GDPR

Hva er GDPR?

GDPR (eller personvernforordningen som den formelt heter på norsk) er ny felles lovgivning for håndtering av personopplysninger som blir gjeldende for EU og EØS den 25. mai 2018. Denne loven erstatter eksisterende personopplysningslov og forskrift i Norge.

Hva er de viktigste begrepene i GDPR?

Personopplysninger – Opplysninger eller vurderinger som kan knyttes til en enkeltperson gjennom identifikatorer som f.eks. navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder eller fødselsnummer.

Sensitive personopplysninger – Opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforening.

Behandling av personopplysninger – All bruk av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter.

Behandlingsgrunnlag – Rettslig grunnlag for å behandle personopplysninger. Dette kan for eksempel være samtykke eller hjemmel i lov.

Behandlingsansvarlig – Den som bestemmer formålet med behandling av personopplysninger. Behandlingsansvarlig er som oftest en virksomhet.

Databehandler – Den som behandler personopplysninger på oppdrag fra behandlingsansvarlige. Databehandler er vanligvis en virksomhet.

Databehandleravtale – En avtale mellom behandlingsansvarlig og databehandler om hvordan personopplysninger skal behandles.

Dataminimering – Prinsippet om at innsamling av data skal avgrenses til det som er strengt nødvendig for å oppnå formålet (se formålsbestemthet)

Dataportabilitet – Muligheten til å flytte data (innhold) mellom forskjellige systemer og tjenester.

Den registrerte – Personen opplysningene kan knyttes til.

Formålsbestemthet – Prinsipp om at personopplysninger bare kan behandles for et på forhånd presist angitt formål. Innsamlede personopplysninger kan ikke brukes senere til formål som er uforenlige med det opprinnelige formålet.

Innebygd personvern – Prinsipp om at et teknisk system eller en løsning blir utviklet slik at personvernet blir ivaretatt.

Samtykke – En frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv.

 

Har Exceline en databehandleravtale for GDPR?

Exceline har en databehandleravtale i henhold til eksisterende personvernlovgivning. En oppdatert avtale tilpasset GDPR vil være sendt ut for signering før 25.05.2018.

 

Hvordan opprettholdes sikkerheten i Exceline?

Vi jobber kontinuerlig med å identifisere og implementere tiltak som sørger for at Exceline til enhver tid er sikret med henblikk på konfidensialitet, integritet og tilgjengelig.

 

Hvor og hvordan driftes Exceline?

Exceline driftes av Systor AS og er fysisk lokalisert i Trondheim, Norge.

 

Har Exceline støtte for sletting/anonymisering av personopplysninger?

Funksjonalitet for å understøtte sletting av informasjon iht. GDPR er under utvikling og vil være klar før GDPR trer i kraft 25. mai 2018.

 

Har Exceline støtte for å søke frem all informasjon registrert om en person?

Funksjonalitet for å understøtte uthenting av informasjon om en person iht. GDPR er under utvikling og vil være klar før GDPR trer i kraft 25. mai 2018.

 

Tas det backup av data som kan inneholde personopplysninger?

Vi tar jevnlig backup av all data som lagres i Exceline. Backup lagres i Norge, i samme sikre løsning som Exceline, men utenfor internett-tilkopling. Backup lagres i maksimalt 30 dager.

 

I hvilke land lagres databasen som kan inneholde personopplysninger?

Alle data i Exceline lagres i Norge.

 

Støtter Exceline GDPR (Artikkel 5)?

Det finnes ingen sertifiseringsordning for IT-systemer med tanke på GDPR. Behandlingsansvarlig har til enhver tid ansvar for å vurdere og dokumentere lagring og behandling av personopplysninger og sikre at regelverket følges.

Exceline støtter i dag prinsippene om dataminimering, riktighet, lagringsbegrensning, integritet og fortrolighet. Exceline legger også til rette for å ivareta de registrertes rettigheter til innsyn, korrigering, sletting, begrensning av behandling, dataportabilitet og samtykke.

Dataminimering – «Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for»

Exceline krever ikke innsamling av personopplysninger utover det som er nødvendig for å identifisere og tilgangsstyre saksbehandlere og kontaktpersoner knyttet til saksbehandling.

Riktighet – «Personopplysninger skal være korrekte og om nødvendig oppdatert»

Lagringsbegrensninger – «Personopplysninger skal være lagret slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålet som personopplysninger behandles for»

Det er opp til den behandlingsansvarlige å dokumentere rutine for lagringsbegrensning med utgangspunkt i formål for behandling. Rutiner for sletting eller anonymisering kan være manuelle eller automatiserte. Inntil en automatisert prosess er på plass er dette å anse som en manuell utførbar operasjon.

Integritet og fortrolighet «Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysninger, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade ved bruk av egnede tekniske eller organisatoriske tiltak»

Exceline har brukerstyring for å hindre utilsiktet tilgang og segregering av kundeinformasjon ut fra rollens behov.

Det er opp til hver enkelt virksomhet å implementere egnede tiltak knyttet til sikring av brukertilgang.

 

Er Exceline i stand til å oppfylle POL (personopplysningsloven) sitt krav om sporbar aktivitet?

Personopplysningsforskriftens paragraf 2-16 «Dokumentasjon» stiller krav til registrering av autorisert og forsøk på uautorisert bruk, og lagring i minst 3 måneder. Pr. desember 2017 registrerer Exceline tidspunkt for siste innlogging, men lagrer ikke historisk informasjon om uautorisert bruk. Exceline vil på sikt tilpasses for å imøtese dette kravet til GDPR.

GDPR har ikke tilsvarende uttrykte krav, men i artikkel 32 stilles det krav til å gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet evnen til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene.

 

Vi lagrer ingen sensitive opplysninger i Exceline – trenger jeg da forholde meg til GDPR?

Alle opplysninger som kan knyttes til et individ direkte eller indirekte gjennom en identifikator som e-post, adresse, personnummer, IP-adresse eller lignende er å regne som personopplysninger og er dermed underlagt GDPR.

For sensitive personopplysninger som opplysninger om rasemessig og etnisk bakgrunn, politiske oppfatninger, informasjon om straffbare forhold, helseforhold, seksuelle forhold m.m., så er det ytterligere vurderinger som må gjøres rundt behandling av disse.

 

Hvordan støtter Exceline opp om de individuelle rettighetene i GDPR?

Den registrerte har i GDPR en rekke nye individuelle rettigheter. Det er opp til den behandlingsansvarlige å legge til rette for prosesser og rutiner som ivaretar disse rettighetene. Dette gjelder også personopplysninger som lagres og behandles i Exceline.