Dansk Vand- og Spildevandsforening, DANVA, takker for muligheden for at afgive høringssvar vedr. udkast til Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau.
DANVAs medlemmer er drikkevands- og spildevandsselskaber, som står for drift af kritisk infrastruktur i vandsektoren. En meget stor del af DANVAs medlemmer vil blive omfattet af loven – og Lov om kritiske enheders modstandsdygtighed.
CFCS har løbende hævet trusselsvurderingen for Danmark. Det samme har SektorCERT, som er CERT indenfor kritisk infrastruktur. SektorCERT har et sensornetværk med sensorer placeret i over 300 forsyningsselskaber indenfor drikkevand, spildevand og energi. Sensornetværket er med til at forhindre cyberangreb og giver et indblik i et – desværre – stigende antal cyberangrebsforsøg og -trusler.
En række danske drikkevands- og spildevandsforsyninger er blevet ramt af cyberangreb – som har haft store konsekvenser. Disse hændelser og trusselssituationen har kaldt på ekstra opmærksomhed, cybersikkerheds- og beredskabsaktiviteter hos DANVAs medlemmer indenfor de senere år.
DANVA hilser derfor loven velkommen og vil arbejde for at implementeringen kan være med til at sikre en fortsat høj forsyningssikkerhed og levering af tjenesteydelser - under hensyntagen til cybertruslerne.
Lov om kritiske enheders modstandsdygtighed og Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau hænger tæt sammen. Derfor vil dette høringssvar i nogen grad gengive kommentarer fra DANVAs høringssvar vedr. Lov om kritiske enheders modstandsdygtighed. Hertil kommer, at en række vandselskaber også bliver omfattet af energisektorens regulering, idet flere af selskaberne er multiforsyningsselskaber med energivirksomhed. DANVA plæderer for en reel sammentænkning på nationalt niveau af Lov om styrket beredskab i energisektoren, Lov om kritiske enheders modstandsdygtighed og Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau.
Herunder har DANVA nogle generelle bemærkninger og derefter nogle bemærkninger til de enkelte paragraffer.
Vi har bemærket, at loven er en meget overordnet rammelov, hvor sektorernes myndigheder får stor indflydelse på den praktiske udmøntning i sektorerne.
De sektorspecifikke bekendtgørelser, administrative bestemmelser mv. og praktisk udmøntning vil kunne afstedkomme, at forsyningssektorerne får forskellige, måske meget forskellige, implementeringer af de to love, hvis der ikke er en effektiv koordinering.
Loven er en rammelov – og det er vigtigt, at udmøntningen i sektorspecifikke bekendtgørelser, vejledninger mv. giver lovgivningsmæssige passende krav for de omfattede selskaber, som fremmer cybersikkerheden, og at indsatsen giver høj værdi i forhold til de økonomiske og administrative omkostninger, loven vil afstedkomme for selskaberne. Det er vigtigt at sikre, at implementeringen bliver smidig, passende, og at omfattede enheder, såvel som sektormyndighederne, får gode rammer og vilkår. Dialog i processen er afgørende.
DANVA er bekymret over, at lovudkastet ikke samtænker forsyningsarterne drikkevand og spildevand med øvrige forsyningsarter som regelsættes i ”Forslag til Lov om styrket beredskab i energisektoren”, der netop har været i høring i perioden fra 12. juni til 10. juli 2024. Drikkevand og spildevand har en lang række fællesnævnere og indbyrdes afhængigheder med de øvrige forsyningsarter, som ikke håndteres i de to udkast til lovforslag fra henholdsvis Energistyrelsen og Forsvarsministeriet.
Vi vurderer ikke, at en almindelig, overordnet koordinering på nationalt niveau er tilstrækkelig. DANVA efterlyser en reel samtænkning på nationalt niveau. En samlet lovgivningspakke indeholdende Lov om styrket beredskab i energisektoren, Lov om kritiske enheders modstandsdygtighed og Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau vil kunne fremme dette.
National strategi på tværs af sektorer (forsyningsarter)
DANVA opfordrer til, at lovbemærkningerne omtaler, at der i den nationale strategi og risikovurdering skal ske en omtale af de forskellige forsyningsarters gensidige afhængighed.
