13. ExternalAgendaItemAttendees 0 items