2018-08-14

GDPR informasjon

Hva er GDPR?

Databeskyttelsesforordningen, GDPR, erstatter den gamle personopplysningsloven. Formålet med GDPR er å styrke rettigheter med hensyn til den enkeltes personlige integritet. Den enkelte skal kunne få innsikt i hvordan opplysningene brukes og også be om at virksomheter sletter, overfører eller utleverer opplysninger. For et selskap regulerer forordningen alle former for behandling som innsamling, overføring og bruk av personopplysninger som tilhører EU/EØS-borgere. Selskaper utenfor EU/EØS som håndterer personopplysninger om EU/EØS-borgere er også omfattet av lovgivningen.

Egreement og GDPR

Egreement samsvarer med kravene i GDPR siden 25. mai 2018. Vi hjelper deg også som kunde med å overholde GDPR innenfor rammen av tjenesten. Som kunde hos Egreement kan du tilpasse tjenesten ut fra dine behov. Nedenfor finner du en overordnet beskrivelse av hvordan Egreements tjeneste støtter GDPR og hvordan Egreement behandler personopplysninger på vegne av våre kunder.

Egreement hjelper deg som kunde med å overholde GDPR

Egreements tjeneste er bygget på prinsippene «Privacy by design» og «Privacy by default» (innebygd databeskyttelse og databeskyttelse som standard) i henhold til GDPR. Dette betyr bl.a. at Egreements-tjeneste:

- Sikrer at du som kunde kan følge de grunnleggende prinsippene i henhold til GDPR. Dette inkluderer bl.a. at du innenfor tjenesten kan oppfylle krav til dataminimering, lagringsminimering og formålsbegrensning. Du bestemmer hvilke personopplysninger som skal registreres om hvem som har inngått en avtale. I tillegg kan du på forhånd bestemme når avtalen skal slettes eller velge å slette den manuelt etter en viss tid.

- Sikrer adgangskontroll - d.v.s. at du som kunde kan styre hvilke personer som skal ha tilgang til hvilken informasjon. Du kan opprette og fjerne brukere selv og også velge hvem som skal ha tilgang til avtalene og når avtalene skal deles med flere personer.

- Sikrer at du som kunde kan tilfredsstille den registrertes rettigheter, f.eks. rett til korrigering, sletting og begrensning av data i henhold til kravene satt av GDPR. Du kan håndtere dette selv innenfor rammen av tjenesten ved å rette, slette og begrense dine personopplysninger. Du kan selv søke etter personopplysninger og på denne måten finne ut hvilke personopplysninger som behandles. Egreements tjeneste støtter også retten til dataportabilitet.

- Sikrer at du som kunde kan søke etter personopplysninger for deretter å kunne lage et registerutdrag.

- Sikrer at du som kunde har mulighet til å oppfylle din meldeplikt ved en personopplysningshendelse. Egreement har prosesser for å varsle deg som personopplysningsansvarlig ved en personopplysningshendelse, uten urimelig opphold, fra det tidspunkt Egreement blir kjent med at hendelsen har skjedd.

Sikkerhetsnivå

Avtalen sikrer at systemet har et sikkerhetsnivå som er hensiktsmessig i forhold til risikoen i henhold til kravene i GDPR. Dette betyr blant annet:

- Pseudonymisering av personopplysninger.

- Evnen til kontinuerlig å sikre konfidensialitet, integritet, tilgjengelighet og motstandskraft til behandlingssystemer og tjenester.

- Muligheten til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rimelig tid ved en fysisk eller teknisk hendelse.

- En prosedyre for regelmessig testing, undersøkelse og evaluering av effektiviteten av de tekniske og organisatoriske tiltakene for å sikre trygg håndtering.

Egreement som personopplysningsassistent

Egreement behandler kun personopplysninger på vegne av våre kunder (den personopplysningsansvarlige). Dette betyr at Egreement er personopplysningsassistent for personopplysningene som behandles innenfor tjenesten. For å oppfylle kravene i GDPR har Egreement derfor utviklet en personopplysningsassistentavtale med standardinstruksjoner som kan inngås mellom Egreement og deg som kunde.

Andre tiltak knyttet til deg som kunde

Egreement fører et register over alle kategorier av handlinger utført på vegne av våre kunder. Egreement har også iverksatt hensiktsmessige organisatoriske tiltak for å sikre at en høy og hensiktsmessig organisasjonssikkerhet opprettholdes. Alle ansatte og eventuelt konsulenter har signert konfidensialitetsavtaler og mottatt informasjon om hvordan påloggingsinformasjon skal oppbevares på en sikker måte for å sikre at ingen uvedkommende gis tilgang til personopplysninger.

Egreement lagrer kun personopplysninger innenfor EU/EØS. Ved bruk av underleverandører sørger Egreement for at det inngås korrekte underleverandøravtaler og at underleverandørene følger instrukser som du som kunde har om vår håndtering av personopplysninger. Våre kunder får også det innsyn som kreves for å sikre at personopplysninger behandles riktig.

For øvrig bistår Egreement deg som kunde med å – i henhold til det som kreves av Egreement som personopplysningsassistent i henhold til GDPR – sikre at du kan oppfylle de relevante kravene som man har som organisasjon, f.eks. bistå i risiko- og sårbarhetsanalyse.

Egreement har også vedtatt en intern personopplysningspolicy som regulerer hvordan personopplysninger kan håndteres og gir sine ansatte nødvendig opplæring og kunnskap.

Mer informasjon om hvordan Egreement behandler personopplysninger på vegne av våre kunder kan du lese om her.