Placering af energisektoren og forsyningerne for vand og spildevand i to forskellige hovedlove finder vi, som nævnt, uheldigt:
Desuden er der tekniske muligheder, som peger i retning af øget samspil mellem fjernvarme- og spildevandsforsyning samt drikkevandsforsyning og kølingsformål.
Sektoransvar
De danske forsyningsarter har ikke samme sektormyndighed, når emnet er cybersikkerhed og beredskab. Dette afspejler efter vores vurdering ikke virkelighedens behov. Der er multiforsyninger, som organiserer flere forskellige forsyningsarter, hvor hver forsyningsart vil være omfattet af dels NIS2, dels CER-direktivet.
Koncerner med flere forskellige forsyningsarter bliver reelt omfattet af forskellige reguleringer, der desuden er udformet af flere ministerier, og som tilmed forventes at have forskellig tilgang til implementeringen (overimplementering contra minimumsimplementering).
Det er afgørende, at der, i tilblivelsen af lovgivningen, sker en prioritering af koordineringen mellem de relevante ministerier, og at der dermed sikres en sammenlignelighed i bl.a. termer, krav, tilsyn og håndhævelse. Det bør være et klart mål, at multiforsyningerne ikke oplever uhensigtsmæssig administration eller ekstra omkostninger grundet det fragmenterede sektoransvar.
At de faktiske rammevilkår for forsyningsarterne er sammenlignelige, kommer bl.a. til udtryk i, at der er et tæt samarbejde i regi af SektorCERT, der er en foreningsaktivitet, der er afgørende for skabelsen af den nødvendige it-sikkerhed for kritisk infrastruktur i Danmark.
Det vil, som ovenstående eksempler illustrerer, være hensigtsmæssigt at samordne forsyningsarterne under samme sektormyndighed. Alternativt bør regelsættene for forsyningsarterne samtænkes.
Da hver sektor ifølge sektoransvaret er ansvarlig for egen modstandsdygtighed, bør der ved kritiske hændelser sikres agilitet via entydig kommandovej fra den pågældende minister til sektorens kritiske enheder og vice versa. Eksempelvis vil nogle erfaringer fra andre sektorer være væsentlig at få distribueret til andre sektorer hurtigt, hvilket ligeledes stiller krav til agilitet i Beredskabsstyrelsens (og Energistyrelsens) koordinering.
Desuden bør det sikres, at kriterierne for iværksættelse af cybersikkerheds- og beredskabsforanstaltninger i relation til kommende beredskabsniveauer er klare, entydige og kommunikeret til enhederne.
Støtte til Miljøministeriet - Sektorbekendtgørelsen for drikkevand og spildevand
DANVA forventer, at Forsvarsministeriet som den tværgående koordinerende myndighed støtter op om Miljøministeriet, så forpligtigelserne tilknyttet sektoransvaret og den fragmenterede organisering kan løftes. Siden udskillelsen af de kommunale vand- og spildevandsselskaber i 2010 har DANVA kunnet notere, at ministeriet kun i begrænset omfang har taget aktion med henblik på at planlægge opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer, hvilket kræves jf. beredskabslovens § 24.
DANVA opfordrer til, at der i lovbemærkningerne angives eksplicit, at Danmark som medlemsland er forpligtiget til at sikre tilstrækkelige midler til, at de kompetente myndigheder kan løfte deres opgaver – herunder lovgivningsarbejdet.
DANVA foreslår, at der i lovbemærkningerne utvetydigt angives, at de respektive kompetente myndigheder snarest muligt påbegynder en dialog om kriterier og de potentielle kritiske enheder.
Udpegning af kritiske enheder, væsentlige og vigtige enheder
Der er tale om en stor og meget kompleks opgave, som har betydning for om samfundskritiske sektorer kan opretholde levering af tjenesteydelser i krisesituationer.
