TJÄNSTESKRIVELSE
Datum
2024-08-20
Diarienummer
BN-2024-00241
Revidering av delegeringsförteckning avseende personuppgiftsbiträdesavtal för kommungemensamma system
Förslag till beslut i byggnadsnämnden
Byggnadsnämnden delegerar beslutanderätten att ingå personuppgiftsbiträdesavtal för kommungemensamma system till biträdande kommundirektör.
Byggnadsnämnden delegerar till förvaltningschef rätten att ge fullmakt till tjänsteperson som ska vara utsedd som systemägare att underteckna personuppgiftsbiträdesavtal för digital tjänst eller system som ska användas gemensamt med en eller flera andra nämnder i kommunen.
Byggnadsnämnden förklarar uppdraget som lämnades av kommunfullmäktige den 5 mars 2024 § 33 till byggnadsnämnden, för avslutat.
Sammanfattning av ärendet
Kommunfullmäktige antog den 5 mars 2024 nya riktlinjer för personuppgiftsbehandling inom Kungsbacka kommun. Kommunfullmäktige gav i beslut samma dag samtliga personuppgiftsansvariga nämnder i uppdrag att delegera beslutanderätten om att ingå personuppgiftsbiträdesavtal (PUB-avtal) för kommungemensamma digitala tjänster och system till biträdande kommundirektör.
De nya riktlinjerna fastställer principer för samarbete om personuppgifter mellan kommunens nämnder. Nämnden för Services och kommunstyrelsens roller, ansvar och befogenheter klargörs och det fastställs regler för behandlingen och ansvar för olika uppgifter. Arbetssättet med att upprätta instruktionsbilagor för respektive nämnd för varje digital tjänst eller system tas också bort.
Xxxxxxxxxxxx tillsammans med nämndernas delegering av beslutanderätt till biträdande kommundirektör utgör Kungsbackas nya sätt att organisera personuppgiftsbehandlingen så att samarbete möjliggörs med mindre administration, samtidigt som GDPR följs.
Byggnadsnämnden behöver därför ändra i sin delegeringsförteckning på så vis att en ny delegation införs som innebär att biträdande kommundirektör ges rätt att besluta om PUB-avtal för kommungemensamma digitala tjänster och system som nämnden använder för behandling av personuppgifter. Vissa digitala tjänster eller system klassificeras enligt kommunens modell för digitala tjänster och system som kommungemensamma om de stödjer processer som berör alla nämnder, även om systemen bara används av en nämnd som utför processerna för de andra nämndernas räkning. De
Xxxxxx Xxxxxxxx Nämndsekreterare
1 (5)
Kungsbacka kommun 434 81 Kungsbacka
Besöksadress Stadshuset, Xxxxxxxxx 00
Telefon 0000-00 00 00 xxx.xxxxxxxxxx.xx
systemen omfattas inte av delegeringen, utan ligger inom den utförande nämndens beslutanderätt enligt sitt reglemente. Det tydliggörs genom en anmärkning i delegeringsförteckningen.
Om två eller flera nämnder vill anskaffa en digital tjänst eller system, som inte är kommungemensam, kan nämnderna enligt de nya riktlinjerna lämna fullmakt att underteckna PUB-avtal. Syftet är att underlätta avtalshanteringen även vid sådana samarbeten. Även för detta behövs en justering av delegeringsförteckningen. Justeringen innebär att den som har delegation att besluta om personuppgiftsbiträdesavtal kan lämna fullmakt att underteckna avtalet till systemets ägare.
Delegeringen omfattar inte att överlämna beslutanderätten, utan enbart att utfärda fullmakt att underteckna avtalet.
Beslutsunderlag
Bygg- och miljöförvaltningens tjänsteskrivelse, 2024-08-20
Utdrag förslag till reviderad delegeringsförteckning för byggnadsnämnden Kommunstyrelsens förvaltnings tjänsteskrivelse, 2023-12-08 Kommunfullmäktige 2024-03-05 § 33
Hantering av personuppgifter – Riktlinjer, 2024-03-05 Modell för digitala tjänster och system, version 2023.1
Beslutet skickas till
Biträdande kommundirektör
Beskrivning av ärendet
Kommunfullmäktige antog den 5 mars 2024 nya riktlinjer för personuppgiftsbehandling inom Kungsbacka kommun. Kommunfullmäktige gav i beslut samma dag samtliga nämnder i uppdrag att delegera beslutanderätten att ingå PUB-avtal för kommungemensamma digitala tjänster och system till biträdande kommundirektör.
I de nya riktlinjerna fastställs principer för samarbete om personuppgifter mellan kommunens nämnder. Nämnden för Service och kommunstyrelsens roller, ansvar och befogenheter klargörs och det fastställs regler för behandlingen samt ansvar för olika uppgifter enligt GDPR. Riktlinjerna innehåller också regler som gäller när nämnder inom kommunen är personuppgiftsbiträden eller gemensamt personuppgiftsansvariga med varandra, eller anlitar externa personuppgiftsbiträden. Med externa personuppgiftsbiträden avses i de flesta fall leverantörer av digitala tjänster och system, när dessa används för att behandla personuppgifter.
Riktlinjerna tillsammans med nämndernas delegeringsbeslut till biträdande kommundirektör utgör Kungsbackas nya sätt att organisera personuppgiftsbehandlingen så att samarbete möjliggörs samtidigt som GDPR följs. Enligt den nya ordningen har nämnder gemensamt personuppgiftsansvar när en nämnd, enligt reglemente, utför en stödprocess för andra nämnders räkning. När en nämnd står för drift
och support av system utgör den nämnden personuppgiftsbiträde åt de nämnder som använder systemet. När ett kommungemensamt system används är varje nämnd personuppgiftsansvarig för behandlingen, men avtalen hanteras gemensamt genom att beslutanderätten delegeras från alla nämnder till biträdande kommundirektör. Se Kommunstyrelsens förvaltnings tjänsteskrivelse 2023-12- 08.
Bygg-och miljöförvaltningen bedömer att det nya sättet att strukturera samarbetet kring personuppgiftsbehandling inom kommunen medför tydlighet och minskad administration. Det i sin tur gör det enklare att arbeta som Ett Kungsbacka. Genom de föreslagna delegeringarna möjliggörs att ha digitala tjänster och system gemensamt, utan att instruktionsbilagor behöver upprättas mellan kommunens nämnder för varje tjänst eller system. Samtidigt bedöms de regler som fastställs i de nya riktlinjerna vara tillräckliga och ändamålsenliga för att säkerställa att nämnden för xx har den kontroll tar det ansvar som krävs av personuppgiftsansvariga enligt GDPR.
Kommunens modell för digitala tjänster och system
Kungsbacka kommun arbetar enligt en kommungemensam modell för digitala tjänster och system. Modellen heter Modellen för digitala tjänster och system och den beskriver bland annat hur förvaltning och utveckling av system ska bedrivas.
Enligt modellen klassificeras digitala tjänster och system som kommunen använder som kommungemensamma eller förvaltningsspecifika. En kommungemensam digital tjänst eller system stöder en eller flera processer som berör alla förvaltningar. En förvaltningsspecifik digital tjänst eller system stöder en eller flera processer som berör en eller flera förvaltningar, men inte alla.
De flesta digitala tjänster och system ska ha en utsedd ägare. Det gäller för samtliga kommersiella tjänster, verksamhetssystem och plattformar. Ägaren är alltid förvaltningschef eller biträdande kommundirektör. Undantaget är IT-infrastruktur där verksamhetschef för Digitalt center är ägare. Ägaren har det yttersta ansvaret för den digitala tjänsten eller systemet. När en ny digital tjänst eller system anskaffas ska ägaren utses innan upphandling påbörjas. I de fall det inte sker någon upphandling ska ägaren utses vid anskaffningen. För kommungemensamma system är biträdande kommundirektör eller förvaltningschef för Service ägare. I regel är förvaltningschef för Service ägare till de kommungemensamma system som stödjer de stödprocesser som förvaltningen för Service utför åt alla de andra förvaltningarna, medan biträdande kommundirektör är ägare till övriga kommungemensamma system.
Om en digital tjänst eller system organisatoriskt definieras som förvaltningsspecifik och används av fler än en förvaltning ska ägaren ha ett nära samarbete med förvaltningschefer respektive biträdande kommundirektör på de andra förvaltningar som nyttjar den digitala tjänsten eller systemet.
Delegering av beslutanderätt för kommungemensamma system
I kommunallagen finns bestämmelser som reglerar möjligheten till delegering av styrelsens och nämndernas beslutanderätt. Delegering enligt kommunallagen innebär att beslutanderätten i ett visst ärende eller i en ärendegrupp flyttas över till delegaten. Ett beslut med stöd av delegering från
nämnden likställs med ett beslut som nämnden fattar och kan överklagas genom laglighetsprövning eller förvaltningsbesvär. Nämnden kan inte återkalla eller ändra ett beslut av delegat som redan är fattat. Syftet med delegering är att dels avlasta nämnden rutinärenden och därmed ge möjlighet åt de förtroendevalda att ägna tid och uppmärksamhet åt ärenden av omfattande behandling och principiell karaktär. Vidare är syftet att åstadkomma en effektiv verksamhet genom kortare beslutsvägar och snabbare handläggning, vilket medför bättre service för medborgarna. Delegeringsförteckningen är också ett arbetsinstrument som reglerar en del av de anställdas befogenheter.
Delegering sker i regel till en befattningshavare inom den egna förvaltningen, men om det finns skäl för det kan det också göras till en befattningshavare i en annan förvaltning.
Kommungemensamma digitala tjänster och system behöver anskaffas och utvecklas gemensamt för att säkerställa likvärdighet, god kvalitet och hög informationssäkerhet inom kommunen. Det är kommunstyrelsens förvaltning som ansvarar för detta. Enligt tidigare beslutade riktlinjer betraktades det som en intern personuppgiftsbiträdessituation inom kommunen. Det vill säga att kommunstyrelsen var ett personuppgiftsbiträde för de övriga nämnderna, och att den externa leverantören var ett underbiträde till kommunstyrelsen. Det medförde att interna PUB-avtalsbilagor behövde upprättas mellan kommunstyrelsen och övriga nämnder.
Enligt de nya riktlinjerna ska i stället PUB-avtal med en leverantör av ett kommungemensamt system eller tjänst beslutas och undertecknas för alla nämnders räkning genom delegation till en och samma befattningshavare inom kommunstyrelsens förvaltning: biträdande kommundirektör. På så vis möjliggörs även gemensam avtalshantering. Biträdande kommundirektör är också ägare för de systemen enligt modellen för digitala tjänster och system.
Det här omfattar inte de digitala tjänster och system som klassificeras som kommungemensamma för att de stödjer processer som nämnden för Service eller kommunstyrelsen utför för samtliga nämnders räkning inom ramen för sina uppdrag enligt reglemente. I de fallen baserar sig beslutanderätten på det egna reglementet och på Hantering av personuppgifter – Riktlinjer, 2024-03-05.
Nämnden för Miljö & Hälsoskydd behöver därför ändra i sin delegeringsförteckning på så vis att en ny delegation införs som innebär att biträdande kommundirektör ges rätt att besluta om personuppgiftsbiträdesavtal för kommungemensamma digitala tjänster och system som nämnden använder för behandling av personuppgifter.
De personuppgiftsansvariga nämndernas ansvar och kontroll säkerställs genom de nya riktlinjerna som anger vad som gäller när externt personuppgiftsbiträde anlitas för att tillhandahålla ett kommungemensamt system.
Delegation att lämna fullmakt vid samarbete mellan två eller flera nämnder
Enligt de nya riktlinjerna kan en nämnd som anskaffar ett system gemensamt med en eller flera andra nämnder, när systemet inte är kommungemensamt, lämna fullmakt att underteckna PUB-avtal. Syftet är att underlätta avtalshanteringen även vid sådana samarbeten. Även för detta behövs en justering av delegeringsförteckningen.
Enligt kommunens modell för digitala tjänster och system ska varje tjänst eller system ha en utsedd ägare. Ägaren har det yttersta ansvaret för den digitala tjänsten eller systemet. När en ny digital tjänst eller system anskaffas ska ägaren utses innan upphandling påbörjas. I de fall det inte sker någon upphandling ska ägaren utses vid anskaffningen. Ägaren ska ha ett nära samarbete med förvaltningschefer respektive biträdande kommundirektör på de andra förvaltningar som nyttjar digital tjänsten eller systemet.
Genom att justera delegeringsförteckningen kan ägaren underteckna PUB-avtal för nämndens räkning. Delegeringen omfattar inte att överlämna beslutanderätten, utan enbart att utfärda fullmakt att underteckna avtalet. Beslut om vilket personuppgiftbiträde som ska anlitas ska alltjämt fattas av varje nämnd, vid sammanträde eller på delegation.
Xxxxxxxx Xxxx Xxxxxxxx Xxxxxxxx
Förvaltningschef Dataskyddskontakt
SAMMANTRÄDESPROTOKOLL | 1 (2) | |
Kommunfullmäktige | Datum 2024-03-05 |
§ 33 Dnr KS-2023-00815
Antagande av riktlinjer för hantering av personuppgifter
Beslut
Kommunfullmäktige antar riktlinjer för hantering av personuppgifter, daterade 2023-12-15.
Riktlinjer för personuppgifter och regler för biträdesförhållanden inom Kungsbacka kommun, antagna av kommunstyrelsen 2021-10-19, § 278, upphör samtidigt att gälla.
Kommunfullmäktige ger samtliga nämnder i uppdrag att delegera beslutanderätten om personuppgiftsbiträdesavtal för kommungemensamma digitala tjänster och system till biträdande kommundirektör.
Kommunfullmäktige reviderar § 5 i Gemensamt reglemente för kommunstyrelse och nämnder i Kungsbacka kommun så att den lyder:
Nämnden är personuppgiftsansvarig för den behandling av personuppgifter som sker i nämndens verksamhet. En nämnd kan också ha gemensamt personuppgiftsansvar eller vara personuppgiftsbiträde åt en annan nämnd.
Närmare reglering finns i styrdokument. Personuppgiftsansvariga nämnder ska utse dataskyddsombud.
Sammanfattning av ärendet
Kommunens myndigheter är självständiga personuppgiftsansvariga. För att utföra kommunens uppdrag effektivt och likvärdigt är det nödvändigt att lösa vissa uppgifter gemensamt. Det kan innebära att vissa stödprocesser utförs av en nämnd för flera nämnders räkning, eller att gemensamma IT-system upphandlas och används av flera nämnder. En annat fall är att nämnder med närliggande verksamhetsområden använder samma personuppgifter i gemensamma system – men för olika ändamål. En nämnd kan också stå för drift, utveckling och support av system som används av andra nämnder.
I de flesta fall inbegriper de här situationerna behandling av personuppgifter och därför måste det fastställas om personuppgiftsansvaret är enskilt eller gemensamt mellan nämnderna – eller om en nämnd är personuppgiftsbiträde för en annan. När den inbördes relationen är fastställd måste också förhållandet regleras genom ett avtal, annan rättsakt eller en överenskommelse. Det är krav enligt EU:s allmänna dataskyddsförordning, GDPR.
De nya riktlinjerna innehåller principer för att fastställa relationerna mellan kommunens personuppgiftsansvariga nämnder. Riktlinjerna klargör ansvar och gränser när kommunens nämnder är personuppgiftsbiträden åt varandra eller har gemensamt personuppgiftsansvar. De innehåller också regler om vilka krav som ska uppfyllas i samband med personuppgiftsbehandling.
