Skabelonsamling og ordbog. Persondataforordningen og it-sikkerhed

Transkript

1 Skabelonsamling og ordbog Persondataforordningen og it-sikkerhed

2 Skabelonsamling og ordbog Af Danske Vandværker Copyright: Danske Vandværker 1. udgave 1. oplag Juni 2017 Forsidefoto: Colourbox Layout: Kim Lentz Svendsen Grafisk produktion: Sangill Grafisk Tryk: Køge Kopicenter Danske Vandværker Solrød Center 20C 2680 Solrød Strand Tlf Mail: Web: danskevv.dk 2 Danske Vandværker

3 Indholdsfortegnelse Indholdsfortegnelse 4 Indledning 6 Skabelon 1 Målrettet arbejde med persondataforordningen 16 Skabelon 2 Datastrømsanalyse dokumentation for vandværker 20 Skabelon 3 Risikovurdering for vandværker 22 Skabelon 4 Beredskabsplan for it-systemer 28 Skabelon 5 Persondatapolitik 32 Skabelon 6 It-sikkerhedspolitik 40 Skabelon 7 Databehandleraftale 46 Skabelon 8 Retningslinjer for it-adfærd 56 Skabelon 9 Konsekvensanalyse DPIA 66 Skabelon 10 Ordbog og eksempler Danske Vandværker 3

4 Indledning Indledning 4 Danske Vandværker

5 I denne håndbog har vi samlet de 9 skabeloner, så I kan orientere jer i dem samtidig med, at I læser trin for trin-guiden Persondataforordningen og it-sikkerhed. Når I har udfyldt alle skabelonerne, har I et grundlag for arbejdet med persondata og it-sikkerhed, der kan bruges som dokumentation over for relevante myndigheder. Skabelonerne kan hentes på: Viden om Cybersikkerhed Skabelon 01: Målrettet arbejde med persondataforordningen Skabelon 02: Datastrømsanalyse, dokumentation for vandværker Skabelon 03: Risikovurdering Skabelon 04: Beredskabsplan for it-sikkerhed Skabelon 05: Persondatapolitik Skabelon 06: It-sikkerhedspolitik Skabelon 07: Databehandleraftale Skabelon 08: Retningslinjer for it-adfærd Skabelon 09: Konsekvensanalyse Ordbog og eksempler Danske Vandværker 5

6 Skabelon 1 Målrettet arbejde med persondataforordningen Målrettet arbejde med persondataforordningen 6 Danske Vandværker

7 Sådan bruger du dokumentet Afsnittet her, markeret med grønt, skal I slette, når I tager det i brug på vandværket. Baggrund: Dokumentets indhold er baseret på interviews med vandværkerne i Lørslev, Strib og Birkerød. Intentionen med denne skabelon er, at udarbejde den nødvendige dokumentation, så I kan overholde de vigtigste krav i persondataforordningen. Med få justeringer bør de fleste mindre og mellemstore vandværker kunne opnå dette. Nogle steder i skabelonen er markeret med gult. Det er de områder, der kræver størst fokus. Det er dog vigtigt, at I gennemlæser hele dokumentet kritisk og redigerer, så det, der står, afspejler jeres vandværks individuelle behandling af persondata. Hvis I ikke allerede har gjort det, skal I implementere de organisatoriske og tekniske foranstaltninger, der er beskrevet i dokumentet. I modsat fald skal I opdatere dokumentet, så det afspejler den nuværende situation på vandværket, og områderne med kendte sårbarheder og planlagte forbedringer skal opdateres med de tiltag, I tænker at indføre for at styrke sikkerheden. Danske Vandværker 7

8 Skabelon 1 Målrettet arbejde med persondataforordningen Indholdsfortegnelse Formål... 4 Kontaktoplysninger på persondataansvarlig... 4 Procedurer i forbindelse med henvendelser fra registrerede... 4 Fortegnelser over behandlingsaktiviteter... 5 Forbrugsafregninger og relaterede aktiviteter... 5 Grundlag for behandlingen... 5 Kategorier af registrerede... 5 Kategorier af personoplysninger... 5 Kategorier af modtagere... 5 Databehandlere... 5 Tidsfrister for sletning / opbevaring... 5 Risikovurdering... 5 Tekniske og organisatoriske sikkerhedsforanstaltninger... 5 Kendte sårbarheder og planlagte forbedringer... 5 Almindelige HR aktiviteter... 6 Grundlag for behandlingen... 6 Kategorier af registrerede... 7 Kategorier af personoplysninger... 7 Kategorier af modtagere... 7 Databehandlere... 7 Tidsfrister for sletning / opbevaring... 7 Risikovurdering... 7 Tekniske og organisatoriske sikkerhedsforanstaltninger... 7 Kendte sårbarheder og planlagte forbedringer... 8 Supplerende bemærkninger om generelle organisatoriske og tekniske foranstaltninger... 8 Revisionshistorik... 9 Referencer Danske Vandværker

9 Formål Formålet med dette dokument er at dokumentere, at vandværket overholder kravene til behandling af personoplysninger. Vandværket behandler i minimalt omfang personoplysninger og benytter primært branche it-løsninger til behandlingen. I det følgende dokumenteres persondatabehandlingen samt de tekniske og organisatoriske sikkerhedsforanstaltninger, der er etableret i forbindelse med behandlingen. Databeskyttelsesrådgiver (DPO) Behandling af persondata på vandværket udføres som støttefunktion til kerneaktiviteterne og udgør et minimalt omfang. Set i forhold til de risici der er forbundet med behandlingen, følsomheden, samt mængden af personoplysninger, der behandles, vurderer vi, at vandværket ikke skal have en databeskyttelsesrådgiver tilknyttet. Kontaktoplysninger på persondataansvarlig Fornavn, efternavn, telefon, Procedurer i forbindelse med henvendelser fra registrerede I vandværket håndteres alle henvendelser af det administrative personale. I persondatapolitikken, som alle forbrugere og ansatte er bekendt med, har vi anført vores kontaktoplysninger for disse henvendelser. De registreredes vigtigste rettigheder efter databeskyttelsesforordningen er: Retten til at modtage oplysning om behandling af deres personoplysninger (oplysningspligt). Retten til at få indsigt i deres personoplysninger. Retten til at få urigtige personoplysninger rettet. Retten til at få deres personoplysninger slettet. Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring. Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering. Retten til at flytte deres personoplysninger (dataportabilitet). Alle ovenstående rettigheder håndteres manuelt ved henvendelse som anført i persondatapolitikken. Danske Vandværker 9

10 Skabelon 1 Målrettet arbejde med persondataforordningen Fortegnelser over behandlingsaktiviteter Forbrugsafregninger og relaterede aktiviteter Almindelige personoplysninger med det formål at kunne gennemføre forbrugsafregninger og i øvrigt leve op til vandværkets kontraktlige forpligtelser samt forpligtelser i henhold til vandforsyningsloven og bogføringsloven. Grundlag for behandlingen Kontraktlig og retlig forpligtelse samt udførelse af en opgave i samfundets interesse. Kategorier af registrerede Forbrugere. Kategorier af personoplysninger Navn, adresse, telefon, Målernumre, forbrugernummer (kundenummer) Forbrugsdata der kan henføres til en person Kategorier af modtagere Personoplysningerne videregives ikke til nogen udenfor organisationen ud over databehandlere. Databehandlere Rambøll (forbrugerafregningssystem og måleraflæsning) Nets (faktura til forbrugere) Kamstrup ( Ready og ebutler.dk måleraflæsning) Spildevandsselskab (måleraflæsninger) Tidsfrister for sletning / opbevaring Ingen tidsfrister, dog minimum 5 år af hensyn til bogføringsloven. Risikovurdering Fortrolighed: Det vurderes, at tab af fortrolighed vil have en minimal indflydelse på de registreredes rettigheder og frihedsrettigheder. Personoplysningerne, der behandles, vil ofte være offentligt tilgængelige med undtagelse af de detaljerede forbrugsoplysninger fra måleraflæsningerne. Integritet: Det vurderes, at tab af integritet ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative processer omkring forbrugerafregning, hvorfor både it-systemer og administrative processer i forbindelse med databehandlingen skal beskytte mod tab af integritet. Tilgængelighed: Det vurderes, at tab af tilgængelighed ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative processer omkring forbrugerafregning, hvorfor både itsystemer, i særdeleshed backup, og administrative processer i forbindelse med databehandlingen skal beskytte mod længerevarende tab af tilgængelighed. Tekniske og organisatoriske sikkerhedsforanstaltninger Se sektionen Supplerende bemærkninger om generelle organisatoriske og tekniske foranstaltninger. Kendte sårbarheder og planlagte forbedringer Der er på nuværende tidspunkt ikke nogen specifikke, kendte sårbarheder eller planlagte forbedringer. 10 Danske Vandværker

11 Almindelige HR aktiviteter - jobansøgninger Almindelige personoplysninger med det formål at kunne vurdere kandidater til stillingsopslag. Grundlag for behandlingen Samtykke. Kategorier af registrerede Ansøgere. Kategorier af personoplysninger Navn, adresse, telefon, CV Kan indeholde andre personoplysninger, der fremsendes af den registrerede. Kategorier af modtagere Personoplysningerne videregives ikke til nogen udenfor organisationen ud over databehandlere. Databehandlere Ingen Tidsfrister for sletning / opbevaring Ingen specifikke tidsfrister. Oplysningerne opbevares dog ikke længere, end de er relevante. Slettes senest når stillingen er besat. Risikovurdering Fortrolighed: Det vurderes, at tab af fortrolighed vil have en minimal indflydelse på de registreredes rettigheder og frihedsrettigheder. Personoplysningerne, der behandles, er i mange tilfælde offentligt tilgængelige eksempelvis på ansøgerens LinkedIn profil. Integritet: Det vurderes, at tab af integritet ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative systemer, der benyttes til andre formål, hvorfor både it-systemer og administrative processer i forbindelse med databehandlingen skal beskytte mod tab af integritet. Tilgængelighed: Det vurderes, at tab af tilgængelighed ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative systemer, der benyttes til andre formål, hvorfor både itsystemer og administrative processer i forbindelse med databehandlingen skal beskytte mod længerevarende tab af tilgængelighed. Tekniske og organisatoriske sikkerhedsforanstaltninger Se sektionen Supplerende bemærkninger om generelle organisatoriske og tekniske foranstaltninger Kendte sårbarheder og planlagte forbedringer Der er på nuværende tidspunkt ikke nogen specifikke kendte sårbarheder eller planlagte forbedringer. Almindelige HR aktiviteter ansatte mv. Almindelige og muligvis særlige (følsomme) personoplysninger behandles med det formål at kunne opfylde kontraktlige og lovpligtige ansættelsesretlige krav overfor ansatte og bestyrelsesmedlemmer. Herunder også forpligtelser i forhold til bogføringsloven. Grundlag for behandlingen Kontraktlig og retlig forpligtelse. 6 Danske Vandværker 11