Kritiske enheder bør udpeges af en central myndighed for at sikre ensartethed i udpegningen. Som lovudkastet ligger nu, vil det være Miljøministeriet/Miljøstyrelsen som varetager udpegningen indenfor forsyningsarterne drikkevand og spildevand.
Der lægges i udkastet stor vægt på, at der er tale om en minimumsimplementering af NIS2-direktivet. Det er vigtigt, at dette fokus ikke står i vejen for, at loven bliver operationel og smidig. Forstået således, at der ikke skal udføres dobbeltarbejde i form af produktion og vedligeholdelse af dokumentation, rapportering af de samme informationer til flere myndigheder eller andre aktiviteter, hvor der allerede eksisterer velfungerende processer/rutiner for de pågældende aktiviteter. Konkrete eksempler på dette er risikoanalyser, dokumentation og audits som gennemføres i forbindelse med drift af eksisterende certificerede ledelsessystemer.
Støtte til de udpegede kritiske enheder, væsentlige og vigtige enheder
I DANVA har vi noteret os, at lovbemærkningerne meget kort omtaler medlemslandenes forpligtigelser til at støtte de kritiske enheder med at styrke deres modstandsdygtighed. Se CER-direktivets artikel 10 samt artikel 4 stk. 2 litra e. Vi vil opfordre til, at det også nævnes eksplicit i lovbemærkninger, at medlemsstaterne kan stille finansielle ressourcer til rådighed for kritiske enheder, hvor det er nødvendigt og begrundet i mål af samfundsmæssig interesse.
DANVA forventer, at der ydes støtte til de udpegede kritiske enheder, hvilket skyldes drikke- og spildevandsforsyningens centrale placering i samfundet. Vores forventninger understøttes af udmeldingen af støtteeksempler i artiklen, herunder omtale af finansieringsmulighederne.
Såvel drikkevands- som spildevandsforsyning er baseret på et hvile-i-sig-selv-princip. Dertil kommer at de juridiske enheder er små sammenholdt med enheder i mange andre sektorer med henvisning til listen i EU-forordning 2023/2450 over væsentlige tjenester.
Tilsyn
DANVA efterlyser, at der i lovbemærkningerne angives, at den opfølgende lovgivning skal fremme et dialogbaseret fysisk beredskab, cybersikkerhedsberedskab og tilsyn. Det vil være et vigtigt signal, som vil fremme et hurtigere løft af cybersikkerheds- og beredskabskompetencen hos både myndigheder og selskaberne.
DANVA foreslår, at én central myndighed varetager tilsynet. Herved sikres ensartethed i kvantitet og kvalitet af tilsynet. Der skal i den forbindelse tænkes på tværs af forsyningsarter for ikke at pålægge multiforsyninger unødig administrativ byrde.
Økonomiske konsekvenser
Det skal sikres, at drikkevands- og spildevandsforsyningernes opgaver ifølge dette regelsæt kan håndteres efter de økonomiske regler, givet i vandsektorloven, vandforsyningsloven og betalingsloven. Derudover er det vigtigt for drikkevands- og spildevandsforsyningerne, at omkostningerne afholdt til at opfylde lovens bestemmelser bliver betragtet som en ikke-påvirkelig omkostning, hvilket betyder, at omkostningerne bliver fritaget for effektiviseringskrav. Selskabernes omkostninger til SektorCERT-samarbejdet i den kritiske infrastruktur skal i den sammenhæng ses som en omkostning til at opfylde loven. SektorCert bidrager til NIS2-compliance, øget cybersikkerhed og derudover er SektorCERT en integreret del af Strategi for cyber- og informationssikkerhed i vandsektoren, som er en delstrategi under Den nationale strategi for cyber- og informationssikkerhed. Alternativt vil forsyningernes mulighed for fremadrettet at finansiere de nødvendige tiltag efter lovens bestemmelser være markant svækket.
Som led i udarbejdelsen af sektorbekendtgørelsen efterlyser DANVA, at der foretages en grundig analyse af de økonomiske omkostninger, der følger af implementeringen af NIS2 og CER-direktivet.