Kommunstyrelsens och nämnden för Service roller, ansvar och befogenheter klargörs.
Expedierat/bestyrkt
KUNGSBACKA KOMMUN | SAMMANTRÄDESPROTOKOLL | 2 (2) |
Kommunfullmäktige | Datum 2024-03-05 |
Förutom att uppfylla GDPR:s krav på att samarbete kring personuppgifter måste regleras, ska riktlinjerna också klargöra vad nämnderna kan förvänta sig av varandra. De ska också tydliggöra för allmänhet och anställda att deras personuppgifter hanteras på ett säkert och lagligt sätt.
För att spegla de nya inbördes relationerna ska ändringar göras i det gemensamma reglementet.
För att möjliggöra gemensam avtalshantering för kommungemensamma system ska biträdande kommundirektör ges delegation från samtliga nämnder att besluta om personuppgiftsbiträdesavtal för kommungemensamma digitala tjänster och system.
Beslutsunderlag
Kommunstyrelsen 2024-02-20, § 59
Kommunstyrelsens arbetsutskott 2024-01-30, § 36 Kommunstyrelsens förvaltnings tjänsteskrivelse, 2023-12-08 Riktlinjer för personuppgiftsbehandling, 2023-12-15
Riktlinjer för hantering av personuppgifter, antagna av kommunstyrelsen 2021-10-19, § 278
Regler för interna personuppgiftsbiträdesförhållanden inom Kungsbacka kommun, antagna av kommunstyrelsen 2021-10-19, § 278
Beslutsgång
Ordförande Xxxxx Xxxxxx (M) finner att det finns ett förslag till beslut, det vill säga kommunstyrelsens förslag, och att kommunfullmäktige bifaller det.
Beslutet skickas till
Samtliga nämnder
Expedierat/bestyrkt
Hantering av personuppgifter
Riktlinjer
Dokumentegenskaper: | Titel: Hantering av personuppgifter |
Beslutad av: | Kommunfullmäktige 5 mars 2024 § 33, KS-2023-00815 |
Gäller från: | 2024-03-05 |
Ansvarig förvaltning: | Kommunstyrelsens förvaltning |
Kontakt: |
Kungsbacka kommun | 0000-00 00 00 | xxxx@xxxxxxxxxx.xx | xxx.xxxxxxxxxx.xx
Innehåll
Förhållandet mellan riktlinjerna och kommunens systemförvaltarmodell 4
Kommunens bolag och stiftelse 4
Varje nämnd är personuppgiftsansvarig 5
Ansvarar för kommunövergripande informationssystem 6
Kommungemensamma stödprocesser 6
Personuppgiftsbiträden och gemensamt personuppgiftsansvar inom kommunen. 7 Gemensamt personuppgiftsansvar 8
Interna personuppgiftsbiträden 9
Publika tjänster och myndighetstjänster 9
Uppgifter enligt dataskyddslagstiftningen 9
Personuppgiftsansvarig nämnd 10
Gemensamt personuppgiftsansvar 10
Nämnd som är personuppgiftsbiträde 10
Underrättelse till de registrerade 11
Samarbete om konsekvensbedömning 12
De registrerades rättigheter 13
Information till de registrerade 13
Riktlinjer för Personuppgiftbehandlingen 13
Externa biträden och underbiträden 13
Lämplig säkerhet för personuppgifterna 14
Överföring av personuppgifter till tredje land 14
Överföring av personuppgifter mellan system 14
Vidareutnyttjande av personuppgifter inom kommunen 14
Xxxxxxxx och bevarande av personuppgifter 15
Inbyggt dataskydd och dataskydd som standard 16
Kungsbacka kommuns riktlinjer för hantering av personuppgifter är ett komplement till kommunens integritetspolicy. Riktlinjerna gäller för kommunens nämnder, inklusive kommunstyrelsen och revisionen.
De här riktlinjerna tydliggör hur GDPR:s krav förverkligas i Kungsbacka kommun. Syftet är att säkerställa att kommunen hanterar personuppgifter korrekt och likvärdigt, och att visa för allmänhet och anställda att de kan känna sig trygga med att deras personuppgifter hanteras på ett respektfullt sätt.
Samtidigt som kommunens nämnder är självständiga personuppgiftsansvariga är de också del av Ett Kungsbacka. För att kunna utföra kommunens uppdrag är det nödvändigt att lösa vissa uppgifter gemensamt och ha vissa gemensamma digitala system.
Riktlinjerna tydliggör nämndernas ansvar för olika uppgifter enligt GDPR samt deras skyldigheter gentemot varandra och de registrerade. Riktlinjerna klargör ansvar och gränser när kommunens nämnder är personuppgiftsbiträden åt varandra eller har gemensamt personuppgiftsansvar. Dokumentet innehåller också instruktioner för behandlingen som gäller när en nämnd utför personuppgiftsbehandling för en annan nämnds räkning, som personuppgiftsbiträde.1
1 Styrdokumentet binder nämnderna gentemot varandra och tjänar som såväl rättsakt enligt artikel 28.3 som ”arrangemang” artikel 26.1 GDPR
Förhållandet mellan riktlinjerna och kommunens systemförvaltarmodell
Kungsbacka kommun arbetar enligt en kommungemensam modell för digitala tjänster och system. Modellen kallas Modellen för digitala tjänster och system och den beskriver bland annat hur förvaltning och utveckling av system ska bedrivas. Enligt modellen finns det utsedda roller för varje digital tjänst och system som kommunen använder. Rollerna utses vid anskaffningen.
Inom ramen för systemförvaltarmodellen framgår ansvaret för system och tjänster med avseende på säkerhet, funktionalitet och budget. Inom rollernas ansvar ligger också ansvar för att följa upp att de tekniska och organisatoriska krav som ställs på systemleverantören i egenskap av personuppgiftsbiträde följs. Ägaren har det yttersta ansvaret för en digital tjänst eller system. Budgetansvarig ansvarar för att godkänna årlig förvaltningsplan och uppföljningsrapport.
När det i de här riktlinjerna anges att den nämnd som har ägarskapet ansvarar för en viss uppgift, avses den nämnd där den utsedda ägaren är anställd. I regel ska det vara samma nämnd som har rätt att besluta om personuppgiftsbiträdesavtal enligt riktlinjerna nedan.
Det är alltid personuppgiftsansvarig som är ansvarig för den behandling som sker i systemet.
Kommunens bolag och stiftelse
Eksta bostads AB, med dotterbolag, och stiftelsen Tjolöholm är fristående juridiska personer som inte omfattas av de här riktlinjerna. Vid likartade behov kan upphandling av kommungemensamma system omfatta även dem. Behandlingen måste då regleras genom separata personuppgiftsbiträdesavtal för bolaget och stiftelsen.
Bolaget och stiftelsen kan använda det kommungemensamma dataskyddsombudet som dataskyddsombud för sin verksamhet.
Bolaget och stiftelsens dataskyddskontakter kan också delta i kommunens nätverk för dataskyddskontakter, gemensamma utbildningar och erfarenhetsutbyten.
Organisation
Varje nämnd är personuppgiftsansvarig
Varje nämnd är personuppgiftsansvarig för den personuppgiftsbehandling som sker i den egna verksamheten. Varje nämnd ska därför säkerställa att det finns tekniska och organisatoriska förutsättningar för att uppfylla de krav som ställs på personuppgiftsansvariga enligt dataskyddslagstiftningen.2 Personuppgiftsansvaret kan inte delegeras.
Personuppgiftsansvaret är omfattande och följande lista ger vägledning för vad som ingår. Listan är inte uttömmande.
Personuppgiftsansvarig ansvarar enligt dataskyddslagstiftningen bland annat för att:
• Följa upp att personuppgiftsbehandlingen följer gällande dataskyddslagstiftning,
• försäkra sig om att förvaltningen och verksamheten har en ändamålsenlig organisation med tillräckliga resurser och dokumenterad ansvarsfördelning,
• upprätthålla behandlingsregister över samtliga personuppgiftsbehandlingar i den ansvariges verksamhet,
• säkerställa att medarbetarna har nödvändig kompetens för att kunna följa dataskyddslagstiftningen,
• säkerställa att det tecknas personuppgiftsbiträdesavtal med de leverantörer och motsvarande som behandlar personuppgifter för verksamhetens räkning,
• säkerställa att personuppgiftsincidenter hanteras i enlighet med lagstiftningens krav,
• utse dataskyddsombud och anmäla dess kontaktuppgifter till tillsynsmyndigheten. Stödja dataskyddsombudet i utförandet av de uppgifter som dataskyddsförordningen föreskriver och se till att ombudet har tillräcklig kompetens.
Kommunstyrelsen
Leder och samordnar
Kommunstyrelsens förvaltning ska leda, styra och samordna kommunens arbete med att uppfylla kraven i dataskyddslagstiftningen. Det inbegriper bland annat att ta fram och samordna övergripande information, rutiner och dokumentmallar.
Kommunstyrelsens förvaltning sammankallar kommunens nätverk för dataskyddskontakter och rekryterar eller upphandlar ett kommungemensamt dataskyddsombud.
2Med ”dataskyddslagstiftningen” avses EU:s allmänna dataskyddsförordning, GDPR (Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG) och kompletterande svensk lagstiftning på dataskyddsområdet: exempelvis dataskyddslagen, brottsdatalagen och tillämpliga registerförfattningar som patientdatalagen, lagen om behandling av personuppgifter inom socialtjänsten och tillhörande förordningar.
Ansvarar för kommunövergripande informationssystem
Av kommunstyrelsens reglemente framgår att kommunstyrelsen är ansvarig för kommunövergripande informationssystem. Med det avses digitala tjänster och system som används av alla nämnder. Kommunstyrelsen har processer och rutiner för att identifiera och ta hänsyn till de olika personuppgiftsansvariga nämndernas behov vid anskaffning av kommungemensamma digitala tjänster och system. Den mest skyddsvärda informationen ska sätta standarden för lämpliga skyddsåtgärder. Genom att anskaffa system gemensamt kan högre kvalitet, samordningsvinster och bättre möjligheter att ställa krav uppnås.
Kommunstyrelsens ansvar för kommungemensamma system omfattar att systemets funktionalitet och säkerhet motsvarar de krav som behöver ställas utifrån den avsedda behandlingen, och att leverantören uppfyller de krav som ska ställas på personuppgiftsbiträden enligt dataskyddslagstiftningen och de här riktlinjerna.
Respektive personuppgiftsansvarig nämnd ansvarar för att den egna behandlingen i de kommunövergripande systemen har laglig grund och följer de grundläggande principerna om personuppgiftsbehandling och att systemet inte används för annan behandling än vad som avsetts.
Biträdande kommundirektör fattar beslut om att teckna personuppgiftsbiträdesavtal för kommungemensamma system genom delegation från samtliga andra nämnder.
Kommungemensamma stödprocesser
Kommunstyrelsen har i uppgift enligt sitt reglemente att utföra vissa kommungemensamma stödprocesser, som inbegriper behandling av personuppgifter. När behandlingen omfattar personuppgifter som rör andra nämnders anställda, brukare, kunder eller leverantörer etc. är kommunstyrelsen gemensamt personuppgiftsansvarig med respektive annan nämnd. Se mer nedan under rubriken kommungemensamma stödprocesser i nästa avsnitt.
Nämnden för Service
Nämnden för Service ansvarar för service till kommunens invånare, till anställda och till övriga förvaltningar i kommunen. Nämnden för Service har också en viktig roll för kommunens dataskydd genom att den ansvarar för kommunens IT-infrastruktur och kommunintern drift, utveckling och support av system.
Nämnden utför många kommungemensamma stödprocesser för de andra nämndernas räkning. I många fall förutsätter det behandling av en stor mängd av kommunens personuppgifter. När behandlingen omfattar personuppgifter som rör andra nämnders anställda, brukare, kunder, leverantörer etc. är nämnden för Service gemensamt personuppgiftsansvarig med respektive annan nämnd. Se mer nedan under rubriken kommungemensamma stödprocesser i nästa avsnitt.
Nämnden för Service får fatta beslut om att teckna personuppgiftsbiträdesavtal för den behandling som behövs för att utföra sina uppgifter enligt reglemente, vilket inbegriper rätt att besluta om vilka biträden som ska anlitas för IT-infrastruktur.
När nämnden för Service ansvarar för drift, utveckling, teknisk säkerhet, underhåll och support av system som driftas internt, är nämnden för Service personuppgifts- biträde till de nämnder som använder systemet. Se mer nedan under rubriken interna personuppgiftsbiträden.
Dataskyddsombudet
Dataskyddsombudets arbetsuppgifter och ställning styrs av lagstiftning. Funktionen ska agera självständigt och får inte ta emot instruktioner eller bli föremål för sanktioner för att ha utfört sina arbetsuppgifter. Dataskyddsombudet rapporterar till högsta ledningen såsom nämnd eller styrelse.
Dataskyddsombudet har bland annat i uppdrag att övervaka efterlevnaden av dataskyddslagstiftningen och att informera och ge råd för att efterleva lagen. Kommunens dataskyddsombud är placerat centralt på kommunstyrelsens förvaltning men arbetar på uppdrag av respektive nämnd, bolag och stiftelse som har utsett kommunens dataskyddsombud som dataskyddsombud för sin verksamhet.
Dataskyddskontakterna
Dataskyddskontakten är en stödfunktion för personuppgiftsansvarig nämnd, förvaltningens ledning och verksamhet. Ansvaret för att lagstiftning efterlevs vilar alltid på personuppgiftsansvarig och ansvaret kan inte delegeras.
Dataskyddskontakten har bland annat följande uppgifter:
• Uppdatera och följa upp behandlingsregistren.
• Samordna och besvara registrerades begäran om att utöva sina rättigheter som exempelvis begäran om registerutdrag, radering och invändning.
• Följa upp att nödvändiga rutiner och instruktioner finns tillgängliga och är kända inom den egna verksamheten.
• Vara stöd vid upprättande av personuppgiftsbiträdesavtal, konsekvensbedömning avseende dataskydd och utredning av personuppgiftsincidenter.
• Vara stöd vid bedömning av om en personuppgiftsincident ska anmälas till Integritetsskyddsmyndigheten (IMY) och om de registrerade ska informeras om incidenten.
• Vara förvaltningens eller bolagets representant i det kommunövergripande nätverket för dataskyddskontakter.
• Samordna förvaltningens arbete med uppföljning och egenkontroll av dataskyddet.
• Samarbeta med dataskyddsombudet och fungera som länk mellan dataskyddsombudet och personuppgiftsansvarig
• Omvärldsbevaka kring personuppgiftsfrågor generellt och utifrån det egna verksamhetsområdet.
• Rådfråga och samråda med dataskyddsombudet för verksamhetens räkning, bland annat i samband med konsekvensbedömning avseende dataskydd.
Personuppgiftsbiträden och gemensamt personuppgiftsansvar inom kommunen
Kommunens myndigheter är självständiga personuppgiftsansvariga, samtidigt som de tillhör samma organisation och är underordnade kommunfullmäktiges beslutanderätt.
