Eitem Rhaglen

Llywodraethu Gwybodaeth - Adroddiad Blynyddol yr Uwch Berchennog Risg Gwybodaeth (UBRG)

Cyflwyno Adroddiad Blynyddol yr UBRG am 2016/17.

Cofnodion:

Cyflwynwyd ar gyfer ystyriaeth y Pwyllgor adroddiad yr Uwch Berchennog Risg Gwybodaeth (SIRO), a ddarparodd ddadansoddiad o’r materion llywodraethu gwybodaeth allweddol ar gyfer y cyfnod 1 Ebrill i 31 Mawrth, 2017, ynghyd â’r blaenoriaethau presennol. 

 

Adroddodd y Pennaeth Swyddogaeth (Busnes y Cyngor) a’r SIRO Dynodedig ar y pwyntiau mwyaf amlwg fel a ganlyn –

 

           Y prif yrrwr statudol mewn perthynas â Llywodraethu Gwybodaeth yn y Cyngor ar hyn o bryd yw’r Ddeddf Diogelu Gwybodaeth. Gallai torri rheolau’r ddeddf mewn modd sylweddol olygu cosbau ariannol sylweddol hyd at uchafswm o £500k.

           Mae gwaith archwilio sylweddol, yn cynnwys gwaith Swyddfa’r Comisiwn Gwybodaeth (SCG) (2013-14) wedi tynnu sylw at ddiffygion yn nhrefniadau diogelu data’r Cyngor. Ers 2013, mae’r Cyngor wedi buddsoddi er mwyn gwella ei allu i gydymffurfio â’r Ddeddf Diogelu Data ac mae polisïau a gweithdrefnau bellach yn eu lle er mwyn cefnogi a chydymffurfio â’r Ddeddf.

           Bod gwaith wedi’i wneud hyd yma ac mae’n parhau, ac fe fydd yn mynd yn ei flaen yn barhaol. Mae’n cael ei arwain gan y Bwrdd Llywodraethu Gwybodaeth Corfforaethol a sefydlwyd yn 2014 yn wreiddiol a hynny fel tîm prosiect i ymateb i argymhellion archwiliad Swyddfa’r Comisiynydd Gwybodaeth yn 2013. Mae’r Bwrdd bellach yn strwythur llywodraethu parhaol sy’n adrodd yn ôl i’r Uwch Dîm Arweinyddiaeth. Mae crynodeb o'r gwaith y mae’r Bwrdd Llywodraethu Gwybodaeth Corfforaethol wedi’i wneud ac y mae’n dal i’w wneud wedi’i gynnwys yn adran 5 yr adroddiad.

           Mae’r gwaith hwn yn cynnwys datblygu fersiwn gychwynnol o Gofrestr Asedau Gwybodaeth y Cyngor. Mae’r gofrestr yn galluogi gwybodaeth a systemau gwybodaeth i gael eu mapio wrth iddynt ryngweithio â newidiadau i ofynion busnes a’r amgylchedd technegol ac mae’n declyn allweddol ar gyfer gallu deall y wybodaeth a gedwir gan sefydliad a’r risgiau ynghlwm â hynny. Er mai’r bwriad oedd gwneud gwaith pellach ar y Gofrestr Asedau Gwybodaeth er mwyn asesu lle mae’r risgiau uchaf o ran torri rheolau data, mae’r Rheolau Diogelu Data Cyffredinol (GDPR) a fydd yn disodli’r ddeddfwriaeth diogelu data bresennol ym Mai 2018, yn golygu bod angen rhoi blaenoriaeth i agweddau eraill o’r Gofrestr Asedau Gwybodaeth. Yr arweiniad gan Swyddfa’r Comisiynydd Gwybodaeth yw canolbwyntio ar waith sy’n ymwneud ag amserlenni cadw gwybodaeth. Mae amserlenni cadw gwybodaeth y Cyngor bellach wedi’u cwblhau ar sail gwasanaeth wrth wasanaeth a byddant yn cael eu cylchredeg i Benaethiaid Gwasanaeth. Bydd y ddeddfwriaeth newydd yn rhoi mwy o bwysigrwydd ar gydymffurfio â dyddiadau dinistrio gwybodaeth a gedwir yn electronig ac ar bapur ac felly mae’r amserlenni cadw gwybodaeth yn gam allweddol i’r cyfeiriad hwnnw.      

