Veileder til Behandlingskatalogen - forvaltning og utfylling

1. Hva er en behandlingsoversikt og hvorfor er det nødvendig?

Alle virksomheter som behandler personopplysninger, har en plikt til å føre en oversikt (protokoll) over alle behandlingsaktiviteter som gjøres i sin virksomhet. Dette gjelder alle handlinger som gjøres ved å behandle personopplysninger, som når vi henter dem inn, når vi sammenstiller dem, når vi søker, når vi lagrer, bruker, utleverer, anonymiserer og sletter personopplysninger. For NAV betyr det alle aktiviteter på Arbeids- og velferdsetatens ansvarsområde: direktoratet og enheter i linjene må lage en oversikt på sine områder, og hver kommune har plikt til å føre en oversikt for sine ansvarsområder i NAV-kontoret.

NAV har laget en egen systemløsning, Behandlingskatalogen, som er et godt hjelpemiddel når vi skal dokumentere at vi etterlever pliktene vi har som behandlingsansvarlig etter artikkel 30 i personvernforordningen. Behandlingskatalogen gir oss kontroll og oversikt over NAVs behandling av personopplysninger og beskytter rettighetene til alle vi har opplysninger om.

Artikkel 30 i personvernforordningen stiller en rekke obligatoriske krav til hva en behandlingsoversikt skal inneholde av informasjon.

Det er flere begreper innenfor personvern det kan være nyttig å ha kjennskap til før registrering i behandlingskatalogen. Disse er definert og utdypet på personvernsidene våre på Navet og i Begrepskatalogen. Det kan være nyttig å kjenne til følgende begreper:

• Personopplysninger
• Særlige kategorier av personopplysninger
• Den registrerte
• Behandling av personopplysninger
• Behandlingsansvarlig
• Databehandler
• Behandlingsgrunnlag

2. Introduksjon til veilederen og ansvarsfordeling

Denne veilederen er ment som hjelp og støtte til forvaltning og utfylling av innholdet i Behandlingskatalogen.

Veilederen beskriver hvem som har ansvaret og hvordan Behandlingskatalogen skal oppdateres. Behandlingskatalogen er tilgjengelig for alle medarbeidere i NAV og er tilgjengelig på https://behandlingskatalog.ansatt.nav.no/. Veilederen beskriver hvilken informasjon som skal registreres for hver behandlingsaktivitet, og den gir eksempler på kategorier eller alternativer der det er relevant.

2.1 Hvem har ansvaret for Behandlingskatalogen

Ansvarsfordelingen følger av Ansvarsdokumentet for direktoratet pkt. 3.5 og Styringsdokument for personvern kap. 5. Ansvaret er også tatt inn i Mål- og disponeringsbrevet til avdelingene.

Rådgivningsseksjonen i Juridisk avdeling
Rådgivningsseksjonen, som er ansvarlig for personvernregelverket, gir føringer for verktøyet Behandlingskatalogen, slik at den legger til rette for å dokumentere behandlingene NAV gjør med personopplysninger på en oversiktlig måte, i tråd med kravene som stilles i personvernforordningen artikkel 30. Seksjon for informasjonsforvaltning har det overordnede ansvaret for etterlevelsesprosessen, og har dermed også en rolle i å bidra til videreutviklingen av verktøyet.

Rådgivningsseksjonen har også ansvar for å gi juridisk rådgivning ved utfylling av Behandlingskatalogen.

Personvernombudet
Personvernombudet skal bidra til å påse at etaten har en oversikt over all behandling av personopplysninger og gi råd og veiledning ved behov.

Ansvars- og linjeområder
Fagansvarlig for hvert ansvarsområde eller linjeområde i NAV, i henhold til ansvarsdokumentet, er ansvarlig for å fylle ut Behandlingskatalogen, holde den oppdatert ved endringer og sikre at nye behandlingsaktiviteter registreres.

For ansatte i team som jobber med produktutvikling, ligger som regel ansvaret for å sørge for registrering og endring i Behandlingskatalogen til teamet, mens det overordnede ansvaret for registreringene følger fagansvaret. Det betyr at fagansvarlig i linja må sørge for å føre jevnlig kontroll med det som er registrert i Behandlingskatalogen.