För att utföra kommunens uppdrag effektivt och likvärdigt är det nödvändigt att vissa saker görs gemensamt för alla nämnders verksamheter. Det är också nödvändigt att två eller flera nämnder kan samarbeta för att utföra kommunens uppdrag. Det innebär att personuppgifter ibland måste delas mellan olika personuppgiftsansvariga inom kommunen.
Nedan följer en beskrivning av fördelning av ansvaret för personuppgifts- behandlingen och skyldigheterna enligt GDPR vid gemensamt personuppgiftansvar mellan två eller flera nämnder och när en nämnd är personuppgiftsbiträde åt en eller flera andra nämnder.
Gemensamt personuppgiftsansvar
Inom kommunens verksamhet behöver samma personuppgifter ibland behandlas av olika personuppgiftsansvariga nämnder som har sina egna ändamål och sina egna lagliga grunder för behandlingen. När två eller flera personuppgiftsansvariga gemensamt beslutar om ändamål och medel för behandlingen kallas det för gemensamt personuppgiftsansvar.
Det kan exempelvis vara att nämnder med närliggande verksamhetsområden handlägger ärenden rörande samma personer i ett verksamhetssystem som de delar, eller att vissa kommungemensamma stödprocesser utförs av kommunstyrelsens förvaltning eller av förvaltningen för Service.
Samarbete mellan två eller flera nämnder
När två eller flera nämnder samarbetar om personuppgiftsbehandlingen och är gemensamt personuppgiftsansvariga, ansvarar de var för sig för att behandlingen följer dataskyddslagstiftningen och kommunens riktlinjer.
Varje nämnd ansvarar för den del av behandlingen som ligger inom den egna verksamheten enligt reglementet och får utföra de behandlingsåtgärder som behövs för att genomföra sina respektive uppdrag. Ansvaret för behandlingen inbegriper att säkerställa att den egna behandlingen har laglig grund och uppfyller de krav som ställs enligt dataskyddslagstiftningen.
Den som ska ha ägarskapet över systemet kan ges fullmakt av de andra personuppgiftsansvariga nämnderna att underteckna personuppgiftsbiträdesavtal med utomstående leverantör.
De gemensamt personuppgiftsansvariga nämnderna ansvarar var för sig för att förteckna behandlingen i sitt behandlingsregister. I behandlingsregistret ska också antecknas vilken annan nämnd personuppgiftsansvaret är gemensamt med och om nämnden för Service ansvarar för drift av systemet.
Kommungemensamma stödprocesser
Kommunstyrelsen respektive nämnden för Service utför båda vissa kommungemensamma stödprocesser. Exempel på det är att nämnden för Service utför rekrytering, löneadministration och har kontaktcenter för alla nämnders räkning eller att kommunstyrelsen bevakar kommunens kundreskontra.
Kommunstyrelsen respektive nämnden för Service har då som ändamål att utföra sina uppgifter enligt reglemente, medan respektive annan nämnd har ett annat ändamål med behandlingen. Personuppgiftsanvaret är då gemensamt. Undantaget
är när nämnden för service sköter IT-drift, då nämnden för service istället är personuppgiftsbiträde. Se rubriken interna personuppgiftsbiträden nedan.
Varje nämnd ansvarar för den del av behandlingen som ligger inom den egna verksamheten enligt reglementet och får utföra de behandlingsåtgärder som är nödvändiga för att genomföra sina respektive uppdrag. Ansvaret för behandlingen inbegriper att säkerställa att den egna behandlingen har laglig grund och uppfyller de krav som ställs enligt dataskyddslagstiftningen och de här riktlinjerna.
Kommunstyrelsen respektive nämnden för Service beslutar om vilka digitala verktyg och system som ska anskaffas för att utföra kommungemensamma stödprocesser som de ansvarar för. De ansvarar inför de andra nämnderna för att de biträden som anlitas uppfyller de krav som ställs på personuppgiftsbiträden enligt GDPR, kompletterande lagstiftning och de här riktlinjerna.
Vilka kommungemensamma stödprocesser kommunstyrelsen respektive nämnden för Service ansvarar för framgår av deras respektive reglementen och informationshanteringsplaner.
Interna personuppgiftsbiträden
När en nämnd sköter drift, utveckling, tekniskt underhåll eller support av ett system som en annan nämnd använder för sin personuppgiftsbehandling är den nämnden personuppgiftsbiträde. I regel är det Nämnden för Service som är internt personuppgiftsbiträde för andra nämnder inom Kungsbacka kommun.
När en nämnd agerar personuppgiftsbiträde för en annan nämnd ska den uppfylla de krav som ställs på personuppgiftsbiträden enligt dataskyddslagstiftningen och de här riktlinjerna.
Publika tjänster och myndighetstjänster
Kommunen använder sig av publika tjänster och myndighetstjänster, vilket i vissa fall inbegriper personuppgiftsbehandling. Gemensamt för publika tjänster och myndighetstjänster är att Kungsbacka kommun inte kan ställa krav på funktionalitet och inte heller äger informationen i systemet.3 Det ska därför inte tecknas något personuppgiftsbiträdesavtal gällande dessa tjänster.
Varje personuppgiftsansvarig inom kommunen bär själv ansvaret för att nyttja dessa tjänster på ett sätt som stämmer överens med dataskyddslagstiftningen. Som stöd kan kommunstyrelsens förvaltning besluta om kommungemensamma styrdokument för användningen av vissa tjänster.
Uppgifter enligt dataskyddslagstiftningen
Under följande rubriker fastställs de olika nämndernas ansvar för olika uppgifter enligt GDPR.
Behandlingsregister
Personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register över sina behandlingar av personuppgifter (behandlingsregister).
3 För mer information om publika tjänster och myndighetstjänster se dokumentet Modell för digitala tjänster och system.
Behandlingsregister ska upprättas skriftligen, vara tillgängliga i elektroniskt format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Integritetsskyddsmyndigheten, IMY. Vad som ska finnas med i registret beskrivs i artikel 30 i dataskyddsförordningen.
I Kungsbacka kommun används behandlingsregistren också som ett sätt att dokumentera i vilka fall det finns gemensamt personuppgiftsansvar mellan nämnder och om nämnden för Service – eller någon annan nämnd – är personuppgiftsbiträde för en viss behandling.
Personuppgiftsansvarig nämnd
Varje nämnd ska löpande föra ett register över vilka personuppgifter som behandlas i den egna verksamheten. Behandlingsregistret ska utgå ifrån en processorienterad klassificeringsstruktur. Utöver de uppgifter som anges i artikel 30 GDPR ska det anges vilket system som används samt laglig grund för behandlingen. Om systemet är kommungemensamt ska det anges. Om nämnden för Service – eller någon annan nämnd – är personuppgiftsbiträde för behandlingen ska det anges.
Gemensamt personuppgiftsansvar
Kommungemensamma stödprocesser
Kommunstyrelsen och nämnden för Service för register över behandlingen för de kommungemensamma stödprocesser som de utför. Utöver de uppgifter som anges i artikel 30 ska det också anges vilket system som används, att det är gemensamt personuppgiftsansvar med övriga nämnder och om nämnden för Service ansvarar för drift av systemet.
De andra nämnderna ska notera behandlingen och ange vilken nämnd av nämnden för Service eller kommunstyrelsen som ansvaret är gemensamt med.
I andra fall då två eller flera nämnder samarbetar och har gemensamt personuppgiftsansvar ska varje nämnd förteckna behandlingen. I registret ska också anges vilket system som används och vilken eller vilka nämnder som personuppgiftsansvaret är gemensamt med.
Nämnd som är personuppgiftsbiträde
Nämnden för Service – eller en annan nämnd som är personuppgiftsbiträde – ska föra register över de behandlingar som den utför för andra nämnders räkning. I registret ska anges de uppgifter som framgår av artikel 30.2 GDPR.
I förteckningen ska det anges systemets namn och behandlingens föremål, vilka kategorier av behandling som nämnden utför och vilka nämnder som använder systemet. För behandlingens ändamål, behandlingens varaktighet, typ av personuppgifter och kategorier av registrerade hänvisas till respektive personuppgiftsansvarig nämnds behandlingsregister.
Incidentrapportering
En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att fri- och rättigheterna inskränks. En
personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade eller på annat sätt kommit i orätta händer genom exempelvis obehörig åtkomst eller obehörigt röjande.
En personuppgiftsincident ska anmälas till IMY inom 72 timmar från att den personuppgiftsansvarige har fått vetskap om incidenten. Om det är osannolikt att incidenten medför risk för enskilda personers fri- och rättigheter behöver incidenten dock inte anmälas till IMY, se artikel 33 GDPR.
Alla incidenter ska rapporteras så fort de upptäcks genom en intern e-tjänst för incidentrapportering. Anmälan tas emot av dataskyddskontakt på den berörda förvaltningen.
Som huvudregel är det den personuppgiftsansvariga nämnden som utreder, dokumenterar och anmäler incidenten till tillsynsmyndigheten.
Om en personuppgiftsincident beror på ett fel eller intrång i ett kommungemensamt system gör istället kommunstyrelsen eller nämnden för Service, beroende på vem av dem som har ägarskap över systemet, detta. De personuppgiftsansvariga nämnder som berörs ska informeras om incidenten och om kommunstyrelsens respektive nämnden för Services utredning, bedömning och hantering.
Dokumentation av incidenten skickas till de berörda nämnderna för kännedom.
Om en personuppgiftsincident beror på ett fel eller intrång i ett system som används gemensamt av två eller flera nämnder, men som inte är kommungemensamt, ska den nämnd som har ägarskap över systemet ansvara för utredning, dokumentation och anmälan.
Det är alltid den personuppgiftsansvariga som bär ansvaret för att en personuppgiftsincident som ska anmälas blir anmäld. Om en personuppgifts- ansvarig nämnd inte håller med ägarnämndens bedömning att anmälan inte behövs, ska den själv anmäla incidenten.
Dataskyddsombudet ska alltid underrättas om en inträffad personuppgiftsincident och ges möjlighet att följa ärendets handläggning.
Anmälda incidenter ska följas upp och analyseras av varje förvaltning inom ramen för det systematiska dataskyddsarbetet. Kommunstyrelsens förvaltning följer även upp på kommunövergripande nivå inom ramen för sin uppsiktsplikt.
Underrättelse till de registrerade
Om en incident sannolikt leder till en hög risk för enskilda personers fri- och rättigheter måste de registrerade underrättas utan onödigt dröjsmål. Ansvaret för att det sker ligger på personuppgiftsansvarig men berörda roller på flera förvaltningar behöver samarbeta för att säkerställa att information kan lämnas så snart som möjligt och på lämpligt sätt. Vägledande för vem som gör vad ska vara vad som är mest effektivt. Om incidenten beror på ett fel eller intrång i en tjänst eller system som används av flera nämnder samordnar den nämnd som har ägarskapet arbetet.
Konsekvensbedömning
Om en behandling sannolikt leder till en hög risk för fysiska personers fri- och rättigheter ska en konsekvensbedömning avseende dataskydd göras.
Konsekvensbedömningen ska göras innan behandlingen påbörjas och dataskyddsombudet ska rådfrågas. Konsekvensbedömningen görs för att
• ta reda på vilka risker som finns med att behandla personuppgifter
• ta fram rutiner och åtgärder för att sänka dessa risker
• visa att man uppfyller GDPR:s krav.
Tröskelanalys
För att avgöra om en behandling sannolikt leder till en hög risk ska en tröskelanalys göras. Tröskelanalysen ska dokumenteras. Analysen utgår från fastställda kriterier.4 Om fler än två av kriterierna är uppfyllda ska en konsekvensbedömning som huvudregel genomföras. Konsekvensbedömning är obligatoriskt om behandlingen ”sannolikt leder till hög risk för fysiska personers rättigheter och friheter”.5 Även om en behandling uppfyller två eller flera kriterier kan bedömningen vara att behandlingen sannolikt inte leder till hög risk. Då ska en motivering till bedömningen dokumenteras och dataskyddsombudet ska ges tillfälle att yttra sig.
Samarbete om konsekvensbedömning
Det är den personuppgiftsansvariga som är ansvarig för att se till att en konsekvens- bedömning utförs, men den kan genomföras av någon annan.6 En enda konsekvensbedömning kan användas för att bedöma flera behandlingar som liknar varandra vad gäller art, omfattning, innehåll, ändamål och risker.
En konsekvensbedömning kan även vara gemensam för flera personuppgifts- ansvariga, exempelvis kommunala myndigheter, när liknande teknik används för att samla in samma slags uppgifter för samma slags ändamål. När en gemensam konsekvensbedömning görs för flera personuppgiftsansvariga kallas det för referenskonsekvensbedömning.7
I Kungsbacka kommun ska vi sträva efter att göra tröskelanalyser och konsekvensbedömningar gemensamt så långt det är möjligt. Kommunstyrelsen gör tröskelanalyser och referenskonsekvensbedömningar för kommungemensamma digitala tjänster och system. När det är lämpligt gör nämnden för Service referenskonsekvensbedömningar för de system och tjänster som nämnden ansvarar för inom ramen för sitt uppdrag enligt reglemente.
En referenskonsekvensbedömning gäller för alla personuppgiftsansvariga nämnder och delas med de andra nämnderna. En personuppgiftsansvarig som inte håller med om bedömningen i en gemensam tröskelanalys eller referenskonsekvensbedömning är oförhindrad att ta fram en separat konsekvensbedömning för sin behandling. Referenskonsekvensbedömningen kan också kompletteras utifrån det egna verksamhetsområdet.
En gemensam konsekvensbedömning kan också tas fram av två eller flera nämnder inom kommunen, eller i ett annat lämpligt samarbete – till exempel med nämnder i andra kommuner som planerar för en liknande behandling.
4 Kriterierna finns i artikel 35.3 GDPR och i en förteckning som beslutats av Datainspektionen, numera IMY. Kriterierna är inarbetade i den mall för konsekvensbedömning som tagits fram av kommunstyrelsens förvaltning.
5 Artikel 35.1, illustrerat av artikel 35.3 och kompletterat av artikel 35.4, GDPR
6 Artikel 29-gruppens riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, Sid 16
7 Artikel 29-gruppens riktlinjer om konsekvensbedömning, Sid 8
En referenskonsekvensbedömning delas eller görs allmänt tillgänglig. Åtgärder som beskrivs i konsekvensbedömningen ska genomföras och det ska motiveras varför en enda konsekvensbedömning har utförts.
De registrerades rättigheter
De personer vars personuppgifter behandlas kallas för de registrerade. Enligt dataskyddsförordningen har de registrerade ett antal rättigheter gentemot personuppgiftsansvariga. Kungsbacka kommun har en gemensam e-tjänst för att använda rätten till tillgång (registerutdrag), rättelse, återkallelse av samtycke, begränsning, dataportabilitet, invändning mot behandling och radering.
E-tjänsten finns publicerad på kommunens hemsida och i anslutning till den ges information om de registrerades rättigheter. Tjänsten är gemensam för samtliga personuppgiftsansvariga nämnder inom kommunen, inklusive kommunstyrelsen och revisionen, och begäran handläggs enligt kommungemensamma processer för respektive rättighet. Kommunstyrelsens förvaltning tar emot de ärenden som kommer via e-tjänsten och samordnar handläggningen.
Registrerade som inte kan använda sig av e-tjänsten har möjlighet att få hjälp inom ramen för kommunens serviceskyldighet.
