Høringsvar til krav til sikkerhed i vissevandforsyningers net- og informationssystemer. j.nr. MST-021-00039
Til Miljø- og Fødevareministeriet
EU direktiv 2016/1148, også kaldet NIS-direktivet, skal implementeres i Danmark, og i den forbindelse er der høring på udkast til ny bekendtgørelse om krav til sikkerheden i visse vandforsyningers net- og informationssystemer.
DANVA har noteret, at der for indeværende ikke vil være oplistet nogen almene vandforsyninger som operatør af væsentlige tjenester, og at der dermed ikke stilles krav om, at nogen danske almene vandforsyninger træffer foranstaltninger for dels at styre risici dels for at forebygge og minimere konsekvenser af hændelser.
Foreningen har ligeledes noteret sig, at ministeriet tilkendegiver, at det senest i 2020 vil genvurdere situationen. DANVA vil i den forbindelse understrege behovet for, at de relevante aktører med centralforvaltningen som initiativtager etablerer et formelt samarbejde mhp. at udarbejde de nødvendige analyser og evt. vejledning, såfremt at almene vandforsyninger forventes at blive udpeget som operatør af væsentlige tjenester (bilag 1 udpegning).
Bemærkninger af general karakter
NIS direktivet angiver i artikel 5 nr. 2, at leverancen af den væsentlige tjeneste – dvs. drikkevand i nærværende sammenhæng – skal være afhængig af net- og informationssystemer. Miljøstyrelsens undersøgelse i 2017 afdækker, at leverance af drikkevand i Danmark i dag er muligt uden IT-styring. I tilknytning hertil vil DANVA gerne tilkendegive, at foreningen vil opfordre sine medlemmer til at vurdere, om det – ud fra de specifikke forhold for deres forsyning – er betimeligt at tage hensyn til kravene i bekendtgørelsen/NIS-direktivet.
Der sker en teknisk udvikling, som kan tale for, at udvalgte almene vandforsyninger indstiller sig på de nævnte krav – herunder at de forholder sig til ISO 27001. For at fremme de nødvendige overvejelser m.m. vil DANVA kraftigt opfordre til, at der allerede nu igangsættes et vejledningsarbejde som opfølgning på bekendtgørelsen.
Et centralt element i vejledningen skal være elementer, der indgår i vurderingen af, om leverancen af den væsentlige tjeneste (drikkevand) er afhængig af net- og informationssystemer.
Et grundlæggende spørgsmål er, hvor mange beredskabsrelaterede problemer, der skal håndteres via NIS-direktivet og dets implementering. Skal det blot sikres, at der er tilstrækkelig forsyning mhp. at tørsten bliver slukket – eller er der et højere niveau?
Der er flere EU retsakter, der angår beredskab og it-sikkerhed bl.a. persondataforordningen og NIS-direktivet. Der er også forventning om, at direktivet om europæisk, kritisk infrastruktur kan komme til at omfatte vandsektoren. Det aktuelle samarbejde mellem EU og NATO kan ligeledes resultere i flere EU krav på beredskabsområdet – herunder it-siden.
I vandsektoren gøres der tanker om mulighederne for at opstille anvisninger til en form for ”baseline” it-mæssigt, som kan honorere flere retsakter. Dette ville evt. kunne indgå i det efterlyste formelle samarbejde (udvalg).
Det er endvidere yderst centralt, at der analyseres på de økonomiske konsekvenser af at opstille obligatoriske krav, som NIS-direktivet gør. Ved at implementere direktivet som en bekendtgørelse sker dette desværre ikke automatisk i forbindelse med implementeringen – men dette bør ske i forbindelse med førnævnte centrale analyse- og vejledningsarbejde. Emnet er vigtigt, da talrige almene vandforsyninger er omfattet af økonomisk rammestyring og effektivitetskrav. I det regi skal der med andre ord gøres overvejelser om mulighederne for at anse omkostningerne til at honorere sikkerhedskravene i NIS-direktivet som værende ”ikke-påvirkelige-omkostninger” (IPO).
Bemærkninger af specifik karakter
De følgende bemærkninger kan muligvis inspirere til præcisering i udkastet og til uddybning i et efterfølgende analyse- og vejledningsarbejde.
Begreberne vandforsyning og vanddistributør bør defineres i § 2. Udover blot at afskrive direktivteksten kan der skeles til VFL § 3 og flere vejledninger, og i den forbindelse skal det erindres, at der findes almene vandforsyninger, der alene er vanddistributører.
”Kommunalbestyrelsen skal, hvis omstændighederne tillader det, give relevante oplysninger til vandforsyningen vedrørende opfølgningen på forsyningens underretning …” Denne bestemmelse, § 8, skal ligeledes uddybes.
Oplysninger, der skal bruges i forbindelse med kommunalbestyrelsens tilsyn, er emnet i § 9. Dette skal ligeledes uddybes mhp. bl.a. forventningsafstemning.
