Implementeringsoplysninger
Her opsamles information, som er relevant for kommunerne at vide, når de skal implementere OS2valghalla.
- 1 Systemopbygning
- 2 Adgangs- og rettighedsstyring
- 2.1 Administrativ hjemmeside
- 2.1.1 Brugerroller
- 2.2 Ekstern hjemmeside
- 2.2.1 Brugerroller
- 2.1 Administrativ hjemmeside
- 3 Logging
- 4 Oplysningserklæring og samtykke
- 5 Typer af persondata
- 6 Overførsel af personoplysninger til ikke-sikre tredjelande og/eller internationale organisationer
- 7 Sletning af personoplysninger
- 8 Tilgængelighedserklæring
- 9 Softwarelicens
- 10 Vurdering af NSIS sikringsniveau
- 11 Risiko- og konsekvensanalyse
Systemopbygning
OS2valghalla er en SaaS-løsning, der hostes i et cloud-miljø af driftsleverandøren Precio Fishbone. Det betyder, at løsningens brugergrænseflade er tilgængelig over internettet og ikke kræver en dedikeret, sikret netværksforbindelse til kommunen.
OS2valghalla er opbygget af to dele:
Administrativ hjemmeside målrettet de valgansvarlige medarbejdere
Ekstern hjemmeside målrettet deltagere, partisekretærer samt medarbejdere med ansvar for teams og valg-/arbejdssteder.
OS2valghalla er en såkaldt multi tenant-løsning. Det betyder, at hele systemet driftes samlet, men hver kommune får sin egen del (eller tenant) af systemet med egne links/url’er. Der er etableret sikring mellem hver kommune, så data på ingen måde deles på tværs.
Kryptering og sikring af forbindelser
Der benyttes HTTPS og TLS 1.3 til sikring og kryptering af alle forbindelser.
Kommunens adgang til logfiler fra OS2valghalla sker via SFTP.
Integrationer
OS2valghalla er lavet til at benytte den fællesoffentlige infrastruktur i videst mulig omfang. Derfor understøttes ikke integrationer til kommunens egne systemer.
OS2valghalla benytter disse integrationer:
Serviceplatformen:
Fælleskommunal adgangsstyring for brugere (Context handler 2)
NemLog-in benyttes som MitID-broker.
SMS gateway via underleverandøren Computopic (fælles aftale mellem alle tilsluttede kommuner)
SMTP-mailserver via underleverandøren http://SMTP.dk (fælles aftale mellem alle tilsluttede kommuner)
API og lignende snitflader
OS2valghalla har ikke et API eller lignende snitflade, der gør det muligt for kommunen at udtrække data til andre forretningsformål. Der kan eksporteres data om deltagere manuelt fra den administrative hjemmeside i CSV-format.
Backup
Der tages sikkerhedsbackup af det fulde driftsmiljø hver time, hvor backup ligger på en anden lokation end driftsmiljøet og med en redundant backup i et tredje miljø. Begge backup-miljøer er på separate fysiske lokationer. Backups gemmes i 30 dage, og ældre backups slettes automatisk
Udenfor valgperioder sker gendannelse af seneste funktionelle backup sker indenfor 3 timer i tidsrummet 08:00 – 17:00.
I valgperioder sker gendannelse af seneste funktionelle backup indenfor 1 time i tidsrummet imellem 06:00 og 00:00
Teknisk dokumentation af løsningen
Den fulde tekniske beskrivelse af OS2valghalla kan findes på https://os2valghalla.readthedocs.io/en/latest/
Arkitekturbeskrivelse: https://os2valghalla.readthedocs.io/en/latest/architecture/index.html
Adgangs- og rettighedsstyring
Administrativ hjemmeside
Adgangs- og rettighedsstyring til den administrative hjemmeside styres ved hjælp af Fælleskommunal Adgangsstyring for brugere (også kendt som Context handler 2). Det er altså kommunens egen opsætning af brugere og jobfunktionsroller, som styrer, hvilke medarbejdere der kan få adgang.
OS2valghalla kræver, at brugere er godkendt til NSIS sikringsniveau ‘Betydelig’. Det er derfor en forudsætning, at kommunens IdP har etableret trust til Context Handler 2, og der er angivet NSIS assurance level for IdP’en i Fælleskommunalt Administrationsmodul.
Anonyme brugere kan ikke tilgå den administrative hjemmeside, men vil blive mødt af et krav om login, hvis det forsøges.