Flera av de registrerades rättigheter gäller i begränsad omfattning i offentlig förvaltning. En begäran från den registrerade ska prövas och den registrerade ska få ett beslut som kan överklagas om begäran avslås. Vilka beslut som kan överklagas framgår av 7 kap. 2 § dataskyddslagen.
En begäran som riktar sig mot flera personuppgiftsansvariga i kommunen handläggs gemensamt av kommunstyrelsens eller nämnden för Service förvaltning om det är lämpligt.8 Beslut måste dock fattas av varje personuppgiftsansvarig för sig.
Information till de registrerade
Den registrerade har rätt att få information om personuppgiftsbehandlingen. Vad informationen ska omfatta regleras i dataskyddslagstiftningen.
Generell information om kommunens personuppgiftsbehandling publiceras på kommunens hemsida. Kommunstyrelsen ansvarar för den kommunövergripande informationen, medan varje personuppgiftsansvarig nämnd ansvarar för att lämna information om sin egen behandling.
Information ska i många fall också lämnas när personuppgifterna samlas in. Om, och hur, information ska lämnas måste avgöras från fall till fall. Varje personuppgiftsansvarig ansvarar för att informationsskyldigheten uppfylls i den egna verksamheten.
Riktlinjer för Personuppgiftbehandlingen
Externa biträden och underbiträden
Personuppgiftsansvariga inom Kungsbacka kommun anlitar endast personuppgiftsbiträden och underbiträden som ger tillräckliga garantier om att
8 Det är inte lämpligt med gemensam handläggning om begäran rör känsliga personuppgifter eller sekretessbelagd information som inte är lämplig att dela utanför myndighetsgränsen.
genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dataskyddslagstiftningen och säkerställer att de registrerades rättigheter skyddas.
Personuppgiftsbiträdesavtal ska alltid tecknas. Personuppgiftsbiträdesavtal ska säkerställa att hanteringen sker i enlighet med kraven i artikel 28.3 a-h i GDPR och nedanstående riktlinjer.
Lämplig säkerhet för personuppgifterna
Informationen i kommunens digitala tjänster och system ska klassas utifrån Kungsbacka kommuns rutin för informationsklassning. De informations- säkerhetskrav som kommit fram genom informationsklassningen, och ytterligare krav som kommit fram genom eventuell konsekvensbedömning utgör de krav på lämplig säkerhet som ska ställas vid behandling av personuppgifterna. Dessa krav ska dokumenteras och följas upp inom ramen för modellen för digitala tjänster och system.
Kommunstyrelsen ansvarar för att informationsklassning genomförs avseende kommungemensamma digitala tjänster och system.
För övriga system tillhandahåller kommunstyrelsen specialistkompetens som stöttar vid informationsklassningen.
Överföring av personuppgifter till tredje land
Kungsbacka kommun ska sträva efter att personuppgifter hanteras och lagras inom EU/EES.
Om personuppgifter förs över till tredje land ska det ske i överensstämmelse med kapitel 5 i GDPR och en så kallad överföringsanalys9 ska göras. Om det gäller känsliga personuppgifter ska en särskild analys göras av om överföringen överensstämmer med artikel 9.3.
Vid risk för överföring till tredje land på grund av att det tredje landet har en lagstiftning som gör att personuppgiftsbiträdet kan bli skyldig att dela uppgifter med myndigheterna i landet, ska skydds- och kontrollåtgärder vidtas så att ett tillräckligt skydd uppnås.
Överföring av personuppgifter mellan system
Personuppgifter i kommunens system får föras över via tekniska integrationer till och från system inom kommunen, under förutsättning att personuppgifterna behövs för ändamålet med behandlingen i det mottagande systemet och det inte är oförenligt med det ursprungliga ändamålet, enligt artikel 5.1 b GDPR.
Personuppgifter får inte föras över om det mottagande systemet inte har en lämplig säkerhet för uppgifterna.
Vidareutnyttjande av personuppgifter inom kommunen
Innan personuppgifter behandlas för ett annat ändamål än de samlats in för ska det göras en analys av om det nya ändamålet är förenligt med det ursprungliga. Vid bedömningen ska, enligt artikel 6.4 GDPR, hänsyn tas till
9 Transfer Impact Assessment
• sambandet mellan det ursprungliga ändamålet och det nya ändamålet
• i vilket sammanhang uppgifterna samlades in (vilket är förhållandet mellan kommunen och den enskilda personen?)
• uppgifternas typ och karaktär (är de känsliga?)
• möjliga konsekvenser av den avsedda vidare behandlingen (hur kommer den att påverka den enskilda personen?)
• huruvida det har vidtagits lämpliga skyddsåtgärder (såsom kryptering eller pseudonymisering).
Om uppgifterna samlats in grundat på samtycke eller enligt ett lagstadgat krav, är ingen vidare behandling möjlig utanför de områden som omfattas av det ursprungliga samtycket eller lagkravet. Vidare behandling kräver i så fall ett nytt samtycke eller en ny rättslig grund och att uppgifterna istället samlas in på nytt.
Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål anses inte vara oförenlig med de ursprungliga ändamålen.
Sekretess
Inom kommunen gäller tystnadsplikt enligt offentlighets- och sekretesslagens (OSL) bestämmelser. Utöver det ska personuppgifter alltid behandlas varsamt och konfidentiellt. Behörighet till personuppgifter ska bara ges till anställda och osjälvständiga uppdragstagare10 som behöver tillgång till uppgifterna för att utföra sina uppgifter. Det ska finnas rutiner för att regelbundet granska vilka som har tillgång till personuppgifter och ta bort behörigheter som inte längre behövs.
När ett externt personuppgiftsbiträde eller underbiträde anlitas ska det säkerställas att de personer som har tillgång till personuppgifter omfattas av lagstadgad eller avtalsrättslig tystnadsplikt. Avtalsrättslig tystnadsplikt är inte alltid tillräcklig. En bedömning måste göras utifrån den aktuella informationen.
Xxxxxxxx och bevarande av personuppgifter
Vid gallring och arkivering av personuppgifter ska gällande lagstiftning och kommunens styrdokument gällande arkivering och informationsförvaltning tillämpas.
När ett externt personuppgiftsbiträde eller underbiträde anlitas ska det säkerställas att biträdet är skyldig att radera eller återlämna alla personuppgifter och radera eventuella kopior när personuppgiftsbehandlingen upphör.
Inspektion och granskning
Kommunens samlade personuppgiftsbehandling granskas genom ordinarie rutiner för intern kontroll och revision. Därutöver ska varje personuppgiftsansvarig nämnd och styrelse bedriva ett systematiskt egenkontrollarbete. Granskning görs även av kommunens dataskyddsombud. Samtliga nämnder ska kunna tillhandahålla den information som behövs för granskning av personuppgiftsbehandlingen.
10 Här menas konsulter och andra uppdragstagare som står under myndighetens ledning på ett sådant sätt att den omfattas av OSL. Se 2 kap 1 § andra stycket OSL.
Kommunstyrelsen och nämnden för Service har ett utökat ansvar för att kunna redovisa att de digitala tjänster och system som används kommunövergripande uppfyller de krav som ställs och att personuppgiftsbehandlingen följs upp löpande.
Alla personuppgiftsbiträdesavtal som ingås med externa parter ska vara utformade så att biträden och underbiträden är skyldiga att tillhandahålla den information som behövs för att granska så att de krav som ställs uppfylls.
Inbyggt dataskydd och dataskydd som standard
För system där personuppgifter behandlas ska principerna om dataskydd som standard och inbyggt dataskydd beaktas. Dataskydd som standard innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst är satta så att inte mer information än nödvändigt samlas in, delas ut eller visas. Inbyggt dataskydd innebär att hänsyn ska tas till integritets- och dataskyddsprinciperna redan när IT-system och rutiner utformas.
Modellen ska fungera som ett stöd för de som arbetar med digitala tjänster och system, både för de som ansvarar för budget, förvaltar en digital tjänst eller system, arbetar med driften eller är duktiga användare i verksamheten. Modellen ska skapa samsyn och leda till ett gemensamt arbetssätt inom utveckling och förvaltning av digitala tjänster och system.
Bild: Digitala tjänster och system med tillhörande kategorier
• Publika tjänster är tillgängliga för alla i samhället och används av både privatpersoner, företag, organisationer och/eller myndigheter.
• Kungsbacka kommun kan inte ställa krav på funktionalitet i publika tjänster.
• Kungsbacka kommun äger inte den data som förekommer i publika tjänster och det upprättas därför inte något personuppgiftsbiträdesavtal.1
• Det finns inga licenskostnader för publika tjänster. Däremot kan det förekomma kostnader för att nyttja tjänsten.
• Det finns ett gränssnitt i publika tjänster som vänder sig till slutanvändaren.
• Slutanvändaren kan inte personifiera gränssnittet i publika tjänster. Exempel publika tjänster: Facebook, Instagram, Spotify
1 Det kan finnas undantag för publika tjänster där personuppgifter förekommer, exempelvis vid gemensamt ansvar med tillhandahållaren. I dessa undantagsfall ska det finnas ett personuppgiftsbiträdesavtal mellan personuppgiftsansvarig och personuppgiftsbiträde eller ett avtal om gemensamt personuppgiftsansvar.
• En myndighetstjänst tillhandahålls av en myndighet och tjänsten är till för andra myndigheter med syfte att dela information.
• Kungsbacka kommun kan inte ställa krav på funktionalitet eller drift av myndighetstjänster.
• Kungsbacka kommun äger inte den data som förekommer i myndighetstjänster och det upprättas därför inte något personuppgiftsbiträdesavtal.2
• Det är kostnadsfritt att nyttja myndighetstjänster.
• Det finns ett gränssnitt i myndighetstjänster som vänder sig till slutanvändaren.
• Slutanvändaren kan inte personifiera gränssnittet i myndighetstjänster. Exempel myndighetstjänst: Sjunet, NPÖ, Pascal, SITHS Admin
• Kommersiella tjänster används av myndigheter, företag och organisationer.
• Kommersiella tjänster omfattar även funktioner som identifiering och autentisering.
• Kungsbacka kommun kan inte ställa krav på funktionalitet eller drift av kommersiella tjänster.
• I de fall det förekommer personuppgifter i kommersiella tjänster ska det finnas ett personuppgiftsbiträdesavtal mellan personuppgiftsansvarig och personuppgiftsbiträdet.
• Kungsbacka kommun betalar en avgift för att kunna nyttja kommersiella tjänster.
• Det ska finns ett avtal mellan Kungsbacka kommun och leverantören av kommersiell tjänst.
• Det finns ett gränssnitt i den kommersiella tjänsten som vänder sig till slutanvändaren.
• Slutanvändare kan personifiera gränssnittet i kommersiella tjänster.
Exempel kommersiella tjänster: Ekopost, Kivra, Digitala invånarmöten, SMS från Outlook
• Ett digitalt verktyg stöder ett eller flera moment och underlättar för en verksamhetsprocess.
• Kungsbacka kommun kan inte ställa krav på funktionalitet eller driftsform av digitalt verktyg.
• I de fall det förekommer personuppgifter i digitalt verktyg ska det finnas ett personuppgiftsbiträdesavtal mellan personuppgiftsansvarig och personuppgiftsbiträdet.
• Kungsbacka kommun betalar en avgift för att kunna nyttja digitalt verktyg.
• Det ska finnas ett avtal mellan Kungsbacka kommun och leverantören av digitalt verktyg.
• Det finns ett gränssnitt i det digitala verktyget som vänder sig till slutanvändaren.
• Slutanvändare kan personifiera gränssnittet i digitalt verktyg. Exempel digitala verktyg: KIA, AutoCad, Mashie
• Ett verksamhetssystem stöder ett eller flera moment och underlättar för en eller flera verksamhetsprocesser.
2 Det kan finnas undantag för myndighetstjänster där personuppgifter förekommer, exempelvis vid gemensamt ansvar med tillhandahållaren. I dessa undantagsfall ska det finnas ett personuppgiftsbiträdesavtal mellan personuppgiftsansvarig och personuppgiftsbiträde eller ett avtal om gemensamt personuppgiftsansvar.
• Kungsbacka kommun kan ställa krav på funktionalitet och/eller driftsform av verksamhetssystemet tillsammans med leverantör
• Det ska finnas ett avtal mellan Kungsbacka kommun och leverantören av verksamhetssystemet.
• I de flesta verksamhetssystem förekommer personuppgifter och det ska då finnas ett personuppgiftsbiträdesavtal mellan personuppgiftsansvarig och personuppgiftsbiträdet.
• Kungsbacka kommun betalar en avgift för att kunna nyttja verksamhetssystemet.
• Det finns ett gränssnitt i verksamhetssystemet som vänder sig till slutanvändaren.
• Slutanvändare kan personifiera gränssnittet i verksamhetssystemet. Exempel verksamhetssystem: Stratsys, Raindance, Combine, Personec
• I en plattform finns det möjlighet för utvecklare att bygga funktionalitet eller tjänster till slutanvändare.
• Kungsbacka kommun kan ställa krav på funktionalitet och drift av plattformen.
• I de fall det förekommer personuppgifter i plattformen ska det finnas ett personuppgiftsbiträdesavtal mellan personuppgiftsansvarig och personuppgiftsbiträdet.
• Kungsbacka kommun betalar en avgift för att kunna nyttja plattformen.
• Det ska finnas ett avtal mellan Kungsbacka kommun och leverantören av plattformen.
• Det finns ett gränssnitt som vänder sig till en utvecklare. Slutanvändaren har inte ett gränssnitt i plattformen eftersom det som utvecklas presenteras utanför plattformen.
• Utvecklaren kan personifiera gränssnittet i plattformen. Exempel plattform: Sitevision, Open ePlatform, M365, Blueprism
• IT-infrastruktur består av fysiska komponenter och dess mjukvara som används för att kunna kommunicera med kommunens övriga digitala tjänster och system. I modellen för digitala tjänster och system är det mjukvaran som ingår.
• Kungsbacka kommun kan ställa krav på funktionalitet i IT-infrastrukturen.
• I de fall det förekommer personuppgifter i IT-infrastrukturen ska det finnas ett personuppgiftsbiträdesavtal mellan personuppgiftsansvarig och personuppgiftsbiträdet.
• Kungsbacka kommun betalar en avgift för att kunna nyttja IT-infrastrukturen.
• Det ska finnas ett avtal mellan Kungsbacka kommun och leverantören av IT-infrastruktur.
• Det finns ett gränssnitt som vänder sig till en administratör.
Exempel IT-infrastruktur: Active Directory (AD), Domain Name Server (DNS), Active Directory Federation Service (ADFS)
• En kommungemensam digital tjänst eller system stöder en eller flera processer som berör alla förvaltningar.
• En kommungemensam digital tjänst eller system ägs av Kommunstyrelsens förvaltning eller Förvaltningen för Service vilken utses vid anskaffningen.
• Kommunstyrelsens förvaltning eller Förvaltningen för Service ansvarar för budget.
• Processägaren för den process som den digitala tjänsten eller systemet stöder är organiserad på Kommunstyrelsens förvaltning eller Förvaltningen för Service.
• Systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare eller områdesansvarig behöver inte vara organiserad på Kommunstyrelsens förvaltning eller Förvaltningen för Service.
• En förvaltningsspecifikt digital tjänst eller system stöder en eller flera processer som berör en eller flera förvaltningar (ej alla).
