20. DEC. 2023

Jura & Indkøb

Krav om registrering af arbejdstid: Implementeringen af EU’s direktiv om arbejdstid betyder, at lønmodtageres daglige arbejdstid fra sommeren 2024 skal registreres med det formål at sikre overholdelse af reglerne om hviletid samt maksimal ugentlig arbejdstid.

De nye regler betyder, at arbejdsgivere pålægges at have et objektivt, pålideligt og tilgængeligt arbejdstids-registreringssystem. Der er metodefrihed, hvad angår opfyldelsen af registreringskravet. Herudover er det et krav, at de registrerede oplysninger opbevares i 5 år efter udløbet af den periode, der udgør grundlaget for beregningen af lønmodtagerens gennemsnitlige ugentlige arbejdstid.

Kravet gælder alle medarbejdere bortset fra såkaldte ”selvtilrettelæggere”, som er en undtagelse for enkelte medarbejdere.

Konsekvenser af kravet:
• Ansættelsesbeviser bør ændres
• Politik om arbejdstidsregistrering bør udarbejdes
• Tidsregistreringssystem skal anvendes
Reglerne forventes at træde i kraft 1. juli 2024.
I implementeringen af reglerne i virksomhederne er det vigtigt at have fokus på overholdelse af GDPR-reglerne. Complianceteamet i SERVIA hjælper gerne ved eventuelle spørgsmål.

Ved spørgsmål til de nye regler kontaktes Jens Hay på [email protected], mens spørgsmål vedrørende GDPR rettes til Kenneth Melancton på [email protected].

Er I opmærksomme på vilkårene for modtagelse af nyhedsbreve? Hvis man som virksomhed ønsker at sende elektronisk post med henblik på direkte markedsføring, skal man være opmærksom på spamforbuddet. Ifølge spamforbuddet i markedsføringslovens § 10, stk. 1 må erhvervsdrivende ikke rette henvendelse ved brug af elektronisk post uden modtagerens forudgående samtykke. I den forbindelse har Interflora Danmark A/S modtaget en bøde på 20.000 kroner. Årsagen hertil er, at Forbrugerombudsmanden modtog en klage fra en forbruger, som uden at have givet sit samtykke, automatisk var blevet tilmeldt virksomhedens nyhedsbrev. Denne overtrædelse er omfattet af spamforbuddet. Der findes dog en undtagelse til forbuddet, som findes i markedsføringslovens § 10, stk. 2. Her fremgår en række betingelser, der skal være opfyldt, hvis man ønsker at markedsføre via elektronisk post uden forbrugerens forudgående samtykke.

Projekt Indkøbsanalyse er nu så småt sat i gang, – og med 10 andelshavere ombord. SERVIA har indgået aftale med virksomheden Konsido ApS om levering af et indkøbsanalysesystem. SERVIA har netop nu gang i dialoger med de enkelte andelshavere, som skal fremsende deres fakturadata til Konsido. Nogle dataforbindelser er allerede på plads, nogle er på vej og andre kræver lidt mere dialog. Når data er modtaget, påbegyndes arbejdet med kategorisering af data. Herefter er planen, at SERVIA i løbet af første halvår 2024 kan starte op med kvalificering af data og kategoristruktur. Når dette er på plads, vil SERVIA påbegynde opbygning af nøgletalsrapporter, forbrugsstatistikker, analyser mm.

Vi glæder os rigtig meget til at se disse data skabe værdi for andelshaverne.
Kontaktperson: Sofie Lohmann Mehr, [email protected]

Compliance

GDPR – Dom vedrørende manglende sletning af personoplysninger: Et af de grundlæggende principper i GDPR-forordningen er princippet om opbevaringsbegrænsning. Kort fortalt indebærer det, at når det ikke længere er nødvendigt at behandle (f.eks. opbevare) personoplysninger, så skal de anonymiseres eller slettes. Dette princip skal overholdes af alle organisationer.
Når det kommer til manglende sletning af personoplysninger, har bøderne, givet af de danske domstole, indtil for nyligt været i størrelsesordenen omkring 100.000 kr. I september 2023 afsagde Østre Landsret dog en dom i en sag om hotelkæden Arp Hansen Group A/S’ manglende sletning af kundeprofiler i henhold til egne slettefrister – dommen lød på en bøde på 1 mio. kr. Sagen vedrørte manglende sletning af ca. 500.000 kundeprofiler opbevaret i hotelkædens IT-systemer – kundeprofiler som i henhold til hotelkædens egne slettefrister burde være blevet slettet.