Brugerroller
Der er kun en enkelt brugerrolle i den administrative hjemmeside:
Brugerrolle | Rettigheder |
|---|---|
Administrator |
|
Ekstern hjemmeside
Adgang til den eksterne hjemmeside kan kun ske med MitID. Dette gælder både for borgere og medarbejdere, der skal løse opgaver som deltagere i forbindelse med valget.
NemLog-In benyttes som MitID-broker.
Brugerroller
En deltager kan oprette sig selv, hvis personen inviteres til et team eller tilmelder sig en opgave.
I den administrative hjemmeside kan der tildeles ekstra rettigheder til en deltager som teamansvarlig og arbejdsstedsansvarlig.
Anonyme kan tilgå den eksterne hjemmeside og se noget af indholdet.
Der er tre forskellige roller.
Deltager: Almindelig deltager i valget, som kan se menupunkterne Opgaver, Mine opgaver, Min profil og FAQ (hvis det er aktiveret).
Teamansvarlig: Har samme rettigheder som en deltager samt mulighed for at se menupunkterne Mit team og Opgavefordeling. De giver mulighed for at se alle teamets opgaver og medlemmer samt status for tilmelding til opgaverne.
Arbejdsstedsansvarlig: Har samme rettigheder som en deltager samt mulighed for at se menupunktet Mit arbejdssted
| Forside Giver mulighed for at logge ind | Kontaktoplysninger Giver mulighed for at se den valgansvarlige afdelings kontaktoplysninger | Opgaver (delt via link fra administrativ hjemmeside) Giver mulighed for at se og vælge opgaver defineret af administrator | Opgaver (teamets) Giver mulighed for se alle ledige opgaver i de(t) team(s) deltageren er tilknyttet | Mine opgaver Giver en oversigt over alle tilmeldte opgaver samt mulighed for at håndtere tilmeldingen | Min profil Giver mulighed for at se deltageren oplysninger og redigere nogle af dem | FAQ Vises kun, hvis den er aktiveret i den administrative hjemmeside. Besvarer ofte stillede spørgsmål
| Mit team Giver mulighed for at invitere deltagere til et team samt se og håndtere alle teammedlemmer | Opgavefordeling Giver mulighed for at se status på tilmelding til teamets opgaver og finde invitationslinks til specifikke opgaver | Mit arbejdssted Giver mulighed for at se opgavestatus på et arbejdssted samt finde kontaktoplysninger på de deltagere, der har opgaver på arbejdsstedet |
|---|---|---|---|---|---|---|---|---|---|---|
Anonym | X | X | X |
|
|
| X |
|
|
|
Deltager (/Teammedlem) | X | X | X | X | X | X | X |
|
|
|
Teamansvarlig | X | X | X | X | X | X | X | X | X |
|
Arbejdsstedsansvarlig | X | X | X | X | X | X | X |
|
| X |
Logging
OS2valghalla logger alle handlinger i systemet i en revisionslog (også kendt som audit log). Denne er tilgængelig for brugerne i den administrative hjemmeside. Der gemmes desuden en applikations logfil med alle handlinger en gang i døgnet. Kommunen kan få adgang til denne fil via SFTP-overførsel efter aftale med driftsleverandøren. Det kan fx være til brug i et SIEM-system.
Logfiler slettes automatisk efter 6 måneder.
Oplysningserklæring og samtykke
Alle deltagere får vist kommunens oplysningserklæring, når de opretter en bruger. Den forklarer deltagerne, hvordan kommunen har lovhjemmel i GDPR art. 9, stk. 2, litra g, jf. databeskyttelseslovens § 7, stk. 4. til at behandle deres personoplysninger for at gennemføre det aktuelle valg. Der er ifølge flere kommunernes DPO, Bech-Bruun, ikke behov for at indhente samtykke til dette.
Særligt om samtykke
Hvis kommunen ønsker at bruge deltagernes personlige oplysninger til andet end afvikling af det aktuelle valg, skal deres samtykke indhentes.
Bech Bruuns vurdering:
Når samtykke indhentes, kan personoplysningerne (navn, cpr, evt. medlemskab af politisk parti mv.) opbevares i en længere periode end det oprindelige formål, hvis det er nødvendigt af hensyn til det nye formål.
Det er vores vurdering, at det nye formål om at opbevare førnævnte informationer til næste valg, så valgstyrere og tilforordnede ikke skal oprette sig på ny, i sig selv alene giver grundlag for at opbevare de (sensitive) informationer for en kortere periode udover jeres nuværende opbevaringsperiode på tre måneder [praksis i Aarhus Kommune, red.] efter valget.