Omdrejningspunktet må være, at der skal være proportionalitet mellem omkostningsniveau og merværdi for den konkrete enhed og dens rolle i samfundet. Desuden bør reguleringen, bredt set og i praksis, understøtte, at der er vandforsyninger og/eller spildevandsforsyninger, som vælger at følge de mere vidtgående cybersikkerheds- og beredskabsrelaterede regler kendt fra energisektoren. Dette bør fremgå af såvel lovbemærkninger og den kommende sektorbekendtgørelse.
Lokal cybersikkerheds- og beredskabskoordinering øger sikkerheden og samfundets robusthed
DANVA vil opfordre til at benytte implementeringen af de to beredskabsdirektiver til at fremme lokal cybersikkerheds- og beredskabskoordinering, hvor omdrejningspunktet er den lokale kompetente beredskabsmyndighed/kommunalbestyrelsen, herunder den lokale beredskabsstab (LBS) eller politiet og repræsentanter for de udpegede kritiske enheder, væsentlige og vigtige enheder.
Evaluering
Implementering af NIS2- og CER-direktivet er et pionerarbejde, som fordrer, at der er en politisk vilje til at sikre evaluering af reguleringen inden for rimelig kort tid; 2-3 år. Der kan utvivlsomt ske en optimering af organisering m.m., og dette vil være synligt og mærkbart i praktikken forholdsvist hurtigt. Nogle optimeringstiltag vil kunne ske via ændring af bekendtgørelser, men der vil også være emner, som er lovbaserede og derfor kræver Folketingets involvering.
Lov om kritiske enheders modstandsdygtighed (CERD-loven) afstedkommer en række krav til selskaberne. Der er en klar kobling mellem de to love – fx bliver enheder, der er identificeret som kritiske enheder i henhold til lov om kritiske enheders modstandsdygtighed anset som væsentlige enheder. Denne kobling (Hvor en kritisk enhed i CERD-loven ses som en væsentlig enhed i NIS2-loven) giver umiddelbart god mening. I den sammenhæng er det vigtigt at sikre, at udmøntninger af beredskabslovene bliver koordineret – så udmøntningen på ’beredskabsområdet’, samlet set, gøres operationel, brugbar, ikke-bureaukratisk, og at enhederne får klarhed over hvilke krav, der stilles til dem – uanset om enheden er en multiforsyningsvirksomhed.
Sektoransvarsprincippet betyder, at hvert ministerområde har ansvaret for egen sektor, fx. ift. beredskab og cybersikkerhed. Erfaringerne fra implementeringen af NIS1-direktivet fra 2018 viser, at der kunne have været en bedre koordinering mellem ressortministerierne. Fx fungerer tilsynet forskelligt på tværs af de omfattede sektorer, og mængden af ressourcer, myndighederne har til opgaverne, varierer meget. Når NIS2 skal implementeres i dansk lovgivning, opfordrer vi til, at der sker koordination mellem ressortområderne, så tiltag er sammenlignelige, afspejler sammenhængen mellem sektorerne og kan rapporteres på en fælles form.
I § 6 gengives NIS2-diretivets (artikel 21) overordnede krav i punktform. For hvert nævnt overordnede krav bør der være operationelle, veldefinerede underliggende, ensartede fælles krav for forsyningssektorerne.
Hvis det ikke defineres klart, gældende for alle forsyningssektorer (hvoraf en del har flere forsyningsarter) vil det kunne afstedkomme misforståelser, når myndighederne på et tidspunkt begynder at gennemføre tilsyn. Som eksempel kan nævnes, at der bør være ensartethed på tværs af sektorerne mht. adressering af forsyningskædesikkerhed.
Sektorspecifikke bekendtgørelser, vejledninger, guidelines, skabeloner mv. kan der i nogen grad samarbejdes om. DANVA er klar over, at nogle sektorer er meget forskellige og i nogen grad har særlige forhold og behov, men en række forhold/vilkår og behov er bredt gældende for enhederne, som er omfattet af loven. Det bør fremgå tydeligligt, at der skal samarbejdes og videndeles mellem sektorerne.