Alle medarbeidere
Alle medarbeidere skal være kjent med at NAV har en Behandlingskatalog, hva som er formålet med den og hvordan endringer av innholdet i Behandlingskatalogen skal meldes i linja eller registreres. Behandlingskatalogen er også åpen for redigering for alle NAV-ansatte.

2.2 Oppdatering og endring av innhold

Behandlingskatalogen skal dokumentere hvilke behandlinger av personopplysninger som gjøres i NAV. Dersom det iverksettes nye behandlinger eller det gjøres endringer på eksisterende behandlinger, skal dette oppdateres i Behandlingskatalogen før behandlingen starter, i tråd med ansvarsfordelingen som nevnt i pkt. 2.1 over. Personvernkravene i verktøyet «Støtte til etterlevelse» vil identifisere når det er behov for å oppdatere behandlingen i Behandlingskatalogen. Dersom det er behov for en ny overordnet behandlingsaktivitet, kan dette bes om på Slack på kanalen #behandlingskatalogen eller per e-post til nav.juridisk.avdeling@nav.no dersom du ikke er på Slack.

Dersom det blant ansatte i linja utenfor direktoratet avdekkes at det er behov for endringer i allerede registrerte behandlingsaktiviteter eller en vurderer at det er behov for å legge til en ny behandlingsaktivitet, må fagansvarlig i direktoratet (eller linja) kontaktes for dialog om hvordan det er mest hensiktsmessig å løse dette behovet.

2.3 Innsyn

Behandlingskatalogen har en funksjon for å eksportere behandlingsaktivitetene til en rapport i Word-format. Denne kan blant annet benyttes til å gi innsyn i det som er registrert av behandlingsaktiviteter, etter forespørsel fra de registrerte, tilsynsmyndighetene og andre interessenter. Behandlinger som er registrert med status på utfylling satt til «Ferdig dokumentert» vil inkluderes i denne rapporten. I særskilte tilfeller kan enkelte behandlingsområder unntas offentlighet etter unntaksbestemmelser i offentleglova.

3. Utfylling av feltene i Behandlingskatalogen

Registreringsbildet i Behandlingskatalogen ser slik ut. Det er lagt inn hjelpetekster til de ulike feltene som kommer frem når man holder musepekeren over det blå ikonet med et spørsmålstegn.

Det er også viktig å merke seg at den som registrerer må huke av i registreringsbildet under «Status på utfylling» når behandlingen er ferdig dokumentert.

3.1 Hvilken behandlingsaktivitet brukes personopplysningene til?

Behandlingskatalogen er inndelt i to nivåer av behandlinger: Overordnet behandlingsaktivitet og behandling. De overordnede behandlingsaktivitetene er standardiserte, mens man selv fyller inn tittelen på behandlingen i et fritekstfelt (markert med «Navn»).

Eksempler på ulike overordnede behandlingsaktiviteter: Oppfølging mot arbeid, erstatningskrav, forvaltning av registre, medarbeideroppfølging, hjelpemidler, eiendomsforvaltning, barnetrygd og alderspensjon.

Eksempler på ulike behandlinger: arbeidsrettet brukeroppfølging, dagpengestatistikk, NAVs brukerundersøkelser, saksbehandling sykepenger, saksbehandling foreldrepenger, leverandørstyring, trygdesvindel, internrevisjon, dokumenthåndtering, HR-prosesser, kameraovervåking og tilgangskontroller. Hver behandlingsaktivitet skal ha en egen registrering. Dere definerer selv på hvilket nivå tjeneste- eller fagområder skal splittes opp, men det skal gjøres i henhold til følgende kriterier:

• En behandlingsaktivitet må tilhøre et logisk, samlet og tydelig definert formål. Dersom det ikke er mulig å definere en aktivitet under et formål, bør det deles opp i flere behandlingsaktiviteter.
• Hver behandlingsaktivitet skal kun ha ett behandlingsgrunnlag. Eksempel: Hvis det innenfor en behandlingsaktivitet brukes både utøvelse av offentlig myndighetsutøvelse med hjemmel i lov eller forskrift og bruk av samtykke som behandlingsgrunnlag, bør den splittes opp.
• Dersom en behandlingsaktivitet består av både helautomatiserte prosesser og manuelle prosesser, bør dere vurdere å dele den opp i flere aktiviteter.