12 Skabelon 1 Målrettet arbejde med persondataforordningen Kategorier af registrerede Nuværende og tidligere ansatte samt bestyrelsesmedlemmer. Kategorier af personoplysninger Billede (portræt og fra firmafester) Fulde navn og kontaktoplysninger (herunder privat og privat telefonnummer) Adresse CPR-nummer Bankkontooplysninger Lønsedler Historik på trækprocent og skattefradrag Pensionsoplysninger (kan indeholde oplysning om fagforening og overenskomst) Flextidsoplysninger Korrespondance udvekslet mellem medarbejderen/organisationschefen/cheferne vedrørende specifikke forhold omkring den pågældende medarbejder Referater fra MUS-samtaler igennem årene Disciplinærsager (advarsler m.v.) Refusionsopgørelser vedr. barsel og sygdom Straffeattest Sygehistorik (herunder sygemeldinger) Ansøgning og CV. Kategorier af modtagere Personoplysningerne videregives ikke til nogen udenfor organisationen ud over databehandlere. Databehandlere BlueGarden (lønkørsel) Tidsfrister for sletning / opbevaring Ingen tidsfrister, dog minimum 5 år af hensyn til bogføringsloven. Risikovurdering Fortrolighed: Det vurderes, at tab af fortrolighed potentielt kan have negativ indflydelse på de registreredes rettigheder og frihedsrettigheder. Der indføres derfor begrænset adgang samt underskrives tavshedserklæring, før der gives adgang. Integritet: Det vurderes, at tab af integritet ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative processer omkring lønkørsel mv., hvorfor både it-systemer og administrative processer i forbindelse med databehandlingen skal beskytte mod tab af integritet. Tilgængelighed: Det vurderes, at tab af tilgængelighed ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative processer omkring forbrugerafregning, hvorfor både itsystemer, i særdeleshed backup, og administrative processer i forbindelse med databehandlingen skal beskytte mod længerevarende tab af tilgængelighed. Tekniske og organisatoriske sikkerhedsforanstaltninger Kun administrative medarbejdere har adgang til disse oplysninger. Det er således kun medarbejdere, hvor det er direkte relevant, der har adgang til personoplysninger om deres kolleger. Afgrænsningen gælder som hovedregel alle. De grupper der i visse tilfælde har udvidet adgang er: HRafdelingen, it, bogføring og ledelsen. 12 Danske Vandværker 7

13 Nogle af oplysningerne opbevares desuden fysisk i aflåst skab. Vandværket har vurderet, at det ikke er muligt at implementere falske/opdigtede navne (pseudonymer) i forbindelse med behandlingen af HR-aktiviteterne, når der skal tages hensyn til det aktuelle tekniske niveau og omkostningerne ved implementering Se ydermere sektionen Supplerende bemærkninger om generelle organisatoriske og tekniske foranstaltninger. Kendte sårbarheder og planlagte forbedringer Vandværket har et ønske om, senest med udgangen af 2018, at supplere de nuværende tekniske og organisatoriske sikkerhedsforanstaltninger med kryptering af HR-dokumenterne samt en mere detaljeret logning af adgangen til følsomme personoplysninger. Supplerende bemærkninger om generelle organisatoriske og tekniske foranstaltninger Vandværket har implementeret følgende organisatoriske og tekniske foranstaltninger generelt: Antivirus på alle it-systemer, der behandler personoplysninger. Backup af alle it-systemer, der behandler personoplysninger. Anvendelse af branchetypiske it-systemer til behandlingsaktiviteterne. Adgangsbegrænsning til personoplysninger, så der kun gives adgang, hvor det er nødvendigt. Databehandleraftaler med leverandører, der behandler personoplysninger på vandværkets vegne. Tavshedserklæringer med personale, der har behov for at behandle personoplysninger Vejledning i sikker behandling af personoplysninger og informationsaktiver for personale med adgang til informationssystemer Gennemførelse af ovenstående risikovurdering og dokumentation af alle systemer, der behandler personoplysninger. Det for at sikre et oplyst grundlag for sikkerhedsniveauet for persondatabehandlingen i vandværket Danske Vandværker 13

14 Skabelon 1 Målrettet arbejde med persondataforordningen Revisionshistorik Version Note Dato Redigeret af V0.9 Første udkast til skabelon 13. marts 2017 Tor Valstrøm V1.00 Skabelon tilrettet Xyz Vandværk xx-xx-xxxx x x Referencer Dokumentet indeholder elementer og inspiration fra følgende: 1. Datatilsynets 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til. 2. EU forordning 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger ( Persondataforordningen ). 3. Focus Advokaters Sådan bliver din virksomhed klar til at håndtere persondata efter de nye regler. 4. Bird & Bird Guide til den nye Persondataforordning. 5. DI s skabelon for Privacy Impact Assessment. 6. ISO/IEC 27002:2013 Information Technology Security Techniques Code of practice for Information Security Management 7. Information Security Forum (ISF) Standard of Good Practice for Information Security (SOGP) Danske Vandværker

15 Danske Vandværker 15

16 Skabelon 2 Datastrømsanalyse dokumentation for vandværker Datastrømsanalyse dokumentation for vandværker 16 Danske Vandværker

17 Introduktion Overblik er et af de centrale elementer for at kunne vise, at I har styr på, hvordan I behandler personoplysninger. Skabelonen til datastrømsanalyse hjælper med at dokumentere dette overblik. Mange brancheløsninger går igen hos de fleste vandværker. Derfor indeholder skabelonen de mest brugte it-systemer. De fleste vandværker vil med meget få ændringer have et stærkt værktøj til at dokumentere deres it-systemer og hvilke aktiviteter i behandlingen, som systemerne understøtter. Danske Vandværker 17

18 Skabelon 2 Datastrømsanalyse dokumentation for vandværker Behandlingsaktiviteter indeholdende personoplysninger Beskrivelse Behandlingsformål Typer af personoplysninger Kategorier af personoplysninger Data eller process ejer Indsamlingsmetode Overførselsmetode Rambøll FAS Forbruger Afregnings System Navn, Adresse, Telefon, , Målernumre, Forbrugernummer (kundenummer), Forbrugsdata historisk Almindelige Regnskabsansvarlig Manuelt CSV import/upload PBS faktura Fakturering Navn, Adresse, Telefon, , Målernumre, Forbrugernummer (kundenummer), Forbrugsvolumen Almindelige Regnskabsansvarlig Manuelt CSV import/upload Rambøll FAS måleraflæsning Måleraflæsning Forbrugsdata (live og historisk) Almindelige Driftschef Automatisk Radiolink og interne Kamstrup Ready Måleraflæsning Forbrugsdata (live og historisk) Almindelige Driftschef Automatisk Internet Kamstrup PcBase III Måleraflæsning Navn, Adresse, Telefon, , Målernumre, Forbrugernummer (kundenummer), Forbrugsdata historisk Almindelige Driftschef Manuelt VPN ebutler.dk måleraflæsning Måleraflæsning Adresse, Målernumre, Forbrugsdata (live og historisk) Almindelige Driftschef Automatisk Radiolink Særlig opmærksomhed Beskrivelse Behandlingsformål Typer af personoplysninger Kategorier af personoplysninger Data eller process ejer Indsamlingsmetode Overførselsmetode HR persondata Almindelige HR aktiviteter HR data (alle former for personoplysninger) Almindelige og følsomme Driftschef Manuelt Ingen BlueGarden Lønafregning HR data (alle former for personoplysninger) Almindelige og følsomme Regnskabsansvarlig Manuelt Via BlueGarden web Støttesystemer Beskrivelse Behandlingsformål Typer af personoplysninger Kategorier af personoplysninger Data eller process ejer Indsamlingsmetode Overførselsmetode Kommunikation med forbrugere Navn, Adresse, Telefon, , Målernumre, Forbrugernummer (kundenummer), Forbrugsvolumen Almindelige Driftschef Manuelt Internet 18 Danske Vandværker

19 Opbevaringsmetode Metode til videresendelse Eksterne adgange Backupmetode Databehandler Krypteringsmetode Tredjepartsmodtagere Overførsler til tredjelande / internationale org. Ligger på lokal server CSV import/upload Ingen Ingen Ekstern backup service Ingen (backup data krypteres inden backup overføres) Ingen Ingen Hos PBS Internet Ingen Udføres af PBS Udføres af databehandler PBS Ingen Ingen t Ligger på lokal server CSV eksport Ingen Ukendt Ekstern backup service Ligger på lokal server Ingen Ingen Ukendt Ekstern backup service Ingen (backup data krypteres inden backup overføres) Ingen (backup data krypteres inden backup overføres) Ingen Ingen Ingen Ingen Hos Kamstrup A/S CSV import/upload VPN VPN Udføres af databehandler Kamstrup Ingen Ingen Hos Kamstrup A/S CSV eksport Internet Ukendt Udføres af databehandler Kamstrup Ingen Ingen Opbevaringsmetode Fysisk i aflåst skab, elektronisk på filserver i personalemappen Metode til videresendelse Eksterne adgange Backupmetode Ingen Ingen Ingen Ekstern backup service side Hos BlueGarden Krypteret via internet Ingen Udføres af BlueGarden Databehandler Ingen (backup data krypteres inden backup overføres) Krypteringsmetode Tredjepartsmodtagere Ingen Overførsler til tredjelande / internationale org. Ingen Udføres af databehandler BlueGarden Ingen Ingen Opbevaringsmetode Metode til videresendelse Eksterne adgange Backupmetode Databehandler Krypteringsmetode Tredjepartsmodtagere Overførsler til tredjelande / internationale org. Ligger i skyen hos Microsoft Internet Internet Både ukrypteret og krypteret Udføres af databehandler Microsoft Ingen Muligvis Danske Vandværker 19

20 Skabelon 3 Risikovurdering for vandværker Risikovurdering for vandværker 20 Danske Vandværker

21 Risikovurdering for vandværker # Trussel Sandsynlighed Konsekvens Samlet risikobillede Forslag til yderligere sikkerhedstiltag for at imødegå de konstaterede trusler 1 Uautoriseret adgang til it-systemer HØJ HØJ KRITISK Undgå at bruge faste passwords. Indfør personlige passwords samt krav til sværhedsgrad og ændring af passwords 2 At en ansat får uretmæssig adgang til fortrolige data 3 Fyrede/fratrådte medarbejdere får ikke frataget adgangsrettigheder 4 Vandværket rammes af et ransomware eller virusangreb LAV MIDDEL ACCEPTABEL Lav løbende kontrol af, at brugerrettigheder er korrekte. Opsæt logning på adgang til filer med persondata, gennemse log. MIDDEL MIDDEL MIDDEL Implementer procedurer for nedlukning af tidligere medarbejderes itadgange HØJ HØJ KRITISK Implementer software, der blokerer trusler proaktivt (før der sker angreb) 5 Samme login og password bruges af flere MIDDEL MIDDEL MIDDEL Hvis det ikke kan undgås, må logning gøres mere effektiv 6 Datamedier, diske eller dokumenter med fortrolige data bliver stjålet/tabt/glemt, f.eks. under transport HØJ HØJ KRITISK Indfør værktøjer til at slette data på computeren, hvis den mistes. Efterlad aldrig fortroligt materiale i bil, når den forlades 7 Misbrug af anden brugers adgang da der MIDDEL MIDDEL MIDDEL Indfør automatisk logoff, når computeren har været inaktiv i 5 ikke logges ud efter brug af systemet minutter (pauseskærm) 8 Brugere skifter ikke adgangskode løbende HØJ MIDDEL MIDDEL Indfør passwordpolitik, med jævnlig ændring af passwords. Kontroller at den følges 9 Der er fejl på backup, så data ikke kan LAV HØJ KRITISK Test jævnligt om backup virker ved at udføre tests af genoprettelse genskabes ved datatab eller nedbrud 10 En medarbejder modtager og aktiverer MIDDEL HØJ KRITISK Indfør sikkerhedsværktøjer, virusscanning af osv. virus eller trojansk hest via , browser eller usb-nøgle 11 Brug af privat computer eller brug af firmacomputer til private formål åbner for misbrug eller hacker/virusangreb 12 En ansat lokkes til at udlevere fortrolig/kritisk information til uvedkommende (social engineering) 13 Indsæt flere relevante trusler her HØJ HØJ KRITISK Undlad at gøre brug af privat computer. Brug computer kun til firmaformål LAV MIDDEL ACCEPTABEL Informer medarbejdere, om hvad man skal passe på. Lad fortrolighedserklæringer indgå i ansættelsesaftaler/-kontrakter Danske Vandværker 21