I henhold til paragraffen skal foranstaltninger, som en væsentlig eller vigtig enhed træffer på baggrund af forpligtelserne i § 6, være godkendt af enhedens ledelsesorgan, og ledelsesorganet skal føre tilsyn med foranstaltningernes gennemførelse og sikre, at foranstaltningerne virker.
Begrebet ’enhedens ledelsesorgan’ er ikke klart defineret, og det er uklart hvilken rolle fx bestyrelserne har i forbindelse med godkendelsen af foranstaltningerne og tilsynet.
Det fremgår også af paragraffen, at medlemmerne af en væsentlig eller vigtig enheds ledelsesorgan skal deltage i relevante kurser om styring af cybersikkerhedsrisici. Det er her igen uklart, hvad der menes. Menes der fx, at alle bestyrelsesmedlemmer og ledere skal have gennemført en uddannelse (med et særligt indhold), og at medlemmerne løbende skal uddannes? Uddannelseskravet bør beskrives nærmere.
Der er ikke i § 12, som det er i § 14 stk. 3 vedr. frivillige underretninger, beskrevet, at underretningerne er fritaget for aktindsigt. Det konkrete indhold i en underretning vil oftest være at betragte som fortroligt for enheden, idet det indeholder informationer om sårbarheder i enheden. Ved at beskytte den konkrete underretning mod aktindsigt, vil enheden sandsynligvis være mere tilbøjelig til at dele informationer, som ikke nødvendigvis er påkrævet men som kan have stor værdi for CSIRT’en (CFCS).
Det er i forvejen en mulighed for kompetente myndigheder, bl.a. i § 16 & § 22 stk. 6, at vurdere om en konkret hændelse skal deles videre eller offentliggøres.
Beskrivelsen af hvornår en hændelse anses for væsentlig bør i højere grad referere til, om hændelsen forårsager, eller er i stand til at forårsage, alvorlige driftsforstyrrelser i relation til den tjeneste, enheden leverer som er kritisk for samfundet. I den nuværende formulering kan det forstås som, at enhver alvorlig hændelse for enheden skal afføde en underretning – også selvom hændelsen ikke har eller kunne have en påvirkning af den tjeneste der er kritisk for samfundet.
Det bør præciseres, hvornår en hændelse, der ikke fik nogen konsekvenser, men var i stand til at forårsage alvorlige konsekvenser, skal anmeldes, da organisationer løbende rammes af mange hændelser, som har potentiale til at være alvorlige, men som de afværger.
Essensen i kravet om tidlig underretning fra enheden til CSIRT (§13 stk. 1) understøtter værdien af tidlig vidensdeling i en krisesituation. Men hvor tidsgrænsen for enheden i §13 stk.1 er defineret som et absolut krav (”under alle omstændigheder inden for 24 timer…”), er der for CSIRT’en ikke defineret et krav om, hvor hurtigt en tilbagemelding skal ske, men der er en mere blød formulering: ”hvor det er muligt, inden for 24 timer”. Dette er uhensigtsmæssigt, da enheden i den givne situation skal bruge kostbar energi og fokus på at forholde sig til, hvornår der kan ventes en tilbagemelding og evt. på at rykke for svar. Loven bør fastsætte samme krav - altså et krav om, at tilbagemelding skal ske (”under alle omstændigheder inden for 24 timer…”).
De vigtige og væsentlige enheder leverer flere forskellige tjenester, hvor kun nogle af dem kan betragtes som værende kritiske. Det bør derfor præciseres i sætningen ”… påvirke leveringen af deres tjenester negativt”, at der her alene er tale om ”kritiske tjenester”.
Der benyttes her termen ”it-sikkerhed”, mens der generelt andre steder, herunder i definitionen, omtales ”Cybersikkerhed”. Hvis det forståelsesmæssigt tænkes at være det samme, bør samme term bruges. Hvis der er tale om forskellige forståelser, bør ”it-sikkerhed” defineres i §3
Beskrivelsen her er meget bred og målet er uklart, i forhold til hvilke områder det dækker. Paragraffen har potentiale til at kunne række langt videre end forhold der er relevante ift. cybersikkerhed.
