Indholdsfortegnelse
Formål…………………………………………………………………………………………………………………………. 4
Databeskyttelsesrådgiver (DPO)……………………………………………………………………………………… 4
Kontaktoplysninger på persondataansvarlig……………………………………………………………………… 4
Procedurer i forbindelse med henvendelser fra registrerede……………………………………………… 4
Fortegnelser over behandlingsaktiviteter ………………………………………………………………………… 5
Forbrugsafregninger og relaterede aktiviteter………………………………………………………………….. 5
Grundlag for behandlingen…………………………………………………………………………………………….. 5
Kategorier af registrerede………………………………………………………………………………………………. 5
Kategorier af personoplysninger……………………………………………………………………………………… 5
Kategorier af modtagere………………………………………………………………………………………………… 5
Databehandlere…………………………………………………………………………………………………………….. 5
Tidsfrister for sletning / opbevaring…………………………………………………………………………………. 5
Risikovurdering……………………………………………………………………………………………………………… 5
Tekniske og organisatoriske sikkerhedsforanstaltninger……………………………………………………… 6
Kendte sårbarheder og planlagte forbedringer…………………………………………………………………. 6
Almindelige HR aktiviteter – jobansøgninger…………………………………………………………………….. 6
Grundlag for behandlingen…………………………………………………………………………………………….. 6
Kategorier af registrerede………………………………………………………………………………………………. 6
Kategorier af personoplysninger……………………………………………………………………………………… 6
Kategorier af modtagere………………………………………………………………………………………………… 6
Tidsfrister for sletning / opbevaring…………………………………………………………………………………. 6
Risikovurdering……………………………………………………………………………………………………………… 6
Tekniske og organisatoriske sikkerhedsforanstaltninger……………………………………………………… 6
Kendte sårbarheder og planlagte forbedringer…………………………………………………………………. 7
Almindelige HR aktiviteter – Bestyrelsen, ansatte mv………………………………………………………… 7
Grundlag for behandlingen…………………………………………………………………………………………….. 7
Kategorier af registrerede………………………………………………………………………………………………. 7
Kategorier af personoplysninger……………………………………………………………………………………… 7
Kategorier af modtagere………………………………………………………………………………………………… 7
Tidsfrister for sletning / opbevaring…………………………………………………………………………………. 7
Risikovurdering……………………………………………………………………………………………………………… 8
Tekniske og organisatoriske sikkerhedsforanstaltninger……………………………………………………… 8
Kendte sårbarheder og planlagte forbedringer…………………………………………………………………. 8
Supplerende bemærkninger om generelle organisatoriske og tekniske foranstaltninger………… 8
Revisionshistorik…………………………………………………………………………………………………………… 9
Referencer……………………………………………………………………………………………………………………. 9
Formålet med dette dokument er at dokumentere, at vandværket overholder kravene til behandling af personoplysninger.
Vandværket behandler i minimalt omfang personoplysninger og benytter primært branche it-løsninger til behandlingen. I det følgende dokumenteres persondatabehandlingen samt de tekniske og organisatoriske sikkerhedsforanstaltninger, der er etableret i forbindelse med behandlingen.
Databeskyttelsesrådgiver (DPO)
Behandling af persondata på vandværket udføres som støttefunktion til kerneaktiviteterne og udgør et minimalt omfang. Set i forhold til de risici der er forbundet med behandlingen, følsomheden, samt mængden af personoplysninger, der behandles, vurderer vi, at vandværket ikke skal have en databeskyttelsesrådgiver tilknyttet.
Kontaktoplysninger på persondataansvarlig
Erik Kristensen, 8154 9843, yek@outlook.dk
Procedurer i forbindelse med henvendelser fra registrerede
I vandværket håndteres alle henvendelser af det administrative personale. I persondatapolitikken, som alle forbrugere og ansatte er bekendt med, har vi anført vores kontaktoplysninger for disse henvendelser.
De registreredes vigtigste rettigheder efter databeskyttelsesforordningen er:
- Retten til at modtage oplysning om behandling af deres personoplysninger (oplysningspligt).
- Retten til at få indsigt i deres personoplysninger.
- Retten til at få urigtige personoplysninger rettet.
- Retten til at få deres personoplysninger slettet.
- Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring.
- Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering.
- Retten til at flytte deres personoplysninger (dataportabilitet).
Alle ovenstående rettigheder håndteres manuelt ved henvendelse som anført i persondatapolitikken.