22 Skabelon 4 Beredskabsplan for it-systemer Beredskabsplan for it-systemer 22 Danske Vandværker

23 Beredskabsplan for it-systemer Prioriteret systemliste Prioritet It-system (Mest kritiske først) Maksimal nødvendig reetableringstid Mulighed for manuel arbejdsgang i tilfælde af længerevarende nedbrud/utilgængelighed 1 Rambøll FAS F.eks. 8 timer 2 PBS Faktura F.eks. 1 dag 3 Rambøll FAS måleraflæsning F.eks. 8 timer 4 Kamstrup Ready F.eks. 8 timer 5 Kamstrup PcBase III 6 ebutler.dk måleraflæsning F.eks. 8 timer F.eks. 8 timer Foretag manuel aflæsning ved fysisk at besøge alle målere. Bed alternativt forbrugerne om at aflæse. 7 F.eks. 8 timer Kommuniker vigtige beskeder via telefon. 8 Internetforbindelse på vandværk 9 Lokal filserver til deling og opbevaring af filer 10 Indsæt system navn her F.eks. 8 timer F.eks. 8 timer Brug mobiltelefon som internethotspot. Arbejd alternativt hjemmefra (hvor der er en fungerende internet forbindelse). Ved manglede forbindelse til drift og overvågning på vandværket vil manuel kontrol og drift være nødvendig. Reetableringstiden sker som udgangspunkt i normal arbejdstid, med mindre andet er aftalt. Danske Vandværker 23

24 Skabelon 4 Beredskabsplan for it-systemer Kontaktlister Intern kontaktliste for vandværket Rolle Primær/substitut Navn Adresse Tlf. Alternativ tlf. og Daglig leder på vandværket Administrativ medarbejder på vandværket Teknisk medarbejder på vandværket Bestyrelsesformand Bestyrelsesmedlem Primær Substitut Primær Substitut Primær Substitut Primær Primær Kontaktliste for leverandører Rolle Primær/substitut Navn Adresse Tlf. Alternativ tlf. og Rambøll FAS Rambøll Kamstrup Ready Kamstrup TDC - Internetforbindelse Driftsleverandør computere Driftsleverandør inhouse servere SOLID-IT Beredskab og generel it-support Primær Substitut Primær Substitut Primær Substitut Primær Substitut Primær Substitut Primær Helpdesk support@solidit.dk Hvis vandværket ønsker at anvende SOLID-IT som it-driftsleverandør, kan SOLID-IT kontaktes på med henblik på at lave en aftale om leverance og beredskab. Se evt. mere på Handlingsplaner Handlingsplan for interne servere og systemer på vandværket Denne handlingsplan er baseret på interne servere og systemer. Det vil sige systemer, som står på vandværkets adresse, og som vandværket har det fulde driftsansvar for. 24 Danske Vandværker 2

25 I situationer hvor det eksisterende hardware eller infrastruktur ikke kan genbruges, skal der skaffes nyt udstyr til at reetablere it-systemets drift. Denne handlingsplan er gældende for følgende servere og systemer: - Lokal filserver - Lokale computere - Rambøll FAS - Rambøll FAS Måleraflæsning - Kamstrup Ready Nr. Handling Beskrivelse Tid 1 Vurder situationen Status gennemgås, og det vurderes, om eventuelle manuelle arbejdsgange skal iværksættes i forhold til den prioriterede systemliste. 2 Anskaf nyt hardware Fremskaf hardware og relevante komponenter til infrastruktur og etabler ny server/systemmiljø. 3 Anskaf og installer backup Skaf backup og installer den. 4 Fastlæg datatab og informer interessenter Fastlæg omfanget af datatabet og informer brugerne og andre interessenter om, hvor stort et tidsrum der mangler i systemet. 5 Implementer almindelige driftsrutiner Implementer de almindelige driftsrutiner og konfigurationer såsom backup, overvågning mv. 6 Informer relevante interessenter Informer relevante interessenter, når systemet er reetableret og klar til brug. (f.eks. brugere af systemet, samt ledelse). Kontakt relevant leverandør fra kontaktliste. Kontakt relevant leverandør fra kontaktliste. Kontakt relevant leverandør eller interessent fra kontaktliste. Kontakt relevante interessenter fra kontaktliste. Kontakt relevant leverandør eller vandværkskontakt fra kontaktliste. Kontakt relevante interessenter fra kontaktliste. Start: Slut: Start: Slut: Start: Slut: Start: Slut: Start: Slut: Start: Slut: Handlingsplan for eksterne services (leveret af eksterne leverandører, herunder cloudleverandører) Ved nedbrud hos en af vandværkets eksterne leverandører skal beredskabet iværksættes, så snart det vurderes at være nødvendigt. Nedenstående handlingsplan har til formål at informere den konkrete leverandør og sikre dialogen med leverandøren under hele forløbet. Denne handlingsplan er gældende for følgende systemer: - ebutler.dk måleraflæsning - Kamstrup PcBase III - Nets Faktura Danske Vandværker 25 3

26 Skabelon 4 Beredskabsplan for it-systemer Nr. Handling Beskrivelse Tid 1 Vurder situationen Status gennemgås, og det vurderes om eventuelle manuelle arbejdsgange skal iværksættes i forhold til den prioriterede systemliste. 2 Undersøg leverandørforhold Det undersøges hvilke opgaver, som er outsourcet til den eksterne leverandør. 3 Kontakt leverandør Hvis dette ikke allerede er sket, f.eks. i tilfælde af at leverandøren har konstateret og informeret om hændelsen, tages kontakt til leverandøren. 4 Vurder situationen med leverandøren Status gennemgås, og situationen vurderes i samarbejde med leverandøren. Hvis leverandøren har behov for adgang til vandværkets adresse, aftales det, hvordan adgangen finder sted. 5 Planlæg indsatsen Planlæg opgaver og aftal det videre forløb. 6 Kommunikation og kontakter Planlæg hvordan kommunikationen med leverandøren skal foregå, og oplys kontaktoplysninger til eventuelle øvrige parter, som leverandøren skal kommunikere med. Kontakt evt. relevant leverandør og interessenter fra kontaktliste. Kontakt evt. relevant leverandør og interessenter fra kontaktliste. Kontakt relevant leverandør fra kontaktliste. Kontakt evt. relevant leverandør og interessenter fra kontaktliste. I samarbejde med leverandør og interessenter. Kontakt evt. relevant leverandør og interessenter fra kontaktliste. Start: Slut: Start: Slut: Start: Slut: Start: Slut: Start: Slut: Start: Slut: 26 Danske Vandværker

27 Handlingsplan for virus- eller hackerangreb Handlingsplanen for virus- eller hackerangreb skal sikre en effektiv indsats i tilfælde af virusangreb eller hackerangreb. Nr. Handling Beskrivelse Tid 1 Vurder situationen Vurder situationen. Hvis der er risiko for, at data kan blive ødelagt eller skadet, afbrydes internetforbindelsen. 2 Luk systemer Vurder, om der er behov for at lukke systemer for at undgå spredning af angrebet. Informer relevante systemejere, brugere mv. 3 Iværksæt undersøgelse Iværksæt en undersøgelse af angrebet. Kontakt evt. SOLID-IT. 4 Skift adgangskoder Vurder, om adgangskoder bør skiftes. 5 Aktiver ekstra systemlogning Vurder, om der bør iværksættes ekstra logning af systemer og netværk for at opklare og indsamle beviser om hændelsen. 6 Kontakt leverandører Kontakt leverandørerne, hvis de ramte områder driftes eksternt. 7 Kontakt myndigheder Vurder, om der skal foretages politianmeldelse, og om der er andre myndigheder som bør kontaktes, f.eks. ødelæggelse af persondata. 8 Informer interessenter Eventuelle øvrige interessenter informeres. Kontakt evt. relevant leverandør og interessenter fra kontaktliste. Kontakt evt. relevant leverandør og interessenter fra kontaktliste. Kontakt evt. relevant leverandør og interessenter fra kontaktliste. Kontakt evt. relevant leverandør og interessenter fra kontaktliste. Kontakt evt. relevant leverandør og interessenter fra kontaktliste. Kontakt evt. relevant leverandør og interessenter fra kontaktliste. Kontakt evt. relevant leverandør og interessenter fra kontaktliste. Kontakt interessenter fra kontaktliste. Start: Slut: Start: Slut: Start: Slut: Start: Slut: Start: Slut: Start: Slut: Start: Slut: Start: Slut: Hvis vandværket ønsker, at SOLID-IT skal respondere på virus og hackerangreb (Incident security response), kan SOLID-IT kontaktes på med henblik på at lave en aftale om leverance og løbende beredskab. Se evt. mere på Danske Vandværker 27

