856.29 GDPR-sletning af NUPH, svar på NUPH og sanktioner
- Knud de Place (STAR)
- Jørgen Fischer
Beskrivelse af epic af it-understøttelse af Styrelsen for Arbejdsmarked og Rekrutterings forretning
STAR Projektleder (PL) | Forretningsanalytiker (FA) | STAR Release
| STAR Release
| STAR Release
| Epic status | Eksterne snitflader |
|---|---|---|---|---|---|---|
@Knud de Place (STAR) | @Jesper Brunholm | 2024-1 | 2024-1 | 2024-1 | 1.0 | KSS, a-kasse |
Versionshistorik af betydning for eksterne (v0.1, v0.3, v0.5 og v1.0)
Anvendes ved ændringer, der har betydning for eksterne.
Dato | Version | Hvem | Hvad er ændret? |
|---|---|---|---|
15.09.2023 | 0.3 | @Knud de Place (STAR) | Oprettet på baggrund af godkendt slettepolitik |
13.10.2023 | 0.3 | @Knud de Place (STAR) | Opdateret med, at der dannes WSB ved GDPR-sletning af NUPH og svar på NUPH |
05.11.2023 | 0.5 | @Knud de Place (STAR) | Tilpasset beskrivelse af AC-3 og AC-4 ift. at der på baggrund af ønsker indkommet ved tilsagn dannes WSB om GDPR-sletning af NUPH og svar på NUPH, men ikke ved GDPR-sletning af sanktioner |
18.01.2024 | 0.5 | @Knud de Place (STAR) | Opdateret AC-3 beskrivelsen med WSB beskrivelse. |
23.02.2024 | 1.0 | @Knud de Place (STAR) | v1.0. Ikke andre ændringer |
Interne links (indhold i links ikke relevant for eksterne)
https://starwiki.atlassian.net/browse/KON-814
https://starwiki.atlassian.net/browse/BI-3487
Indholdsfortegnelse
- 1 Versionshistorik af betydning for eksterne (v0.1, v0.3, v0.5 og v1.0)
- 2 Indholdsfortegnelse
- 3 Afgrænsning af epic
- 4 Oversigt over berørte webservices
- 5 Beskrivelse af epic
- 5.1 Baggrund
- 5.2 Regler
- 5.3 Forventet påvirkning af jobcenter-, a-kasse- eller ydelsessystemer
- 5.4 856.29.1 - GDPR-sletning af NUPH og svar på NUPH, når besvarelse er 6 år gl. eller 6 år gl. NUPH ikke er besvaret
- 5.5 856.29.2 - GDPR-sletning af sanktioner
- 5.5.1 Slettefrist på sanktioner
- 5.5.2 Løsning i DFDG
- 5.6 856.29.3 - STAR/DFDG sender GDPR-slette webservicebesked om sletningen af NUPH og svar på NUPH
- 5.6.1 Løsning i DFDG
- 5.7 856.29.4 - DFDG sender ikke GDPR-slette webservicebesked om sletningen af sanktioner
- 6 Særlige krav til test
- 7 Konsekvenser for drift/idriftsættelse
- 8 Arkitektur- og implementeringsnoter
- 9 Husk GDPR stillingtagen
Afgrænsning af epic
Afgrænsning |
|---|
Som STAR, A-kasse og medlem af a-kasse vil jeg have GDPR-slettet oplysninger om NUPH, svar på NUPH og sanktioner, når der ikke længere består et forretningsmæssigt behov for at behandle personoplysninger for at jeg som borger/medlem for opfyldt mine grundlæggende rettigheder ift. behandlingen af personoplysninger |
Acceptkriterier
Nr. | Beskrivelse | Relevant for | Intern STAR userstory |
|---|---|---|---|
856.29.1 | GDPR-sletning af NUPH og svar på NUPH, når NUPH når besvarelse er 6 år gl. eller 6 år gl. NUPH ikke er besvaret | KON | |
856.29.2 | GDPR-sletning af sanktioner | KON | |
856.29.3 | STAR/DFDG sender GDPR-slette webservicebesked om sletningen af NUPH og svar på NUPH (efterspurgt af tilsagnsgiver ifm. tilsagnsrunde ved release 2024-1) | KON | |
856.29.4 | DFDG sender ikke GDPR-slette webservicebesked om sletningen af sanktioner (ikke efterspurgt af a-kasser ifm. tilsagnsrunde ved release 2024-1) | KON | INGEN kodeændring |
Kriterier for tilsagn til serviceaftager i forhold til STARs snitflader
Kriterie | 856.29.1 | 856.29.2 | 856.29..3 | 856.29.4 | Bemærkning |
|---|---|---|---|---|---|
KSS og a-kasse er opmærksom på GDPR-slettefrist i DFDG for NUPH og svar på NUPH | X |
|
|
|
|
A-kasser er opmærksom på GDPR-slettefrist i DFDG for sanktioner |
| X |
|
|
|
KSS og a-kasse fastsætter selv GDPR-slettefrist for egne lokale data om NUPH og svar på NUPH | X |
|
|
|
|
A-kasse fastsætter selv GDPR-slettefrist for egne lokale data om sanktioner |
| X |
|
|
|
KSS og a-kasser indmelder evt. behov for WSB på GDPR-sletning af NUPH, svar på NUPH og Sanktioner ifm. tilsagnsrunde i 2024-1 |
|
| X | X |
|
DFDG danner WSB om GDPR-sletning af NUPH og svar på NUPH |
|
| X |
| KSS har ifm. 2024-1, bølge 1, tilsagn efterspurgt WSB på sletning af NUPH og svar på NUPH
|
DFDG danner ikke WSB om GDPR-sletning af sanktioner |
|
|
| X | Der har ikke været efterspørgsel på WSB om GDPR-sletning af sanktioner. |
Oversigt over berørte webservices
Manuel oversigt som er synlig for eksterne
Links i listen virker kun med STAR Jira konto og kan derfor ikke tilgås af eksterne. Links under Summary indeholder ikke andre oplysninger relevant for eksterne end hvad der fremgår i tabellen.