Eksempel: Fagområdet «Hjelpemidler» kan grupperes under et felles formål: «Kompensere for bestemte utgifter til bedring av arbeidsevnen og funksjonsevnen i arbeidslivet og dagliglivet for medlemmer som har sykdom, skade eller lyte, jf. folketrygdloven § 10-7».

Behandlingsgrunnlaget følger av folketrygdlovens kap. 10 og er utøvelse av offentlig myndighet etter personvernforordningen, jf. art. 6 (1) e og art. 9 (2) b. Dette taler for at vi kan gruppere det som kun én behandlingsaktivitet. Men siden det er store variasjoner i hvilke kategorier av personopplysninger som behandles, ulikt behandlingsgrunnlag og bruk av tredjeparter som databehandlere, må det likevel deles opp i flere behandlingsaktiviteter.

3.2 Hva er formålet med behandlingen av personopplysningene?

Angi formålet med innsamling og bruk av personopplysningene innen tjeneste- eller fagområdet. Formålet skal være spesifikt og legitimt. Det betyr at formålet må angis slik at det er tydelig at det er dekket av behandlingsgrunnlaget. Formålene vil for NAV sin del ofte følge av lovbestemmelsen/kapittelet i folketrygdloven eller NAV-loven som er behandlingsgrunnlaget for den aktuelle behandlingen. Dersom opplysningene skal brukes til flere formål, vil det si at det i praksis er snakk om flere ulike behandlinger. Det må derfor også registreres som flere behandlinger i Behandlingskatalogen.

Eksempel på beskrivelse av formål:

• Tjenesteområde: Alderspensjon
  • Formål: Behandle og vurdere rett til alderspensjon som skal sikre inntekt for personer i alderdommen og legge til rette for en fleksibel og gradvis overgang fra arbeid til pensjon.
• Tjenesteområde: Barnetrygd
  • Formål: Behandle og vurdere rett til barnetrygd som ikke er gitt automatisk. Barnetrygd skal dekke utgifter til forsørgelse av barn.
• Tjenesteområde: Ortopediske hjelpemidler
  • Formål: Behandle og vurdere rett til stønad ved behov for nødvendige og hensiktsmessige ortopediske hjelpemidler ved varige og vesentlige funksjonsforstyrrelser i støtte- og bevegelsesorganene

3.3 Hvem er ansvarlig for behandlingen?

Hver avdeling skal registrere de behandlingsaktivitetene som de har fagansvaret og eventuelt linjeansvaret for.

Seksjon/ Enhet
Oppgi navn på avdelingen og enheten/seksjonen i avdelingen eller i styringslinjen der det operative ansvaret for fagområdet/behandlingen ligger. Dersom det er aktuelt kan det også registreres hvilket utviklingsteam som er ansvarlig for behandlingen.

Eksempel: Avdeling: Ytelsesavdelingen. Linja: NAV Familie- og pensjonsytelser. Team: Pensjon Saksbehandling.

3.4 Hva er behandlingsgrunnlaget for behandlingen?

All behandling av personopplysninger må ha et behandlingsgrunnlag. Oppgi hvilket behandlingsgrunnlag som ligger til grunn for behandlingen. Ifølge personvernforordningen er det seks mulige rettsgrunnlag som kan benyttes, og det er laget en nedtrekksmeny i registreringsbildet. Dersom det er to rettslige grunnlag som ligger til grunn for behandlingen, tilsier det at området eller aktiviteten må splittes opp i to registreringer. Du kan lese om de forskjellige behandlingsgrunnlagene på Navet og i NAV sitt rundskriv om behandlingsgrunnlag på Lovdata.

Er du i tvil om hvilket rettsgrunnlag som kan anvendes, ta kontakt med fagansvarlig på området for veiledning. Dersom fagansvarlig har behov for veiledning, kan dette bes om i kanalen #behandlingskatalogen på Slack, eller per e-post til nav.juridisk.avdeling@nav.no dersom du ikke er på Slack.

Hvis det rettslige grunnlaget for behandlingen er rettslig forpliktelse etter Art. 6 (1) c eller offentlig myndighetsutøvelse etter Art. 6 (1) e, åpnes et nytt felt for å registrere dette. Det supplerende rettsgrunnlaget skal finnes i norsk lovgivning, og bør angis så presist som mulig. Kan man peke på en bestemt lov- og forskriftsbestemmelse, bør denne oppgis.

