Sikker bruk av produksjonsdata i Aktørgodkjenning

Aktørgodkjenning er en verifisering av at alle markedsaktører er klare for produksjon i Elhub. Inkludert i dette ligger en verifikasjon av at aktørene kan kjøre på data som er migrert inn i Elhub. Av den grunn er det besluttet at alle nettselskaper skal migrere inn en kopi av sine produksjonsdata til Elhub testmiljø og benytte dette datasettet i verifiseringen. Dette innebærer at data som benyttes i aktørgodkjenningen må sikres tilsvarende data som benyttes i produksjon, i henhold til gjeldende regler for informasjonssikkerhet .

Den grunnleggende ansvarsfordelingen i Elhub er at nettselskaper og kraftleverandører er behandlingsansvarlig for egne data – herunder data i egne testmiljøer og at Statnett/Elhub er selvstendig behandlingsansvarlig for data i Elhub – herunder data i Elhub testmiljøer.

Som et grunnleggende informasjonssikkerhetsprinsipp har Elhub lagt til grunn at sw-testing skal foregå på fiktive data. Vår leverandørs systemtest, vår akseptansetest samt systemleverandørenes testing (internt og mot Elhub i SVT) foregår derfor kun på fiktive data.

Hensikten med aktørgodkjenning er å verifisere at alle aktørene er klare for å gå i produksjon i Elhub, med det spesifikke systemoppsettet og datasettet aktøren har. For å sikre tilstrekkelig kvalitet før overgangen til Elhub har Elhub vurdert det som kritisk nødvendig å verifisere at nettselskapene er i stand til å utføre sine oppgaver basert på reelle målepunkter som er migrert fra nettselskapenes systemer inn i Elhub. Av den grunn er det besluttet at alle nettselskaper skal migrere inn en kopi av sine produksjonsdata til Elhub testmiljø og benytte dette datasettet i verifiseringen. Nettselskaper kan velge å maskere persondata før overføring til eget testmiljø og migrering til Elhub. Denne vurderingen må tas av hvert nettselskap som behandlingsansvarlig.

Elhub vil som behandlingsansvarlig sikre at alle data i Elhub testmiljø ivaretas ihht. gjeldende lover og regler for personvern og sikkerhet. Elhubs testmiljø for Aktørgodkjenning vil være sikret på samme sikkerhetsnivå som Elhub produksjonsmiljø, med samme tilgangskontroll. Alle meldinger som sendes til/fra Elhub testmiljø på EMIF-grensesnittet er kryptert. Aktører vil ikke ha tilgang til andre aktørers data i Elhub tesmiljø.

Aktørene har, som selvstendige behandlingsansvarlige, ansvar for at data i egne testmiljøer er sikret ihht. gjeldende regler dersom umaskerte produksjonsdata skal benyttes.

Kraftleverandører skal i utgangspunktet gjøre sin godkjenning på fiktive data. Det er mulig for kraftleverandører å kjøre aktørgodkjenning på reelle produksjonsdata som er migrert inn fra et samarbeidende nettselskap, men de kan da kun benytte persondata for kunder som har gitt sitt samtykke til dette (f.eks. ansatte i egen organisasjon).

NB: Persondata eller forretningssensitiv data skal ikke utveksles på mail ifbm. support. Målepunkt-ID kan utveksles på mail og vil i de fleste tilfeller være tilstrekkelig som identifikator i support-saken