(kopiér og indsæt manuelt i tabellen)
Summary | Varslingstype | Varslingsnote | Eksterne Snitflader | Interne Snitflader | Project |
|---|---|---|---|---|---|
GdprSletNuphOgSvar.WSB | Ny | Ny WSB om sletning af NUPH og tilhørende besvarelse | KSS (f), A-kasse (f) | SF | KON |
Automatisk oversigt
Ikke synlig for eksterne, men indeholder ikke andre oplysninger end kopieret til den manuelle oversigt ovenfor.
Beskrivelse af epic
Baggrund
Her udfylder PO oplysninger om baggrund for epic'en, herunder fx om der ligger politisk aftale eller lovgivning bag. Særligt vigtigt, at dette fremgår, hvis det ikke fremgår i en overliggende ISB, hvortil der evt. kan henvises.
Regler
Her udfylder PO oplysninger om eksisterende eller forventede regler om registrering og indberetning.
Forventet påvirkning af jobcenter-, a-kasse- eller ydelsessystemer
Her beskriver PO overordnet, hvordan epic'en forventes at påvirke aftagerne. Særligt vigtigt, at dette fremgår, hvis det ikke fremgår i en overliggende ISB, hvortil der evt. kan henvises.
856.29.1 - GDPR-sletning af NUPH og svar på NUPH, når besvarelse er 6 år gl. eller 6 år gl. NUPH ikke er besvaret
Slettefrist på NUPH og svar på NUPH
Underretninger og svar på underretninger:
Besvarede NUPH: Underretning og svar slettes 6 år efter besvarelsen, da
oplysningerne så er afleveret til Rigsarkivet + opbevaret tilstrækkeligt længe ift. § 19, stk. 1, i bekendtgørelse om krav til a-kassernes kontrol og administration
Ubesvarede NUPH: Underretning slettes 6 år efter underretningen, da
oplysningerne så er afleveret til Rigsarkivet + opbevaret tilstrækkeligt længe ift. § 19, stk. 1, i bekendtgørelse om krav til a-kassernes kontrol og administration
underretningen næppe kan forventes besvaret, hvis den er ubesvaret 6 år efter underretningen
Tilbagekaldte / slettede NUPH: Underretning slettes 6 år efter underretningen
Løsning i DFDG
Nyt GDPR-slette batchjob i VisiteringOgStatus.
856.29.2 - GDPR-sletning af sanktioner
Slettefrist på sanktioner
Sanktioner:
6 år efter den enkelte sanktions
forældelsesdato eller
udståelsesdato (hvis denne ligger tidligere)
da oplysningerne så er afleveret til Rigsarkivet + opbevaret tilstrækkeligt længe ift. § 19, stk. 1, i bekendtgørelse om krav til a-kassernes kontrol og administration.
Løsning i DFDG
Indarbejdelse i GDPR-slettebatchjob vedr. NUPH og svar på NUPH
Teknisk implementering
Vi har sanktioner med både forældelsesdato (ExpirationDate) og udståelsesdato (EnduredDate), nogle hvor kun forældelsesdato eller udståelsesdato er angivet, og nogle helt uden forældelsesdato og udståelsesdato. Regler er derfor at vi GDPR sletter,
|
856.29.3 - STAR/DFDG sender GDPR-slette webservicebesked om sletningen af NUPH og svar på NUPH
STAR/DFDG sender GDPR-slette webservicebesked om sletningen af NUPH og svar på NUPH.
Løsning i DFDG
WSB om GDPR-sletning er efterspurgt af KSS ifm tilsagn til 2024-1, bølge 1
Ny WSB: GdprSletNuphOgSvar
856.29.4 - DFDG sender ikke GDPR-slette webservicebesked om sletningen af sanktioner
DFDG sender ikke GDPR-slette webservicebesked om sletningen af sanktioner, da a-kasser ikke har efterspurgt dette ifm. tilsagn til 2024-1.