28 Skabelon 5 Persondatapolitik Persondatapolitik 28 Danske Vandværker

29 Sådan bruger du dokumentet Afsnittet her, markeret med grønt, skal I slette, når I tager det i brug på vandværket. Baggrund: Dokumentets indhold er baseret på interviews med vandværkerne i Lørslev, Strib og Birkerød. Intentionen med denne skabelon er at udarbejde en persondatapolitik, så I kan overholde de vigtigste krav i persondataforordningen. Med få justeringer bør de fleste vandværker kunne opnå dette. Nogle steder i skabelonen er markeret med gult. Det er de områder, der kræver størst fokus. Det er dog vigtigt, at I gennemlæser hele dokumentet kritisk og redigerer, så det afspejler jeres vandværks individuelle behandling af persondata. Introduktion For at kunne levere vandforsyning er der vigtige personoplysninger, vi har behov for at behandle. Vores persondatapolitik er ment som en hjælp til at forstå, hvilke data vi indsamler, hvorfor vi indsamler dem, og hvad vi anvender dem til. Dette er vigtige oplysninger, så vi håber, at du vil tage dig tid til at læse dem. Skulle du have spørgsmål, eller ønsker du yderligere information, er du velkommen til at henvende dig til vores persondataansvarlige: Kontaktoplysninger på persondataansvarlig Telefon, Dataansvarlig Xyz Vandværk, Adresse, Postnr., By (CVR-nummer xxxxxxxx) Vores behandling af dine personoplysninger Vi behandler personoplysninger, som du eller en anden part, eksempelvis ejendomsmægler eller udlejer, har udleveret til os i forbindelse med din tilflytning til vandværkets forsyningsområde. Endvidere behandler vi løbende oplysninger om dit forbrug af vand. Disse personoplysninger behandler vi for at kunne leve op til vores kontraktlige forpligtelser overfor dig i forbindelse med afregning af forbrug samt vores forpligtelser i forbindelse med vandforsyningsloven. Uden disse oplysninger vil vi ikke kunne forsyne dig med vand. Typisk drejer det sig om disse personoplysninger: Navn, adresse, telefon, Målernumre, forbrugernummer (kundenummer) Forbrugsdata der kan henføres til en person Tidsfrister for sletning/opbevaring Vi stræber efter at slette (eller anonymisere) personoplysninger, så snart de ikke har nogen relevans. Dog opbevarer vi dem altid i minimum 5 år af hensyn til bogføringsloven. Ofte opbevarer vi forbrugsoplysninger længere af hensyn til statistiske formål, eksempelvis i forbindelse med ejerskifte. 2 Danske Vandværker 29

30 Skabelon 5 Persondatapolitik Dine rettigheder efter persondataforordningen I forbindelse med vores behandling af dine personoplysninger har du adskillige rettigheder: Retten til at modtage oplysning om hvordan vi behandler dine personoplysninger (oplysningspligt). Retten til at få indsigt i dine personoplysninger. Retten til at få urigtige personoplysninger rettet. Retten til at få dine personoplysninger slettet. Retten til at gøre indsigelse mod at dine personoplysninger anvendes til direkte markedsføring. Retten til at gøre indsigelse mod automatiske, individuelle afgørelser, herunder profilering. Retten til at flytte dine personoplysninger (dataportabilitet). Alle ovenstående rettigheder håndteres manuelt ved henvendelse til vores persondataansvarlige. Vi kan afvise anmodninger, der er urimeligt gentagende, kræver uforholdsmæssig meget teknisk indgriben (f.eks. at udvikle et nyt system eller ændre en eksisterende praksis væsentligt), påvirker beskyttelsen af andres personlige oplysninger, eller noget som vil være ekstremt upraktisk (f.eks. anmodninger om oplysninger der findes som sikkerhedskopier). Hvis vi kan rette oplysninger, gør vi naturligvis dette gratis, med mindre det kræver en uforholdsmæssig stor indsats. Vi bestræber os på at vedligeholde vores tjenester på en måde, der beskytter oplysninger fra fejlagtig eller skadelig ødelæggelse. Når vi sletter dine personoplysninger fra vores tjenester, er det derfor muligt, at vi ikke altid kan slette tilhørende kopier fra vores arkivservere med det samme, og det er ikke sikkert, at oplysningerne fjernes fra vores sikkerhedskopisystemer. Du har til hver en tid retten til at klage til Datatilsynet ( Oplysninger, som vi videregiver Vi videregiver ikke personlige oplysninger til virksomheder, organisationer og enkeltpersoner uden for vandværket. Undtagelsen er i disse tilfælde: Med dit samtykke Vi videregiver personlige oplysninger til virksomheder, organisationer eller enkeltpersoner uden for vandværket, hvis vi har dit samtykke. Vi kræver aktivt tilvalg af videregivelse af alle personoplysninger. Til ekstern databehandling Vi videregiver personlige oplysninger til vores samarbejdspartnere eller andre betroede virksomheder eller personer, der behandler dem for os. Deres behandling er baseret på vores instrukser og i overensstemmelse med vores privatlivspolitik og andre gældende tiltag til fortrolighed og sikkerhed, eksempelvis vores databehandleraftale. Af juridiske årsager Vi videregiver personlige oplysninger til virksomheder, organisationer eller enkeltpersoner uden for vandværket, hvis vi i god tro mener, at adgang, brug, bevarelse eller offentliggørelse af oplysningerne er nødvendig for at: o o Overholde gældende love, bestemmelser, sagsanlæg eller retsgyldige anmodninger fra offentlige myndigheder. Håndhæve gældende servicevilkår, herunder undersøgelse af potentielle overtrædelser Danske Vandværker

31 o o Registrere, forhindre eller på anden måde beskytte mod problemer med bedrageri, sikkerhed eller tekniske problemer. Holde vandværket fri fra skade, vores medlemmer eller offentlighedens rettigheder, ejendom eller sikkerhed, sådan som det kræves eller tillades i henhold til lovgivningen. Vi kan dele oplysninger, der ikke identificerer personer, med offentligheden og vores partnere. Vi kan f.eks. dele oplysninger med offentligheden for at vise generelle tendenser om, hvordan vores forbrugeres forbrug fordeler sig. Informationssikkerhed Vi arbejder hårdt for at beskytte vandværket og vores forbrugere mod uautoriseret adgang, ændring, offentliggørelse eller ødelæggelse af personoplysninger, som vi lagrer. Vi har implementeret følgende organisatoriske og tekniske foranstaltninger generelt på vandværket: Antivirus på alle it-systemer, der behandler personoplysninger. Backup af alle it-systemer, der behandler personoplysninger. Anvendelse af branchetypiske it-systemer til behandlingsaktiviteterne. Adgangsbegrænsning til personoplysninger, så der kun gives adgang, hvor det er nødvendigt. Databehandleraftaler med leverandører, der behandler personoplysninger på vandværkets vegne. Tavshedserklæringer med personale, der har behov for at behandle personoplysninger. Vejledning i sikker behandling af personoplysninger og informationsaktiver for personale med adgang til informationssystemer. Gennemførelse af ovenstående risikovurdering og dokumentation af alle systemer der behandler personoplysninger for at sikre et oplyst grundlag for sikkerhedsniveauet for persondatabehandlingen i vandværket. Overholdelse og samarbejde med tilsynsmyndigheder Vi gennemgår regelmæssigt, at vi overholder vores egen persondatapolitik. Vi overholder også adskillige selvregulerende sikkerhedspolitikker. Når vi modtager formelle skriftlige klager, kontakter vi afsenderen for at følge op på klagen. Vi samarbejder med de relevante lovgivende myndigheder, f.eks. Datatilsynet, om at løse klager om overførsel af personlige data, som vi ikke kan løse direkte med vores brugere. Ændringer Vores privatlivspolitik kan ændres fra tid til anden. Vi begrænser ikke dine rettigheder i henhold til denne privatlivspolitik uden dit udtrykkelige samtykke. Eventuelle ændringer af denne privatlivspolitik angives på denne side, og hvis der sker væsentlige ændringer, vil vi gøre opmærksom på dem på en mere iøjnefaldende måde (for visse tjenester oplyser vi bl.a. om ændringer via ). Revisionshistorik Version Note Dato Redigeret af V0.9 Første udkast til skabelon 13. marts 2017 Tor Valstrøm V1.00 Skabelon tilrettet Xyz Vandværk xx-xx-xxxx x x 4 Danske Vandværker 31

32 Skabelon 6 It-sikkerhedspolitik It-sikkerhedspolitik 32 Danske Vandværker

33 Sådan bruger du dokumentet Afsnittet her, og andre områder i dokumentet, der er markeret med grønt, skal I slette, når I tager det i brug på vandværket. Afsnittene med grønt er uddybende bemærkninger og kommentarer. Baggrund: Dokumentets indhold er baseret på interviews med vandværkerne i Lørslev, Strib og Birkerød. Intentionen med denne skabelon er at udarbejde en it-sikkerhedspolitik. Med få justeringer bør de fleste vandværker kunne opnå dette. Nogle steder i skabelonen er markeret tekst med gult. Det er de områder, der skal ændres i forhold til jeres vandværks navn. Det er vigtigt, at I gennemlæser hele dokumentet kritisk, og redigerer det, så det afspejler jeres vandværks individuelle holdning til it-sikkerhed. Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos <Xyz Vandværk>. Hermed ønsker vandværket at demonstrere sin seriøse holdning til at skabe sikkerhed for persondata, systemer og andre it-aktiver Hensigten er at lægge et fundament, så kritiske og fortrolige informationer og systemer kan bevare deres fortrolighed, integritet og tilgængelighed. Der bliver fokuseret på de vigtigste krav i EU s generelle persondataforordning samt på relevante krav i de internationale it-sikkerhedsstandarder ISO og Formål Idet brugen af it anses for at være en meget vigtig forudsætning for vandværkets eksistens, vil det være nødvendigt at sikre vandværkets it-ressourcer (data, software, hardware og kommunikationsforbindelser). Derfor vil vi etablere og vedligeholde en afbalanceret it-sikkerhed, som i denne sammenhæng omfatter alle nødvendige organisatoriske, fysiske og tekniske sikkerhedsforanstaltninger. It-ressourcerne skal med andre ord beskyttes mod misbrug, manipulation, ødelæggelse og tab, samt mod at blive fejlbehæftede. Beskyttelsen skal virke mod alle former for trusler, interne eller eksterne, hændelige eller bevidste. Danske Vandværker 33

34 Skabelon 6 It-sikkerhedspolitik Ledelsens udmelding om de overordnede mål og principper <Xyz Vandværk> ønsker at opnå: Fortrolighed, integritet og tilgængelighed af persondata i overensstemmelse med kravene i EU s persondataforordning Høj driftssikkerhed og minimeret risiko for større nedbrud og tab af data Opretholdelse af et image som en virksomhed, der demonstrerer kvalitet og sammenhæng i brugen af it It-sikkerhedspolitikken skal danne grundlag for at forebygge og begrænse skader til en, for vandværket, kendt og accepteret størrelse samt sikre fortsat it-drift efter et sikkerhedsbrud inden for en nærmere defineret tidshorisont. Vigtige grundprincipper for sikkerhedsarbejdet Funktionsadskillelse Det er ofte vanskeligt at opretholde funktionsadskillelse, men et fravalg af dette princip vil være at sætte it-sikkerheden i fare. Derfor vil vi som minimum kræve (ligesom det er tilfældet ved adgang til kassen/bankbeholdningen), at en anden person (bestyrelsesmedlem, næstformand eller formand) medvirker. Hvis dette ikke kan lade sig gøre i praksis, fordi ingen bestyrelsesmedlemmer har it-kompetencer, bruges følgende model: Den daglige leder beslutter hvem, der skal have adgang til hvilke ressourcer og hvornår. En udpeget itansvarlige, der kan være en medarbejder med it- eller it-sikkerhedsviden eller en ekstern itkonsulent, installerer herefter rettigheder/begrænsninger i overensstemmelse med den daglige leders beslutninger. Når installationen er afsluttet, sender den it-ansvarlige en mail til bestyrelsen eller et medlem af bestyrelsen om, hvad han har foretaget sig. Så kan bestyrelsen efterfølgende orientere sig hos den daglige leder om formålet med den gennemførte ændring. Ændringen og begrundelsen tages med i referatet til næste bestyrelsesmøde. Se eksempel 1-2 i eksempelsamlingen. 34 Danske Vandværker