Med venlig hilsen
Carl-Emil Larsen
Danva bruger cookies til at gøre hjemmesiden mere brugbar og give dig en bedre oplevelse samt til statistik. Du kan til- og fravælge cookies herunder og til enhver tid trække din accept tilbage ved at klikke på ‘ikonet’ i bunden af siden.
Læs mere i vores Cookiepolitik
DANVA er dataansvarlig, og vi sikrer, at dine persondata behandles i overensstemmelse med lovgivningen.
Du er velkommen til at rette henvendelse til os for at høre om person-databehandlingen, få indsigt i dine data, ajouføre din persondata – eller gøre brug af nogle af de øvrige rettigheder, du har, jf. den nye Data-beskyttelseslov.
Navn: DANVA
Adresse: Godthåbsvej 83, 8660 Skanderborg
CVR: 29031215
Telefonnr.: 7021 0055
Mail: persondatahenvendelse@danva.dk
Website: www.danva.dk/privatlivspolitik
Personoplysninger
Generelt
Personoplysninger er alle slags informationer, der i et eller andet omfang kan henføres til dig. Når du benytter vores website indsamler og behandler vi en række sådanne informationer. Det sker f.eks. hvis du tilmelder dig vores nyhedsbrev, deltager i konkurrencer eller undersøgelser, melder dig ind i foreningen, registrerer dig som bruger eller abonnent, foretager køb via websitet eller ved øvrig brug af services.
Gennemskuelig og fair databehandling
Når du stiller dine persondata til rådighed for os, vil det klart fremgå, til hvilke formål dine persondata vil blive anvendt.
Vi anvender denne type data om dig
Vi anvender data om dig for at:
De data, vi anvender, omfatter:
Formål og retsgrundlag for vores behandling af dine persondata
Formålet med vores behandling af dine personoplysninger er følgende:
Vi behandler kun dine oplysninger i det omfang, som det er nødvendigt for at opfylde de formål, hvortil oplysningerne er indsamlet. Vi skal oplyse dig om vores retsgrundlag for behandling af dine oplysninger, som er følgende: Behandling af oplysninger med henblik på opfyldelse af en aftale: Persondataforordningens artikel 6, stk. 1, litra b (behandlingen er nødvendig for DANVAs opfyldelse af en aftale, som eksempelvis kontraktligt medlemskab af DANVA).
DANVA kontrollerer og opdaterer dine persondata
Vi kontrollerer, at de persondata, vi behandler om dig, ikke er urigtige eller vildledende. Vi sørger også for at opdatere dine persondata løbende.
Da vores service og ydelser er afhængig af, at dine data er korrekte og opdaterede, beder vi dig oplyse os om relevante ændringer i dine data. Du kan benytte kontaktoplysningerne ovenfor til at meddele os dine ændringer.
Indhentning af samtykke
I nogle tilfælde skal DANVA have samtykke til at behandle dine persondata. Med mindre vi har et lovligt grundlag for at behandle dine persondata, vil vi indhente dit samtykke, inden vi behandler dine persondata. Vi oplyser dig om et sådant grundlag og om vores legitime grundlag for at behandle dine persondata.
Dit samtykke er frivilligt, og du kan til enhver tid trække det tilbage ved at henvende dig til os, hvilket fremgår af afsnittet ”Du har ret til at tilbagekalde dit samtykke”.
Opbevaring af data
Dine data opbevares kun så længe, det er nødvendigt af hensyn til at opfylde DANVAs forpligtelser over for dig som kunde/medlem og interessent, og/eller for opfyldelse af lovgivning, herunder særligt bogføringslovens regler om opbevaring af bogføringsmateriale i 5 år.
Vi sletter dine persondata, når de ikke længere er nødvendige i forhold til det formål, som var grunden til vores indsamling, behandling og opbevaring af dine data. Er dine data følsomme, jf. persondata-forordningens artikel 9, opbevares de så længe, at dette er relevant og nødvendigt.
Videregivelse af data
Vi videregiver kun dine personoplysninger til andre, såfremt vi er forpligtet hertil via lovgivning, eller til vores leverandører i det omfang, de skal levere en ydelse, som berører dig. Herudover videregiver vi dine personoplysninger til samarbejdspartnere/koncernselskaber, såfremt dette er muligt at gøre i overensstemmelse med de persondataretlige regler. Vi overlader også dine personoplysninger til vores databehandlere. Vi har indgået behørige databehandleraftaler med disse databehandlere.
Vi har følgende databehandlere, som er med til at sikre, vi kan levere vores produkter og service:
Sikkerhed
Dine persondata er beskyttet hos os, og vi har en intern data-beskyttelsespolitik.
DANVA har udarbejdet en lovpligtig, intern IT-sikkerhedspolitik. Den indeholder interne instrukser og beskriver de tekniske sikkerhedsforanstaltninger, som DANVA har truffet, og som beskytter dine persondata mod hændeligt eller ulovligt at blive tilintetgjort, gå tabt eller blive ændret, mod uautoriseret videregivelse, og mod at uvedkommende får adgang eller kendskab til disse oplysninger. DANVA har procedurer for tildeling af adgangsrettigheder, som indebærer, at alene de medarbejdere, for hvem det er nødvendigt for udførelse af deres arbejdsopgaver, har adgang til dine personoplysninger. Vi laver blandt andet løbende back-up af vores datasæt for at undgå datatab.