Eksempel : For saksbehandling av sykepengesaker vil behandlingsgrunnlaget være Art. 6 (1) e. Det supplerende rettsgrunnlaget vil være folketrygdlovens kap. 8.

Dersom det rettslige grunnlaget er Art. 6 (1) f, åpnes et nytt felt hvor det må det angis hvilken berettiget interesse NAV benytter seg av i denne behandlingen.

Dersom særlige kategorier av personopplysninger behandles, må behandlingsgrunnlaget i artikkel 9 spesifiseres
Behandling av særlige kategorier av personopplysninger er i utgangspunktet ikke lov. Personvernforordningen beskriver ti unntak fra dette forbudet. Det riktige unntaket velges i nedtrekksmenyen i registreringsbildet. For NAV vil behandlingsgrunnlaget som hovedregel følge av art. 9 (2) a og b.

3.5 Blir det gjort helautomatiserte individuelle avgjørelser og brukes profilering?

Helautomatiserte avgjørelser
Tas det avgjørelser som gjelder en person uten at det gjøres noen menneskelige vurderinger, må det angis at behandlingen er helautomatisert. For at det skal være snakk om en helautomatisk avgjørelse, må det dreie seg om avgjørelser som har rettsvirkninger eller som har store konsekvenser for den enkelte. Under dette punktet registreres det «Ja», «Nei» eller «Uavklart». Dersom det registreres at det er uavklart, må dette avklares omgående og etterregistreres. Områder der vedtaksprosessen i dag er helautomatisert, er barnetrygd, pensjon og foreldrepengeområdet.

Profilering
Med profilering mener vi enhver form for automatisert behandling som innebærer å bruke opplysningene til å vurdere visse personlige aspekter knyttet til en person. For eksempel kan profilering brukes for å analysere eller forutsi en persons økonomiske situasjon eller helse.

Under dette punktet registreres det «Ja», «Nei» eller «Uavklart». Dersom det registreres at det er uavklart, må dette avklares omgående og etterregistreres.

3.6 Databehandlere og andre tredjeparter

Benyttes det databehandler(e)?

Dersom det benyttes databehandlere, skal dette oppgis her. Svar «Ja», «Nei» eller «Uavklart» i dette feltet. Dersom du svarer «Ja», skal databehandleren velges fra nedtrekksmenyen. Dersom du svarer «Uavklart», skal dette undersøkes omgående og oppdateres i registreringen.

Hvis ikke databehandleren er oppført i nedtrekksmenyen, kan den legges til under «Databehandlere» i venstremenyen (se markering på bildet nedenfor) og deretter «Opprett ny databehandler» (se markering på bildet nedenfor). Du skal da også registrere om databehandleren behandler personopplysninger utenfor EU/EØS, og ev. i hvilket land.

Eksempler på databehandlere:

• leverandører av IT-systemer
• leverandører på hjelpemiddelområdet og tiltaksområdet
• leverandører til gjennomføring av brukerundersøkelser
• leverandører som bidrar til forsøksordninger og utredninger
• en annen offentlig virksomhet som gjør et oppdrag på vegne av NAV

Utleveres personopplysningene til andre utenfor NAV?

Her oppgir du hvilke eksterne virksomheter NAV utleverer personopplysninger til, dersom dette gjøres som en del av behandlingen. Det omfatter utlevering som bygger på lovhjemler, og der NAV har en rett eller plikt til å utlevere personopplysninger. Kun regelmessige utleveringer skal oppgis.

Eksempler på eksterne virksomheter:

• annen offentlig virksomhet (kommune, Lånekassen, Skatteetaten, UDI, pensjonskasser, SSB)
• samhandlere (lege/helsepersonell, arbeidsgivere, tiltaksarrangører mfl.)
• private virksomheter (finansinstitusjoner)
• andre lands myndigheter eller trygdemyndigheter

Utleveringene NAV gjør skal være tilgjengelig nedtrekksmenyen i løsningen. Hvis ikke du finner den der, går du inn på «Utleveringer» i venstremenyen (se markering) og deretter «Opprett ny» til høyre i løsningen (se markering på bildet nedenfor).

Overføres det personopplysninger til land eller virksomheter utenfor EU/EØS?
Dersom personopplysninger overføres til andre behandlingsansvarlige eller databehandlere som opererer i eller har tilknytning til et land utenfor EU/EØS, må det foreligge et behandlingsgrunnlag for denne overføringen.

