Lyngby-Taarbæk

DPO-rapport 2025 (Orientering)

85.10.00-G01-38-25 -

Prompt resultater

Relevans v1

Relevans

Nej

Bilag

First-agenda Sagsfremstilling

Resume

DPO´ens årsrapport for 2025 er udarbejdet for at dokumentere status for organisationens overholdelse af databeskyttelsesreglerne som fastlagt i databeskyttelsesforordningen (2016/679 af 27. april) og de danske vedtagne bestemmelser om samme (Databeskyttelsesloven nr. 502 af 23. maj 2018).

Indstilling

DPO´en orienterer om status på organisationens arbejde med GDPR i 2025

Problemstilling

I henhold til GDPR er det et krav, at offentlige myndigheder udpeger en DPO (Data Protection Officer). Organisationen har derfor siden 2018 haft en DPO, der rapporterer til Kommunalbestyrelsen. En af DPO´ens opgaver er at overvåge organisationens overholdelse af GDPR. 

Den årlige rapport er udarbejdet af DPO´en. Rapporten viser indledningsvis et tilbageblik på de største databeskyttelsesretlige begivenheder for året 2025 - både internt i organisationen, men også fra Datatilsynet og fra EU-institutionerne, som spiller en stor rolle på databeskyttelsesområdet. 

Rapporten oplister hvilke udvalgte områder og emner, som har været genstand for DPO´ens tilsyn med kommunens overholdelse af GDPR i 2025. 

Endvidere viser rapporten et overblik over udviklingen for databrud i kommunen siden forordningen fik virkning tilbage i 2018, samt en status på sagen, som tilbage i efteråret 2024 udmøntede sig i en bødeindstilling til kommunen. 

Rapporten indeholder endvidere en gennemgang af udvalgte områder og problemstillinger, der er arbejdet med i 2025 og hvilke tiltag og anbefalinger til organisationens videre arbejde med databeskyttelse. 

Rapporten skal bidrage til, at Kommunalbestyrelsen kan fokusere og prioritere arbejdet med databeskyttelse. Ved at udarbejde rapporten på årlig basis sikres det, at organisationen har et samlet overblik over niveauet, herunder hvor, og hvordan, organisationen skal foretage forbedringer og implementere nye eller anderledes tiltag, som kan sikre bedre overholdelse af de databeskyttelsesretlige regler. 

På baggrund af DPO´ens rapport for 2024 har organisationen arbejdet struktureret og systematisk med GDPR, og der er skabt bedre overblik over opgaverne, ligesom der er arbejdet med disse.

Overblikket over opgaver, arbejdet med disse samt overgang til nyt understøttende it-system (OS2-compliance) danner et godt fundament for det videre arbejde. 

Trods det gode arbejde, nåede organisationen ikke at arbejde med alle anbefalinger og områder i 2025, og det nuværende niveau efterlader derfor fortsat organisationen med en risiko for kritik og bøder. Der bør derfor arbejdes videre med at sikre et højere niveau for databeskyttelse i organisationen. Anbefalingerne i DPO-rapporten for 2025 ligner derfor i overvejende grad anbefalingerne for DPO- rapporten for 2024 dog med den forskel, at ønsket om og brugen af AI-værktøjer har en afsmittende effekt på arbejdet med databeskyttelse i flere henseender og derfor bør i organisationen tænkes ind og prioriteres som fokuspunkt i det nye år. 

DPO´ens rapport for 2025 vedlægges som bilag. 

