Nyttig informasjon om Personvern /GDPR for bedriftskunder

OFTE STILTE SPØRSMÅL OM GDPR FOR SKAN-KONTROLL BEDRIFTSKUNDER

I forbindelse med den kommende innføringen av nye personvernregler ved ny personopplysningslov og implementering av personvernforordningen, General Data Protection Regulation­­ – «GDPR», oppstår det naturlig en del spørsmål. Under har vi samlet og besvart noen av spørsmålene fra våre bedriftskunder.
Skan-kontroll privatkunder er ikke omfattet av endringene i følge med GDPR.

Hvordan er fremdriftsplanen til Skan-kontroll for å forberede den nye loven?
Skan-kontroll startet allerede tidlig i 2017 og er i full gang med tilpasningen til innføringen av nye personvernregler i Norden ved ny personopplysningslov og implementering av personvernforordningen (GDPR). Vi vil starte utsesendelse av informasjonsbrev og en oppdatert databehandleravtale for våre tjenester vil være tilgjengelig for elektronisk signering av våre kunder frem til fristen 28. mai 2018.

Får vi tilsendt oppdatert databehandleravtale fra Skan-kontroll?
Som en følge av innføringen av nye personvernregler, må det inngås ny databehandleravtale.
Informasjon om dette og hvordan den kan signeres elektronisk vil komme i informasjonsbrev og i enkelte tilfeller via personlig oppmøte fra kundekontakt.

Kan vi som kunder sende Skan-kontroll vår egen «standard» databehandleravtale for signering av Skan-kontroll?
Databehandleravtalen som gjøres tilgjengelig fra Skan-kontroll vil tilfredsstille kravene i ny personopplysningslov og GDPR. Siden det er en nær sammenheng mellom tjenestene fra Skan-kontroll, vilkårene som regulerer tjenestene og databehandleravtalen, er det viktig at det er disse vilkårene og databehandleravtalen som gjelder for tjenestene fra Skan-kontroll.

Enkelte kunder har sendt oss sin standard databehandleravtaler som skal dekke tjenestene fra Skan-kontroll, men siden disse avtalene er standardiserte, er de sjelden dekkende for tjenestene fra Skan-kontroll og regulerer ikke behandlingen av personopplysninger som følge av tjenestene på en tilstrekkelig måte.

Skan-kontroll ber derfor om at databehandleravtalen som kommer fra oss regulerer tjenestene fra Skan-kontroll og behandling av personopplysninger som følge av disse, og at det ikke oversendes en annen databehandleravtale til Skan-kontroll. Databehandleravtaler som blir mottatt av Skan-kontroll som ikke er dekkende for Skan-kontroll’ tjenester kan ikke bli inngått, og Skan-kontroll’ databehandleravtale bør i stedet bli benyttet.

Hvilke endringer gjør dere i avtaleforholdene for å justere mot de nye personvernreglene?
Vi er i gang med en revidering av våre prosesser og vår databehandleravtale er klargjort for å oppfylle de nødvendige tilpasninger til det nye regelverket. Vi vil sørge for at alle påkrevde endringer blir innarbeidet i våre oppdaterte vilkår og avtaler.

Har dere god nok tilgangskontroll som sikrer våre personopplysninger?
Skan-kontroll har tilgangskontroll som tilfredsstiller de gjeldende sikkerhetskrav. Tilgangskontroll vil i tillegg bli gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt, dette sammen med evaluering av alle systemer og nødvendige organisatoriske krav.

Vil Skan-kontroll gi ut en egen personvernerklæring for kunders ansatte?
Skan-kontroll vil publisere en personvernerklæring for Skan-kontroll’ håndtering av data i de tilfeller hvor Skan-kontroll er behandlingsansvarlig. Skan-kontroll kan på forespørsel komme med forslag til personvernerklæring som våre kunder kan ta utgangspunkt i for å utarbeide egen personvernerklæring i relasjon til Skan-kontroll’ tjenester (fordi våre kunder er behandlingsansvarlig).
Skan-kontroll vil også ha en personvernerklæring publisert på hjemmesiden og våre Apper.

Benytter Skan-kontroll underleverandører?

Skan-kontroll benytter underleverandører på noen drifts- og tjenesterelaterte oppgaver. I den grad disse leverandørene har tilgang til personopplysninger, vil det inngås databehandleravtaler mellom disse og Skan-kontroll i tråd med kravene i GDPR. En liste over våre nasjonale underleverandører er synliggjort i databehandleravtalen.
For Skan-kontroll datterselskaper (dersom du som kunde har avtale med et av Skan-kontroll datterselskaper) vil Skan-kontroll være kontraktspart for databehandleravtalen. Skan-kontroll underleverandører Norge/Sverige er:

Tjenesteleveranse Underleverandør Skan-kontroll konsern Org.nr
Elektronisk overvåkning ABAX AS 993 098 736
Elektronisk overvåkning IRISITY AB 556705-4571 (Svensk)
Elektronisk overvåkning TELLU IOT AS 917 519 919
Vakt og kontrolltjenester Semac AS 994 000 489
Vakt og kontrolltjenester Nokas AS 943 184 097
Vakt og kontrolltjenester Security Norway AS 980 408 876
Kurs- og konsulenttjenester Semac AS 994 000 489
Kurs- og konsulenttjenester Security Norway AS 980 408 876
Kurs- og konsulenttjenester Nokas AS 943 184 097