Personopplysninger overføres til land utenfor EU/EØS dersom en virksomhet får oversendt eller tilgang til personopplysningene fra land utenfor EU/EØS. Det er ikke nødvendig at opplysningene faktisk overføres i tradisjonell forstand (f.eks. via e-post). Det er tilstrekkelig at virksomheten får mulighet til innsyn i opplysningene. Med overføring her mener vi også utlevering av opplysninger i henhold til trygdeavtaler.

Hva er det rettslige grunnlaget for overføring av personopplysninger til land utenfor EU/EØS (tredjeland)?
For å kunne overføre personopplysninger til utlandet må det i tillegg foreligge et gyldig rettsgrunnlag (overføringsgrunnlag). Dersom du registrerer at det overføres personopplysninger til tredjeland, skal du angi hva som er det konkrete rettslige grunnlaget for overføringen. Dette gjøres i registreringsbildet for databehandlere og utleveringer.

Eksempler:

• lovhjemmel, EU-forordning eller direktiv
• EØS-avtalen
• internasjonale trygdeavtaler
• samtykke
• EUs standardavtaler

Hva er det rettslige grunnlaget for å gjøre unntak fra taushetsplikten?
Når vi skal utlevere personopplysninger, kreves det at vi må ha en hjemmel for å gjøre unntak fra taushetsplikten. Dette registreres under utleveringer. Der kan det også registreres dersom det er gjort en vurdering av grunnlaget for unntak fra taushetsplikten. Dersom dette ikke er vurdert, må det begrunnes.

3.7 Annet

I hvilke systemer behandles personopplysningene?
Angi i hvilke systemer personopplysninger behandles. Med systemer mener vi både interne og eksterne IT-systemer, apper, skytjeneser og plattformer og fysiske og digitale arkiv. Dersom du ikke finner systemet i nedtrekksmenyen i løsningen, må det bes om at det aktuelle systemet legges til, i kanalen #behandlingskatalogen på Slack.

3.8 Hvilken tidsfrist har dere satt for hvor lenge personopplysningene skal lagres?

Etter personvernforordningen skal personopplysninger ikke lagres lenger enn nødvendig for å gjennomføre formålet de er samlet inn for. Etter det skal de slettes. Det er hovedregelen med mindre annen lovgivning pålegger lengre lagringstid, som for eksempel arkivlovgivning og regnskapslovgivning. Oppgi om behandlingen omfattes av NAVs bevarings- og kassasjonsvedtak og hvor lenge opplysningene skal lagres. Vis til begrunnelsen for lagringstid ved å legge inn referanse til aktuelt skjema for lagring på Confluence eller i Websak.

3.9 Personvernkonsekvensvurdering (PVK)

Oppgi om det er behov for PVK ved å velge «Ja», «Nei» eller «Uavklart». Dersom det angis at det er «Uavklart» må dette vurderes omgående og oppdateres i løsningen. Hvis det er behov for å gjennomføre PVK skal referansen til PVK-en i Websak legges til. Hvis man kommer til at det ikke er behov for å gjennomføre PVK, må det velges en begrunnelse for dette.

3.10 Personopplysninger i behandlingen

Hvilke kategorier av personopplysninger behandles?
Etter at behandlingen er registrert må du angi hvilke kategorier av personopplysninger som behandles. Dette gjøres ved å trykke på «Opplysningstype» nederst til høyre i oversikten over behandlingen. Velg de kategoriene av opplysningstyper som brukes i behandlingen.

Dersom det brukes en opplysningstype som ikke står i oversikten, kan denne legges til under «Opplysningstyper» i venstremenyen (se markering på bildet nedenfor) og deretter ved å trykke på «Opprett ny» på høyre side.

Behandles det særlige kategorier av personopplysninger?
Hvis særlige kategorier av personopplysninger (sensitive personopplysninger) behandles innen det respektive fagområdet, skal man også registrere behandlingsgrunnlaget for denne behandlingen.

Behandles det personopplysninger om straffedommer og lovovertredelser?
Dersom det behandles personopplysninger om straffedommer og lovovertredelser angis dette i løsningen ved å registrere behandlingsgrunnlaget i artikkel 6 og aktuell lovbestemmelse i nasjonal lovgivning, i tillegg til at den aktuelle opplysningstypen legges til i registreringen av behandlingen.