35 Sikkerhedsforanstaltninger Den daglige leder beslutter omfang og styrke af de sikkerhedsforanstaltninger, som det findes nødvendigt at installere. Den it-ansvarlige installerer de tekniske foranstaltninger, mens den daglige leder står for formuleringen af de administrative foranstaltninger (evt. retningslinjer og instrukser). Det er ikke acceptabelt at anvende privat it-udstyr til at udføre arbejde for vandværket eller til at koble sig op på vandværkets systemer. Styring af sikkerhedshændelser Vi vil løbende sikre en vurdering af eventuelle hændelser, der kan true sikkerheden, så risikobilledet kan opdateres ved gennemgang af såvel kendte som nye trusler og sårbarheder, og eventuelle nye tiltag kan indføres. Den daglige leder rapporterer overordnet til bestyrelsen om de hændelser, der måtte være sket, og informerer om det opdaterede risikobillede, når væsentlige ændringer er indtruffet. Se eksempel 3-4 i eksempelsamlingen Dokumentation Der skal udarbejdes skriftlige procedurer for alle væsentlige sikkerhedsaktiviteter, og det skal kunne dokumenteres, at de har været gennemført. Se eksempel 5 i eksempelsamling Sikkerhed i forbindelse med outsourcing Leverandører, der helt eller delvist står for drift af vandværkets systemer, skal overholde vandværkets krav til it-sikkerhed. De skal også sikre, at der er mulighed for løbende at kunne kontrollere og følge op på deres sikringsforanstaltninger. I forbindelse med at der bliver indgået en kontrakt om outsourcing, skal der udarbejdes en databehandleraftale, der i detaljer beskriver de sikkerhedskrav, som leverandøren skal leve op til. Leverandører skal én gang årligt stille en revisionserklæring om, at it-sikkerheden er i orden i henhold til revisionsstandard 3411, type B. Se eksempel 6 i eksempelsamlingen De konkrete mål Det regelsæt, der styres efter, er baseret på den internationale standard ISO/IEC serie. Herved opnås en direkte kobling fra sikkerhedspolitikken til de underliggende retningslinjer og instrukser, der peges på i standarderne. Danske Vandværker 35

36 Skabelon 6 It-sikkerhedspolitik Hovedpunkterne i regelsættet/retningslinjerne er: 1. Overordnede retningslinjer (informationssikkerhedspolitikker) Vi har brug for et sikkerhedsniveau afstemt efter omkostningerne og de forretningsmæssige behov. Ledelsen vil derfor sammenfatte sine overordnede krav i en it-sikkerhedspolitik. 2. Organisering af sikkerhedsarbejdet Den daglige leder er ansvarlig for den overordnede it-sikkerhed samt for udformning af en itsikkerhedspolitik. Samtidig er det den daglige leder, der beslutter hvem, der skal have adgang til hvilke it-ressourcer og hvornår. En udpeget it-ansvarlig installerer rettigheder/begrænsninger i overensstemmelse med disse beslutninger Styringen sker i en proces, hvor der gennemføres risikovurdering, målfastlæggelse, planlægning, gennemførelse, overvågning og opfølgning i en tilbagevendende cyklus. 3. Medarbejdersikkerhed Der skal informeres og stilles krav om it-sikkerheden til medarbejderne før og under ansættelsen samt efter ansættelsens ophør eller ændring. Specielt vil der være særlige sikkerhedskrav forbundet med arbejde i hjemmet eller ved andet arbejde uden for kontoret (på privat it-udstyr eller på firmaejet udstyr). 4. Styring af aktiver Vandværkets it-aktiver (software, data, eller fysiske enheder) skal identificeres og registreres, så det er muligt at definere, hvilke der er kritiske, vigtige eller sensitive for vandværket. Hertil er det nødvendigt at udpege en ejer for hvert aktiv, således at denne har ansvaret for korrekt håndtering af det enkelte aktiv. Klassifikation skal sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. I forhold til mediehåndtering skal det forhindres, at uautoriseret offentliggørelse, ændring, fjernelse eller ødelæggelse af information lagret på medier (inkl. papirmediet) finder sted. Bortskaffelse af medier: Medier, som indeholder fortrolig information, skal lagres og bortskaffes forsvarligt, for eksempel ved ødelæggelse, makulering, eller sletning af data. Transport af fysiske medier: Medier med fortrolig information skal beskyttes mod uautoriseret adgang, misbrug eller ødelæggelse under transport. Dette gælder også bærbare computere, tablets og mobiltelefoner. Se eksempel 7 i eksempelsamlingen Danske Vandværker

37 5. Adgangsstyring Der skal gennemføres styring af den generelle adgang til virksomhedens systemer, informationer og netværk med udgangspunkt i de forretnings- og lovgivningsbetingede krav. Der skal desuden kunne gennemføres begrænsninger i adgangen til specifikke systemer og data ved at definere brugerroller og ved at tildele privilegerede adgangsrettigheder. Procedurer for brugerregistrering og -afmelding samt for tildeling af brugeradgang. System- og dataejere bør med jævne mellemrum gennemgå tildelte rettigheder for at konstatere, om de fortsat er gældende. Der skal gøres brug af sikre adgangskoder/passwords samt sikker log-on; begge dele beskrives i særskilt procedure. Se eksempel 8 i eksempelsamlingen. 6. Kryptering Der skal tages stilling til i hvor høj grad, der skal gøres brug af kryptering af såvel lagrede data som data under transmission. Behovet for at anvende kryptering baseres på en risikovurdering. Ansvaret for det praktiske arbejde samt for nøgleadministration vil i givet fald blive beskrevet i procedurer. 7. Fysisk sikring og miljøsikring Kritisk it-udstyr skal være anbragt i sikre områder beskyttet af de nødvendige fysiske barrierer, adgangskontroller samt alarmer for at minimere risikoen for uheld og ulykker. Endvidere skal kritisk udstyr sikres mod forsyningssvigt (blandt andet el-, vand- og teleforbindelser). 8. Driftssikkerhed Driftssikkerhed drejer sig om at opnå korrekt og sikker drift af faciliteterne, der behandler information. Heri indgår dokumentering af procedurer for drift og softwareinstallation samt styring af de ændringer, der løbende forekommer og som kan påvirke informationssikkerheden. Endvidere skal der indføres sikkerhedsforanstaltninger, der kan opdage og forhindre sikkerhedsbrud forårsaget af malware samt efterfølgende sikre genstart af driftssystemerne. For at sikre at al væsentlig information, software og systemer kan genskabes efter et nedbrud/sikkerhedsbrud, skal der foreligge en backupplan, som følges i praksis. Endelig skal der, hvor det er muligt, gennemføres løbende logning og overvågning af brugeraktivitet med henblik på, at kunne dokumentere hændelsesforløbet i forbindelse med et sikkerhedsbrud. Desuden skal der gennemføres en styring af tekniske sårbarheder, for at forhindre, at disse udnyttes i skadeligt øjemed. Se eksempel 9-10 i eksempelsamlingen. 6 Danske Vandværker 37

38 Skabelon 6 It-sikkerhedspolitik 9. Kommunikationssikkerhed Vandværkets interne netværk skal styres og overvåges samt have installeret passende sikkerhedsforanstaltninger. Forekommer der flere forskellige brugergrupper på netværket, bør dette opdeles, så grupperne af brugere bliver adskilt. Ved overførsel af informationer til eksterne samarbejdspartnere eller forbrugere skal der gøres særlige overvejelser om hvilket sikkerhedsniveau, der skal benyttes. Blandt andet kan der blive tale om at etablere særlige aftaler om fortrolighed og hemmeligholdelse samt brug af kryptering, når det drejer sig om data af højeste klassifikation. 10. Anskaffelse, udvikling og vedligeholdelse af systemer Sikkerhed skal indgå som en integreret del af de systemer, der understøtter virksomhedens daglige drift. Det vil sige, at krav til sikkerhed skal specificeres i forbindelse med anskaffelse, udvikling og vedligeholdelse af systemerne. Sikkerhedskravene skal være begrundede, aftalte og dokumenterede. Formulering af sikkerhedskravene bør ske på basis af en risikovurdering. Særlige overvejelser skal ske vedrørende brugen af persondata i forbindelse med testforløb. 11. Leverandørforhold Outsourcing skal være baseret på en kontrakt samt en databehandleraftale, som sikrer, at virksomhedens it-sikkerhedspolitik ikke skades. Aftalen skal indeholde principielle og konkrete krav til it-sikkerheden hos leverandøren, samt til hvordan kommunikationen mellem vandværket og leverandøren skal sikres. Der skal leveres revisorerklæringer om it-sikkerheden og gives mulighed for inspektion af it-sikkerheden i særlige situationer (kontraktligt aftalt). It-udstyr, der kobler sig på virksomhedens systemer via eksterne netværk, skal overholde virksomhedens sikkerhedspolitik og retningslinjer. Dette gælder også medarbejderes brug af private computere, tablets og mobiler, hvis de har opnået tilladelse til opkobling. Se eksempel 11 i eksempelsamlingen. 12. Styring af brud på informationssikkerhed Styring af brud på informationssikkerhed betegnes også Information Security Incident Management. Det skal sikre en ensartet og effektiv metode til at styre sikkerhedsbrud herunder kommunikation om sikkerhedstruende hændelser og svagheder. Ting, der bør beskrives, er blandt andet: ansvar og procedurer, hændelsesrapportering, rapportering af svagheder, vurdering af hændelser, håndtering af sikkerhedsbrud, opsamling af erfaring fra sikkerhedsbrud, samt indsamling af beviser (der i givet fald kan bruges i en retslig tvist). Se eksempel 12 i eksempelsamlingen. 13. Beredskabsstyring m.m. Beredskabsstyring handler om sammenhæng i informationssikkerhed. Det skal gerne forankres i vandværkets generelle procedurer for nød-, beredskabs- og reetableringsstyring. Vandværket 7 38 Danske Vandværker

39 skal indføre beredskabsstyring som en løbende opgave med det formål at begrænse konsekvenserne ved katastrofer, sikkerhedsbrud og mistet tilgængelighed. Det indebærer specifikation af krav til beredskab samt af beredskabsplaner. Beredskabsstyringen skal indeholde procedurer, der identificerer og reducerer risici, begrænser konsekvenserne ved skadelige hændelser og sikrer rettidig reetablering af kritiske forretningsprocesser. En nødplan skal sikre muligheden for hurtigst muligt at reetablere normal drift efter en større katastrofe (brandskade, vandskade, mv.) For at omgå (mindre) tekniske problemer, kan det overvejes at have ekstra udstyr parat. Se eksempel 13 i eksempelsamlingen 14. Overensstemmelse med lovbestemte og kontraktlige krav (herunder dataforordningen) Vi vil forhindre, at der sker brud på relevante sikkerhedskrav i lovgivning, bekendtgørelser, cirkulærer og myndighedsforordninger i øvrigt, samt i indgåede kontraktlige forpligtelser. Særligt skal der redegøres for, hvordan de konkrete/skærpede sikkerhedskrav, der stilles i den nye EU persondataforordning, skal håndteres. R evis ions his torik Version Note Dato Redigeret af V1.0 Første udkast til skabelon 13. marts 2017 Per Rhein V1.1 Skabelon tilrettet Xyz Vandværk xx-xx-xxxx x x Danske Vandværker 39