IT-systemerne var sat op til at foretage automatisk sletning i overensstemmelse med de fastsatte slettefrister, men den automatiske slettefunktion virkede dog i visse tilfælde ikke. Af den grund udførte hotelkæden stikprøvekontroller af, om der rent faktisk var sket sletning. Dog fandt landsretten ikke, at hotelkæden gennemførte en ”effektiv kontrol” med, om sletningen skete i overensstemmelse med de fastsatte slettefrister. Landsretten fandt ligeledes, at dette var en forsætlig, altså bevidst, overtrædelse af GDPR-forordningen.
Dommen understreger, at de databeskyttelsesretlige regler skal tages alvorligt, herunder at organisationer skal huske at slette i overensstemmelse med egne slettefrister.

NIS2-direktivet – Husk den fysiske sikkerhed: Der er fuld fokus på NIS2-direktivet hos vores andelshavere. Det hænger selvfølgelig sammen med NIS2-direktivets deadline i oktober 2024.

Team Compliance gør opmærksom på nedenstående overvejelser ifm. fysisk sikring;

• Overblik over jeres anlæg
• Risikovurderinger
• Fysiske sikring mod indtrængen
• Fokus på detektion, verifikation og alarmering til sikring af anlæggene
• Dokumentere hvem der har haft adgang til anlæggene
• Forsinke eller besværliggøre uautoriseret adgang

Kontaktpersoner vedrørende GDPR: Kenneth Melancton Nielsen, [email protected].
Kontaktperson vedrørende IT-sikkerhed: Jeanett Lauvring, [email protected]

I reguleringsteamet har vi haft et fantastisk 2023.

Der er flere andelshavere, der har valgt at købe regulatoriske ydelser og vi har haft travlt indenfor elnet- og vandsektorregulering. Derudover har vi startet affaldsregulering op som et nyt område og leverer på ad hoc basis ydelser indenfor økonomisk regulering af varmesektoren. Her har vi især ydet sparring og kommunikation om kommende ændringer i den økonomiske regulering af fjernvarmeselskaberne.

På økonomisk regulering af affaldssektoren er vi startet op med at sikre bemanding og starte videnopbygning. Derudover har vi foretaget opgaveprioriteringer med selskaberne og startet analyser og overvågning.

Indenfor den økonomiske regulering af elnetsektoren har vi opbygget økonomiske indtægtsrammemodeller for en del af vores selskaber, så vi har et grundlæggende værktøj at regne økonomiske, regulatoriske konsekvenser i. Det har afstedkommet udviklingen af et styringsværktøj, der med udgangspunkt i indtægtsrammemodellen hjælper den enkelte andelshaver med at analysere regulatoriske konsekvenser og effekter i forbindelse med budget- og investeringsplanlægning. Derudover har vi lavet konsekvensberegninger for de enkelte selskabers indtægtsrammer ved indførelse af nye indikatorer for aktivitetsudvikling samt økonomiske konsekvensberegninger og rådgivning ved forretningsmæssige problemstillinger, herunder kabellægning af luftledninger, fleksibilitetsanskaffelse og leveringskvalitet.

Som en anden vigtig opgave har vi assisteret nogle andelshavere med at identificere naturlige årsagsforklaringer til den såkaldte 105 % regel i indtægtsrammereguleringen. Herved har vi forhåbentlig bidraget til at sikre højere indtægtsrammer fremadrettet.

Vi har hjulpet flere selskaber med bistand til området vedr. internt overvågningsprogram til sikring af ligebehandling og funktionel adskillelse med løbende aktiviteter. Det gælder bl.a. fortolkning og implementering af nye regler i selskabernes administration og en række oplæg og undervisningsaktiviteter som led i sikring af overholdelse af reglerne. I den forbindelse har vi afholdt et par bestyrelseskurser og flere er planlagt i starten af 2024.

Endelig har vi udviklet bistanden væsentligt på tarifområdet. Især bistand ved selskabernes indførelse af nye tarifmodeller, særligt ift. ønsker om variationer fra branchemodellen, inkl. diverse myndighedsdialoger. Endvidere har vi hjulpet selskaber i relation til udvikling af nye tarifmodeller, herunder med dialog med brancheforening på selskabernes vegne.

2023 blev også året, hvor vi for alvor fik modelapparatet i gang for vand- og spildevandsselskaber. Vi har fremskrevet økonomiske rammer og regnet forskellige scenarier for mange selskaber. Det er et stærkt værktøj, der i højere grad giver selskaberne et strategisk overblik og som er et godt værktøj til beslutningsstøtte. Hertil hører også simulering af benchmarkingkrav og mere dybdegående analyser af selskabernes effektivitet, målt i benchmarkingmodellen.

En væsentlig aktivitet, der kan måles direkte på bundlinjen hos flere selskaber, er vores bidrag til udarbejdelse af tillægsansøgninger til de økonomiske rammer. Her har vi hjulpet med både ansøgninger og processer, der sikrer, at alle tillægsberettigede aktiviteter fremadrettet ’opsamles’. Derudover er der lavet høringssvar til udkast til afgørelse om økonomiske rammer. Det hele er aktiviteter, som har bidraget væsentligt til værdiskabelse i selskaberne.