Hvilke grupper av personer behandles det personopplysninger om?
Under finner dere grupper av personer som NAV behandler personopplysninger om. Bruk disse kategoriene i oversikten til å registrere hvem personopplysningene som behandles gjelder. Dersom ingen av dem passer, kan dere skrive inn en ny gruppe i feltet. Dersom det behandles personopplysninger om flere grupper, må alle disse angis.

Fra hvilke kilder utenfor NAV innhentes personopplysninger?
Personopplysninger innhentes typisk fra brukeren selv og fra ulike eksterne kilder.

Eksempler:

• Personopplysninger innhentes fra brukeren eller søkeren ved utfylling eller dialog i søknadsprosessen og senere i saksbehandlingsprosessen.
• NAV innhenter opplysninger fra andre virksomheter, eksterne registre og/eller samhandlere som Folkeregisteret, A-ordningen, Kontakt- og reservasjonsregisteret, Statens pensjonskasse, UDI, Skatteetaten, kommune, lege og annet helsepersonell, arbeidsgiver, utenlandske myndigheter, etc.

Dersom kategorien av personopplysninger allerede er lagt til i behandlingskatalogen, skal kilden også være registrert. Dersom det skal registreres en ny opplysningstype skal navngitt kilde oppgis i registreringsfeltet for opplysningstypen. Hvis personopplysningene innhentes fra eksterne registre, skal det oppgis hvilket register det hentes fra. Dersom det innhentes personopplysninger fra flere kilder, skal alle disse oppgis. Kommer opplysningene fra brukeren selv, er det tilstrekkelig å angi «brukeren» som kilde.

Eksempler:

• fagsystemer som f.eks. Gosys, Modia, Arena, Pesys, Bisys, Infotrygd
• elektronisk arkiv, f.eks. Joark
• papirarkiv
• filområder, f.eks. NAV Global (X:)
• fellesregister, f.eks. TPS, TSS, A/a-registeret
• lønns- og personalsystem, f.eks UNIT4
• rekrutteringssystem
• database

4. Systeminformasjon

4.1 Litt om arkitektur

Behandlingskatalogen består av backend (java spring boot) Polly (fra "Policy Catalog") og en frontend (react app). All data er åpent tilgjengelig internt i NAV uten innlogging. Brukere med skrivetilgang kan endre data. Innlogging skjer via Single Sign-On via Azure AD, brukere i frontend vil få en session cookie som varer i 14 dager. APIet støtter innlogging via Authorization header med Bearer token (access token fra Azure).

Løsningen bruker PostgreSQL som datakilde men de fleste felter er lagret i JSONB kolonner. Eksterne kilder til data inkluderer teamkatalogen og begrepskatalogen og felles kodeverk.

4.2 Administratorer

Team Datajegerne administrerer løsningen og har tilgang til grensesnittet for følgende admin-funksjoner:

• Administrasjon av tilgang til applikasjonen.
• Versjonshistorikk som inkludert timestamp , hvem som har endret noe, samt et snapshot av hele dataobjektet når det ble endret.
• Administrering av kodelister. For å sikre datakvalitet er en rekke felter i løsningen basert på internt kontrollerte kodeverk.

Kontaktinformasjon
Team Datajegerne utvikler og forvalter løsningen. Du kan nå teamet på slack #behandlingskatalogen

4.3 Litt om kode, API og tilgang m.m.

Test/Preprod, Kildekode, API, Datasett og Tilgang og headers
Alle i NAV har både lese- og skrivetilgang til løsningen i preprod:Behandlingskatalogen (Test)

Kildekode

• Repo

API

• Swagger API
• Swagger API (Test)

Datasett

• Behandlingskatalogen datasett (mangelfullt, under arbeid)

Tilgang og headers
API er åpent for lesing for alle Nav-ansatte på en Nav-innrullert enhet, men eksponeres ikke eksternt utenfor Nav. Skriving og enkelte administrative funksjoner er begrenset med rollestyring. Kontakt på #behandlingskatalogen for mer info.

Headers

• Authorization - Systemer kan sende med Azure access token som Bearer token
• Nav-Call-Id - optional callId/correlation id to set for log tracing
• Nav-Consumer-Id - optional but strongly suggested to trace source of requests