IT-sikkerheds- g Persndataplitik fr Vester Nebel Vandværk A.m.b.a. Intrduktin IT-sikkerhedsplitik Denne it-sikkerhedsplitik, sm er besluttet af bestyrelsen, udgør den verrdnede ramme fr at prethlde it-sikkerheden hs Vester Nebel Vandværk A.m.b.a. Hermed ønsker vandværket at demnstrere sin seriøse hldning til at skabe sikkerhed fr persndata, systemer g andre it-aktiver Hensigten er at lægge et fundament, så kritiske g frtrlige infrmatiner g systemer kan bevare deres frtrlighed, integritet g tilgængelighed. Der er fkuseret på de vigtigste krav i EU s generelle persndatafrrdning samt på relevante krav i de internatinale it-sikkerhedsstandarder ISO 27001 g 27002. Frmål IT-sikkerhedsplitik Idet brugen af it anses fr at være en meget vigtig frudsætning fr vandværkets eksistens, vil det være nødvendigt at sikre vandværkets it-ressurcer (data, sftware, hardware g kmmunikatinsfrbindelser). Derfr vil vi etablere g vedligehlde en afbalanceret it-sikkerhed, sm i denne sammenhæng mfatter alle nødvendige rganisatriske, fysiske g tekniske sikkerhedsfranstaltninger. It-ressurcerne skal med andre rd beskyttes md misbrug, manipulatin, ødelæggelse g tab, samt md at blive fejlbehæftede. Beskyttelsen skal virke md alle frmer fr trusler, interne eller eksterne, hændelige eller bevidste. Frmål Persndataplitik Frmålet med dette dkument er at dkumentere, at vandværket verhlder kravene til behandling af persnplysninger. Jævnfør EU frrdning 2016/679 m beskyttelse af fysiske persner i frbindelse med behandling af persnplysninger ( Persndatafrrdningen ). Vandværket behandler i minimalt mfang persnplysninger g benytter primært branche it-løsninger til behandlingen. I det følgende dkumenteres persndatabehandlingen samt de tekniske g rganisatriske sikkerhedsfranstaltninger, der er etableret i frbindelse med behandlingen.
Intrduktin Persndataplitik Fr at kunne levere vandfrsyning er der vigtige persnplysninger, vi har behv fr at behandle. Vres persndataplitik er ment sm en hjælp til at frstå, hvilke data vi indsamler, hvrfr vi indsamler dem, g hvad vi anvender dem til. Dette er vigtige plysninger, så vi håber, at du vil tage dig tid til at læse dem. Skulle du have spørgsmål, eller ønsker du yderligere infrmatin, er du velkmmen til at henvende dig til vres persndataansvarlige: Kntaktplysninger på persndataansvarlig Kasserer Per Elgin Jensen Telefn 60748052 Mail: jensen.per.elgin@gmail.cm Dataansvarlig Vester Nebel Vandværk A.m.b.a. Jrdrupvej 5, Vester Nebel, 6040 Egtved CVR. Nr.: 37 57 40 82 Vres behandling af dine persnplysninger Vi behandler persnplysninger, sm du eller en anden part, eksempelvis ejendmsmægler eller udlejer, har udleveret til s i frbindelse med din tilflytning til vandværkets frsyningsmråde. Endvidere behandler vi løbende plysninger m dit frbrug af vand. Registrering af det årlige frbrug sker via elektrniske målere sm er psat på frbrugsstederne, aflæsningen fr det fregående år sker prim januar med aflæsning 31. 12 det fregående år. Selve aflæsningen sker elektrnisk ved mbil aflæsning (frbi kørsel af frbugsstedet). Disse persnplysninger behandler vi fr at kunne leve p til vres kntraktlige frpligtelser verfr dig i frbindelse med afregning af frbrug samt vres frpligtelser i frbindelse med vandfrsyningslven. Uden disse plysninger vil vi ikke kunne frsyne dig med vand. Typisk drejer det sig m disse persnplysninger: Navn, adresse, telefn, e-mail Målernumre, frbrugernummer (kundenummer) Frbrugsdata der kan henføres til en persn Tidsfrister fr sletning/pbevaring Vi stræber efter at slette (eller annymisere) persnplysninger, så snart de ikke har ngen relevans. Dg pbevarer vi dem altid i minimum 5 år af hensyn til bgføringslven. Ofte pbevarer vi frbrugsplysninger længere af hensyn til statistiske frmål, eksempelvis i frbindelse med ejerskifte. 2
Dine rettigheder efter persndatafrrdningen I frbindelse med vres behandling af dine persnplysninger har du adskillige rettigheder: Retten til at mdtage plysning m hvrdan vi behandler dine persnplysninger (plysningspligt). Retten til at få indsigt i dine persnplysninger. Retten til at få urigtige persnplysninger rettet. Retten til at få dine persnplysninger slettet. Retten til at gøre indsigelse md at dine persnplysninger anvendes til direkte markedsføring. Retten til at gøre indsigelse md autmatiske, individuelle afgørelser, herunder prfilering. Retten til at flytte dine persnplysninger (dataprtabilitet). Alle venstående rettigheder håndteres manuelt ved henvendelse til vres persndataansvarlige. Vi kan afvise anmdninger, der er urimeligt gentagende, kræver ufrhldsmæssig meget teknisk indgriben (f.eks. at udvikle et nyt system eller ændre en eksisterende praksis væsentligt), påvirker beskyttelsen af andres persnlige plysninger, eller nget sm vil være ekstremt upraktisk (f.eks. anmdninger m plysninger der findes sm sikkerhedskpier). Hvis vi kan rette plysninger, gør vi naturligvis dette gratis, med mindre det kræver en ufrhldsmæssig str indsats. Vi bestræber s på at vedligehlde