• En förvaltningsspecifik digital tjänst eller system används av en eller fler förvaltningar (ej alla) och ägs av en förvaltning som utses vid anskaffning.
• Förvaltningarna som använder den digitala tjänsten eller systemet ansvarar själva för sin budget.
• Processägare för den process som den digitala tjänsten eller systemet stöder finns på samtliga förvaltningar som nyttjar tjänsten eller systemet.
• Systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare eller områdesansvarig är organiserad på en eller flera förvaltningar.
Ägare - Ägare är alltid förvaltningschef eller biträdande kommundirektör.3 Ägaren har det yttersta ansvaret för digital tjänst eller system.
Budgetansvarig – Budgetansvarig är en chef och med fördel processägaren eller den tjänsteperson som är mycket kunnig på processen/processerna som den digitala tjänsten eller systemet stöder. Budgetansvarig ansvarar för den budget som hör till den digitala tjänsten eller systemet.
Systemförvaltare - Systemförvaltaren leder det operativa arbetet för verksamhetssystemet och samarbetar med flera roller. En systemförvaltare har mycket goda kunskaper inom IT och viss kunskap om tekniken och integrationer.
Tjänsteförvaltare – Tjänsteförvaltaren leder det operativa arbetet för plattformen och samarbetar med flera roller. En tjänsteförvaltare har mycket goda kunskaper inom IT och viss kunskap om tekniken och integrationer.
Huvudansvarig superanvändare – Huvudansvarig superanvändare leder det operativa arbetet för publik tjänst, myndighetstjänst, kommersiell tjänst eller digitalt verktyg. För huvudansvarig superanvändare av publik tjänst eller myndighetstjänst finns inga kunskapskrav inom IT. En huvudansvarig superanvändare av kommersiell tjänst har viss kunskap inom IT. En huvudansvarig superanvändare av digitalt verktyg har god kunskap inom IT.
3 Ägare för IT-infrastruktur är alltid verksamhetschef för Digitalt center.
Områdesansvarig - Områdesansvarig leder det operativa arbetet av IT-infrastruktur och samarbetar med flera roller. En områdesansvarig har mycket goda kunskaper inom IT och viss kunskap om tekniken och integrationer.
Systemadministratör - Systemadministratören utför uppgifter på uppdrag av systemförvaltaren eller områdesansvarig och syftet är att avlasta systemförvaltaren eller områdesansvarig. En systemadministratör har viss kunskap inom IT.
Teknisk systemförvaltare – Ansvarar för den tekniska förvaltningen och har en tät dialog med systemförvaltare, tjänsteförvaltare eller huvudansvarig superanvändare. En teknisk systemförvaltare har mycket goda kunskaper inom IT, tekniken och integrationer. Teknisk systemförvaltare arbetar på Digitalt center.
Produktägare – Ansvarar för den tekniska förvaltningen av IT-infrastruktur och har en tät dialog med områdesansvarig. En produktägare har mycket goda kunskaper inom IT, tekniken och integrationer. Produktägaren arbetar på Digitalt center.
Superanvändare - Användare som är mycket kunnig på användningen av digital tjänst eller system i den egna verksamheten. Superanvändaren kan ge support och utbilda andra.
Användare – De som använder digitala tjänsten eller systemets funktioner för att underlätta i olika moment i sitt arbete.
Informationsägare - Nämnd eller styrelse som har det yttersta ansvaret för informationsinnehållet i den digitala tjänsten och systemet.
Informationsförvaltare - Ansvarar för samordning och förvaltning av informationen i den digitala tjänsten och systemet. Informationsförvaltaren har mycket goda kunskaper om informationen och ansvarar för hur den lagras. Informationsförvaltaren har ett nära samarbete med systemförvaltaren, tjänsteförvaltaren, huvudansvarig superanvändare eller områdesansvarig.
Personuppgiftsansvarig verksamhet - Nämnd som är personuppgiftsansvarig enligt kommunens reglementen och därmed ska bestämma om ändamål och medel för behandlingen.
Biträdesverksamhet - Nämnd som hanterar personuppgifter för en annan personuppgiftsansvarig nämnds räkning.
Processägare – Ansvarar för att processen som helhet är ändamålsenligt och effektiv. Processägaren är med fördel även budgetansvarig och har en tät dialog med systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare och områdesansvarig. I Kungsbacka kommuns processmodell finns mer information att läsa om rollen.
Processledare – Ansvarar för det löpande och operativa utvecklings- och underhållsarbetet i processen. I Kungsbacka kommuns processmodell finns mer information att läsa om rollen.
Leverantör – Företag, myndighet eller organisation som tillhandahåller den digitala tjänsten eller systemet.
För publika tjänster och myndighetstjänster finns det alltid en huvudansvarig superanvändare. De som använder publika tjänster och myndighetstjänster är användare i verksamheten.
Bild: Roller publika tjänster och myndighetstjänster
Obligatorisk roll för publika tjänster och myndighetstjänster:
• Huvudansvarig superanvändare
Obligatorisk roll bör vara utsedd vid anskaffningen av ny publik tjänst eller myndighetstjänst.
För kommersiella tjänster finns det alltid en ägare, en budgetansvarig och en huvudansvarig superanvändare. De som använder kommersiella tjänster är användare i verksamheten.
Bild: Roller kommersiella tjänster
Obligatoriska roller för kommersiella tjänster:
• Ägare
• Budgetansvarig
• Huvudansvarig superanvändare
Obligatoriska roller bör om möjligt vara utsedda vid anskaffningen av ny kommersiell tjänst. I de fall Kungsbacka kommun inte betalar en avgift för att nyttja tjänsten är budgetansvarig inte obligatorisk.
Det finns även intressenter som behöver samverka kring kommersiella tjänster. Identifierade intressenter är; informationsägare, processägare och leverantör. Samtliga har ett ansvar att samarbeta med andra roller och intressenter.
För digitala verktyg finns det alltid en ägare, en budgetansvarig, en huvudansvarig superanvändare och en teknisk systemförvaltare. Om det är flera förvaltningar som använder digitalt verktyg kan det finnas flera budgetansvariga. De som använder digitala verktyg är användare i verksamheten. För digitala verktyg med många användare och användare på flera förvaltningar är det vanligt att man utser superanvändare, oftast en eller ett fåtal per förvaltning. Det finns en processägare som ansvar för processen i digitalt verktyg.
Bild: Roller digitala verktyg
Obligatoriska roller för digitala verktyg:
• Ägare
• Budgetansvarig
• Huvudansvarig superanvändare
• Teknisk systemförvaltare
• Processägare
Obligatoriska roller bör om möjligt vara utsedda vid anskaffningen av nytt digitalt verktyg. Övriga roller är frivilliga och tillämpas efter behov.
Det finns även intressenter som behöver samverka kring digitala verktyg. Identifierade intressenter är; informationsägare, informationsförvaltare, processledare och leverantör. Samtliga har ett ansvar att samarbeta med andra roller och intressenter.
För verksamhetssystem finns det alltid en ägare, en budgetansvarig, en systemförvaltare och en teknisk systemförvaltare. Om det är flera förvaltningar som använder verksamhetssystemet kan det finnas flera budgetansvariga. Vanligtvis finns det en systemförvaltare men om verksamhetssystemet kräver kan det finnas fler än en systemförvaltare. Om det är ett verksamhetssystem med många användare, som stöder flera processer eller med komplexa integrationer utses ofta en eller ett fåtal systemadministratörer som kan avlasta systemförvaltaren i dess uppgifter. De som använder verksamhetssystemet är användare i verksamheten. För verksamhetssystem med många användare och användare på flera förvaltningar är det vanligt att man utser superanvändare, oftast en eller ett fåtal per förvaltning. Det finns en processägare som ansvar för processen i verksamhetssystemet.
Bild: Roller verksamhetssystem
Obligatoriska roller för verksamhetssystem:
• Ägare
• Budgetansvarig
• Systemförvaltare
• Teknisk systemförvaltare
• Processägare
Obligatoriska roller bör om möjligt vara utsedda inför upphandling av nytt verksamhetssystem. Övriga roller är frivilliga och tillämpas efter behov.
Det finns även intressenter som behöver samverka kring verksamhetssystem. Identifierade intressenter är; informationsägare, informationsförvaltare, processledare och leverantör. Samtliga har ett ansvar att samarbeta med andra roller och intressenter.
För plattformen finns det alltid en ägare, en budgetansvarig, en tjänsteförvaltare och en teknisk systemförvaltare. Om det är flera förvaltningar som använder plattformen kan det finnas flera budgetansvariga. Vanligtvis finns det en tjänsteförvaltare men om plattformen kräver kan det finnas fler än en tjänsteförvaltare. De som använder plattformen är användare4 i verksamheten. För plattformar med många användare och användare på flera förvaltningar är det vanligt att man utser superanvändare, oftast en eller ett fåtal per förvaltning. Det finns en processägare som ansvar för processen i plattformen.
4 Kan även kallas utvecklare då de som använder plattformen utvecklar för en slutanvändare. Slutanvändaren har inte ett gränssnitt i plattformen eftersom det som utvecklas presenteras utanför plattformen.
Bild: Roller plattform
Obligatoriska roller för plattformar:
• Ägare
• Budgetansvarig
• Tjänsteförvaltare
• Teknisk systemförvaltare
• Processägare
Obligatoriska roller bör om möjligt vara utsedda inför upphandling av ny plattform. Övriga roller är frivilliga och tillämpas efter behov.
Det finns även intressenter som behöver samverka kring plattformen. Identifierade intressenter är; informationsägare, informationsförvaltare, processledare och leverantör. Samtliga har ett ansvar att samarbeta med andra roller och intressenter.
För IT-infrastruktur finns det alltid en ägare, en budgetansvarig, en områdesansvarig och en produktägare. Om det är en IT-infrastruktur med många användare, som stöder flera processer eller med komplexa integrationer utses ofta en eller ett fåtal systemadministratörer som kan avlasta områdesansvarig i dess uppgifter. De som använder infrastrukturen är användare i verksamheten.
Bild: Roller IT-infrastruktur
Obligatoriska roller för IT-infrastruktur:
• Ägare
• Budgetansvarig
• Områdesansvarig
• Produktägare
Obligatoriska roller bör om möjligt vara utsedda inför upphandling av IT-infrastruktur. Övriga roller är frivilliga och tillämpas efter behov.
Det finns även intressenter som behöver samverka kring IT-infrastrukturen. Identifierade intressenter är; informationsägare, processägare och leverantör. Samtliga har ett ansvar att samarbeta med andra roller och intressenter.
För samtliga kommersiella tjänster, digitala verktyg, verksamhetssystem, plattformar och IT-infrastrukturer är det obligatoriskt med en utsedd ägare. Ägaren är alltid förvaltningschef eller biträdande kommundirektör. Undantaget är för IT-infrastruktur där verksamhetschef för Digitalt center är ägare. Ägaren har det yttersta ansvaret för den digitala tjänsten eller systemet. Ägaren kan delegera uppgifter inom verksamheten men kan inte frånsäga sig ansvaret. När en ny digital tjänst eller system anskaffas ska ägaren utses innan upphandling påbörjas. I de fall det inte sker någon upphandling ska ägaren utses vid anskaffningen. Ägaren kan komma att delta vid möten med leverantör när frågor där ägaren har ett ansvar är aktuella.
Om digital tjänst eller system organisatoriskt definieras som förvaltningsspecifik och används av fler än en förvaltning ska ägaren ha ett nära samarbete med förvaltningschefer/biträdande kommundirektör på de förvaltningar som även nyttjar digital tjänst eller system.
För publika tjänster och myndighetstjänster finns inte någon ägare. Om publika tjänster eller myndighetstjänster har en utpekad process är processägaren ytterst ansvarig.
I rollen som ägare har man ett ansvar för de digitala tjänster och system som man är utsett ansvarig för.
• Ägaren ansvarar för att digital tjänst eller system kan finansieras under avtalstiden.
• Ägaren utser budgetansvarig med tillhörande budget för digital tjänst och system.
• Ägaren utser systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare eller områdesansvarig.
• Ägaren beslutar om att säga upp eller förlänga avtal.5
• Ägaren ansvarar för att personuppgiftsbiträdesavtal är upprättat med leverantör för de digitala tjänster och system som innehåller personuppgifter.6
• Ägaren godkänner och beslutar om föreslagna åtgärder efter informationsklassning enligt handlingsplan.
5 I nämndens delegeringsförteckning framgår vem som har delegation på att säga upp, förlänga och underteckna avtal. För digitala tjänster och system är det en fördel om ägaren är den som beslutar om att säga upp eller förlänga avtal.
Kommunstyrelsen tecknar personuppgiftsbiträdesavtal för alla kommungemensamma digitala tjänster och system och för de digitala tjänster och system som används av mer än en nämnds förvaltningar.
avgift för att nyttja tjänsten. Budgetansvarig utses innan upphandling och i de fall det inte sker någon upphandling ska budgetansvarig utses vid anskaffningen.
Det är fördelaktigt om budgetansvarig även är processägare eller har mycket goda kunskaper om processen/processerna som digitala tjänsten eller systemet stöder. I annat fall ska budgetansvarig rådfråga processägaren och ha ett nära samarbete.
För publika tjänster och myndighetstjänster betalar Kungsbacka kommun ingen avgift för att nyttja tjänsten och därmed finns inte någon budgetansvarig.
I rollen som budgetansvarig har man ett ansvar för de digitala tjänster och system som man är utsett budgetansvarig för.
• Budgetansvarig ansvarar för att godkänna årlig budget för digital tjänst eller system.
• Budgetansvarig ansvarar för att godkänna årlig förvaltningsplan.
• Budgetansvarig ansvarar för att godkänna årlig uppföljningsrapport.
• Budgetansvarig säkerställer att det finns budget för de utvecklingsbehov som uppkommer utanför ramen och som tidigare inte är beslutade enligt förvaltningsplan. Budgetansvarig bör ha en tät dialog med processägaren och dessa utvecklingsbehov bör hanteras vid utvecklingsrådet.
• Budgetansvarig ska regelbundet följa upp kostnaderna tillsammans med systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare eller områdesansvarig. Eventuella avvikelser rapporteras till ägaren.
• Budgetansvarig ansvarar för att godkänna testplan och slutrapport i testarbetet vid uppgraderingar enligt Kungsbacka kommuns testmetodik.
Vid upphandling av nytt verksamhetssystem deltar systemförvaltaren i upphandlingen. En systemförvaltare har mycket god kännedom om avtalstid och vad som gäller angående upphandling och förlängning.
Systemförvaltaren leder det operativa arbetet och är expert på verksamhetssystemets funktioner och möjligheter. Systemförvaltaren har övergripande kunskap om de processer som verksamhetssystemet stöder. En systemförvaltare har mycket goda kunskaper inom IT och viss kunskap om tekniken och integrationer kring verksamhetssystemet.
I testarbetet är systemförvaltaren testledare vid uppgraderingar. Vid större utvecklingsfrågor samarbetar systemförvaltare, processägare och informationsägare.
I kommunens arbete med informationsklassning av information i verksamhetssystem deltar systemförvaltaren enligt kommunens rutin för informationsklassificering. I de fall det ska göras en konsekvensbedömning för personuppgiftsbehandlingen i det aktuella verksamhetssystemet medverkar systemförvaltaren och har en ledande roll.