 Kontaktperson: Lasse Pilsmark Kaldahl, [email protected]

Produktoversigt

Produkter og rammeaftaler som SERVIA udbyder til andelshaverne:

Vi vil gerne oplyse jer om de forskellige produkter, som SERVIA stiller til rådighed inden for IT-sikkerhed og GDPR.

Nedenfor kan I se en produktoversigt, som kortfattet opsummerer, hvad de enkelte produkter er egnet til.

Munnin er en AI-drevet NDR-løsning (Network Detection & Response). Løsningen benytter AI til at opbygge en sofistikeret model af normal netværksadfærd, og ud fra kendskabet til normaltilstanden kan anomalier og uhensigtsmæssig netværksadfærd identificeres, undersøges og evt. stoppes i realtid. Produktet detekterer også den netværksaktivitet, som ligger til grund for de forskellige teknikker, som hackere benytter til at gennemføre deres angreb, hvorfor angreb kan stoppes i en tidlig fase. Derudover danner løsningen et datagrundlag for at skabe synlighed over skadelig netværksadfærd. Logning af hændelsesforløb over korte eller lange perioder er også en mulighed, når cybertrusler skal dokumenteres internt og eksternt.

DarkTrace fungerer på mange måder som Munnin. Løsningen er AI-baseret og kan ved brug af kunstig intelligens identificere og neutralisere angreb. Her anvendes AI til at finde selv de mindste afvigelser fra normal netværksadfærd og dermed stoppe angreb i en tidlig fase. DarkTrace erstatter ikke et traditionelt lognings-system men er kompatibel med SIEM produkter, som fx Splunk, QRadar, Arcsight og LogRhythm.

KMD Automated Service omfatter Data & More compliance-programmet, som er med til at løfte compliance-niveauet inden for GDPR ved at fremsøge og slette personoplysninger på tværs af systemer, som ikke længere er nødvendige at opbevare. Produktet giver slutbrugerne et overblik over potentielt ulovlige data og muligheden for at fjerne uønskede data fra e-mail, fildrev, Teams SharePoint og andre datalagre. Herved automatiseres sletning af unødvendige personoplysninger, der ellers er en tidskrævende og omkostningstung proces for virksomheder.

BlackStoneOne er en løsning som udfører sårbarhedsscanninger. En sårbarhedsscanning er en automatiseret sikkerhedstest, som foretages regelmæssigt på systemer ud mod internettet eller mod interne systemer. Tests udføres for at minimere risikoen for informationslækager, datatab, uautoriseret ændring, fejlkonfigurationer, systemnedbrud og driftstab. Løsningen giver overblik over systemer samt mulighed for at opdage og udbedre sårbarheder i tide.

Mindzeed er en moderne platform, som tilbyder effektiv awareness-træning indenfor cyber- og persondatasikkerhed. Produktet bidrager til et højere compliance-niveau indenfor GDPR samtidig med, at det højner bevidstheden hos medarbejderne i forhold til deres arbejde med data, både i IT-systemer og på internettet samt bevidstgørelse om brug af password og åbning af modtagne links i mails m.v.

NorthGRC (NeupartOne) tilbyder kunder at efterleve compliance-krav og styre it-operationelle risici ved at levere brancheførende løsninger, rådgivning og viden. NorthGRC Compliance-værktøjet giver adgang til et komplet bibliotek af færdige skabeloner til regler og politikker til arbejde med ISO 270001/2, NIS2, GDPR, DORA, CIS 18 og ESG. Compliance-værktøjet er en komplet samling af GDPR-skabeloner. Skabelonerne er lavet på 5 sprog og omfatter alt det, der er brug for; GDPR-opgaver og løsningsforslag, dokumenter, rapporter, politikker, semi-automatisk DPIA, TIA, fortegnelse over behandlingsaktiviteter og meget mere.

Complete Control 5 er en software til kontraktstyring, som giver fuld kontrol over kontrakter, gældsposter og aktiver. Et centralt arkiv, der holder al kontraktdokumentation og kontraktlige værdier overskueligt organiseret. Complete Control sender notifikationer/alarmer, når kontrakter skal fornyes eller opsiges, ideelt til overvågning af deadlines og genforhandling af kontrakter. Derudover spares der penge på automatiske fornyelser eller tjenester som ikke længere bruges. Softwaren beskytter dermed din virksomhed mod de fejl, der kan ligge i manuelle rutiner.

Kontaktpersoner vedrørende GDPR: Kenneth Melancton Nielsen, [email protected]

Kontaktperson vedrørende IT-sikkerhed: Jeanett Lauvring, [email protected]

Vil du se flere nyhedsbreve?

I vores arkiv kan du både vælge ældre og nyeste nyhedsbrev at læse.