vres tjenester på en måde, der beskytter plysninger fra fejlagtig eller skadelig ødelæggelse. Når vi sletter dine persnplysninger fra vres tjenester, er det derfr muligt, at vi ikke altid kan slette tilhørende kpier fra vres arkivservere med det samme, g det er ikke sikkert, at plysningerne fjernes fra vres sikkerhedskpisystemer. Du har til hver en tid retten til at klage til Datatilsynet (https://www.datatilsynet.dk/brger/klage-tildatatilsynet/ Oplysninger, sm vi videregiver Vi videregiver ikke persnlige plysninger til virksmheder, rganisatiner g enkeltpersner uden fr vandværket. Undtagelsen er i disse tilfælde: Med dit samtykke Vi videregiver persnlige plysninger til virksmheder, rganisatiner eller enkeltpersner uden fr vandværket, hvis vi har dit samtykke. Vi kræver aktivt tilvalg af videregivelse af alle persnplysninger. Til ekstern databehandling Vi videregiver persnlige plysninger til vres samarbejdspartnere eller andre betrede virksmheder eller persner, der behandler dem fr s. Deres behandling er baseret på vres instrukser g i verensstemmelse med vres privatlivsplitik g andre gældende tiltag til frtrlighed g sikkerhed, eksempelvis vres databehandleraftale. Af juridiske årsager Vi videregiver persnlige plysninger til virksmheder, rganisatiner eller enkeltpersner uden fr vandværket, hvis vi i gd tr mener, at adgang, brug, bevarelse eller ffentliggørelse af plysningerne er nødvendig fr at: 3
Overhlde gældende lve, bestemmelser, sagsanlæg eller retsgyldige anmdninger fra ffentlige myndigheder. Håndhæve gældende servicevilkår, herunder undersøgelse af ptentielle vertrædelser. Registrere, frhindre eller på anden måde beskytte md prblemer med bedrageri, sikkerhed eller tekniske prblemer. Hlde vandværket fri fra skade, vres medlemmer eller ffentlighedens rettigheder, ejendm eller sikkerhed, sådan sm det kræves eller tillades i henhld til lvgivningen. Vi kan dele plysninger, der ikke identificerer persner, med ffentligheden g vres partnere. Vi kan f.eks. dele plysninger med ffentligheden fr at vise generelle tendenser m, hvrdan vres frbrugeres frbrug frdeler sig. IT-sikkerhed Vester Nebel Vandværk A.m.b.a. anvender IT-systemer til bgføring af ind- g udbetalinger, samt til afregning af driftsbidrag frbrugere g vandværket imellem. IT-systemet aktiveres ved eget passwrd, sm kun den ansatte kasserer er bekendt med, g sm ved manglende aktivering af tastatur efter et antal minutter går i dvale, g først igen er aktiv ved frnyet indtastning af passwrd. IT-systemet er virusbeskyttet med pdateret antivirusprgram. Afregningsversigten af driftsbidrag indehlder plysninger m andelshaverens g/eller frbrugerens fulde navn, frbrugsstedets adresse, frbrugernummer, målernummer, acnt betalinger, evt. restance samt årligt frbrug g årlige slutafregninger. Dataene pbevares fr m muligt ved ansøgninger m vandspild at kunne hnrere kravet m plysning af gennemsnitsfrbruget fr de sidste tre år. Infrmatinssikkerhed Vi arbejder hårdt fr at beskytte vandværket g vres frbrugere md uautriseret adgang, ændring, ffentliggørelse eller ødelæggelse af persnplysninger, sm vi lagrer. Vi har implementeret følgende rganisatriske g tekniske franstaltninger generelt på vandværket: Antivirus på alle it-systemer, der behandler persnplysninger. Backup af alle it-systemer, der behandler persnplysninger. Anvendelse af branchetypiske it-systemer til behandlingsaktiviteterne. Adgangsbegrænsning til persnplysninger, så der kun gives adgang, hvr det er nødvendigt. Databehandleraftaler med leverandører, der behandler persnplysninger på vandværkets vegne. Tavshedserklæringer med persnale, der har behv fr at behandle persnplysninger. Vejledning i sikker behandling af persnplysninger g infrmatinsaktiver fr persnale med adgang til infrmatinssystemer. Gennemførelse af venstående risikvurdering g dkumentatin af alle systemer der behandler persnplysninger fr at sikre et plyst grundlag fr sikkerhedsniveauet fr persndatabehandlingen i vandværket. Overhldelse g samarbejde med tilsynsmyndigheder Vi gennemgår regelmæssigt, at vi verhlder vres egen persndataplitik. Vi verhlder gså adskillige selvregulerende sikkerhedsplitikker. Når vi mdtager frmelle skriftlige klager, kntakter vi 4
afsenderen fr at følge p på klagen. Vi samarbejder med de relevante lvgivende myndigheder, f.eks. Datatilsynet, m at løse klager m verførsel af persnlige data, sm vi ikke kan løse direkte med vres brugere. Ændringer Vres privatlivsplitik kan ændres fra tid til anden. Vi begrænser ikke dine rettigheder i henhld til denne privatlivsplitik uden dit udtrykkelige samtykke. Eventuelle ændringer af denne privatlivsplitik angives på denne side, g hvis der sker væsentlige ændringer, vil vi gøre pmærksm på dem på en mere iøjnefaldende måde (fr visse tjenester plyser vi bl.a. m ændringer via e-mail). Revisinshistrik Versin Nte Dat Redigeret af V0.9 Første udkast til skabeln 13. marts 2017 Tr Valstrøm V1.00 Skabeln tilrettet Vester Nebel Vandværk A.m.b.a. 12. august 2018 Per E. Jensen 5