För verksamhetssystem finns det både interna och externa forum och nätverk. Här deltar systemförvaltaren aktivt. Forum beskrivs vidare i avsnittet nedan, Forum. Systemförvaltaren har en tät dialog med teknisk systemförvaltare. För verksamhetssystem kan systemförvaltaren vid behov delegera uppgifter till systemadministratör.
I rollen som systemförvaltare har man ett ansvar för verksamhetssystemet som man är utsedd för.
• Systemförvaltaren omvärldsbevakar och tillser att verksamhetssystemet löpande utvecklas för att ge största möjliga nytta för verksamheten.
• Systemförvaltaren ansvarar för löpande avtalsuppföljning.
• Systemförvaltaren ansvarar för ekonomisk administration och uppföljning samt att rapportera avvikelser till budgetansvarig.
• Systemförvaltaren ansvar för att i samråd med processägare, budgetansvarig, teknisk systemförvaltare och leverantör ta beslut om nya versioner och uppgraderingar.
• Systemförvaltaren ansvarar för rutiner vid uppgraderingar.
• Systemförvaltaren ansvarar för att leda och planera testarbetet enligt Kungsbacka kommuns testmetodik.
• Systemförvaltaren ansvarar för att informera om förändringar i verksamhetssystemets funktioner.
• Systemförvaltaren ansvarar för att upprätta och revidera årlig förvaltningsplan.
• Systemförvaltaren ansvarar för att besluta om och verkställa utveckling enligt förvaltningsplanen.
• Systemförvaltaren ansvarar för att avgöra om utvecklingsinitiativ hör till verksamhetssystemets löpande utveckling eller om initiativet bör behandlas som nytt behov enligt Kungsbacka kommuns process för Nytt behov.
• Systemförvaltaren ansvarar för att upprätta årlig uppföljningsrapport.
• Systemförvaltaren ansvarar för leverantörskontakter.
• Systemförvaltaren ansvarar för att genomföra felsökningar.
• Systemförvaltaren ansvarar för att rapportera fel, ändringsönskemål och utvecklingsärenden till leverantör.
• Systemförvaltaren ansvarar för att upprätthålla dokumentationen för verksamhetssystemet. I dokumentationen ingår översikten av verksamhetssystemet och den övergripande bilden av integrationsflöden.
• Systemförvaltaren föreslår åtgärder enligt handlingsplan från informationsklassningen och ansvarar för att dessa verkställs. Systemförvaltaren ansvarar för att informera teknisk systemförvaltare om de åtgärder som teknisk systemförvaltare ansvarar för.
• Systemförvaltaren ansvarar för uppföljning av krav mot driftleverantör – drift gällande Service Level Agreement (SLA) på tillgänglighet och redundans baserat på informationsklassning.
• Systemförvaltaren ansvarar för att följa upp applikations- och teknisk drift.
• Systemförvaltaren ansvarar för att ge användare support och utbildning i verksamhetssystemet.
• Systemförvaltaren ansvarar för behörighetsadministration.
• Systemförvaltaren ansvarar för att hantera tillhörande licenser. Systemförvaltaren ansvarar även för att kommunen har rätt antal licenser, att det är rätt licenser som används, beställer nya licenser och testar licenser.7
7 Det kan finnas undantag där Digitalt center ansvarar för beställningen av licenser efter dialog med systemförvaltare.
Vid upphandling av ny plattform deltar tjänsteförvaltaren i upphandlingen. En tjänsteförvaltare har mycket god kännedom om avtalstid och vad som gäller angående upphandling och förlängning.
Tjänsteförvaltaren leder det operativa arbetet och är expert på plattformens funktioner och möjligheter. Tjänsteförvaltaren har övergripande kunskap om de processer som plattformen stöder. En tjänsteförvaltare har mycket goda kunskaper inom IT och viss kunskap om tekniken och integrationer kring plattformen.
I testarbetet är tjänsteförvaltaren testledare vid uppgraderingar.
I kommunens arbete med informationsklassning av information i plattformar deltar tjänsteförvaltaren enligt kommunens rutin för informationsklassificering. I de fall det ska göras en konsekvensbedömning för personuppgiftsbehandlingen i den aktuella plattformen medverkar tjänsteförvaltaren och har en ledande roll.
För plattformar finns det både interna och externa forum och nätverk. Här deltar tjänsteförvaltaren aktivt. Forum beskrivs vidare i avsnittet nedan, Forum. Tjänsteförvaltaren har en tät dialog med teknisk systemförvaltare.
I rollen som tjänsteförvaltare har man ett ansvar för plattformen som man är utsedd för.
• Tjänsteförvaltaren omvärldsbevakar och tillser att plattformen ger största möjliga nytta för verksamheten.
• Tjänsteförvaltaren ansvarar för löpande avtalsuppföljning.
• Tjänsteförvaltaren ansvarar för ekonomisk administration och uppföljning samt att rapportera avvikelser till budgetansvarig.
• Tjänsteförvaltaren ansvar för att i samråd med processägare, budgetansvarig, teknisk systemförvaltare och leverantör ta beslut om nya versioner och uppgraderingar.
• Tjänsteförvaltaren ansvarar för rutiner vid uppgraderingar.
• Tjänsteförvaltaren ansvarar för att leda och planera testarbetet enligt Kungsbacka kommuns testmetodik.
• Tjänsteförvaltaren ansvarar för att informera om förändringar i plattformens funktioner.
• Tjänsteförvaltaren ansvarar för att upprätta och revidera årlig förvaltningsplan.
• Tjänsteförvaltaren ansvarar för att besluta om och verkställa utveckling enligt förvaltningsplanen.
• Tjänsteförvaltaren ansvarar för att upprätta årlig uppföljningsrapport.
• Tjänsteförvaltaren ansvarar för leverantörskontakter.
• Tjänsteförvaltaren ansvarar för att genomföra felsökningar.
• Tjänsteförvaltaren ansvarar för att rapportera fel till leverantör.
• Tjänsteförvaltaren ansvarar för att upprätthålla dokumentationen för plattformen. I dokumentationen ingår översikten av plattformen och den övergripande bilden av integrationsflöden.
• Tjänsteförvaltaren föreslår åtgärder enligt handlingsplan från informationsklassningen och ansvarar för att dessa verkställs. Tjänsteförvaltaren ansvarar för att informera teknisk systemförvaltare om de åtgärder som teknisk systemförvaltare ansvarar för.
• Tjänsteförvaltaren ansvarar för uppföljning av krav mot driftleverantör – drift gällande Service Level Agreement (SLA) på tillgänglighet och redundans baserat på informationsklassning.
• Tjänsteförvaltaren ansvarar för att följa upp applikations- och teknisk drift.
• Tjänsteförvaltaren ansvarar för att ge användare support och utbildning.
• Tjänsteförvaltaren ansvarar för behörighetsadministration.
• Tjänsteförvaltaren ansvarar för att hantera tillhörande licenser. Tjänsteförvaltaren ansvarar även för att kommunen har rätt antal licenser, att det är rätt licenser som används, beställer nya licenser och testar licenser.8
Vid upphandling av ny IT-infrastruktur deltar områdesansvarig i upphandlingen. En områdesansvarig har mycket god kännedom om avtalstid och vad som gäller angående upphandling och förlängning.
Områdesansvarig leder det operativa arbetet och är expert på IT-infrastrukturens funktioner och möjligheter. Områdesansvarig har övergripande kunskap om de processer som IT-infrastrukturen stöder. En områdesansvarig har mycket goda kunskaper inom IT och viss kunskap om tekniken och integrationer kring IT-infrastrukturen.
I testarbetet är områdesansvarig testledare vid uppgraderingar. Vid större utvecklingsfrågor samarbetar områdesansvarig, processägare och informationsägare.
I kommunens arbete med informationsklassning av information i IT-infrastruktur deltar områdesansvarig enligt kommunens rutin för informationsklassificering. I de fall det ska göras en konsekvensbedömning för personuppgiftsbehandlingen i den aktuella IT-infrastrukturen medverkar områdesansvarig och har en ledande roll.
För IT-infrastruktur finns det både interna och externa forum och nätverk. Här deltar områdesansvarig aktivt. Forum beskrivs vidare i avsnittet nedan, Forum. Områdesansvarig har en tät dialog med produktägaren. För IT-infrastruktur kan områdesansvarig vid behov delegera uppgifter till systemadministratör.
I rollen som områdesansvarig har man ett ansvar för den IT-infrastruktur som man är utsedd för.
• Områdesansvarig omvärldsbevakar och tillser att IT-infrastrukturen löpande utvecklas för att ge största möjliga nytta för verksamheten.
• Områdesansvarig ansvarar för löpande avtalsuppföljning.
• Områdesansvarig ansvarar för ekonomisk administration och uppföljning samt att rapportera avvikelser till budgetansvarig.
• Områdesansvarig ansvarar för att i samråd med processägaren, budgetansvarig, produktägare och leverantör ta beslut om nya versioner och uppgraderingar.
• Områdesansvarig ansvarar för rutiner vid uppgraderingar.
• Områdesansvarig ansvarar för att leda och planera testarbetet enligt Kungsbacka kommuns testmetodik.
• Områdesansvarig ansvarar för att informera om förändringar i IT-infrastrukturens funktioner.
• Områdesansvarig ansvarar för att upprätta och revidera årlig förvaltningsplan.
• Områdesansvarig ansvarar för att besluta om och verkställa utveckling enligt förvaltningsplanen.
• Områdesansvarig ansvarar för att avgöra om utvecklingsinitiativ hör till IT-infrastrukturens löpande utveckling eller om initiativet bör behandlas som nytt behov enligt Kungsbacka kommuns process för Nytt behov.
• Områdesansvarig ansvarar för att upprätta årlig uppföljningsrapport.
• Områdesansvarig ansvarar för leverantörskontakter.
• Områdesansvarig ansvarar för att genomföra felsökningar.
• Områdesansvarig ansvarar för att rapportera fel, ändringsönskemål och utvecklingsärenden till leverantör.
• Områdesansvarig ansvarar för att upprätthålla dokumentationen för IT-infrastruktur. I dokumentationen ingår översikten av IT-infrastruktur och den övergripande bilden av integrationsflöden.
• Områdesansvarig föreslår åtgärder enligt handlingsplan från informationsklassningen och ansvarar för att dessa verkställs. Områdesansvarig ansvarar för att informera produktägaren om de åtgärder som produktägaren ansvarar för.
• Områdesansvarig ansvarar för uppföljning av krav mot driftleverantör – drift gällande Service Level Agreement (SLA) på tillgänglighet och redundans baserat på informationsklassning.
• Områdesansvarig ansvarar för att följa upp applikations- och teknisk drift.
• Områdesansvarig ansvarar för att ge användare support och utbildning.
• Områdesansvarig ansvarar för behörighetsadministration.
• Områdesansvarig ansvarar för att hantera tillhörande licenser. Områdesansvarig ansvarar även för att kommunen har rätt antal licenser, att det är rätt licenser som används, beställer nya licenser och testar licenser.9
Vid upphandling av nytt digitalt verktyg deltar huvudansvarig superanvändare i upphandlingen. En huvudansvarig superanvändare har mycket god kännedom om avtalstid och vad som gäller angående upphandling och förlängning.
Huvudansvarig superanvändare leder det operativa arbetet och är expert på det digitala verktygets funktioner och möjligheter. Huvudansvarig superanvändare har övergripande kunskap om de processer som digitalt verktyg stöder. Huvudansvarig superanvändare har goda kunskaper inom IT och viss kunskap om tekniken och integrationer som hör till det digitala verktyget.
I testarbetet är huvudansvarig superanvändare testledare vid uppgraderingar.
I kommunens arbete med informationsklassning av information i digitala verktyg deltar huvudansvarig superanvändare enligt kommunens rutin för informationsklassificering. I de fall det ska göras en konsekvensbedömning medverkar huvudansvarig superanvändare och har en ledande roll i arbetet med konsekvensbedömningen.
För digitala verktyg finns både interna och externa forum och nätverk. Här deltar huvudansvarig superanvändare aktivt. Forum beskrivs vidare i avsnittet nedan, Forum. Huvudansvarig superanvändare har en tät dialog med teknisk systemförvaltare.
I rollen som huvudansvarig superanvändare har man ett ansvar för det digitala verktyg som man är utsedd för.
9 Det kan finnas undantag där Digitalt center ansvarar för beställningen av licenser efter dialog med områdesansvarig.
• Huvudansvarig superanvändare omvärldsbevakar och tillser att digitalt verktyg ger största möjliga nytta för verksamheten.
• Huvudansvarig superanvändare ansvarar för löpande avtalsuppföljning.
• Huvudansvarig superanvändare ansvarar för ekonomisk administration och uppföljning samt att rapportera avvikelser till budgetansvarig.
• Huvudansvarig superanvändare ansvar för att i samråd med processägare, budgetansvarig, teknisk systemförvaltare och leverantör ta beslut om nya versioner.
• Huvudansvarig superanvändare ansvarar för rutiner vid uppgraderingar.
• Huvudansvarig superanvändare ansvarar för att leda och planera testarbetet enligt Kungsbacka kommuns testmetodik.
• Huvudansvarig superanvändare ansvarar för att upprätta och revidera årlig förvaltningsplan.
• Huvudansvarig superanvändare ansvarar för att besluta om och verkställa utveckling enligt förvaltningsplanen.
• Huvudansvarig superanvändare ansvarar för att upprätta årlig uppföljningsrapport.
• Huvudansvarig superanvändare ansvarar för leverantörskontakter.
• Huvudansvarig superanvändare ansvarar för att rapportera fel till leverantör.
• Huvudansvarig superanvändare ansvarar för att upprätthålla dokumentationen för digitalt verktyg. I dokumentationen ingår översikten av digitalt verktyg och den övergripande bilden av integrationsflöden.
• Huvudansvarig superanvändare föreslår åtgärder enligt handlingsplan från informationsklassningen och ansvarar för att dessa verkställs. Huvudansvarig superanvändare ansvarar för att informera teknisk systemförvaltare om de åtgärder som teknisk systemförvaltare ansvarar för.
• Huvudansvarig superanvändare ansvarar för uppföljning av krav mot driftleverantör – drift gällande Service Level Agreement (SLA) på tillgänglighet och redundans baserat på informationsklassning.
• Huvudansvarig superanvändare ansvarar för att följa upp applikations- och teknisk drift.
• Huvudansvarig superanvändare ansvarar för att ge användare support och utbildning i digitalt verktyg.
• Huvudansvarig superanvändare ansvarar för behörighetsadministration.
• Huvudansvarig superanvändare ansvarar för att hantera tillhörande licenser. Huvudansvarig superanvändare ansvarar även för att kommunen har rätt antal licenser, att det är rätt licenser som används, beställer nya licenser och testar licenser.10
Vid upphandling av ny kommersiell tjänst deltar huvudansvarig superanvändare i upphandlingen. En huvudansvarig superanvändare har mycket god kännedom om avtalstid och vad som gäller angående upphandling och förlängning.
Huvudansvarig superanvändare är mycket duktig på tjänstens funktioner och möjligheter. Huvudansvarig superanvändare har viss kunskap inom IT.
10 Det kan finnas undantag där Digitalt center ansvarar för beställningen av licenser efter dialog med huvudansvarig superanvändare.
Om det sker några tester är det huvudansvarig superanvändare som leder testarbetet.