Det fremgår af ”Bemærkninger til lovforslagets enkelte bestemmelser”, at paragraffen er tiltænkt at have betydning i forhold til, hvordan kommunikation mellem enheden og CSIRT (ex. Virk.dk) skal ske. Dette kan med fordel præciseres i §31
3.1.2 Forsvarsministeriets overvejelser (s.152)
I en virksomhed med moder-/ datterselskaber, har moderselskabet og hver underenhed eget CVR-nr. Dette kan give et unødigt komplekst scenarie i forbindelse med en hændelse, da flere vandselskaber har oprettet en holding-struktur med flere CVR-nr. alene for at efterleve krav til regnskabsstruktur og økonomisk adskillelse. I praksis er mange selskaber driftsmæssigt struktureret som én digital enhed, og en cyber-hændelse vil have samtidig og ensartet effekt på tværs af flere datterselskaber (f.eks. vand og spildevand). Det it-beredskab der er aktiveret for at imødegå hændelsen vil i mange tilfælde operere på moderselskabsniveau. Det er derfor ikke hensigtsmæssigt, hverken for CSIRT eller enheden, at hændelsen skal håndteres parallelt som flere identiske sager for flere individuelle CVR-nr. Dette vil mere hensigtsmæssigt kunne håndteres, hvis en hændelse kan håndteres under moderselskabets CVR-nr., hvor det så blot anføres, hvilke øvrige CVR-nr. der er omfattet af hændelsen.
Vi ser frem til at bidrage positivt til det lovgivningsmæssige og øvrige arbejde, som implementeringen af loven afstedkommer.
DANVA imødeser en yderligere dialog om implementering af loven og står gerne til rådighed med yderligere dokumentation og viden, der kan belyse høringssvaret yderligere.
Eventuelle spørgsmål eller kommentarer bedes rettet til Peter Mortensen på telefon 8793 3502 eller på mail pm@danva.dk.
Med venlig hilsen
Carl-Emil Larsen
DANVA
Kopi til: Miljøministeriet, Miljøstyrelsen, Energistyrelsen, Green Power Denmark, Dansk Fjernvarme og Danske Vandværker
Danva bruger cookies til at gøre hjemmesiden mere brugbar og give dig en bedre oplevelse samt til statistik. Du kan til- og fravælge cookies herunder og til enhver tid trække din accept tilbage ved at klikke på ‘ikonet’ i bunden af siden.
Læs mere i vores Cookiepolitik
DANVA er dataansvarlig, og vi sikrer, at dine persondata behandles i overensstemmelse med lovgivningen.
Du er velkommen til at rette henvendelse til os for at høre om person-databehandlingen, få indsigt i dine data, ajouføre din persondata – eller gøre brug af nogle af de øvrige rettigheder, du har, jf. den nye Data-beskyttelseslov.
Navn: DANVA
Adresse: Godthåbsvej 83, 8660 Skanderborg
CVR: 29031215
Telefonnr.: 7021 0055
Mail: persondatahenvendelse@danva.dk
Website: www.danva.dk/privatlivspolitik
Personoplysninger
Generelt
Personoplysninger er alle slags informationer, der i et eller andet omfang kan henføres til dig. Når du benytter vores website indsamler og behandler vi en række sådanne informationer. Det sker f.eks. hvis du tilmelder dig vores nyhedsbrev, deltager i konkurrencer eller undersøgelser, melder dig ind i foreningen, registrerer dig som bruger eller abonnent, foretager køb via websitet eller ved øvrig brug af services.
Gennemskuelig og fair databehandling
Når du stiller dine persondata til rådighed for os, vil det klart fremgå, til hvilke formål dine persondata vil blive anvendt.
Vi anvender denne type data om dig
Vi anvender data om dig for at:
De data, vi anvender, omfatter:
Formål og retsgrundlag for vores behandling af dine persondata
Formålet med vores behandling af dine personoplysninger er følgende:
Vi behandler kun dine oplysninger i det omfang, som det er nødvendigt for at opfylde de formål, hvortil oplysningerne er indsamlet. Vi skal oplyse dig om vores retsgrundlag for behandling af dine oplysninger, som er følgende: Behandling af oplysninger med henblik på opfyldelse af en aftale: Persondataforordningens artikel 6, stk. 1, litra b (behandlingen er nødvendig for DANVAs opfyldelse af en aftale, som eksempelvis kontraktligt medlemskab af DANVA).
DANVA kontrollerer og opdaterer dine persondata
Vi kontrollerer, at de persondata, vi behandler om dig, ikke er urigtige eller vildledende. Vi sørger også for at opdatere dine persondata løbende.
Da vores service og ydelser er afhængig af, at dine data er korrekte og opdaterede, beder vi dig oplyse os om relevante ændringer i dine data. Du kan benytte kontaktoplysningerne ovenfor til at meddele os dine ændringer.
Indhentning af samtykke
I nogle tilfælde skal DANVA have samtykke til at behandle dine persondata. Med mindre vi har et lovligt grundlag for at behandle dine persondata, vil vi indhente dit samtykke, inden vi behandler dine persondata. Vi oplyser dig om et sådant grundlag og om vores legitime grundlag for at behandle dine persondata.
Dit samtykke er frivilligt, og du kan til enhver tid trække det tilbage ved at henvende dig til os, hvilket fremgår af afsnittet ”Du har ret til at tilbagekalde dit samtykke”.
Opbevaring af data
Dine data opbevares kun så længe, det er nødvendigt af hensyn til at opfylde DANVAs forpligtelser over for dig som kunde/medlem og interessent, og/eller for opfyldelse af lovgivning, herunder særligt bogføringslovens regler om opbevaring af bogføringsmateriale i 5 år.
Vi sletter dine persondata, når de ikke længere er nødvendige i forhold til det formål, som var grunden til vores indsamling, behandling og opbevaring af dine data. Er dine data følsomme, jf. persondata-forordningens artikel 9, opbevares de så længe, at dette er relevant og nødvendigt.
Videregivelse af data
Vi videregiver kun dine personoplysninger til andre, såfremt vi er forpligtet hertil via lovgivning, eller til vores leverandører i det omfang, de skal levere en ydelse, som berører dig. Herudover videregiver vi dine personoplysninger til samarbejdspartnere/koncernselskaber, såfremt dette er muligt at gøre i overensstemmelse med de persondataretlige regler. Vi overlader også dine personoplysninger til vores databehandlere. Vi har indgået behørige databehandleraftaler med disse databehandlere.
Vi har følgende databehandlere, som er med til at sikre, vi kan levere vores produkter og service:
Sikkerhed
Dine persondata er beskyttet hos os, og vi har en intern data-beskyttelsespolitik.
DANVA har udarbejdet en lovpligtig, intern IT-sikkerhedspolitik. Den indeholder interne instrukser og beskriver de tekniske sikkerhedsforanstaltninger, som DANVA har truffet, og som beskytter dine persondata mod hændeligt eller ulovligt at blive tilintetgjort, gå tabt eller blive ændret, mod uautoriseret videregivelse, og mod at uvedkommende får adgang eller kendskab til disse oplysninger. DANVA har procedurer for tildeling af adgangsrettigheder, som indebærer, at alene de medarbejdere, for hvem det er nødvendigt for udførelse af deres arbejdsopgaver, har adgang til dine personoplysninger. Vi laver blandt andet løbende back-up af vores datasæt for at undgå datatab.
Skulle der ske et sikkerhedsbrud, der resulterer i høj risiko for dine rettigheder, herunder for diskrimination, ID-tyveri, økonomisk tab, tab af omdømme eller anden væsentlig ulempe, vil DANVA underrette dig om sikkerhedsbruddet så hurtigt som muligt i det omfang, som er krævet i persondataforordningens artikel 34.
Overførsel til tredjeland
Vi videregiver persondata til rejsebureauer og hoteller ved bestilling af rejser og overnatninger i udlandet i forbindelse med DANVAs aktiviteter. I disse tilfælde beder vi om dit samtykke.
Du har ret til at få adgang til dine persondata
Du har ret til at få indsigt i de persondata, DANVA behandler om dig.