Løsninger

På baggrund af DPO´ens løbende rådgivning og kendskabet til organisationen, er det DPO´ens vurdering, at nedenstående otte databeskyttelsesretlige forpligtelser, udgør de største risici i organisationen, og det er DPO´ens anbefaling, at der i 2025 afsættes dedikerede ressourcer i alle centre til at arbejde videre med disse (angivet i ikke-prioriteret rækkefølge) for at opnå et højere niveau for databeskyttelse: 

  • Bruger- og adgangsstyring, herunder periodisk kontrol
  • Risikovurdering af behandlingsaktiviteter
  • Risikovurdering af systemer
  • Vurdering af risici for den registrerede ved brugen af AI
  • Konsekvensanalyser (DPIA)
  • Tilsyn med databehandlere
  • Procedurer for databeskyttelse samt dokumentation
  • Håndtering af indsigtssager (og aktindsigtssager)

Ud fra ovenstående, bør særligt følgende områder prioriteres: 

  • Risikovurderinger
  • Konsekvensanalyser (DPIA)
  • Bruger- og adgangsstyring med periodisk kontrol

Både under risikovurderinger og konsekvensanalyser (DPIA´er) skal der være fokus på særlige risici for den registrerede ved brugen af AI. 

Baggrunden for anbefalingerne er, at det ikke er muligt at fastsætte passende sikkerhedsforanstaltninger, hvis man ikke kender risikoen for behandlingen. Dertil er det DPO´ens vurdering, at der fortsat er et større arbejde at gøre på området for udarbejdelse af konsekvensanalyser  (DPIA´er), dels i forhold til at sikre, at der udarbejdes det nødvendige antal konsekvensanalyser (DPIA´er), men ligeledes i forhold til at sikre at konsekvensanalyserne indholdsmæssigt lever op til kravene i databeskyttelsesforordningen (GDPR). 

DPO´en anbefaler endvidere, at der prioriteres ressourcer i hvert center til det daglige arbejde med GDPR, som kan understøtte centerchefen og drive arbejdet med GDPR i tæt samarbejde med centerchefen og centrets medarbejdere og i tæt samspil med centrets GDPR-partner. DPO´en anbefaler desuden, at centrene som en del af arbejdet med GDPR i 2026 investerer tid i at bruge it-systemet OS2-compliance, som understøtter GDPR-arbejdet. 

DPO´en anbefaler også, at referencedirektørerne følger op på status på GDPR-opgaverne i centrene hvert halve år, og bidrager til prioriteringen af opgaverne i tæt samspil med centerchefen, samt at centerchefen løbende forankrer arbejdet i samspil med afdelingslederne. 

 

Strategisk ramme

Databeskyttelsesreglerne som fastlagt i databeskyttelsesforordningen (2016/679 af 27. april) og de danske vedtagne bestemmelser om samme (Databeskyttelsesloven nr. 502 af 23. maj 2018).

Videre proces

Forvaltningen vil forelægge sag med opfølgende aktiviteter for Økonomiudvalget på næstkommende møde. 

Økonomi

Sagen har ingen bevillingsmæssige konsekvenser.

 

 

Beslutningskompetence

Økonomiudvalget orienteres. 

Kommunalbestyrelsen orienteres.

Beslutning

Orientering givet.

Niels Haxthausen (F) var fraværende.

Er du enig eller uenig?