Flytter Skan-kontroll våre personopplysninger til land utenfor EU/EØS og godkjente tredjeland?
Dataene behandles i EU/EØS-området, med unntak av at Skan-kontroll AS benytter Cognizant Worldwide ltd. som leverandør av IT tjenester. Dette innebærer at enkelte ansatte i Cognizant har tilgang til personopplysninger via Skan-kontroll systemer. Skan-kontroll AS har selvsagt sørget for at tilgangen til disse opplysningene for de aktuelle ansatte i Cognizant vil være i tråd med kravene i GDPR. Nødvendige avtaler er allerede på plass i god tid før GDPR trer i kraft.

Behandler Skan-kontroll sensitive personopplysninger for sine kunder?
I de tjenester Skan-kontroll tilbyr, foretar ikke Skan-kontroll på vegne av kunden noen innsamling av sensitive personopplysninger / særskilte kategorier personopplysninger.

Hvilke tiltak setter Skan-kontroll i gang for å sikre at varslingsplikten overfor oss som kunde ivaretas?
Skan-kontroll har allerede etablerte varslingsrutiner ved hendelser rundt informasjonssikkerhet. Disse varslingsrutinene blir gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt.
Databehandleravtalen beskriver varslingsfrister i tråd med forordningen.

Andre forhold som påvirker oss som kunde av Skan-kontroll når det gjelder GDPR?
Vår nye databehandleravtale tilpasset det nye regelverket vil være tilgjengelig for våre kunder fortløpende de kommende ukene og frem til det nye regelverket trer i kraft.
Den oppdaterte avtalen må godkjennes av kunden innen regelverkets ikrafttredelse.
Rent praktisk vil godkjenning av de oppdaterte betingelsene for de fleste kunder skje ved at den som mottar informasjonsbrevet hos kunden, og har de nødvendige fullmakter, godkjenner og krysser av for de tjenester Skan-kontroll leverer i databehandleravtalen direkte i vårt system etter innlogging.

Hvilke personopplysninger lagres?
Svaret på dette spørsmålet avhenger for det første av hvilket eller hvilke av Skan-kontroll’ produkter/tjenester kunden har avtale om med Skan-kontroll. De ulike tjenestevedleggende i Skan-kontroll databehandleravtale har listet opp de personopplysninger som behandles innenfor de ulike tjenesteleveransene.

Er de registrerte informert om innsamling/registrering av personopplysningene?
Skan-kontroll som databehandler i tilknytning til våre systemer har ingen kontroll over hvorvidt de registrerte faktisk er informert om innsamling/registering av opplysningene i de tjenester vi tilbyr våre kunder. Det er Skan-kontroll’ kunde (som behandlingsansvarlig) som skal informere de registrerte om innsamlingen/registreringen av opplysningene som legges inn i systemene eller registreres.

Er de registrerte kjent med hvor personopplysningene lagres?
Informasjon til de registrerte er det kunden (som behandlingsansvarlig) og ikke Skan-kontroll (som databehandler) som har kontroll over.

Finnes det rutiner for sletting av personopplysninger? Finnes dokumentasjon? Hvor er dokumentasjon lagret?
Nye rutiner og prosesser i tråd med det nye regelverket er utarbeidet og noe er under utarbeidelse. Vårt interne kvalitetskontroll vil kjøre revisjoner på sletterutiner, samt at alle våre systemer er samlet i en felles oversikt som er gjenstand for årlig evaluering og gjennomgang.

Som databehandler opptrer vi etter instruks fra/avtale med vår kunde (som behandlingsansvarlig), også hva gjelder når data slettes.

Har Skan-kontroll eget personvernombud?
Ja, Skan-kontroll har eget personvernombud som er godkjent av myndighetene.

Er personvernkonsekvensene vurdert? Er risiko- og sårbarhetsanalyse knyttet til systemet utført? Dokumentasjon? Hvor er dokumentasjonen lagret?
Vurdering av personvernkonsekvenser (DPIA) samt risiko- og sårbarhetsanalyser i tråd med det nye regelverket inngår som en sentral del av arbeidet Skan-kontroll har igangsatt for tilpasning til det nye regelverket. Alle nye behandlinger eller nye systemer som igangsettes vil bli underlagt en risiko- og sårbarhetsanalyse, i de tilfeller det er nødvendig gjennomføres en DPIA (Data Protection Impact Assessment) slik det er beskrevet i forordningen og artikkel 29 gruppen.

Hvilken informasjon sendes ut fra dere til oss i forbindelse med GDPR og når kan vi forvente info?
Det kommer et informasjonsbrev fra Skan-kontroll fortløpende de kommende ukene, med beskrivelse for hvordan du som kunde kan signere vår databehandleravtale.

Har du ytterligere spørsmål om Skan-kontroll og GDPR? Benytt kontaktskjemaet på vår hjemmeside.