Fortegnelser over behandlingsaktiviteter
Forbrugsafregninger og relaterede aktiviteter
Almindelige personoplysninger med det formål at kunne gennemføre forbrugsafregninger og i øvrigt leve op til vandværkets kontraktlige forpligtelser samt forpligtelser i henhold til vandforsyningsloven og bogføringsloven.
Kontraktlig og retlig forpligtelse samt udførelse af en opgave i samfundets interesse.
Forbrugere.
Kategorier af personoplysninger
- Navn, adresse, telefon, e-mail
- Målernumre, forbrugernummer (kundenummer)
- Forbrugsdata der kan henføres til en person
Personoplysningerne videregives ikke til nogen udenfor organisationen ud over databehandlere.
- Nets (faktura til forbrugere)
- Kamstrup (”Ready” måleraflæsning)
- Spildevandsselskab (måleraflæsninger)
- Deloitte (bogføring og revision)
Tidsfrister for sletning / opbevaring
Ingen tidsfrister, dog minimum 5 år af hensyn til bogføringsloven.
- Fortrolighed: Det vurderes, at tab af fortrolighed vil have en minimal indflydelse på de registreredes rettigheder og frihedsrettigheder. Personoplysningerne, der behandles, vil ofte være offentligt tilgængelige – med undtagelse af de detaljerede forbrugsoplysninger fra måleraflæsningerne.
- Integritet: Det vurderes, at tab af integritet ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative processer omkring forbrugerafregning, hvorfor både it-systemer og administrative processer i forbindelse med databehandlingen skal beskytte mod tab af integritet.
- Tilgængelighed: Det vurderes, at tab af tilgængelighed ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative processer omkring forbrugerafregning, hvorfor både it-systemer, i særdeleshed backup, og administrative processer i forbindelse med databehandlingen skal beskytte mod længerevarende tab af tilgængelighed.
Tekniske og organisatoriske sikkerhedsforanstaltninger
Se sektionen ”Supplerende bemærkninger om generelle organisatoriske og tekniske foranstaltninger”.
Kendte sårbarheder og planlagte forbedringer
Der er på nuværende tidspunkt ikke nogen specifikke, kendte sårbarheder eller planlagte forbedringer.
Almindelige HR aktiviteter – jobansøgninger
Almindelige personoplysninger med det formål at kunne vurdere kandidater til stillingsopslag.
Samtykke.
Ansøgere.
Kategorier af personoplysninger
Personoplysningerne videregives ikke til nogen udenfor organisationen
Tidsfrister for sletning / opbevaring
Ingen specifikke tidsfrister. Oplysningerne opbevares dog ikke længere, end de er relevante. Slettes senest når stillingen er besat.
- : Det vurderes, at tab af fortrolighed vil have en minimal indflydelse på de registreredes rettigheder og frihedsrettigheder. Personoplysningerne, der behandles, er i mange tilfælde offentligt tilgængelige – eksempelvis på ansøgerens LinkedIn profil.
- Det vurderes, at tab af integritet ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative systemer, der benyttes til andre formål, hvorfor både it-systemer og administrative processer i forbindelse med databehandlingen skal beskytte mod tab af integritet.
- Det vurderes, at tab af tilgængelighed ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative systemer, der benyttes til andre formål, hvorfor både it-systemer og administrative processer i forbindelse med databehandlingen skal beskytte mod længerevarende tab af tilgængelighed.
Tekniske og organisatoriske sikkerhedsforanstaltninger
Se sektionen ”Supplerende bemærkninger om generelle organisatoriske og tekniske foranstaltninger”
Kendte sårbarheder og planlagte forbedringer
Der er på nuværende tidspunkt ikke nogen specifikke kendte sårbarheder eller planlagte forbedringer.
Almindelige HR aktiviteter – Bestyrelsen, ansatte mv.
Almindelige og muligvis særlige (følsomme) personoplysninger behandles med det formål at kunne opfylde kontraktlige og lovpligtige ansættelsesretlige krav overfor ansatte og bestyrelsesmedlemmer. Herunder også forpligtelser i forhold til bogføringsloven.
Kontraktlig og retlig forpligtelse.