           Mae’r Cyngor wedi creu polisïau a gweithdrefnau Llywodraethu Gwybodaeth dros amser ac maent yn gyfredol ar hyn o bryd. Mae’r Cyngor wedi gweithredu system reoli polisïau, y Porth Polisi, sydd wedi gweithredu fel llyfrgell bolisïau ers Tachwedd 2016. Mae paragraff 5.3 o’r adroddiad yn rhestru’r polisïau sydd ar gael ar y Porthol. Mae’r system yn ddefnyddiol er mwyn darparu rheolaeth fersiynau clir o ran pa bolisïau sy’n gyfredol yn ogystal â dyddiadau eu hadolygu. Mae’r swyddogaeth clicio i dderbyn yn rhoi sicrwydd bod y polisïau Llywodraethu Gwybodaeth allweddol yn cael eu darllen, eu deall a’u derbyn gan staff. Mae’r UDA yn cael adroddiadau ar y lefel o gydymffurfiaeth mae’r rhain yn  gymysg ar draws y Cyngor. Nid yw Gwasanaethau Cymdeithasol er enghraifft yn cydymffurfio i lefel uchel ac mae materion TGCh gydag Addysg sy’n golygu nad ydynt wedi eu cynnwys yn y system. Ystyrir bod y gwasanaethau hyn, oherwydd natur y wybodaeth sydd ganddynt, yn wasanaethau risg uchel o ran torri diogelwch data. Bydd cyfnod o oedi ac adolygu ar ddiwedd y chwarter nesaf er mwyn rhoi cyfle i ystyried beth ellir ei wneud er mwyn cynyddu’r lefelau cydymffurfiaeth.  

           Mae adran 5.6 o’r adroddiad yn amlinellu’r trefniadau hyfforddiant y mae’r Cyngor wedi eu sefydlu ar gyfer staff; mae’r rhain yn cynnwys hyfforddiant sylfaenol gorfodol ar gyfer yr holl staff a gaiff ei adnewyddu bob dwy flynedd. Mae lefelau cydymffurfiaeth yn 88%. Mae hyfforddiant wedi’i nodi fel maes arwyddocaol yn yr holl adroddiadau y mae’r Cyngor wedi’u derbyn mewn perthynas â Llywodraethu Gwybodaeth. Mae llwyfan E-ddysgu ar fin cael ei lansio a bydd y pecyn hyfforddiant gorfodol hefyd yn cael ei ddarparu drwy’r dull hwn.

           Mae’r dadansoddiad a’r nifer o faterion diogelwch diogelu data yr adroddwyd arnynt gan y Cyngor wedi’u darparu yn Atodiad A yr adroddiad. Cafwyd 34 o achosion yn ystod cyfnod yr adroddiad; o’r rhain nodwyd 33 fel rhai Lefel 0 i Lefel 1 h.y. pethau a fu bron â digwydd neu achosion nad oes angen hysbysu Swyddfa’r Comisiynydd Gwybodaeth nag unrhyw reoleiddiwr arall amdanynt. Cafwyd un digwyddiad Lefel 2 yr hysbyswyd Swyddfa’r Comisiynydd Gwybodaeth amdano. Mae cyfran y digwyddiadau Lefel 0 i Lefel 1 wedi cynyddu’n sylweddol o 6 yn adroddiad y flwyddyn flaenorol. Mae cyfran sylweddol yr achosion yn ymwneud â gwybodaeth a anfonwyd dros e-bost. Mae’r SIRO o’r farn bod y cynnydd mewn achosion Lefel 1 yn digwydd oherwydd mwy o ymwybyddiaeth o’r angen i riportio achosion o dorri rheolau diogelwch data yn hytrach na gwaethygiad o safbwynt arferion diogelwch data.

           Mae Adran 5.10 yr adroddiad yn cyfeirio at berfformiad yn erbyn dangosyddion Perfformiad allweddol.

           Mae Adran 6.1 yr adroddiad yn cadarnhau bod y Cynllun Gweithredu a grëwyd er mwyn ymateb i’r argymhellion yn y Rhybudd Gorfodaeth a roddwyd gan Swyddfa’r Comisiynydd Gwybodaeth ym mis Hydref 2015 o dan y Ddeddf Diogelu Data bellach wedi’i gwblhau ac mae adroddiad cau i’r UDA wedi’i amserlennu ar gyfer Medi 2017.  

           Bydd yr Adran Archwilio Mewnol yn ymgymryd ag archwiliad o barodrwydd GDPR rhwng Hydref a Thachwedd 2017; yn ychwanegol at hynny, mae matrics yn cael ei lenwi ar hyn o bryd er mwyn adnabod y camau y mae angen eu cymryd er mwyn sicrhau cydymffurfiaeth â’r GDPR erbyn Mai 2018. Caiff hwn ei rannu â’r Uwch Dîm Arweinyddiaeth ac yna’r Penaethiaid Gwasanaeth.

