Strengere personvern fra 2018 GDPR Konsekvenser for oss i VA-etatene Ali Mekki IT-ansvarlig Vann- og avløpsetaten i Bergen
Tema som belyses : Hva er GDPR Hva er nytt med GDPR Hva menes med persondata Krav til oss Hva må gjøres Hvordan komme i gang Frister - konsekvenser
Hva er GDPR? General Data Protection Regulation EU-direktiv som Norge MÅ følge Gjelder alle som behandler data om EU-borgere
Norsk «oversettelse» : GoDt PersonveRn
Alternativ tolkning : Godkjent innsamling av persondata Data skal kun brukes til det formål det samlet inn for og så lenge det er behov for dette Publikum skal ha tilgang til å se egne data Rett til å bli glemt (data slettes)
Hva er nytt med GDPR? Samordnete, strenge regler for alle som opererer i EU Sikrer lik behandling av persondata Åpner for flytting av persondata mellom land Personvernombud må etableres Strenge rapporteringsplikter ved avvik Høye bøter ved overtredelse
Hva menes med persondata? Alle data som kan knyttes til en enkelt person så som navn, adresse, mobilnr, mailadresse. Det gjelder også Påloggingsdata (brukernavn/passord) kunderegister søknader notater historikk
Hvilke persondata har vi? Driftsdata for egne folk (pålogging, tilganger) Logger (hvem har endret hva) Kundedata (eier, betaler eller andre roller, part i søknader/saker) Historikk
Krav til oss OVERSIKT OG ORDEN Hvilke persondata har vi? Hvorfor har vi disse dataene? Hvor er data lagret? Hvem har tilgang og hvorfor? Kan vi gi innsyn for enkeltperson? Kan data slettes?
Hva må gjøres Kartlegging av systemer og datainnhold Hjemmel for innsamling og lagring Sikring av data (integritet og konfidensialitet) Melderutiner ved brudd
Kartlegging Vann- og avløpsetaten i Bergen Kategorier : Systemer med persondata Systemer uten kundedata (kun pålogging) Felles systemer med persondata forventes dekket sentralt Felles systemer uten persondata
Systemer med persondata Gemini Oppfølging søknader om tiltak, pålegg om utbedringer - tiltakshaver, eier Gemini Slam oversikt over slamavskillere og andre avløpsløsninger - eier, kontaktperson Gemini Indsys olje- og fettutskillere - eier/driver (firma) Gemini Vannmåler vannmålere - eier/avleser (mest firma)
Systemer med persondata Gemini Melding meldinger fra publikum med logg og tilbakemelding - enkeltpersoner med navn, mobil, mail VAKO vann/avløpsgebyrer på eiendommer/bygninger - eiere, betalere Rørleggerarkiv scannete rørleggermeldinger - dokumenter som kan inneholde persondata Varsling24 SMS/Mail og fasttelefon varsling - logg over hvem som er varslet - enkeltpersoner og firma
Felles systemer med persondata Epost - Microsoft Outlook Sak/arkiv BKSAK/Doculive og BK360/Public 360 Økonomisystem - Agresso HR-system Agresso Tidsregistrering og fraværsplanlegging - WinTid Forventes dekket sentralt
Hvordan komme i gang Lag liste over egne og felles systemer Kartlegge persondata og hjemmel for lagring Dokumentere drift og sikring Etablere databehandleravtaler med alle eksterne parter som har tilgang til data
Tabell for kategorisering av verktøy med persondata Verktøy som inneholder persondata mot kunder/innbyggere Behandlingsformål personopplysn personopplys Dataeier Innsamlings- Overførsels- Oppbevarings Metode til Eksterne Krypterin Backupm Databeha Databehand Tredjepar Overførsl Typer av Sensitive Beskrivelse metode metode metode videresendels adgang gs- etode ndler ler avtale ts- er til Nettinformasjo Matrikkel data, Gemini Portal nssystem bruker initialer Nei GIS Manuelt Internett Sky Azure Internett Ingen Kryptert Sky + Data Powel Ja Nei kommuni lokalt lagres i Kundehenvend Navn, Adresse, Gemini Melding elser Telefon, Email, Nei Drift Automatisk Internett Lokalt på Ekstern Internett Ingen Ingen Powel Ja Nei Nei server backup Vannmåler Måleravlesning Forbruksdata SMS, Lokalt på Ekstern Nei Myndighet Manuelt Internett Ingen Ingen Powel Ja Nei Nei (evnt også internett server backup Osv Persondata internt i virksomheten Beskrivelse HR persondata Lønnssystem (Agresso) osv Lønnssystem Behandlingsformål Allminnerlige HR aktiviteter Typer av Sensitive personopplysn personopplys Dataeier Innsamlingsmetode metode metode videresendels adgang gs- etode ndler ler avtale ts- Overførsels- Oppbevarings Metode til Eksterne Krypterin Backupm Databeha Databehand Tredjepar HR data (alle Ekstern Ja HR sjef Manuelt Ingen Egen server Ingen Ingen Ingen Nei Nei Nei Nei former for backup HR data (alle Utføres av former for Via Ja Regnskap Manuelt personopplysn lønnsystem Hos Agresso Krypteret via Utføres av Ingen databeha Agresso Nei Nei Nei internet Agresso ndler inger) Overførsl er til Støttesystemer Beskrivelse E-post osv Kommunikasjon med med forbrukere Typer av Sensitive personopplysn personopplys Dataeier Overførselsmetode Oppbevarings metode Metode til videresendels Eksterne adgang Navn, Adresse, Telefon, Email, Nei Driftssjef Manuelt Internet Sky Microsoft Internett Internett målernummer, Behandlingsformål Innsamlingsmetode Krypterin gs- Både ukryptere t og krypteret Backupm etode Utføres av databeha ndler Databeha ndler Databehand ler avtale Tredjepar ts- Microsoft Nei Nei Nei Overførsl er til Mal fra nytt Norsk Vann prosjekt
Utfordringer Ustrukturerte data (tekst, kommentarer, scannede dokumenter) Sletting av data vs arkivplikt
Frister konsekvenser 25.05.2018 er formell iverksettelse Bøter fra Datatilsynet (etter hvert) Rekker vi dette? Viktig å ha oversikt og være i prosess Melde fra om områder man IKKE er ferdig med
Vegen videre Figur: Norsk Vann informasjonssikkerhet