I kommunens arbete med informationsklassning av information i tjänsten deltar huvudansvarig superanvändare enligt kommunens rutin för informationsklassificering. I de fall det ska göras en konsekvensbedömning medverkar huvudansvarig superanvändare och har en ledande roll i arbetet med konsekvensbedömningen.
För kommersiella tjänster finns det forum. Här deltar huvudansvarig superanvändare. Forum beskrivs vidare i avsnittet nedan, Forum.
I rollen som huvudansvarig superanvändare har man ett ansvar för den tjänst som man är utsedd för.
• Huvudansvarig superanvändare tillser att tjänsten ger största möjliga nytta för verksamheten.
• Huvudansvarig superanvändare ansvarar för att upprätthålla eventuell dokumentation. I dokumentationen ingår översikten av tjänsten och den övergripande bilden av integrationsflöden.
• Huvudansvarig superanvändare för kommersiell tjänst ansvarar för ekonomisk administration och uppföljning samt rapportera avvikelser till budgetansvarig.
• Huvudansvarig superanvändare föreslår åtgärder enligt handlingsplan från informationsklassningen och ansvarar för att dessa verkställs.
• Huvudansvarig superanvändare ansvarar för att ge användare support och utbildning i den kommersiella tjänsten.
• Huvudansvarig superanvändare ansvarar för behörighetsadministrationen för de tjänster som har denna funktion.
Huvudansvarig superanvändare är mycket duktig på tjänstens funktioner och möjligheter. Om det sker några tester är det huvudansvarig superanvändare som leder testarbetet.
I kommunens arbete med informationsklassning av information i tjänsten deltar huvudansvarig superanvändare enligt kommunens rutin för informationsklassificering. I de fall det ska göras en konsekvensbedömning medverkar huvudansvarig superanvändare och har en ledande roll i arbetet med konsekvensbedömningen.
För publik tjänst och myndighetstjänst finns det forum. Här deltar huvudansvarig superanvändare. Forum beskrivs vidare i avsnittet nedan, Forum.
I rollen som huvudansvarig superanvändare har man ett ansvar för den tjänst som man är utsedd för.
• Huvudansvarig superanvändare tillser att tjänsten ger största möjliga nytta för verksamheten.
• Huvudansvarig superanvändare ansvarar för att upprätthålla eventuell dokumentation.
• Huvudansvarig superanvändare föreslår åtgärder enligt handlingsplan från informationsklassningen och ansvarar för att dessa verkställs.
• Huvudansvarig superanvändare ansvarar för att ge användare support och utbildning i tjänsten.
• Huvudansvarig superanvändare ansvarar för behörighetsadministrationen för de tjänster som har denna funktion.
En systemadministratör har viss kunskap inom IT.
Systemadministratören har inget ansvar då ansvaret alltid är systemförvaltarens eller den områdesansvariges.
Teknisk systemförvaltare ska alltid vara utsedd för kommunens digitala tjänster, verksamhetssystem och plattformar men uppgifter och ansvar skiljer sig beroende på tjänstens eller systemets driftsform.
Teknisk systemförvaltare utses innan upphandling och i de fall det inte sker någon upphandling ska teknisk systemförvaltare utses vid anskaffningen.
Teknisk systemförvaltare har en tät dialog med systemförvaltare, tjänsteförvaltare och huvudansvarig superanvändare.
I rollen som teknisk systemförvaltare för digital tjänst eller system som driftas internt har man ett ansvar för den digitala tjänst eller system som man är utsedd för.
• Teknisk systemförvaltare har ett tekniskt funktions- och driftsansvar.
• Teknisk systemförvaltare ansvarar för uppsättning av teknisk miljö.
• Teknisk systemförvaltare är kontaktperson och teknisk samordnare vid installation och uppgraderingar av digital tjänst och system vid intern drift.
• Teknisk systemförvaltare stöttar testledaren i testarbetet.
• Teknisk systemförvaltare ansvarar för att genomföra tekniska tester enligt Kungsbacka kommuns testmetodik.
• Teknisk systemförvaltare ansvarar för att upprätta och underhålla teknisk systemdokumentation.
• Teknisk systemförvaltare ansvarar för klientåtkomst som att samordna, tillgängliggöra digital tjänst eller system för användaren och klientpaketering.
• Teknisk systemförvaltare ansvarar för att upplysa systemförvaltare, tjänsteförvaltare och huvudansvarig superanvändare om vilka möjligheter som finns för övervakning/larm.
• Teknisk systemförvaltare ansvarar för att samordna uppsättning av övervakning/larm enligt verksamhetens krav och tekniska möjligheter.
• Teknisk systemförvaltare ansvarar för att genomföra och följa upp åtgärder efter en informationsklassning där teknisk systemförvaltare är ansvarig.
• Teknisk systemförvaltare ansvarar för teknisk felsökning.
• Teknisk systemförvaltare är kontakten mellan Digitalt center och systemförvaltare/tjänsteförvaltare/huvudansvarig superanvändare vid larm från Digitalt centers övervakning av den digitala tjänstens eller systemets integrationer.
• Teknisk systemförvaltare ansvarar för att säkerställa backup-rutiner enligt beställning eller krav.
• Teknisk systemförvaltare ansvarar för att eventuell återläsning utförs enligt uppdrag från systemförvaltare/tjänsteförvaltare/huvudansvarig superanvändare.
I rollen som teknisk systemförvaltare för digital tjänst eller system som driftas externt har man ett ansvar för den digitala tjänst eller system som man är utsedd för.
• Teknisk systemförvaltare ansvarar för att genomföra tekniska tester enligt Kungsbacka kommuns testmetodik. Avser enbart tester av xxxxxxxxx inloggning och integrationer.
• Teknisk systemförvaltare ansvarar för att upprätta och underhålla teknisk systemdokumentation.
• Teknisk systemförvaltare ansvarar för klientåtkomst som att samordna, tillgängliggöra digital tjänst eller system för användaren och/eller klientpaketering.
• Teknisk systemförvaltare ansvarar för teknisk felsökning. Avser enbart federerad inloggning och integrationer.
• Teknisk systemförvaltare är kontakten mellan Digitalt center och systemförvaltare/tjänsteförvaltare/huvudansvarig superanvändare vid larm från Digitalt centers övervakning av den digital tjänstens eller systemets integrationer.
Vid upphandling av ny IT-infrastruktur deltar produktägaren i upphandlingen. Produktägaren har mycket goda kunskaper inom IT, tekniken och integrationer samt arbetar på Digitalt center.
I testarbetet deltar produktägaren och stöttar testledaren i testarbetet, framförallt vid tekniska tester. Produktägaren har en tät dialog med områdesansvarig.
I rollen som produktägare har man ett ansvar för den IT-infrastruktur som man är utsedd för.
• Produktägaren ansvarar för kontakter kring IT- och applikationsdrift.
• Produktägaren har ett tekniskt funktions- och driftsansvar.
• Produktägaren ansvarar för uppsättning av teknisk miljö.
• Produktägaren är kontaktperson och teknisk samordnare vid installation och uppgraderingar av IT- infrastruktur vid intern drift.
• Produktägaren stöttar testledaren i testarbetet.
• Produktägaren ansvarar för att genomföra tekniska tester enligt Kungsbacka kommuns testmetodik.
• Produktägaren ansvarar för att upprätta teknisk systemdokumentation.
• Produktägaren ansvarar för klientåtkomst – Samordna, tillgängliggöra IT-infrastruktur för användaren och klientpaketering.
• Produktägaren ansvarar för att upplysa områdesansvarig om vilka möjligheter som finns för övervakning/larm.
• Produktägaren ansvarar för att samordna uppsättning av övervakning/larm enligt verksamhetens krav och tekniska möjligheter.
• Produktägaren ansvarar för att genomföra och följa upp åtgärder efter en informationsklassning där produktägaren är ansvarig.
• Produktägaren ansvarar för felsökning.
• Produktägaren ansvarar för dialog med områdesansvarig om nya tekniska möjligheter så att IT- infrastrukturen löpande utvecklas för att ge största möjliga nytta för verksamheten.
• Produktägaren ansvarar för att övervaka integrationer och agera vid larm. SPOC (Single Point of Contact, roll hos Digitalt center) tar kontakt med produktägaren som gör en första bedömning för att sedan ta dialogen vidare med områdesansvarig.
• Produktägaren ansvarar för att säkerställa backup-rutiner enligt beställning eller krav.
• Produktägaren ansvarar för att eventuell återläsning utförs enligt uppdrag från områdesansvarig.
Superanvändare kan ge support och utbilda andra användare. Superanvändarna sprider information till och från användarforum. Superanvändare har en mycket viktig roll och funktion då det är en användare som arbetar med digitalt verktyg, verksamhetssystem eller plattform till skillnad mot systemförvaltare, tjänsteförvaltare eller huvudansvarig superanvändare som inte alltid arbetar i de processer som verksamhetssystemet, digitalt verktyg eller plattformen stöder.
Genom att använda gemensamma definitioner på forum underlättar vi för de som deltar. Budgetansvarig kan delta vid flera olika utvecklingsråd eller kanske finns det tekniska systemförvaltare som arbetar med flera olika verksamhetssystem.
Endast ett av alla forum är obligatoriskt och det är avtalsuppföljningen.
Förutom de forum som beskrivs nedan kan det finnas forum med andra kommuner som använder samma digitala tjänst eller system, forum genom användarföreningar eller forum/nätverk som leverantören står för. Dessa forum beskrivs inte i modellen men det är bra att delta i de forum som erbjuds. Om det inte finns något liknande forum kan du själv ta kontakt med en kommun som använder samma digitala tjänst eller system för att inleda en dialog då kommuner ofta ställs inför samma frågor och funderingar.
Aktuellt forum för respektive digital tjänst eller system framgår i tabellen nedan. Om det står Ja i tabellen nedan rekommenderas det att forumet genomförs med undantag för Avtalsuppföljning där Ja innebär att det är obligatoriskt.
Utvecklingsråd | Användarforum | Avstämningsmöte | Leverantörsmöte | Avtalsuppföljning | Systemförvaltarforum | |
Publik tjänst | Nej | Nej | Vid behov | Nej | Nej | Nej |
Myndighets- tjänst | Nej | Nej | Vid behov | Ja | Nej | Nej |
Kommersiella tjänster | Nej | Nej | Vid behov | Vid behov | Nej | Nej |
Digitalt verktyg | Vid behov | Vid behov | Ja | Ja | Ja | Ja |
Verksamhets- system | Ja | Ja | Ja | Ja | Ja | Ja |
Plattform | Ja | Ja | Ja | Ja | Ja | Ja |
IT- infrastruktur | Ja | Vid behov | Vid behov | Ja | Ja | Ja |
Bild: Översikt forum
Förslag på agenda:
• Dialog om nya funktioner och ny data
• Dialog och beslut om ny version och uppgradering
• Uppföljning av mål och aktiviteter från förvaltningsplanen
• Dialog om processen som digital tjänst eller system stöder
• Eventuella avvikelser i budget
• Planering för kommande år enligt förvaltningsplan (mål, aktiviteter, risker och budget)
• Information från användarforum, exempelvis initiativ från systemadministratör och/eller superanvändare
• Avtalsfrågor
• Supportärenden
• Uppföljning av åtgärder enligt handlingsplan från informationsklassning
Utvecklingsrådet är inte obligatoriskt men det är en fördel att ha utvecklingsråd då det är ett bra forum för dialog och beslut. Förslagsvis hålls utvecklingsråden en gång per månad, en gång per kvartal eller vid behov beroende på om det finns ärenden att ta upp för dialog eller beslut.
Förslag på agenda:
• Information om nya funktioner och ny data
• Information och presentation av nya versioner
• Information om pågående aktiviteter
• Information från utvecklingsråd
• Supportärenden
• Utbildning och behov av utbildning
• Dialog om rutiner och arbetet med digital tjänst och system
• Erfarenhetsutbyte
Användarforum är inte obligatoriskt men det är en fördel att ha användarforum då det är ett bra forum för dialog. Det är också ett forum där systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare och områdesansvarig får en tät dialog med de som använder digital tjänst eller system. Förslagsvis hålls användarforum en gång per månad eller vid behov beroende på behov av dialog.
Avstämningsmöten är inte obligatoriskt men det är en fördel att löpande ha dialog för att fånga upp det dagliga och operativa arbetet samt de frågor som är aktuella att arbeta vidare med.
Förslag på agenda:
• Leverantörens roadmap/utveckling av digital tjänst och system
• Nya funktioner och versioner
• Kommunens förvaltningsplan
• Pågående av avslutade supportärenden
• Dialog om samarbete
Leverantörsmöten är inte obligatoriska men det är en fördel att ha en dialog med leverantören för att upprätthålla en bra relation och för att säkerställa att digital tjänst eller system nyttjas på bästa möjliga sätt för verksamheten. Förslagsvis sker leverantörsmöten fyra gånger per år, vid behov eller enligt avtal. Årligen ska avtalet mellan kommunen och leverantören följas upp vilket genomförs vid forumet Avtalsuppföljning vilket beskrivs nedan.
Avtalsuppföljning ska genomföras löpande under avtalsperioden genom att bland annat logga eventuella brister i förhållande till avtalade villkor och att skyndsamt avisera bristerna till leverantör för avhjälpning. Att inte avisera brister i tid, det vill säga i enlighet med vad som anges i avtalet, kan innebära att bristerna i ett senare skede anses som mindre allvarliga och i värsta fall ”accepterade” av kommunen. Om leverantören trots avisering inte avhjälper bristerna inom den tid som anges i avtalet eller enligt överenskommelse ska avtalets påföljdsvillkor aktualiseras, såsom viten eller skadestånd.
Ovan förutsätter att systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare och områdesansvarig har god kännedom om avtalets innehåll, det vill säga vad som kan förväntas av leveransen samt de påföljder som kan aktualiseras i det fall leverantören inte efterlever kraven.
Inköp, Förvaltningen för Service, kan ge systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare och områdesansvarig stöd i kommunikationen med leverantör gällande utkrävande av vite eller andra påföljder. Inköp kan även stödja rollerna i eventuell hantering, avtalstolkning, för att underlätta hanteringen.
Forumet avtalsuppföljning är obligatoriskt och ska genomföras minst en gång per år. Det är systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare eller områdesansvarig som kallar till avtalsuppföljning. Vid avtalsuppföljningen deltar förutom sammankallande även budgetansvarig, processägare samt representant från leverantör. Vid behov kan även ägare, teknisk systemförvaltare och produktägare delta.
Om avtalet upprättats och slutits efter en upphandling genomförd av Inköp, deltar även kontaktperson från Inköp vid avtalsuppföljningen. Kontaktpersonen från Inköp håller då i ramverket kring avtalsuppföljningen och övriga deltagare håller i innehållet. Om upphandlingen nyligen är genomförd har avtalsuppföljningen formulerats i den resultat- och analysrapport som tas fram i samband med upphandlingen.
Om Inköp på Förvaltningen för Service inte deltagit i upphandlingen kan systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare eller områdesansvarig i vissa fall ändå söka stöd och ha en dialog med Inköp. Det är bra att veta att Xxxxx endast tar ansvar för de avtal som de varit med och upprättat.