           I gloi, mae’r SIRO yn ystyried bod digon o dystiolaeth i ddangos bod –

 

           Trefniadau’r Cyngor ar gyfer Llywodraethu Gwybodaeth a chydymffurfiaeth o ran diogelu data yn rhesymol effeithiol;

           Mae llawer o gynnydd wedi’i wneud (o fan cychwyn isel) i weithredu argymhellion gwaith archwilio’r Swyddfa’r Comisiynydd Gwybodaeth a gweithgareddau gorfodi;

           Nid yw’r mesurau angenrheidiol wedi eu gweithredu’n llawn hyd yma a lle maent wedi eu gweithredu’n llawn, nid ydynt wedi aeddfedu’n ddigonol er mwyn gallu darparu gwell lefel o sicrwydd;   

           Er mwyn symud i lefel uwch o sicrwydd bydd angen gweithredu a phrofi’n llwyddiannus y camau pellach a ddisgrifir yn yr adroddiad;

           Mae cydymffurfiaeth o ran diogelu data yn gyffredinol y Cyngor (mae amrywiaeth rhwng gwasanaethau) yn parhau i fod yn risg ganolig i’r Cyngor.

           Bydd unrhyw fethiant i weithredu a chydymffurfio â’r GDPR yn risg sylweddol i’r Cyngor.

 

Ystyriodd y Pwyllgor y wybodaeth a gyflwynwyd a chodwyd y pwyntiau a

ganlyn -

 

Nododd y Pwyllgor nad yw’r SIRO yn gallu adrodd ar ddigonolrwydd y rheoliadau a’r mesurau lliniaru risg sydd ar hyn o bryd yn gysylltiedig â phob ased critigol oherwydd nad oes gan y Cyngor hyd yma ddealltwriaeth gyflawn o’r risgiau o ran gwybodaeth a'r mesurau lliniaru a’r rheoliadau sydd wedi cael eu sefydlu. Gofynnodd y Pwyllgor am gadarnhad o’r camau y mae angen i’r Cyngor eu cymryd er mwyn cael dealltwriaeth lawn o’r sefyllfa mewn perthynas â risg gwybodaeth a’r ffordd y caiff ei reoli yn ogystal â’r goblygiadau o ran adnoddau sy’n gysylltiedig â hynny. Dywedodd y SIRO, er mwyn cael y lefel hon o ddealltwriaeth, bod angen edrych ar y camau a nodir yn yr adroddiad; mae’r rhain yn cynnwys y Gofrestr Asedau Gwybodaeth a fydd, ar ôl ei llenwi, yn cynnwys Amserlenni Cadw Gwybodaeth; hysbysu’r cyhoedd am y defnydd o ddata personol drwy rybuddion preifatrwydd ar ddogfennau ac ymgymryd ag Asesiadau Effaith Preifatrwydd yn ôl yr angen. Dyma dair elfen allweddol y mae angen eu sefydlu’n gadarn yn y Cyngor fel y gall y SIRO fodloni ei hun bod y Cyngor yn gwneud cymaint â phosib er mwyn deall a rheoli risgiau gwybodaeth a’r amgylchedd reoli gysylltiedig. Cadarnhaodd y Swyddog hefyd bod yr adnoddau presennol yn annigonol yng nghyd-destun y gwaith sydd angen ei wneud; mae gwaith hefyd yn cael ei gyflawni ar lefel ranbarthol er mwyn hwyluso cysondeb ac osgoi dyblygu. Tra bod Adran Busnes y Cyngor yn arwain ar ddarparu’r polisïau a’r gweithdrefnau a sicrhau bod hyfforddiant priodol yn cael ei gomisiynu, mae disgwyliad ar wasanaethau i gyfrannu i’r broses gan mai nhw sydd yn y sefyllfa orau i wybod pa wybodaeth sydd ganddynt a pham a pha systemau a ddefnyddir i reoli’r wybodaeth honno. Mae’n gyfrifoldeb a rennir ar draws y Cyngor yn gorfforaethol gyda Busnes y Cyngor yn darparu gwasanaethau â’r cymorth angenrheidiol i reoli’r risgiau gwybodaeth o fewn eu gwasanaethau.     

           Nododd y Pwyllgor bod y Gwasanaethau Cymdeithasol ac Addysg ar ei hôl hi o ran cydymffurfiaeth â system Clicio i Dderbyn y Cyngor ar gyfer derbyn polisïau. Gan y cydnabyddir fod y ddau wasanaeth yma yn rhai risg uchel o ran diogelwch data oherwydd natur y wybodaeth sydd ganddynt, gofynnodd y Pwyllgor am sicrwydd bod camau’n cael eu cymryd i wella lefelau cydymffurfiaeth y ddau wasanaeth. Dywedodd y SIRO bod lefelau cydymffurfiaeth yn 74% ar draws y Cyngor gyda rhai adrannau yn cyflawni lefelau cydymffurfiaeth o 90% a throsodd. Mae lefelau cydymffurfiaeth Gwasanaethau Oedolion yn 60% a Gwasanaethau Plant yn 38%. Nid yw’r Gwasanaeth Addysg yn rhan o’r System Derbyn Polisi ar hyn o bryd oherwydd materion TGCh gyda’r system a rennir gydag ysgolion nad yw’r broses derbyn polisi yn berthnasol iddynt. Mae cyfnod oedi ac adolygu 8 wythnos wedi dechrau ac yn ystod y cyfnod hwn fe gynhyrchir adroddiad pellach ar gyfer yr UDA a’r Penaethiaid.   

