I forbindelse med den nye persondataforordning / GDPR ønsker vi at informere jer om, hvad disse nye regler betyder for jer og Flexybox.
I vil i denne vejledning kunne finde oplysninger om følgende:
Den nye persondataforordning / GDPR
Databehandleraftale
Systemændringer
Gode råd og fif ift. implementering af GDPR.
Det er vigtigt for os at understrege, at Flexybox ApS i forhold til lovgivningen fungerer som databehandler, hvor jeres virksomhed fungerer som dataansvarlige. Derfor skal I være opmærksomme på de krav, der stilles til jer som dataansvarlige.
Husk! Denne vejledning kan og skal ikke bruges som juridisk rådgivning i forbindelse med implementeringen af persondataforordningen. Vi anbefaler jer, at I søger juridisk assistance, så I fremadrettet lever op til de skærpede dataregler.
1. Den nye persondataforordning / GDPR
Den 25. maj 2018 træder General Data Protection Regulation (GDPR) i kraft. Det er en omfattende lovgivning, som har til formål at beskytte den enkelte brugers data på samme måde i hele Europe.
Denne nye lovgivning gør, at almindelige mennesker har krav på at få indsigt i de data, som virksomheder opbevarer om dem. Ligeledes skal det være muligt at få slettet de pågældende data, hvis dette ønskes.
Flexybox ApS har længe arbejdet for at skabe de bedste rammer for jer, så det bliver nemmere for alle parter, når den nye lovgivning træder i kraft. Alle vores nye funktioner og tiltag vil naturligvis være klar senest den 25. maj 2018.
2. Databehandleraftale
I forhold til persondata arbejdes der som førnævnt med udtrykkene databehandler og dataansvarlig. I dette tilfælde er Flexybox databehandler, og Flexybox kunder er dataansvarlige. Konstellationen er sådan, da Flexybox behandler jeres data på jeres vegne og i jeres interesse. Med andre ord så behandler vi kun jeres kunders data med instrukser fra jer.
Hos Flexybox ApS skal vi indgå en databehandleraftale med hver af vores samarbejdspartnere. Vores samarbejdspartnere skal ikke forstås som Flexybox kunder, men derimod dem Flexybox samarbejder med ift. eksempelvis integrationer. Denne databehandleraftale har til formål at klarlægge behandling af personoplysninger, krav til os som leverandører samt forholdene omkring fortrolighed. Vi sender aftalen til samarbejdspartnere, hvor de sender en underskrevet aftale tilbage.
3. Systemændringer
Vi vil i Flexybox-systemet implementere funktioner, som kan hjælpe jer med at overholde nogle af de nye krav, der stilles. De tiltag, som skal hjælpe jer med at blive GDPR-kompatible, er:
Nemmere dataindsigt
Muligheden for at ”glemme” en slutbruger
Nemmere datamobilitet
Bedre beskyttelse af følsomme oplysninger.
Nemmere dataindsigt
Det bliver nemmere at opnå dataindsigt, da I fremadrettet kan trække en ny rapport direkte fra kundebladet. Denne rapport indeholder alle oplysninger fra systemet, der findes på kunden som eksempelvis holdtilmeldinger, kontobevægelser, bordbookinger osv.
Muligheden for at ”glemme” en slutbruger
Det skal være muligt at glemme/slette en bruger i systemet, så vi implementerer en knap på kundebladet, der sletter alle personhenførbare oplysninger.
Det vil altså sige, at vi sletter kundens navn, kundens adresse, alle loglinjer for kunden bliver anonymiseret, og alle tilknyttede data bliver slettet, hvor det er muligt, og anonymiseret hvor det ikke er muligt.
Denne sletning er uigenkaldelig, men dataene bliver ikke slettet i vores backup før tre dage senere. Så hvis I henter en backup og har slettet en kunde indenfor de seneste tre dage heraf, så skal I selv sørge for at slette den pågældende kunde i systemet igen.
Nemmere datamobilitet
Retten til datamobilitet klarer vi med en tilføjelse af muligheden for at eksportere rapporten med dataindsigt som en CSV-fil.
Vores vurdering, som ikke er juridisk, er, at dette er dækkende for kravet om, at ’data skal kunne eksporteres i et maskinlæsbart format’.
Bedre beskyttelse af følsomme oplysninger
Beskyttelsen af personfølsomme oplysninger forbedrer vi ved at låse for visningen af CPR-numre samt konto- og registreringsnumre alle de steder, hvor disse bliver vist på skærmen. Hvis sådanne oplysninger skal vises på en kunde, kræver det de rigtige rettigheder i systemet. I kan selv bestemme, hvem der skal have disse rettigheder. Som udgangspunkt er medarbejderne hos FlexyBox også blokeret for adgang til disse oplysninger.
Vi er opmærksomme på, at visse af vores samarbejdspartnere vil have behov for at tilknytte personfølsomme oplysninger til en slutbruger. Det gør vi muligt via en mulighed for at markere et kundedatafelt, som værende et personfølsomt felt. I kan så tilføje de data, I har brug for i feltet, og de vil blive låst på samme måde som CPR- nummer og bankoplysninger.
Vi sikrer derudover, at disse data ikke indgår i rapporter med mindre I er logget ind med en bruger, som har rettigheder til at læse dem. Hvis I ikke er det, så vil feltet vises med teksten ’kræver login’ i rapporten i stedet for at vise feltets reelle indhold. Dette gælder både for CPR og bankinformationer og for beskyttede kundedatafelter.
4. Gode råd og fif
I det følgende vil vi komme med nogle gode råd til omgangen med personlige data, som I skal tænke over hos jer efter 25. maj 2018. Vi vil lige endnu en gang gøre opmærksom på, at vi opfordrer jer til at få juridisk bistand, så I er sikrer på, at I fuldt ud lever op til de nye regler. Denne mail kan ikke betragtes som juridisk rådgivning.
Vær klar med jeres ’compliance’-rapport
Det vigtigste i forhold til den nye persondatalovgivning er, at I tager stilling til, hvordan I vil behandle jeres kunders data. I skal sørge for at klarlægge jeres indsats, så I har proceduren klar. Får I brug for det, så skal I kunne fremvise en compliance-rapport. Denne rapport skal synliggøre, hvordan I behandler jeres kunders data.
Når I skal starte arbejdet med denne rapport, kan I eksempelvis stille jer selv nogle af de følgende spørgsmål:
Hvilke data opbevarer vi?
Hvor opbevares dataene?
Hvorfor opbevares dataene?
Hvor længe opbevares dataene?
Log af computeren i receptionen
Husk at logge af computeren I jeres reception eller lignende, så I undgår en situation, hvor jeres kunder bruger jeres computer til at tilgå personfølsomme data. I kan med fordel benytte jer af den automatiske log af-funktion, som er tilgængelig hos både Mac og Windows.
Personale
I skal overveje om, I skal have lavet et tillæg til jeres medarbejderes ansættelseskontrakter, så de lever op til de nye krav. Det kan for eksempel være, hvis I bruger billeder af jeres ansatte online eller hvis ansatte har adgang til system eller data, der kræver nogle forpligtelser.
Print med personoplysninger
Dokumenter, der er printet fra systemet, kan indeholde personfølsomme oplysninger, så pas på med at have den slags liggende frit fremme og sørg altid for at bortskaffe sådanne dokumenter efter brug.
Vi har lavet en FAQ, som vi holder løbende opdateret på vores hjælpeportal, hvor I kan finde flere svar. I finder den lige her.