22 items
  • Lydfiler null
  • Ressourcer null
  • Felter 1 items
    1. 6 items
      • Navn ""
      • Html "<div><div id='sagsfremstillingContainer'> <h3>Resume</h3> <span class='resume'><p>DPO´ens årsrapport for 2025 er udarbejdet for at dokumentere status for organisationens overholdelse af databeskyttelsesreglerne som fastlagt i databeskyttelsesforordningen (2016/679 af 27. april) og de danske vedtagne bestemmelser om samme (Databeskyttelsesloven nr. 502 af 23. maj 2018).</p></span> <h3>Indstilling</h3> <span class='indstilling'><p>DPO´en orienterer om status på organisationens arbejde med GDPR i 2025</p></span> <h3>Problemstilling</h3> <span class='ukendt'><p>I henhold til GDPR er det et krav, at offentlige myndigheder udpeger en DPO (Data Protection Officer). Organisationen har derfor siden 2018 haft en DPO, der rapporterer til Kommunalbestyrelsen. En af DPO´ens opgaver er at overvåge organisationens overholdelse af GDPR. </p><p>Den årlige rapport er udarbejdet af DPO´en. Rapporten viser indledningsvis et tilbageblik på de største databeskyttelsesretlige begivenheder for året 2025 - både internt i organisationen, men også fra Datatilsynet og fra EU-institutionerne, som spiller en stor rolle på databeskyttelsesområdet. </p><p>Rapporten oplister hvilke udvalgte områder og emner, som har været genstand for DPO´ens tilsyn med kommunens overholdelse af GDPR i 2025. </p><p>Endvidere viser rapporten et overblik over udviklingen for databrud i kommunen siden forordningen fik virkning tilbage i 2018, samt en status på sagen, som tilbage i efteråret 2024 udmøntede sig i en bødeindstilling til kommunen. </p><p>Rapporten indeholder endvidere en gennemgang af udvalgte områder og problemstillinger, der er arbejdet med i 2025 og hvilke tiltag og anbefalinger til organisationens videre arbejde med databeskyttelse. </p><p>Rapporten skal bidrage til, at Kommunalbestyrelsen kan fokusere og prioritere arbejdet med databeskyttelse. Ved at udarbejde rapporten på årlig basis sikres det, at organisationen har et samlet overblik over niveauet, herunder hvor, og hvordan, organisationen skal foretage forbedringer og implementere nye eller anderledes tiltag, som kan sikre bedre overholdelse af de databeskyttelsesretlige regler. </p><p>På baggrund af DPO´ens rapport for 2024 har organisationen arbejdet struktureret og systematisk med GDPR, og der er skabt bedre overblik over opgaverne, ligesom der er arbejdet med disse.</p><p>Overblikket over opgaver, arbejdet med disse samt overgang til nyt understøttende it-system (OS2-compliance) danner et godt fundament for det videre arbejde. </p><p>Trods det gode arbejde, nåede organisationen ikke at arbejde med alle anbefalinger og områder i 2025, og det nuværende niveau efterlader derfor fortsat organisationen med en risiko for kritik og bøder. Der bør derfor arbejdes videre med at sikre et højere niveau for databeskyttelse i organisationen. Anbefalingerne i DPO-rapporten for 2025 ligner derfor i overvejende grad anbefalingerne for DPO- rapporten for 2024 dog med den forskel, at ønsket om og brugen af AI-værktøjer har en afsmittende effekt på arbejdet med databeskyttelse i flere henseender og derfor bør i organisationen tænkes ind og prioriteres som fokuspunkt i det nye år. </p><p>DPO´ens rapport for 2025 vedlægges som bilag. </p></span> <h3>Løsninger</h3> <span class='ukendt'><p>På baggrund af DPO´ens løbende rådgivning og kendskabet til organisationen, er det DPO´ens vurdering, at nedenstående otte databeskyttelsesretlige forpligtelser, udgør de største risici i organisationen, og det er DPO´ens anbefaling, at der i 2025 afsættes dedikerede ressourcer i alle centre til at arbejde videre med disse (angivet i ikke-prioriteret rækkefølge) for at opnå et højere niveau for databeskyttelse: </p><ul><li>Bruger- og adgangsstyring, herunder periodisk kontrol</li><li>Risikovurdering af behandlingsaktiviteter</li><li>Risikovurdering af systemer</li><li>Vurdering af risici for den registrerede ved brugen af AI</li><li>Konsekvensanalyser (DPIA)</li><li>Tilsyn med databehandlere</li><li>Procedurer for databeskyttelse samt dokumentation</li><li>Håndtering af indsigtssager (og aktindsigtssager)</li></ul><p>Ud fra ovenstående, bør særligt følgende områder prioriteres: </p><ul><li>Risikovurderinger</li><li>Konsekvensanalyser (DPIA)</li><li>Bruger- og adgangsstyring med periodisk kontrol</li></ul><p>Både under risikovurderinger og konsekvensanalyser (DPIA´er) skal der være fokus på særlige risici for den registrerede ved brugen af AI. </p><p>Baggrunden for anbefalingerne er, at det ikke er muligt at fastsætte passende sikkerhedsforanstaltninger, hvis man ikke kender risikoen for behandlingen. Dertil er det DPO´ens vurdering, at der fortsat er et større arbejde at gøre på området for udarbejdelse af konsekvensanalyser  (DPIA´er), dels i forhold til at sikre, at der udarbejdes det nødvendige antal konsekvensanalyser (DPIA´er), men ligeledes i forhold til at sikre at konsekvensanalyserne indholdsmæssigt lever op til kravene i databeskyttelsesforordningen (GDPR). </p><p>DPO´en anbefaler endvidere, at der prioriteres ressourcer i hvert center til det daglige arbejde med GDPR, som kan understøtte centerchefen og drive arbejdet med GDPR i tæt samarbejde med centerchefen og centrets medarbejdere og i tæt samspil med centrets GDPR-partner. DPO´en anbefaler desuden, at centrene som en del af arbejdet med GDPR i 2026 investerer tid i at bruge it-systemet OS2-compliance, som understøtter GDPR-arbejdet. </p><p>DPO´en anbefaler også, at referencedirektørerne følger op på status på GDPR-opgaverne i centrene hvert halve år, og bidrager til prioriteringen af opgaverne i tæt samspil med centerchefen, samt at centerchefen løbende forankrer arbejdet i samspil med afdelingslederne. </p><p> </p></span> <h3>Strategisk ramme</h3> <span class='ukendt'><p>Databeskyttelsesreglerne som fastlagt i databeskyttelsesforordningen (2016/679 af 27. april) og de danske vedtagne bestemmelser om samme (Databeskyttelsesloven nr. 502 af 23. maj 2018).</p></span> <h3>Videre proces</h3> <span class='ukendt'><p>Forvaltningen vil forelægge sag med opfølgende aktiviteter for Økonomiudvalget på næstkommende møde. </p></span> <h3>Økonomi</h3> <span class='oekonomi'><p>Sagen har ingen bevillingsmæssige konsekvenser.</p><p><span> </span></p><p> </p></span> <h3>Beslutningskompetence</h3> <span><p>Økonomiudvalget orienteres. </p><p>Kommunalbestyrelsen orienteres.</p></span> <h3>Beslutning</h3> <span><p>Orientering givet.</p><p>Niels Haxthausen (F) var fraværende.</p></span> </div></div>"
      • Tekst null
      • Id "00000000-0000-0000-0000-000000000000"
      • Link "https://dagsordener.ltk.dk/Vis/Pdf/bilag/eef82235-2b74-49fb-9553-a4b7e1060d90"
      • DocumentId "eef82235-2b74-49fb-9553-a4b7e1060d90"
  • Presentations null
  • ItemDecision null
  • SagsNummer "85.10.00-G01-38-25"
  • Navn "DPO-rapport 2025 (Orientering)"
  • Punktnummer "2"
  • Bilag 1 items
    1. 4 items
      • HarPdfVersion "true"
      • Order 0
      • Navn "DPO-rapport for 2025"
      • Id "4393d55a-906d-461a-ad88-9305ed89c7ef"
  • Documents null
  • Id "e59e92af-eeed-4016-bd97-41fc73a709e0"
  • IntegrationUid "00000000-0000-0000-0000-000000000000"
  • CorporationUid "00000000-0000-0000-0000-000000000000"
  • AgendaUid "64e535dc-8917-4034-8e62-beac2c954519"
  • Number "2"
  • Sorting 2
  • IsOpen true
  • CaseNumber "85.10.00-G01-38-25"
  • SourceId "30d72e21-080b-4db3-a960-b14b8f7cba4a"
  • Caption "DPO-rapport 2025 (Orientering)"
  • CasePresentationUid null
  • ExternalAgendaItemAttendees 0 items