Skulle der ske et sikkerhedsbrud, der resulterer i høj risiko for dine rettigheder, herunder for diskrimination, ID-tyveri, økonomisk tab, tab af omdømme eller anden væsentlig ulempe, vil DANVA underrette dig om sikkerhedsbruddet så hurtigt som muligt i det omfang, som er krævet i persondataforordningens artikel 34.
Overførsel til tredjeland
Vi videregiver persondata til rejsebureauer og hoteller ved bestilling af rejser og overnatninger i udlandet i forbindelse med DANVAs aktiviteter. I disse tilfælde beder vi om dit samtykke.
Du har ret til at få adgang til dine persondata
Du har ret til at få indsigt i de persondata, DANVA behandler om dig.
Du har ret til at få unøjagtige persondata rettet eller slettet
Hvis du mener, at de persondata, vi behandler om dig, er unøjagtige, har du ret til at få rettet dine persondata.
Du har ret til at gøre indsigelse mod vores behandling af dine persondata
Er din indsigelse berettiget, vil DANVA stoppe med at behandle persondata om dig.
Du har ret til at få begrænset vores behandling af dine persondata
Du har ret til at tilbagekalde dit samtykke
Du har ret til at trække dit samtykke til DANVAs behandling af dine personoplysninger tilbage, såfremt DANVA baserer hele eller dele af sin behandling på samtykke.
Du har ret til dataportabilitet i visse situationer
Hvis vores behandling af dine personoplysninger baserer sig på samtykke eller en kontrakt, og vores behandling er foretaget automatisk, har du ret til dataportabilitet.
Vi behandler og svarer på din henvendelse så hurtigt som muligt og senest en måned efter, at vi har modtaget din henvendelse, medmindre anmodningens kompleksitet og omfang gør, at vi ikke kan svare inden for en måned. I så fald kan svarfristen blive op til 3 måneder i alt, jf. persondataforordningens artikel 12.
Hvis du vil høre mere eller gøre brug af dine rettigheder, er du velkommen til at kontakte DANVAs persondataansvarlige.
Navn: Peter Mortensen, DANVA
Adresse: Godthåbsvej 83, 8660 Skanderborg
CVR: 29031215
Telefonnr.: 7021 0055
Mail: persondatahenvendelse@danva.dk
Du har ret til at klage til Datatilsynet
Du har ret til at klage til Datatilsynet over DANVAs behandling af dine personoplysninger.
Datatilsynets kontaktoplysninger er følgende:
Adresse: Borgergade 28, 5., 1300 København
E-mail: dt@datatilsynet.dk
Telefon: + 45 33 19 32 00
Hjemmeside: www.datatilsynet.dk
Cookies
Websitet anvender ”cookies”, der er en tekstfil, som gemmes på din computer, mobil el. tilsvarende med det formål at genkende den, huske indstillinger, udføre statistik og målrette annoncer. Der er ingen personlige oplysninger gemt i vores cookies, og de kan ikke indeholde skadelig kode som f.eks. virus.
Det er muligt at slette eller blokere for cookies. Se vejledning: http://minecookies.org/cookiehandtering
Hvis du sletter eller blokerer cookies, vil annoncer kunne blive mindre relevante for dig og optræde hyppigere. Du kan desuden risikere, at websitet ikke fungerer optimalt, samt at der er indhold, du ikke kan få adgang til.
Websitet indeholder cookies fra tredjeparter til at måle trafikken på websitet. Google Analytics har adgang til de pågældende cookies. Du kan fravælge cookies fra Google Analytics her: http://tools.google.com/dlpage/gaoptout.
Vi bruger følgende typer cookies på Danva.dk:
Navn: _ga
Beskrivelse: Registrerer et unikt ID, der anvendes til at føre statistik over hvordan den besøgende bruger hjemmesiden.
Levetid: 2 år.
Udbyder: Google Analytics.
Navn: _gat
Beskrivelse: Anvendes af Google Analytics til at drosle hastigheden på antallet af forespørgsler til serveren.
Levetid: 1 minut.
Udbyder: Google Analytics.
Navn: _gid
Beskrivelse: Registrerer et unikt ID, der anvendes til at føre statistik over hvordan den besøgende bruger hjemmesiden.
Levetid: 24 timer.
Udbyder: Google Analytics.
Navn: ecit_cookieconsent
Beskrivelse: Anvendes til styring af cookieadvarsel.
Levetid: 1 år.
Udbyder: Danva.
Navn: __RequestVerificationToken
Beskrivelse: En del af sikkerhedssystemet til at forebygge svindel og hackerangreb.
Levetid: Udløber med Session (ca. 20 minutter).
Udbyder: Microsoft.
Privatlivspolitikken er senest opdateret den 31. maj 2018