           Nododd y Pwyllgor fod cyfran uchel o’r achosion diogelwch data Lefel 0 i Lefel 1 yn ymwneud â gwybodaeth a anfonwyd drwy e-bost. Gofynnodd y Pwyllgor am gadarnhad ynghylch a yw’r mater hwn yn ganlyniad i gamgymeriadau gan bobl neu’n fater systematig sydd angen mewnbwn gan y gwasanaeth TGCh o ran adolygu cadernid y system e-bost. Dywedodd y SIRO bod y prif risg yn ymwneud â’r posibilrwydd y caiff gwybodaeth yn cael ei rhannu â phartïon allanol diawdurdod. Mae Swyddfa’r Comisiynydd Gwybodaeth hefyd wedi argymell y dylai’r Cyngor ystyried hepgor y swyddogaeth llenwi cyfeiriad yn awtomatig ar y system e-bost. Mae’r UDA wedi gofyn i bob gwasanaeth adolygu ei ddefnydd o’r cyfleuster llenwi cyfeiriad yn awtomatig yn erbyn y risg o dorri rheolau data. Canlyniad hyn oedd bod dau wasanaeth a dwy adain wedi rhoi’r gorau i ddefnyddio’r cyfleuster ond mae’r rhan fwyaf wedi penderfynu parhau i’w ddefnyddio gan eu bod yn ei weld yn declyn defnyddiol o safbwynt busnes. Y cam nesaf yw annog pob aelod o staff i gynnwys eu llun ar y system e-bost Outlook; bydd adroddiad i’r perwyl hwnnw yn cael ei gyflwyno i’r UDA. Fel dewis arall, gellir rhoi rhif cyswllt ac adran yr unigolyn yn y bwlch lle ddylai’r llun ymddangos. Credir y bydd hyn yn lleihau’r risg mewn perthynas â diogelwch data sy’n codi o’r swyddogaeth llenwi cyfeiriad yn awtomatig.   

           Gofynnodd y Pwyllgor am gadarnhad o agwedd y Cyngor tuag at y risg y gallai data gael ei beryglu o ganlyniad i hacio maleisus gan bartïon allanol. Dywedodd y SIRO mai mater technegol yw hwn sy’n gyfrifoldeb ar yr adran TGCh yn hytrach na’r SIRO. Mae’r gwasanaeth TGCh yn cael ei gynrychioli ar y Bwrdd Llywodraethu Gwybodaeth a bydd materion TGCh yn cael sylw yno. 

           O ran GDPR, gofynnodd y Pwyllgor am sicrwydd bod gan y Cyngor adnoddau a chapasiti digonol er mwyn sicrhau cydymffurfiaeth erbyn Mai, 2018. Dywedodd y SIRO, y bydd y ganolfan gorfforaethol, gyda pheth cyllid ychwanegol sydd i’w gadarnhau yn ddibynnol ar yr union anghenion, yn gallu dosbarthu’r gwaith i’r gwasanaethau; bydd yn rhaid i’r ganolfan gadarnhau a oes ganddynt yr adnoddau i allu gwneud yr hyn sydd angen iddynt ei wneud ai peidio. Bydd hyn yn cael sylw yn y Cynllun Gweithredu a gyflwynir i’r UDA a’r Penaethiaid.  

 

Fe wnaeth y Pwyllgor dderbyn a nodi casgliadau’r SIRO mewn perthynas â’r sefyllfa o ran Llywodraethu Gwybodaeth yn y Cyngor. Er bod y Pwyllgor yn bryderus bod lefel cydymffurfiaeth y Gwasanaethau Cymdeithasol ac Addysg yn is na’r disgwyl o ran system Derbyn Polisïau’r Cyngor, derbynnir bod yr Uwch Reolwyr yn ymwybodol o hyn ac yn asesu’r sefyllfa er mwyn ceisio cymryd camau i wella lefelau cydymffurfiaeth y gwasanaethau hyn. 

 

Penderfynwyd nodi a derbyn yr adroddiad gyda’r amod uchod.

 

GWEITHRED YCHWANEGOL A GYNIGIWYD: Gwasanaeth TGCh i adrodd yn ôl i’r Pwyllgor ar ymagwedd y Cyngor tuag at ddelio â bygythiad gan weithgareddau hacio maleisus.  

Dogfennau ategol: