EU-parlament-520X284-Medlmesnyt-uge-27

DANVAs anbefaler, at vandselskaberne overholder gældende lovgivning, dvs. den nuværende persondatalov og derfor er i stand til at svare på samme spørgsmål, som skal besvares i den nuværende persondata-anmeldelse.

Dette arbejde bør starte allerede, inden de nye retningslinjer er endeligt færdigfortolket.

Det følgende vil kredse om de indledende overvejelser, der skal gøres for at give et kvalificeret skøn over ressourceforbruget i forbindelse med datakortlægningen – og det kan læses i sammenhæng med artiklen om EU Persondataforordningen i dansk VAND august 2016. Desuden har både Datatilsynet og Dansk Industri udarbejdet generelle vejledninger om persondataforordningen.

Indledende spørgsmål

Allerede nu bør man vurdere, hvordan man på tværs af organisationen kan afsætte timer til en kortlægning af data. Ved at starte processen med at planlægge kortlægningen allerede i 2016, vil man kunne bruge erfaringerne herfra til at give et realistisk bud på, hvor mange timer man bør afsætte i 2017, når Justitsministeriets projektarbejde, jf. omtalen nedenfor, er fuldført.

Derfor er det vigtigt, at arbejdet forankres hos en person, der både har tid og bemyndigelse til at involvere de nødvendige afdelinger i organisationen.

Følgende spørgsmål kan være inspiration til at vurdere, hvilke dele af organisationen, der bør inddrages i kortlægningen, ligesom svarene er faktorer man må overveje, når man skal vurdere opgavens størrelse:

  • Hvilke andre vandselskaber i branchen ligner vi? Er andre længere end vi i kortlægningen?
  • Hvem bevarer vi data om? F.eks. kunder, ansatte, etc.
  • Hvem har ejerskab over eller er ansvarlige for data i de enkelte systemer? F.eks. ledelse, drift, jura, HR.
  • Hvem leverer data til os? F.eks. andre afdelinger, kunder, eksterne leverandører.
  • Hvem er afhængige af de data vi genererer? F.eks. andre afdelinger, kunder, eksterne leverandører.
  • Hvor er vores data opbevaret? F.eks. Internt, eksternt, i Cloud-løsninger?
  • Hvem har ansvaret for at slette oplysninger og hvordan håndterer vi det i praksis?
  • Hvilke systemer skal vi alligevel planlagt udskifte?
  • Hvem har ansvaret for vores leverandøraftaler? F.eks. ledelse, IT, HR
  • Hvilke kompetencer er allerede til stede; enten personalemæssigt, gennem samarbejdspartnere eller andre netværk?
  • Hvilke eksterne rådgivere kan hjælpe på områder, hvor man allerede nu konkluderer, at man ikke har de nødvendige ressourcer?

Udfordringen er at få aktiveret de medarbejdere, der udfører det daglige arbejde med det substantielle indhold af virksomhedens data for at være sikker på, at man danner sig et kvalificeret grundlag til at vurdere den nødvendige tid, der skal afsættes til den senere kortlægning.

Få flere gode råd her

Meget få vandselskaber har formentlig det fulde overblik over situationen allerede nu. Som hjælp til at komme i gang, har både Datatilsynet og Dansk Industri udarbejdet generelle vejledninger, der kan hjælpe til at vurdere arbejdets omfang. Målet er i første omgang ikke nødvendigvis at kunne følge samtlige anvisninger eller svare på alle spørgsmål i vejledningerne, men derimod at gøre sig så bevidst som muligt om, i hvor høj grad organisationen allerede nu kan imødekomme forordningens bestemmelser. Og derudfra træffe kvalificerede valg, når man vurderer, hvor meget det vil koste at ramme et tilfredsstillende sikkerhedsniveau.

Datatilsynet: ”12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til”:

https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/12_spoergsmaal_-_GDPR.pdf

Mere Datatilsynet: https://www.datatilsynet.dk/publikationer/it-sikkerhedstekster

Dansk Industri: ”Persondataforordningen - Implementering i danske virksomheder”, der kan findes her:

https://digital.di.dk/SiteCollectionDocuments/Vejledninger/Persondataforordningen/Vejledning%20om%20persondataforordningen%20med%20bilag.pdf

Selvom man ikke overholder eller har ambition om til fulde at overholde ISO 27001, kan denne sagtens bruges som guide, så man kan sætte et realistisk mål. Læs mere om ISO 27001 her:

http://www.iso.org/iso/catalogue_detail?csnumber=54534

Netværket for IT-sikkerhed agter løbende at følge persondataforordningen og agere som forum for praktiske IT-sikkerhedsovervejelser gennem medlemmernes konkrete erfaringer fra deres specifikke processer.

Status før sommerferien

I april 2016 informerede Justitsministeriet om ministeriets planlagte arbejde og nedsættelse af projektgrupper, der har til formål at arbejde med forordningen i dansk kontekst. Pressemeddelelsen kan ses her:

http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2016/Databeskyttelsesforordning.pdf

I juni fulgte stormøde i Justitsministeriet, hvor forsyningsbranchen var repræsenteret ved Dansk Fjernvarme, som bl.a. bragte spørgsmål om, hvordan målerdata bør klassificeres, på bane. Målerdata på årligt basis er næppe en følsom oplysning, men måske er live-opdaterede forbrugsmønstre?

Ministeriets projekt skal være afsluttet i 1. kvartal 2017, så lovforslaget kan fremsættes i oktober 2017.

Persondataforordningen træder i kraft 25. maj 18, hvorfor vinduet fra vedtagelse til ikrafttræden er relativt kort, hvis der kræves større ændringer af IT-systemer hos det enkelte vandselskab for at kunne efterleve forordningen. Det er forhåbningen, at forsyningsbranchen dvs. DANVA og Dansk Fjernvarme, kan nå frem til en fælles forsyningsvejledning som supplement til de generelle anbefalinger, i det omfang det viser sig nødvendigt.

Udvalgte datoer:

  • 13. september 2016: DANVAs netværk for IT-sikkerhed afholder møde.
  • 27. oktober 2016: DANVA afholder kursus i persondataloven.
  • 1. kvartal 2017: Justitsministeriets projektarbejde skal senest være afsluttet.
  • Oktober 2017: Lovforslag forventes fremsat i Folketinget.
  • 25. maj 2018: Forordningen træder i kraft.