En længere opbevaring af disse informationer kræver således, at det næste valg afvikles indenfor en overskuelig tidsperiode, da valgsystemet (forholdsvalg) som udgangspunkt forudsætter et valg af valgstyrere og tilforordnede afspejler mandattallet for det pågældende valg. Fx er det kommunalbestyrelsens sammensætning på tidspunktet for valget af valgstyrere, der er afgørende i forbindelse med folketingsvalg.
Typer af persondata
OS2valghalla indeholder både almindelige og følsomme personoplysninger, da der gemmes oplysning om nogle deltageres politiske overbevisning. Desuden kan der alt efter kommunens konfiguration gemmes oplysninger om deltageres ønsker til specialkost, som i nogle tilfælde kan vurderes at indeholde oplysninger om religiøse eller sundhedsmæssige persondata.
Bemærk desuden at der er adgang til at lave opslag i CPR-registeret på udvalgte persondata i den administrative hjemmeside.
Overførsel af personoplysninger til ikke-sikre tredjelande og/eller internationale organisationer
OS2valghalla driftes af den svenskejede leverandør Precio Fishbone, som samarbejder med den svenskejede underleverandør Proact samt de danskejede underleverandører Computopic og SMTP.dk. Som en del af driftsaftalen har det været et krav, at der ikke sker overførsel af persondata til tredje lande:
“Behandling af persondata skal ske af databehandlere og eventuelle underdatabehandlere i EU, EØS eller et tredjeland, der er erklæret sikkert i henhold til GDPR art. 45. Herudover må databehandleren og eventuelle underdatabehandlere ikke være koncernforbundet med moderselskaber i ikke-sikre tredjelande.
Pga. juridisk usikkerhed om opbevaring af persondata i tredjelande inkl. USA skal OS2valghalla driftes i et datacenter i EU ejet af et firma, der er beliggende i et EU-land.”
“Supportmedarbejdere, udviklere og andre, der tænkes at have adgang til data, skal ligeledes være placeret i EU, EØS eller et tredjeland, der er erklæret sikkert i henhold til GDPR art. 45, og må ligeledes ikke være koncernforbundet med moderselskab i et ikke-sikkert tredjeland eller have underleverandører i et sådant, hvis de på nogen måde kan få adgang til persondata i OS2valghalla.”
Se også den databehandleraftale, som driftsleverandøren benytter:
Sletning af personoplysninger
Sletning skal ske manuelt. Der er funktion til masse-sletning af deltagernes oplysninger i OS2valghalla. Det er op til den enkelte kommune at indføre procedurer for dette.
Deltagere har mulighed for at slette deres egen profil. Dette kan dog være begrænset, hvis kommunen vælger at sætte blokering på funktionen eller deltageren har deltaget i en valgafvikling, og kommunen derfor skal bruge personoplysningerne til at udbetale diæt/honorar. Det er altid muligt for en administrator at slette en deltager i systemet, hvorved personoplysninger også slettes.
Tilgængelighedserklæring
Administrativ hjemmeside
Som fagsystem, der bliver anvendt af få udvalgte medarbejdere med administrationsadgang, er det blevet vurderet, at det vil medføre en uforholdsmæssig stor byrde at gøre den administrative hjemmeside fuldt webtilgængelig.
Eksterne hjemmeside
Den eksterne hjemmeside lever delvist op til loven om webtilgængelighed. Vi arbejder løbende med at forbedre webtilgængeligheden på OS2Valghalla i takt med, at der kommer nye versioner af produktet.
OS2valghallas tilgængelighedserklæring:
Softwarelicens
OS2valghalla er udgivet på open source-licensen Mozilla Public License 2.0.
Vurdering af NSIS sikringsniveau
OS2valghalla er vurderet til sikringsniveau Betydelig med baggrund i dette skema:
Kommunen opfordres til at gemme en kopi af dette skema til brug for eventuel audit fra Digitaliseringsstyrelsen.
Risiko- og konsekvensanalyse
Find beskrivelse af risiko- og kontrolelementer i ovenstående skema til vurdering af NSIS sikringsniveau.
Supplerende oplysninger baseret på risikoanalyse i Københavns Kommune:
Behandlingen omfatter: | Ja/Nej |
|---|---|
Evaluering eller analyse, herunder profilering og forudsigelse | Nej |
Automatiseret beslutningstagning | Nej |
Systematisk overvågning | Nej |
Omfattende behandling | Nej |
Matching eller kombination af datasæt | Nej |
Oplysninger om sårbare registrerede | Nej |
Innovativ brug eller anvendelse af ny teknologi | Nej |
Hindrer registrerede i at udøve en rettighed eller gøre brug af en tjeneste eller en kontrakt | Nej |