Særlige krav til test
Test scenarie | Deltagelse i test | Berørte systemområder (herunder nye batchjobs*) | Identificeret af |
|---|---|---|---|
GDPR-sletning af NUPH og svar på NUPH | Aftager(e), der ønsker at modtage WSB tegner abonnement og ser, at WSB kan modtages | Nyt GDPR-slettebatchjob Ny WSB om GDPR-sletning af NUPH og svar på NUPH | Knud |
|
|
|
|
Batchjobs
bør testes både med delta og fuldt load,
bør hvis der er afhængigheder køres med normalt load fra BI i ét testmiljø i hele testperioden
bør testes i samarbejde med teams som har afhængigheder
kørselstid, særligt hvis det er en del af NightlyBatch
Konsekvenser for drift/idriftsættelse
I forbindelse med idriftsættelse:
Skal der køres et fuldt dataload ved første kørsel af et batchjob - aftal med SF hvornår load skal køres: Nej
Skal der køres konvertering: Nej
Skal der køres databasescripts for opdatering af tabeller i databasen: Nej
Efter idriftsættelse:
Her beskriver PO/FA konsekvenser for løsninger efter idriftsættelse, hvis noget afviger fra normale setup.
Arkitektur- og implementeringsnoter
Her beskriver PO/FA om arkitekturen og teknikken bag løsningen, om der f.eks. anvendes:
Nye dataområder: Nej
Nye snitflader: Nej
Nye komponenter: Nej
Nye miljøer: Nej
Nye teknologier: Nej
Nye aftagertyper: Nej
Eller afvigelser fra principperne: Nej
Eventuelle behov for reduktion af teknisk gæld skal afdækkes: Nej
Der gives en beskrivelse af hvorledes disse tænkes håndteret/implementeret i løsningen og om dette har været vendt med STAR arkitekten.
Husk GDPR stillingtagen
Ingen personfølsomme data i epics
Illustrationer, skærmdumps m.v. må ikke indeholde cpr.nr., CV. nr., rigtige personnavne på borgere eller deres kontaktoplysninger i form af e-mail, telefonnr., adresse m.v.
Ja, det er tjekket, at epic ikke indeholder dette.
Angiv hvem der har foretaget dette tjek:
Angiv dato for tjek:
Opbevaring af oplysninger i STARs it-systemer
Ved oprettelse af nye dataområder skal der tages stilling til, hvornår formålet med data ophører og dermed fastlægges en slettepolitik.
Ved indførelse af nye data på eksisterende dataområder skal GDPR slettejobs opdateres.
Hvem må tilgå oplysningerne?
Afsnittet må ikke blot slettes, hvis det vurderes ikke relevant. Det skal dokumenteres at man har forhold sig til nedenstående.
Husk det er hensynet til borgeren der tæller højst. Der skal være hjemmel til at sagsbehandler må tilgå oplysninger. Formålet skal være som led i administrationen af beskæftigelsesreglerne eller ydelsesadministration.
Korrekte sikkerhedsattributter på services
PO skal for hver enkelt servicemetode angive hvilke myndighedstyper, der må kalde de forskellige servicemetoder.
Tilladte organisationer (eksempel - se den fulde liste over myndighedstyper på siden DFDGs sikkerhedsmodel )
| Alle borgere | Egne borgere | Tidligere egne borgere | Gæsteadgang | Anden Aktør - egne borgere | Anden Aktør - gæsteadgang |
|---|---|---|---|---|---|---|
A-kasse |
| x |
|
|
|
|
JobCenter |
| x |
|
| x |
|
Kommune |
| x |
|
|
|
|
STAR | x |
|
|
|
|
|
AUB |
|
|
|
|
|
|
UDK |
|
|
|
|
|
|
STIL |
|
|
|
|
|
|
A-kasse filtrering
Hvis a-kassen må anvende metoden, må a-kassen så se / hente alle data? Eller skal der foretages filtrering ift. at a-kassen fx kun må se nogle udfaldsrum / kodelisteværdier? Husk at filtreringen skal ramme eventuel visning på Jobnet aht. sagsbehandlerlogin
Sagsbehandlerlogin på Jobnet - tag stilling til adgang!
En sagsbehandler i et jobcenter kan tilgå en borger tilknyttet det konkrete jobcenter.
En sagsbehandler i en a-kasse kan tilgå en borger, som er medlem af a-kassen og KG 1 (tilmeldt og ikke-tilmeldt) eller KG 8 og tilmeldekategori 5 - dimittend.
Begrænsninger kan foretages via (a-kasse-) filtrering, eller ved at afgrænse på action niveau på konkrete sider på Jobnet.
Stillingtagen: Beskriv kort, at der er taget stilling til sagsbehandlerlogin