Innan avtalsuppföljningen genomförs tillsammans med leverantör bör mötet förberedas genom en intern dialog. Vid den interna dialogen går man igenom avtalet, avtalstid, avtalsefterlevnad, kvalitet och funktionalitet, kostnader, eventuella prisjusteringar, support och säkerställer att kommunen är nöjd med nuvarande leveranser. Om det i den interna dialogen framkommer att kommunen är nöjd med alla delar behöver det inte genomföras en avtalsuppföljning med leverantör. Detta behöver även stämmas av med leverantören då de kan påkalla en avtalsuppföljning. Om avtalsuppföljningen inte genomförs ska systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare eller områdesansvarig dokumentera den interna dialogen och när den genomfördes.
Förslag på agenda vid avtalsuppföljning med leverantör:
• Dialog om nuvarande avtal
• Dialog om avtalsefterlevnad
• Dialog om licenser
Det är frivilligt att delta vid systemförvaltarforum. Systemförvaltarforum genomförs cirka fyra gånger per år eller vid behov.
Vid behov kan även huvudansvariga superanvändare för publika tjänster, myndighetstjänster och kommersiella tjänster delta.
I den kommungemensamma dokumenthanteringsplanen för stödprocesser framgår dokumentationen för digitala tjänster och system i processerna 2.2.2.1 Äga system, 2.2.2.2 Utveckla system och 2.2.2.3 Förvalta system. Kommunens samtliga digitala tjänster och system omfattas av dessa processer i dokumenthanteringsplanen.
I arbetet med digitala tjänster och system kommer vi ofta i kontakt med andra processer, modeller eller metodiker, exempelvis informationsklassning, processmodellen eller testmetodiken. Dokumentationen kring
dessa processer framgår inte i modellen för digitala tjänster och system utan beskrivs vidare i respektive process.
I tabellen nedan framgår vilka dokument som är obligatoriska för respektive digital tjänst eller system.
Grundavtal | PUB-avtal | Förvaltningsplan | Uppföljningsrapport | Service Level Agreement | |
Publik tjänst | Nej | Nej | Nej | Nej | Nej |
Myndighetstjänst | Nej | Nej | Nej | Nej | Nej |
Kommersiell tjänst | Nej | Ja | Nej | Nej | Nej |
Digitalt verktyg | Ja | Ja | Ja | Ja | Nej |
Verksamhetssystem | Ja | Ja | Ja | Ja | Ja |
Plattform | Ja | Ja | Ja | Ja | Ja |
IT-infrastruktur | Ja | Ja | Ja | Ja | Ja |
Bild: Obligatorisk dokumentation
Avtalet ska bevaras och förvaras digitalt i kommunens diarium. En kopia av avtalet förvaras i Xxxxxxxx avtalsdatabas. Ett avtal kan innehålla kommersiell sekretess även efter upphandling.
Personuppgiftsbiträdesavtalet ska bevaras och förvaras digitalt i kommunens diarium. En kopia av personuppgiftsbiträdesavtalet förvaras i Cicerons avtalsdatabas. Mer information finns att läsa i Kommunstyrelsens riktlinjer för hantering av personuppgifter.
Information
Varje nämnd ska teckna personuppgiftsbiträdesavtal (PUB-avtal) när denne uppdrar åt ett externt personuppgiftsbiträde att behandla uppgifter för de digitala tjänster och system som de är ensamma användare av.
Kommunstyrelsen tecknar personuppgiftsbiträdesavtal (PUB-avtal) för alla kommungemensamma digitala tjänster och system och för de digitala tjänster och system som används för mer än en nämnds förvaltningar.
Riktlinjer för hantering av personuppgifter, beslutad av Kommunstyrelsen (KS 2018-05-29 §147)
verksamhetssystem, plattformar och IT-infrastruktur. I augusti påbörjas arbetet med nästa års förvaltningsplan. Det är viktigt att den påbörjas i tid och att den finns med i kommunens och förvaltningens budgetarbete.
Det är systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare och områdesansvarig som ansvarar för att ta fram förvaltningsplan enligt senaste mallen (Förvaltningsplan mall.docx) och tillsammans med budgetansvarig, teknisk systemförvaltare, produktägare och processägare arbetar man fram och skriver förvaltningsplanen. Senast den 31 december ska budgetansvarig besluta om att godkänna förvaltningsplanen. Vanligtvis skrivs det en förvaltningsplan per digital tjänst eller system men det förekommer även förvaltningsplaner som omfattar flera digitala tjänster eller system.
Förvaltningsplanen upprättas årligen och ska bevaras digitalt i tio år i kommunens diarium. Nedan ges en övergripande beskrivning av förvaltningsplanen och de olika avsnitten.
Övergripande beskrivning
Här framgår det för vilket år förvaltningsplanen gäller, syfte och målgrupp, om det finns några specifika lagar eller förordningar som är viktiga och vem som är leverantör av digital tjänst eller system.
Teknisk beskrivning
Beskrivning av systemmiljö, beroenden till andra system eller tjänster och hur inloggningen fungerar.
Avtal
Information om avtalsperiod och eventuella förlängningar, avtalsuppföljning och personuppgiftsbiträdesavtal.
Förvaltningsorganisation
Beskrivning av olika roller, vem som har respektive roll och vilka forum som är aktuella. Det ska även framgå hur supporten fungerar och vilka behörigheter som finns.
Mål och aktiviteter
Beskrivning av mål och aktiviteter på kort och lång sikt. Detta är en viktig del av förvaltningsplanen då målen beskrivs och vilka aktiviteter som är kopplade till respektive mål. Om det finns några risker eller utmaningar ska detta framgå.
Budget och prognos
Kostnader specificeras för föregående år samt kommande fem år.
Det är systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare eller områdesansvarig som ansvarar för att ta fram uppföljningsrapporten enligt senaste mallen (Uppföljningsrapport mall.docx) och tillsammans med budgetansvarig, teknisk systemförvaltare, produktägare och processägare arbetar man fram och skriver uppföljningsrapporten som färdigställs senast 31 mars. Budgetansvarig beslutar om att godkänna uppföljningsrapporten. Vanligtvis skrivs det en uppföljningsrapport per digital tjänst eller system men i de fall som förvaltningsplanen omfattar flera digitala tjänster eller system kan man också skriva en gemensam uppföljningsrapport.
Uppföljningsrapporten .
Nedan ges en övergripande beskrivning av uppföljningsrapporten och de olika avsnitten.
Övergripande beskrivning
För vilket år uppföljningsrapporten gäller, syfte och målgrupp och vem som är leverantör av digital tjänst eller system.
Avtal
Om det skett någon förlängning beskrivs detta. Det ska även rapporteras från den årliga avtalsuppföljningen.
Förvaltningsorganisation
Beskrivning av roller under året, hur många forum som förekommit och hur supporten fungerat.
Mål och aktiviteter
Kommentarer kring mål och aktiviteter samt status.
Budget och prognos
Uppföljning av de kostnader som funnits under året.
Målet är att:
• Tydliggöra ansvarsfördelningen mellan parterna
• Definiera servicenivåer som gäller för digital tjänst eller system
• Tydliggöra och definiera avgränsningar
• Tydliggöra prissättning av servicenivå
Ändringsloggen ska bevaras i tio år och sparas digitalt på Insidan (Sharepoint).
Beslut av betydelse, exempelvis utveckling eller inköp av ny funktionalitet, ska bevaras digitalt i kommunens diarium.
Systemförvaltare, tjänsteförvaltare, huvudansvarig superanvändare och områdesansvarig har ett ansvar att följa upp informationsklassningen och omhänderta förslagen till handlingsplan. Förslagsvis upprättas en handlingsplan (Handlingsplan informationsklassning mall.xlsx) med de insatser och aktiviteter som framkommit. Sedan arbetar förvaltningsorganisationen löpande med de olika insatserna och aktiviteterna och följer upp dem vid utvecklingsråd och avstämningsmöten.
Om det förekommer insatser eller aktiviteter av allvarligare grad eller där man anser att de inte kommer åtgärdas ska de lyftas upp till ägaren för kännedom.
Handlingsplanen ska bevaras digitalt i kommunens diarium och förslagsvis i samma ärende som protokollet från informationsklassningen.
Granskning av loggar bör göras systematiskt och kontinuerligt genom stickprovskontroll eller genom riktade kontroller. Granskningen kan utföras av processägaren men för att få åtkomst till loggen kan processägaren behöva hjälp med detta. Granskningen och resultatet dokumenteras. Granskningen dokumenteras i en rapport (Rapport granskning av loggar mall.docx), av den som utfört granskningen. I rutinen för granskningen bör det framgå hur resultatet ska omhändertas.
Rapporten sparas digitalt i tio år på Insidan (Sharepoint). Om kontrollen leder till åtgärd ska rapporten bevaras digitalt i kommunens diarium.
I tabellen nedan framgår vilka dokument som har en mall i modellen för digitala tjänster och system.
Dokument | Mallens namn |
Förvaltningsplan | Förvaltningsplan mall.docx |
Uppföljningsrapport | Uppföljningsrapport mall.docx |
Handlingsplan | Handlingsplan informationsklassning mall.xlsx |
Rapport granskning av loggar | Rapport granskning av loggar mall.docx |
Supportärenden översikt | Support mall.xlsx |
Beroende på vilken typ av information som ska nå användarna kan vi använda olika kanaler.
Akut driftstörning – Vid en akut driftstörning ska du först och främst informera användarna via Insidans Viktigt meddelande då du når alla den vägen. Se till att hålla användarna uppdaterade med information om när en akut driftstörning inträffar, hur arbetet fortskrider och när den är åtgärdad. Det kan vara bra att informera superanvändare och systemadministratör via Teams om mer detaljerad information kring driftstörningen eller om det exempelvis finns information som gått förlorad.
Planerad driftstörning – När en driftstörning är planerad, vid exempelvis en uppdatering eller ett arbete som behöver utföras, behöver du informera användarna. Om det finns funktionalitet i digital tjänst eller system ska du först och främst informera användarna där. Du kan även informera via Teams men tänk då på att alla användare inte alltid är med i Teams utan det är främst superanvändare och systemadministratörer som du informerar här. Planerad driftstörning kan du informera om i god tid. Någon dag före planerad driftstörning kan du informera användarna via Insidans Viktigt meddelande. När driftstörningen är avslutad ser du till att informera användare om detta.
Ny funktionalitet – När det finns ny funktionalitet i en digital tjänst eller system kan denna information behöva nå användare. Om det finns funktionalitet i digital tjänst eller system ska du först och främst informera användarna där. Du kan även informera via Teams men tänk då på att alla användare inte alltid är med i Teams utan det är främst superanvändare och systemadministratörer som du informerar om ny funktionalitet via Teams. Ny funktionalitet kan nå alla användare via exempelvis användarmanualer i KLOK.
Informera användarna före, under och efter planerad driftstörning. När driftstörningen är avslutad eller när ny funktionalitet funnits ett tag ska du ta bort informationen då användarna inte ska behöva ta del av inaktuell information.
På Insidan finns funktionaliteten Viktigt meddelande vilket både kan vara där du först och främst informerar, vid akut driftstörning, eller något du använder som ett komplement till information via digital tjänst eller system samt Teams. Information som lämpar sig att informera via Insidan är akuta och planerade driftstörningar.
Det är lätt att tänka att ”min” digitala tjänst eller system är det viktigaste, har högsta prioritet och att det måste synas tydligt. När vi använder Insidan för att informera når vi många och då också många som inte
berörs av ”din” digitala tjänst eller system. Det är därför viktigt att du använder dig av målgruppsstyrning, prioritet, typ och status.
Utgå från att det är bra att vi kan informera men att det sällan behöver synas på startsidan och med en banner i en stark färg. Dessa meddelanden når ofta fler som inte är berörda än de användare du vill nå. Viktiga meddelanden finns alltid under Driftinformation på Insidan.
När du använder Viktigt meddelande ska du tänka på följande:
• Vem är målgruppen?
• Hur stor påverkan är det på målgruppen?
• Vilken typ av information är det jag vill förmedla?
• Räcker det att jag informerar superanvändare via Teams eller användare direkt i digital tjänst eller system?
Informationen till användarna ska vara kortfattad och det ska framgå vad de behöver veta. Skriv om det finns en prognos för när problemet är löst och om det under tiden finns en workaround. När informationen är inaktuell ska du ta bort meddelandet.
I KLOK hittar du instruktioner för hur du använder Viktigt meddelande. xxxxx://xxxxxxxxxx.xxxxxxxxxxx.xxx/0000.xxxxx
Genom att målgruppsstyra viktiga meddelanden kan du begränsa ditt meddelande till en viss målgrupp. Om du har en digital tjänst eller system som inte används av alla förvaltningar kan du målgruppsstyra och ange vilka förvaltningars användare som ska se meddelandet. Är det ett skolsystem kan det räcka att informationen når användare vid Förskola & Grundskola samt Gymnasium & Arbetsmarknad.
Vid hög prioritet visas meddelandet som en banner, under Driftinformation och som ”notifieringar” på
startsidan. Här är det bra om du markerar att användare ska kunna stänga meddelandet.
Vid normal prioritet visas meddelandet under Driftinformation och som ”notifieringar” på startsidan.
Välj Krismeddelande för:
• En pågående driftstörning som får större konsekvenser för verksamheten.
• Allvarliga händelser som påverkar eller riskerar att påverka verksamheterna. Välj För information för:
• En pågående driftstörning som inte får speciellt stora konsekvenser för verksamheten.
• En planerad driftstörning som ännu inte ägt rum.
• En uppmaning av praktisk karaktär.
När du anger status styr du vilken färg ditt meddelande ska ha. Stor påverkan är lila, begränsad påverkan är blå och åtgärdat/avslutat är grön. Tänk på att färg ger viss signal till användaren.
Teams är också en bra plats för att informera om planerade och kommande driftstopp samt nya funktioner. Om slutanvändare inte finns med i teamet/samarbetsrummet är alternativa kanaler ett komplement för att nå ut med informationen, exempelvis Insidan, KLOK eller andra kanaler.
Vi ska undvika att informera via e-postmeddelanden och endast använda detta när det krävs. När du använder e-postmeddelande ska du tänka på följande:
• Vilken är målgruppen?
• Kan informationen bli inaktuell?
• Vilken information vill jag förmedla?
• Behöver jag informera via e-post?
Byggnadsnämndens delårsbokslut augusti 2024
Förslag till beslut i byggnadsnämnden
Byggnadsnämnden godkänner delårsbokslut och prognos 2024.
TJÄNSTESKRIVELSE
Datum
2024-09-03
Diarienummer
BN-2024-00257
Sammanfattning av ärendet
Bygg- och miljöförvaltningen har upprättat delårsbokslut per den 31 augusti 2024 för byggnadsnämnden enligt kommunens riktlinjer.
Helårsprognosen per augusti visar att byggnadsnämnden har en sammantagen budget i balans för 2024. Prognosen är oförändrad jämfört med uppföljningen per april.
Beslutsunderlag
Bygg- och miljöförvaltningens tjänsteskrivelse, 2024-09-03 Byggnadsnämndens delårsbokslut augusti, 2024, rapport, 2024-09-09
Beslutet skickas till
Kommunstyrelsen
Nämnden för Xxxxx & Hälsoskydd
Xxxxxxxx Xxxx Xxxxxxxxx Xxxxxxxx
Förvaltningschef Controller förvaltning
Xxxxxxxxx Xxxxxxxx Controller Förvaltning
1 (1)
Kungsbacka kommun 434 81 Kungsbacka
Besöksadress Stadshuset, Xxxxxxxxx 00