40 Skabelon 7 Databehandleraftale Databehandleraftale 40 Danske Vandværker

41 Databehandleraftale Sådan bruger du dokumentet Afsnittet her, markeret med grønt, skal I slette, når I tager det i brug på vandværket. Intentionen med denne skabelon er, at vandværket kan indgå lovpligtige databehandleraftaler med leverandører, som skal behandle personoplysninger på vegne af vandværket. Det kan eksempelvis være BlueGarden, PBS og Kamstrup m.fl. Med få justeringer bør de fleste mindre og mellemstore vandværker kunne opnå dette. Nogle steder i skabelonen er markeret med gult. Det er de områder, der kræver størst fokus. Det er dog vigtigt, at I gennemlæser hele dokumentet kritisk og redigerer, så det afspejler jeres vandværks individuelle forhold. Mellem Xyz Vandværk Adresse Postnr By CVR-nr. xxxxxxxx Herefter kaldet: Dataansvarlig Og <databehandlers navn, adresse og CVR nr> Herefter kaldet: Databehandler er der d.d. indgået følgende databehandleraftale. 1: Baggrund, formål og definitioner 1.1 Denne databehandleraftale (herefter kaldet Aftalen ) vedrører <system eller projekt>. 1.2 Formålet med indgåelsen af Aftalen er at sikre, at Dataansvarlig og Databehandler lever op til de krav, der er til it-sikkerhed og behandling af persondata i gældende lovgivning. 1.3 I denne aftale skal anvendes samme definitioner som beskrevet i Artikel 4 i EU's forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 2016/679 (i det følgende kaldet Persondataforordningen), eksempelvis: "personoplysninger": enhver form for information om en identificeret eller identificerbar fysisk person ("den registrerede"); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, Danske Vandværker 41

42 Skabelon 7 Databehandleraftale der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet. "behandling": enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse. Beskrivelse af fysisk placering af data: <beskrivelse af hvor data behandles, datacenter lokation mv.> 2: Aftalens gyldighed 2.1 Aftalen er gældende fra tidspunktet fra Aftalens underskrift. 2.2 Aftalen gælder for både Test- og Produktionsmiljø. 2.3 Aftalen gælder indtil <dato for udløb af behandlingen af persondata eller udløb af hovedaftalen> 3: Parternes forpligtelser 3.1 Xyz Vandværk er Dataansvarlig. 3.2 Databehandler handler alene efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.. Dataansvarlig giver Databehandler adgang til <detaljeret beskrivelse af præcis hvilke persondata, der udveksles, og hvilke kategorier af registrerede disse data omfatter> i forbindelse med <beskrivelse af ydelsen, der nødvendiggør adgangen til disse personoplysninger samt rammerne for, hvad databehandler må gøre med disse persondata.> Databehandleren skal i videst muligt omfang assistere med pseudonymisering og kryptering af data. 3.3 Databehandler forpligter sig til, til enhver tid at overholde samtlige lovgivningsmæssige krav, herunder tillige eventuelle nationale lovgivninger for Databehandler hvis Databehandler er hjemmehørende udenfor Danmark, vedrørende databehandling af personoplysninger samt den Dataansvarliges informationssikkerhedspolitik med tilhørende retningslinjer i forbindelse med den databehandling, som udføres for den Dataansvarlige. 3.4 I henhold til Persondataforordningen skal Databehandleren træffe alle foranstaltninger, som kræves i henhold til artikel 32, herunder de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningsmæssige krav. Databehandleren skal have dokumentation for alle processer i den forbindelse. 42 Danske Vandværker 2

43 3.5 Databehandleren skal sikre, at kun personer, som autoriseres hertil, har adgang til de personoplysninger, der behandles. Alene de personer, der nødvendigvis skal have adgang til personoplysninger, må have adgang hertil. Databehandler er forpligtet til at sikre, at enhver fysisk person med adgang til de personoplysninger, der behandles, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt og er instrueret i, hvordan persondata kan, må og skal behandles efter gældende lovgivning. 3.6 Databehandleren og dennes autoriserede medarbejdere må foretage databehandling fra mobile arbejdspladser (arbejdspladser der ikke er på Databehandlerens adresse og befinder sig indenfor EU, f.eks. medarbejderens privatadresse) såfremt databehandlingen sker fra arbejdspladser, som dels rent fysisk befinder sig indenfor EU, dels er underlagt Databehandlers egne sikkerhedsregler. Arbejdspladserne skal således være sikret med tekniske kontroller, der sikrer at behandlingen af personoplysninger sker i overensstemmelse gældende lovgivning og Dataansvarlig og Databehandlers retningslinjer. Endvidere skal den enkelte medarbejder hos Databehandleren instrueres i hvordan man medvirker til at sikre, at uvedkommende ikke får adgang til personoplysninger. 3.7 Da den Dataansvarlige har pligt til aktivt at sikre, at de krævede sikkerhedsforanstaltninger overholdes hos Databehandleren, skal Databehandler indhente en årlig revisionserklæring fra en uafhængig tredjepart som dokumentation for, at sikkerhedsmæssige foranstaltninger er gennemførte hos Databehandler. 3.8 I tilfælde af, at den Dataansvarlige og/eller relevante offentlige myndigheder, herunder men ikke udelukkende Datatilsynet, ønsker at foretage en fysisk inspektion af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Databehandler skal iagttage, forpligter Databehandleren sig til med et rimeligt varsel at stille tid og ressourcer til rådighed herfor med aktiviteter for 1 person i op til 2 arbejdsdage pr. år. 3.9 Databehandleren er, under hensyntagen til behandlingens karakter, forpligtet til ved hjælp af passende tekniske og organisatoriske foranstaltninger, at bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder efter gældende lovgivning, herunder tillige som fastlagt i Persondataforordningens kapitel III Databehandleren skal til enhver tid og på anmodning fra den Dataansvarlige give den Dataansvarlige, eller en af den Dataansvarlige bemyndiget, tilstrækkelige oplysninger til, at denne kan påse, at Databehandlerens forpligtelser efter denne aftale og i øvrigt efter gældende lovgivning, herunder men ikke udelukkende de ovenfor nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, er truffet og iagttaget. Endvidere skal Databehandleren kunne dokumentere, at identificerede sårbarheder bliver imødegået ud fra en risikobaseret vurdering Databehandleren må ikke behandle personoplysninger udenfor EU uden den Dataansvarliges udtrykkelige samtykke. Danske Vandværker 43

44 Skabelon 7 Databehandleraftale 4 Databehandlers brug af underleverandører 4.1 Såfremt Databehandleren samarbejder med eller ønsker at samarbejde med en underleverandør, skal skriftlig godkendelse heraf indhentes fra den Dataansvarlige. 4.2 Det er Databehandlerens ansvar at sikre sig, at underleverandøren lever op til de samme krav, den Dataansvarlige har stillet til Databehandler, herunder krav om audit og kontrol. Hvis denne anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren ansvarlig overfor den Dataansvarlige for opfyldelsen af denne anden databehandlers forpligtelser. 4.3 Ved ønske om indgåelse af aftale med ny underleverandør / skift af eksisterende underleverandør skal den Dataansvarlige adviseres herom minimum 1 måned før. 5 Underretningspligt 5.1 Databehandleren er forpligtet til straks at underrette den Dataansvarlige ved kendskab til enhver afvigelse i forhold til denne aftales indhold, f.eks.: Ved enhver fravigelse fra givne instrukser. Ved enhver mistanke om brud på fortroligheden. Ved enhver mistanke om misbrug, fortabelse og forringelse af data. Ved ethvert brud på persondatasikkerheden. 5.2 Underretning af den Dataansvarlige sker straks og inden 24 timer efter konstateringen ved afsendelse af indeholdende beskrivelse af forløbet, formodet årsag og korrigerende foranstaltninger (udførte samt planlagte) til < hos Xyz Vandværk> samt efterfølgende telefonisk henvendelse til den Dataansvarliges persondataansvarlige på telefon <telefonnummer> 6 Sletning af data 6.1 Databehandler forpligter sig til at slette personoplysninger, når disse ikke længere er relevante for databehandlingen, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne. 7 Håndtering af data efter aftalens ophør 7.1 Databehandleren forpligter sig, at sikre at personoplysninger efter den dataansvarliges valg slettes eller tilbageleveres, når databehandlingen jf. aftale med den Dataansvarlige skal ophøre. 7.2 Det påhviler den Dataansvarlige at oplyse Databehandleren om det tidspunkt, hvor databehandlingen skal ophøre. 7.3 Sletning må dog ikke ske, før Databehandleren har oplyst den Dataansvarlige om den påtænkte fremgangsmåde for sletning og indhentet særskilt bekræftelse fra den Dataansvarlige på, at sletning skal gennemføres på den oplyste dato og på den angivne måde. 44 Danske Vandværker

45 Såfremt den Dataansvarlige ikke finder slettemetoden tilstrækkelig effektiv, skal den Dataansvarlige meddele Databehandleren hvilken slettemetode, der anses for tilstrækkelig effektiv. 7.4 Ved anmodning fra den Dataansvarlige, skal Databehandleren fremsende en skriftlig erklæring på, at data er slettet som aftalt, inklusiv en beskrivelse af den anvendte metode. 8 Misligholdelse og ansvar 8.1 Hvis Databehandler ikke overholder aftalegrundlaget, kan aftalen opsiges med øjeblikkelig virkning. 8.2 Databehandler er forpligtet til i enhver henseende at skadesløsholde den Dataansvarlige for enhver omkostning, der måtte opstå som følge af Databehandlers manglende efterlevelse af denne aftale, Persondataloven, Persondataforordningen eller anden gældende lovgivning. Den Den Dataansvarlig Databehandler Revisionshistorik Version Note Dato Redigeret af V1.0 Første udkast 13. marts 2017 Tor Valstrøm Danske Vandværker 45

46 Skabelon 8 Retningslinjer for it-adfærd Retningslinjer for it-adfærd 46 Danske Vandværker

47 Sikker behandling af personoplysninger og informationsaktiver Version 1.0 Marts 2017 Kære kollega Som medarbejdere i vandværket bærer vi et fælles ansvar for, at informationer bliver håndteret på sikker vis. Hvad enten det er data i vores systemer, dokumenter på vores skriveborde eller den viden, vi har opbygget gennem vores arbejde, så skal vi være opmærksomme på, om disse informationer må deles med andre både i og udenfor vandværket. Vi har ikke kun fokus på informationssikkerheden i vandværket, fordi lovgivningen pålægger os at løfte det ansvar. Vi ønsker også som organisation, at vores forbrugere og medarbejdere skal have tillid til, at vi på vandværket forvalter den viden og de relationer, vi opbygger på forsvarlig vis. Informationssikkerhed bliver derfor et kerneelement i tillidsforholdet mellem vandværket og vores forbrugere. Ved at læse og følge retningslinjerne i denne pjece medvirker vi alle til at opretholde og styrke tillidsforholdet mellem vandværket og forbrugerne. I praksis drejer det sig om at udvise omtanke og handle derefter, når vi har med data, dokumenter og viden at gøre. Retningslinjerne for itadfærd i denne pjece skal følges af samtlige medarbejdere på vandværket. Danske Vandværker 47

48 Skabelon 8 Retningslinjer for it-adfærd Etisk it-adfærd Side 3 Du skal huske: at bruge din sunde fornuft, når du som medarbejder er på sociale medier, eller når du tilgår eller deler informationer som en del af dit arbejde. Når vi som medarbejdere repræsenterer vandværket, er det vigtigt, at vi udviser sund fornuft. Det gælder både vores daglige brug af it-systemer og vores forvaltning af personoplysninger. Vi skal ikke blot overveje, om vores adfærd er forsvarlig i forhold til lovgivningen og vores egne politikker, men også bruge vores dømmekraft i forhold til etiske spørgsmål. Eksempelvis når vi deltager i debatter på sociale medier. at det kan være ulovligt og strafbart at opbevare eller dele copyrightbeskyttede filer, som for eksempel musik eller film, med dine kolleger. at fortrolige informationer ikke bare er dokumenter eller data. Det kan også være den viden, du har tilegnet dig gennem dit arbejde. Sammenfattende kalder vi disse for informationsaktiver, uanset om de er elektroniske, i papirform eller videregivet i samtale. Dine brugeroplysninger Side 4 Vi betragter brugernavne, og især de adgangskoder, der hører til, som strengt fortrolig information. Du må derfor ikke dele din adgangskode med andre hverken i eller udenfor vandværket. I de fleste tilfælde har vi sat regler op, der automatisk sætter grænser for hvor simple adgangskoder, du kan oprette i it-systemerne. Men du kan sikre dig yderligere mod misbrug ved at vælge en adgangskode, der ikke er let at gætte. Vælg derfor altid en adgangskode, der er let at huske for dig, men som ikke giver mening for andre. Du kan for eksempel vælge en huskesætning som: Min søsters hund Fido har 3 ben! = MshFh3b! Du skal huske: at ændre din adgangskode med det samme, hvis du har mistanke om, at andre kender den. at du ikke må skrive din adgangskode ned hverken på papir eller i ikke-krypterede filer, som andre kan få adgang til.... at du ikke må oplyse din adgangskode til andre hverken via telefonen eller personligt. 48 Danske Vandværker

49 Klassifikation af informationer Side 5 For at vi som medarbejdere har de bedst mulige betingelser for at beskytte vores informationsaktiver korrekt, inddeles de i tre overordnede kategorier: Offentlig Ikke-fortrolige informationsaktiver, som frit kan benyttes af alle. Det gælder for eksempel alt indhold på internettet, der kan tilgås uden login. Intern Alle interne informationsaktiver, der kun er tiltænkt medarbejdere, samarbejdspartnere og leverandører. Fortrolig De informationsaktiver, som typisk kun må tilgås af få godkendte brugere, som for eksempel personoplysninger. De må kun deles med eksterne, hvis begge parter har underskrevet en databehandleraftale. Du skal huske: at alle informationsaktiver, der er klassificeret som intern eller fortrolig, skal opbevares i aflåste områder (eller it-systemer med individuel adgangskontrol), når de ikke anvendes. at gæster ikke må efterlades uden opsyn i områder med fortrolig information. at informationsaktiver, der endnu ikke er blevet klassificeret, som udgangspunkt er klassificeret som intern.... at viske eventuelle whiteboardtavler rene og fjerne diverse papirer, når du forlader dit skrivebord eller et mødelokale. Opbevaring af informationer Side 6 For at beskytte vandværket mod tab af data skal du så vidt muligt undgå at gemme filer på lokale drev, usbnøgler eller andre lokale lagermedier. Ved at gemme dine filer på filserveren eller i vores administrative itsystemer vil der blive taget backup af dine filer. Husk backup! Danske Vandværker 49

50 Skabelon 8 Retningslinjer for it-adfærd Arbejde på kontor Side 7 Du er ansvarlig for de informationsaktiver, du omgås i dit arbejde. Det inkluderer dokumenter, data, services, systemer, software, hardware og viden. Det er essentielt, at du arbejder med opmærksomhed og forsigtighed for at beskytte vandværkets informationer. Clean desk Vandværket har en clean desk politik. Det skal blandt andet være med til at mindske risikoen for, at følsomme oplysninger mistes. Clean desk politikken betyder, at du skal rydde alle papirer, dvd er, usb-nøgler og andre medier væk, når du forlader dit skrivebord. Lås computeren Når du forlader dit skrivebord, skal du huske at låse computeren. Det gør du nemt ved at trykke Windows tast + L samtidig. Du skal huske: at alle gæster og besøgende hos vandværket skal modtages af deres vært i receptionen, være under opsyn under deres besøg, og eskorteres til udgangen, når de afslutter besøget. at du derfor skal være opmærksom på, om der er gæster eller andre i området, som uforvarende kan få kendskab til interne/fortrolige informationsaktiver. Tag medansvar for, at det ikke sker! Fjernarbejde Side 8 Hvis du udfører fjernarbejde fra en computer, tablet eller smartphone, der ikke er vandværkets, har vi ikke mulighed for at sikre og kontrollere udstyret. Det er derfor særdeles vigtigt, at du ikke arbejder med informationer klassificeret som fortrolig på it-udstyr, der ikke er vandværkets. Så vidt muligt skal du undgå at overføre informationer mellem dit private udstyr og vandværkets udstyr via , usb-nøgle, cloud services mv., da det øger risikoen for softwareangreb og datalækager. Du skal huske: at du ikke må dele din bærbare arbejdscomputer med ægtefælle, børn, venner og andre, hvis du tager den med hjem. Det er for at mindske risikoen for uagtsomt at videregive følsomme informationer. 50 Danske Vandværker

51 Mobile enheder og print Side 9 Mobile enheder som smartphones og bærbare computere kan indeholde store mængder informationer. Derfor forsøger vi at holde et højt sikkerhedsniveau fra centralt hold, for eksempel i form af kodeord, pinkode, fingeraftryk, datakryptering, fjernsletning af enheder mv. Du må under ingen omstændigheder forsøge at slå disse sikkerhedsfunktioner fra, da de er indført for at sikre vores informationsaktiver. Du skal huske: at personoplysninger også skal beskyttes i fysisk form. Udskrifter, der indeholder personoplysninger, må derfor ikke efterlades uden opsyn, med mindre de opbevares aflåst. Print For at reducere miljøbelastning og risiko for datalækager er det vigtigt, at du udskriver så lidt som muligt. Overvej altid, om informationerne kan videregives digitalt. Hardware og software Side 10 På vandværket gør vi, indenfor vores økonomiske rammer, hvad vi kan for at sikre det it-udstyr, vi alle benytter i vores daglige arbejde. Desværre er det ikke muligt at sikre mod alt, og det er derfor vigtigt, at du hjælper med at mindske risikoen for it-angreb. Eksempelvis er der en høj risiko for overførsel af skadelig software, hvis du tilslutter en usb-nøgle til en ekstern computer og så bagefter til en arbejdscomputer. Du må derfor aldrig tilslutte fremmede enheder til vores interne private netværk. Du skal huske: at niveauet af sikkerhed på vores it-udstyr i høj grad afhænger af, at du anvender det med omtanke og ikke bevidst forsøger at omgå sikkerhedsindstillingerne. at der ikke findes noget, der er 100% sikkert. Der kommer løbende nye angrebsformer, der kan omgå sikkerhedssystemer, men næsten alle angreb skal aktiveres af brugeren. Du spiller altså en væsentligt rolle i at sikre vores informationsaktiver. Danske Vandværker 51

52 Skabelon 8 Retningslinjer for it-adfærd Brug af Side 11 Vores systemer er beskyttet bedst muligt, men det er desværre umuligt at blokere for al ondsindet software. Det er derfor vigtigt, at du er ekstra forsigtig, inden du åbner vedhæftede filer eller trykker på weblinks i s. Er du i tvivl, så spørg hellere en gang for meget end en gang for lidt. Din til arbejdet er kun beregnet til arbejdsrelateret brug. Den må kun benyttes privat i begrænset omfang. Ønsker du at beskytte private s, skal du placere dem i en undermappe, som du navngiver Privat. Så kan vores it-ansvarlige se, at det er private s, som ikke umiddelbart må læses af andre (for eksempel i forbindelse med ferie eller sygdom). Du skal huske: at personoplysninger kun må deles med tredjeparter, der har underskrevet en databehandleraftale. Det er for at leve op til lovgivningskrav om, at kunne dokumentere, at kun godkendte tredjeparter har adgang til de personoplysninger, vi behandler. at private s i sagens natur er private. Derfor anbefaler vi, at du bruger en anden løsning end din arbejdsmail til private korrespondancer. Brug af internet Side 12 Når du anvender vandværkets udstyr til at gå på internettet, repræsenterer du vandværket. Internetadgangen er tiltænkt at være et værktøj, der benyttes til at udføre arbejdsrelaterede opgaver. Personlig brug i begrænset omfang er tilladt, men det må ikke forstyrre dit eller andres arbejde. Brug af internettet skal være etisk forsvarlig og må ikke bryde dansk eller europæisk lovgivning. Virus og malware Vores sikkerhedssystemer blokerer for så mange websites, der indeholder kendt skadelig software eller bryder etiske regler og dansk lovgivning, som muligt. Desværre er filtreringen ikke perfekt, så det er vigtigt, at du altid udviser omhu og tænker dig om, når du anvender internettet. Du skal huske: at undlade at besøge websider, du ikke føler dig tryg ved. at være opmærksom på, at mange websider kun eksisterer med det formål at lokke informationer ud af de besøgende. Kig efter stavefejl og vær særligt opmærksom i forbindelse med netbank eller andre sider, der benytter Nem ID. at dit udstyr kan spores tilbage til vores offentlige IP-adresse på internettet, når du går på nettet via vandværkets internetforbindelse. 52 Danske Vandværker