Formand / Direktør: Erik Kristensen, Årøvænget 7, Skærbæk, 7000 Fredericia
Næstformand: Torben Nielsen, Børupskovvej 24, Skærbæk, 7000 Fredericia
Kasserer: Anne Rasmussen, Årøvænget 5, Skærbæk, 7000 Fredericia
Sekretær: Tina Sørensen, Årøvænget 2, Skærbæk 7000 Fredericia
Medlem: Merete Nielsen, Børupskovvej 24, Skærbæk, 7000 Fredericia
Regnskabsfører: Per Eskildsen, Poppelvænget 6, Taulov, 7000 Fredericia
Driftsleder/
Vandværksbestyrer: Bent Eskildsen, Gisselbakken 2, Skærbæk, 7000 Fredericia
Kategorier af personoplysninger
Personoplysningerne videregives ikke til nogen udenfor organisationen ud over databehandlere.
Tidsfrister for sletning / opbevaring
Ingen tidsfrister, dog minimum 5 år af hensyn til bogføringsloven.
- Fortrolighed: Det vurderes, at tab af fortrolighed potentielt kan have negativ indflydelse på de registreredes rettigheder og frihedsrettigheder. Der indføres derfor begrænset adgang samt underskrives tavshedserklæring, før der gives adgang.
- Integritet: Det vurderes, at tab af integritet ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative processer omkring lønkørsel mv., hvorfor både it-systemer og administrative processer i forbindelse med databehandlingen skal beskytte mod tab af integritet.
- Tilgængelighed: Det vurderes, at tab af tilgængelighed ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative processer omkring forbrugerafregning, hvorfor både it-systemer, i særdeleshed backup, og administrative processer i forbindelse med databehandlingen skal beskytte mod længerevarende tab af tilgængelighed.
Tekniske og organisatoriske sikkerhedsforanstaltninger
Nogle af oplysningerne opbevares desuden fysisk i aflåst skab.[Tor Valst2]
Vandværket har vurderet, at det ikke er muligt at implementere falske/opdigtede navne (pseudonymer) i forbindelse med behandlingen af HR-aktiviteterne, når der skal tages hensyn til det aktuelle tekniske niveau og omkostningerne ved implementering
Se ydermere sektionen ”Supplerende bemærkninger om generelle organisatoriske og tekniske foranstaltninger”.
Kendte sårbarheder og planlagte forbedringer
Vandværket har et ønske om, senest med udgangen af 2018, at supplere de nuværende tekniske og organisatoriske sikkerhedsforanstaltninger med kryptering af HR-dokumenterne samt en mere detaljeret logning af adgangen til følsomme personoplysninger.
Supplerende bemærkninger om generelle organisatoriske og tekniske foranstaltninger
Vandværket har implementeret følgende organisatoriske og tekniske foranstaltninger generelt:
- Antivirus på alle it-systemer, der behandler personoplysninger.
- Backup af alle it-systemer, der behandler personoplysninger.
- Anvendelse af branchetypiske it-systemer til behandlingsaktiviteterne.
- Adgangsbegrænsning til personoplysninger, så der kun gives adgang, hvor det er nødvendigt.
- Databehandleraftaler med leverandører, der behandler personoplysninger på vandværkets vegne.
- Tavshedserklæringer med personale, der har behov for at behandle personoplysninger
- Vejledning i sikker behandling af personoplysninger og informationsaktiver for personale med adgang til informationssystemer
- Gennemførelse af ovenstående risikovurdering og dokumentation af alle systemer, der behandler personoplysninger. Det for at sikre et oplyst grundlag for sikkerhedsniveauet for persondatabehandlingen i vandværket
Version Note Dato Redigeret af
V1.00 Første udkast til skabelon 01. maj 2018 Per Eskildsen
Dokumentet indeholder elementer og inspiration fra følgende:
- Datatilsynets “12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til”.
- EU forordning 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger (”Persondataforordningen”).
- Focus Advokaters ”Sådan bliver din virksomhed klar til at håndtere persondata efter de nye regler”.
- Bird & Bird ”Guide til den nye Persondataforordning”.
- DI’s skabelon for Privacy Impact Assessment.
- ISO/IEC 27002:2013 Information Technology — Security Techniques — Code of practice for Information Security Management http://www.iso.org
- Information Security Forum (ISF) – Standard of Good Practice for Information Security (SOGP) 2011 https://www.securityforum.org/
[Tor Valst1]Tilpas denne liste så den indeholder de personoplysninger I behandler for jeres ansatte og eventuelle honorarmodtagere.
[Tor Valst2]Overvej om det er muligt for jer at supplere sikkerheden ved at kryptere filer indeholdende følsomme oplysninger. Dette kan eksempelvis gøres ved korrekt opsætning af Office 365, hvis I benytter denne cloud løsning.