Du har ret til at få unøjagtige persondata rettet eller slettet
Hvis du mener, at de persondata, vi behandler om dig, er unøjagtige, har du ret til at få rettet dine persondata.
Du har ret til at gøre indsigelse mod vores behandling af dine persondata
Er din indsigelse berettiget, vil DANVA stoppe med at behandle persondata om dig.
Du har ret til at få begrænset vores behandling af dine persondata
Du har ret til at tilbagekalde dit samtykke
Du har ret til at trække dit samtykke til DANVAs behandling af dine personoplysninger tilbage, såfremt DANVA baserer hele eller dele af sin behandling på samtykke.
Du har ret til dataportabilitet i visse situationer
Hvis vores behandling af dine personoplysninger baserer sig på samtykke eller en kontrakt, og vores behandling er foretaget automatisk, har du ret til dataportabilitet.
Vi behandler og svarer på din henvendelse så hurtigt som muligt og senest en måned efter, at vi har modtaget din henvendelse, medmindre anmodningens kompleksitet og omfang gør, at vi ikke kan svare inden for en måned. I så fald kan svarfristen blive op til 3 måneder i alt, jf. persondataforordningens artikel 12.
Hvis du vil høre mere eller gøre brug af dine rettigheder, er du velkommen til at kontakte DANVAs persondataansvarlige.
Navn: Peter Mortensen, DANVA
Adresse: Godthåbsvej 83, 8660 Skanderborg
CVR: 29031215
Telefonnr.: 7021 0055
Mail: persondatahenvendelse@danva.dk
Du har ret til at klage til Datatilsynet
Du har ret til at klage til Datatilsynet over DANVAs behandling af dine personoplysninger.
Datatilsynets kontaktoplysninger er følgende:
Adresse: Borgergade 28, 5., 1300 København
E-mail: dt@datatilsynet.dk
Telefon: + 45 33 19 32 00
Hjemmeside: www.datatilsynet.dk
Cookies
Websitet anvender ”cookies”, der er en tekstfil, som gemmes på din computer, mobil el. tilsvarende med det formål at genkende den, huske indstillinger, udføre statistik og målrette annoncer. Der er ingen personlige oplysninger gemt i vores cookies, og de kan ikke indeholde skadelig kode som f.eks. virus.
Det er muligt at slette eller blokere for cookies. Se vejledning: http://minecookies.org/cookiehandtering
Hvis du sletter eller blokerer cookies, vil annoncer kunne blive mindre relevante for dig og optræde hyppigere. Du kan desuden risikere, at websitet ikke fungerer optimalt, samt at der er indhold, du ikke kan få adgang til.
Websitet indeholder cookies fra tredjeparter til at måle trafikken på websitet. Google Analytics har adgang til de pågældende cookies. Du kan fravælge cookies fra Google Analytics her: http://tools.google.com/dlpage/gaoptout.
Vi bruger følgende typer cookies på Danva.dk:
Navn: _ga
Beskrivelse: Registrerer et unikt ID, der anvendes til at føre statistik over hvordan den besøgende bruger hjemmesiden.
Levetid: 2 år.
Udbyder: Google Analytics.
Navn: _gat
Beskrivelse: Anvendes af Google Analytics til at drosle hastigheden på antallet af forespørgsler til serveren.
Levetid: 1 minut.
Udbyder: Google Analytics.
Navn: _gid
Beskrivelse: Registrerer et unikt ID, der anvendes til at føre statistik over hvordan den besøgende bruger hjemmesiden.
Levetid: 24 timer.
Udbyder: Google Analytics.
Navn: ecit_cookieconsent
Beskrivelse: Anvendes til styring af cookieadvarsel.
Levetid: 1 år.
Udbyder: Danva.
Navn: __RequestVerificationToken
Beskrivelse: En del af sikkerhedssystemet til at forebygge svindel og hackerangreb.
Levetid: Udløber med Session (ca. 20 minutter).
Udbyder: Microsoft.
Privatlivspolitikken er senest opdateret den 31. maj 2018