53 Brug af sociale medier Side 13 Du er ansvarlig for de informationer, du offentliggør på internettet, uanset om det er på et nyhedsmedie, en blog, Facebook, LinkedIn, Twitter eller andre medier. Vær derfor opmærksom, inden du offentliggør noget - det kommer sandsynligvis til at være tilgængeligt på internettet i lang tid og kan være meget vanskeligt at fjerne igen. Brug af sociale medier må ikke forstyrre dit daglige arbejde og må absolut ikke benyttes til at dele informationer klassificeret som intern eller fortrolig. På sociale medier er det desuden vigtigt, at du tydeligt gør opmærksom på, at holdningerne, du deler, er dine egne og ikke vandværkets. Du skal huske: at udtalelser på vandværkets vegne bør koordineres med den kommunikationsansvarlige.... at respektere persondataloven, ophavsret, og hvordan du offentliggør informationer, du ikke selv har skrevet inden du gør det. at være opmærksom på de oplysninger, du deler på sociale medier de kan misbruges af hackere. Alarmering Side 14 Sikkerhedshændelser indtræffer. Hvad enten det er virusangreb, at informationsaktiver er faldet i de forkerte hænder, eller at en tredjepart har fået uautoriseret adgang, så skal du altid henvende dig samme sted: xxxxxx. Ring på telefon , hvis uheldet er ude. Du skal huske: at henvende dig til vores itansvarlige øjeblikkeligt, hvis du har mistanke om, at din computer eller smartphone er inficeret med ondsindet software. Så kan en specialist nemlig undersøge omfanget af skaden, herunder hvor meget softwaren har spredt sig til andre systemer.... at være på vagt og bruge din sunde fornuft uanset om du arbejder på kontoret eller hjemmefra. Danske Vandværker 53

54 Skabelon 8 Retningslinjer for it-adfærd Sikkert digitalt arbejde Yderligere oplysninger om informationssikkerhed vil blive udarbejdet og introduceret løbende, ligesom der vil blive afholdt informationsmøder med opdateringer om emnet. Dette dokument er klassificeret: Offentligt Skulle du have en god ide til at styrke vandværkets informationssikkerhed, hører vi meget gerne fra dig! Venlig hilsen, xxxxxx 54 Danske Vandværker

55 Danske Vandværker 55

56 Skabelon 9 Konsekvensanalyse DPIA Konsekvensanalyse DPIA 56 Danske Vandværker

57 Introduktion til gennemførsel af DPIA Nedenfor er der 27 spørgsmål, som du skal besvare kort og præcist. Når du besvarer et spørgsmål, skal du vurdere, om dit svar giver anledning til, at du bør ændre den måde, du udfører databehandling på. Det overordnede spørgsmål for alle de 27 spørgsmål er: Kan du gøre databehandlingen mere sikker for de personer, der indgår i din databehandling? (forbrugere, ansatte og bestyrelsen) Projekt Dato Godkendt af Udfyldt af Oplysninger om oplysninger 1. Hvilke oplysninger er det, som du indsamler eller behandler? Helt konkret hvilke oplysninger er der tale om? Eksempelvis navne, varenumre, adresser, kunder nummer, koordinater, adresser, cvr-numre, priser, osv. Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 2. Er disse oplysninger om fysiske personer? Relaterer oplysningerne sig på nogen måde til fysiske enkeltpersoner? Eksempelvis navne, adresser, telefonnumre, kundenumre og cpr-numre. Hvis oplysningerne ikke omhandler fysiske personer, så skal der ikke laves en konsekvensanalyse. Dvs. oplysninger om ting, steder, hændelser, osv. (spørgsmålet gælder også for enkeltmandsfirmaer) Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 3. Kan enkeltpersoner blive identificeret ud fra oplysningerne? Hvis ja, hvordan? Kan personer blive genkendt ud fra oplysningerne, du behandler? Dette gælder også, selvom oplysningerne ikke direkte afslører, hvilke personer oplysningerne omhandler? Eksempelvis et 2 Danske Vandværker 57

58 Skabelon 9 Konsekvensanalyse DPIA navn, foto, et identifikationsnummer, GPS-information eller oplysninger, der er særlige for denne fysiske person, og som derved kan afsløre personens identitet? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 4. Er disse oplysninger af følsom karakter? Handler de personoplysninger, som du behandler om personernes race, etnicitet, politisk/religiøs/filosofisk overbevisning, fagforeningsmæssige forhold, helbredsforhold, seksuelle forhold, strafbare forhold eller om genetiske data? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej Formålet 5. Hvordan vil du behandle personoplysningerne? Hvad skal der ske med personoplysningerne? Vil der eksempelvis ske en indsamling, registrering, redigering, beregning, sammenstilling, videregivelse, læsning, opbevaring, sletning, osv.? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 6. Hvad er formålet med at behandle personoplysningerne? Hvorfor skal personoplysningerne behandles? Et eksempel kan være, at man opbevarer kundeoplysninger, så man kan fakturere sine kunder. Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 58 Danske Vandværker

59 7. Er personoplysningerne nødvendige for at opnå formålet, eller kan man undlade at behandle personoplysningerne og stadig opnå formålet? Er der nogen anden mulighed, hvorpå du kan løse opgaven uden at behandle personoplysningerne? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 8. Vil personoplysningerne kun blive brugt til det formål, de er indsamlet til? Er det kun det formål, som personoplysningerne er indsamlet til, som de vil blive brugt til? Eller vil personoplysningerne også blive brugt til noget andet som eksempelvis reklame via ? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 9. Er der en risiko for, at personoplysningerne kan eller vil blive brugt til noget andet end det formål, de er indsamlet til? Er der en risiko for, at oplysningerne på et eller andet tidspunkt vil blive brugt til noget andet end det, de var tiltænkt? Eksempelvis at sende reklamer ud til kunder. Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej Adgangen til oplysningerne 10. Hvem er den dataansvarlige? Hvem er den fysiske person eller organisation, som har ansvaret for behandlingen af personoplysningerne, og som afgør til hvilket formål og på hvilke måde, der må foretages behandling af oplysningerne? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej Danske Vandværker 59

60 Skabelon 9 Konsekvensanalyse DPIA 11. Hvem har mulighed for at se, redigere, fjerne, osv. personoplysningerne? Hvem har adgang til personoplysningerne? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 12. Er der en risiko for, at personoplysningerne kan falde i uvedkommendes hænder? Er der en risiko for, at uvedkommende kan få fat i oplysningerne? Bliver persondata eksempelvis sendt med , uden at de er krypteret? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej Selve behandlingen 13. Hvad skal der ske med personoplysningerne, efter de er blevet indsamlet, og indtil behandlingen af oplysningerne er afsluttet? Hvad skal der helt konkret ske med personoplysningerne fra start til slut? Med start menes fra det tidspunkt, de er blevet registreret, og med slut menes, til behandlingen er færdig, og til at der ikke længere er brug for personoplysningerne. Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej Opbevaringen 14. Hvordan bliver personoplysningerne opbevaret? Bliver personoplysningerne opbevaret fysisk i et arkiv, på et kontor, i en computer, i skyen (cloud computing) eller andet? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 60 Danske Vandværker 5

61 15. Er teknologien, der anvendes til at opbevare personoplysninger, designet til at håndtere personoplysninger? Er teknologien specielt fremstillet til at kunne opbevare personoplysninger? Eksempelvis er e-boks fremstillet til at kunne håndtere personoplysninger, hvorimod Microsoft Office ikke er designet til at håndtere personoplysninger. Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 16. Er den teknologi, der anvendes til at behandle personoplysningerne, sikkerhedstestet? Er teknologien (eksempelvis programmet eller computeren), som behandler personoplysningerne, testet mod eksempelvis hacking og fejl? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 17. Bliver den teknologi, som anvendes, jævnligt sikkerhedsopdateret? Igangsættes der ofte enten manuelle eller automatiske opdateringer af systemerne, så systemerne altid er sikret bedst muligt? Eksempelvis udsender Microsoft automatiske sikkerhedsopdateringer hver måned. Begrund: Sikkerheden Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 18. Hvis personoplysningerne kommer til uvedkommendes kendskab, vil det så kunne skade de berørte personer? Hvis personoplysningerne skulle blive spredt til uvedkommende, ville der så kunne ske en økonomisk, fysisk, renommemæssig eller lignende skade for de berørte personer? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 6 Danske Vandværker 61

62 Skabelon 9 Konsekvensanalyse DPIA 19. Kan der ske utiltænkte ændringer eller tilintetgørelse af personoplysningerne? Kan der eksempelvis ved et uheld/fejl blive slettet oplysninger, eller kan der utilsigtet blive ændret i oplysningerne? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 20. Er der et sikkerhedsteam/organisation eller lignende, som skal sørge for, at personoplysningerne er sikret korrekt? Er der en bestemt gruppe personer som tjekker, at personoplysningerne bliver opbevaret og behandlet sikkert? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 21. Er der en procedure, som sikrer, at der periodisk bliver foretaget sikkerhedsrisikoanalyser i hele virksomheden/organisationen? Har virksomheden, organisationen eller lignende en bestemt procedure, som sikrer, at sikkerheden for personoplysningerne bliver vurderet i hele virksomheden? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej Den registreredes muligheder 22. Kan personen, hvis personoplysninger bliver behandlet, få indsigt i behandlingen af sine oplysninger? Har den person, hvis personoplysninger bliver behandlet, mulighed for selv at se en oversigt over hvilke informationer, der er registreret, og hvad de bliver brugt til? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 7 62 Danske Vandværker

63 23. Blev personen, hvis oplysninger bliver behandlet, orienteret om behandlingen af personoplysningerne, før oplysningerne blev indsamlet? Fik personen fortalt, inden oplysningerne blev indsamlet, at de ville blive registreret og behandlet? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 24. Har personen mulighed for at give sit samtykke til, at dennes personoplysninger bliver behandlet? Har personen, hvis personoplysninger bliver behandlet, mulighed for at godkende, at deres oplysninger bliver behandlet? Enten skriftligt eller mundtligt. Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 25. Har personen mulighed for at afvise, at dennes personoplysninger bliver behandlet? Har personen, hvis oplysninger bliver behandlet, mulighed for at frabede sig at dennes personoplysninger bliver behandlet? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 26. Er der en fast procedure for, at personen, hvis oplysninger bliver behandlet, kan trække sit samtykke for behandling af personoplysninger tilbage? Har virksomheden, organisationen eller lignende en bestemt procedure for at imødekomme en persons ønske om at trække sit samtykke til behandling af oplysninger tilbage? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej 8 Danske Vandværker 63

64 Skabelon 9 Konsekvensanalyse DPIA Efter behandlingen 27. Hvad sker der med personoplysningerne efter behandlingen af disse? Hvad skal der ske med oplysningerne, efter formålet med indsamlingen af dem er opnået og efter den færdige behandling? Skal de eksempelvis slettes eller anonymiseres, eller bliver de stående i et register eller lignende? Begrund: Giver dit svar anledning til, at du bør ændre din databehandling? Ja Nej Resultat Nu har du udfyldt din konsekvensanalyse DPIA. Hvis du har svaret ja til ét eller flere spørgsmål, bør du lave en handlingsplan, som er med til at sikre, at I får behandlet punktet på en god måde. Husk, at ajourføre handlingsplaner og konsekvensanalysen ved ændringer. En handlingsplan bør som minimum indeholde følgende: Navn på plan: Ansvarlig: Dato for udførelse: Dato for forventet afslutning: Ressourcer: Godkendt af: Tiltag: Modforanstaltning: Løsning: Kilde: 64 Danske Vandværker

65 Danske Vandværker 65