Ofte stilte spørsmål om GDPR for ABAX bedriftskunder

I forbindelse med innføringen av nye personvernregler i Norge, ved ny personopplysningslov og implementering av personvernforordningen (General Data Protection Regulation­­ – "GDPR") oppstår det naturlig en del spørsmål. Under har vi samlet og besvart de mest gjengående spørsmålene fra våre bedriftskunder.

Er det mulig å få hjelp med GDPR?

Med vår nye tjeneste, Privacy Assistant, kan vi hjelpe deg med å håndtere store deler av personvernsdialogen med dine ansatte, slik at du heller kan fokusere på lønnsomme oppgaver. 
Privacy Assistant:

  • Sørger for at ditt selskap bruker våre produkter på en måte som samsvarer med GDPR
  • Håndterer GDPR-henvendelsene som kommer fra dine ansatte slik at du slipper å bruke tid på det, og kan fokusere på mer lønnsomme oppgaver
  • Hjelper deg å informere dine ansatte på en enkel måte med dokumenter tilpasset ditt selskap

Må vi ha ny  databehandleravtale fra ABAX?

ABAX distribuerte oppdatert Databehandleravtale, nye kontraktsvilkår, samt Personvernpolicy til alle sine kunder 25. april 2018. Disse avtalene signeres digitalt i administrators brukergrensesnitt.

Kan vi som kunder sende ABAX vår egen "standard" databehandleravtale for signering av ABAX?

Siden det er en nær sammenheng mellom tjenestene fra ABAX, vilkårene som regulerer tjenestene og databehandleravtalen, er det viktig at det er disse vilkårene og databehandleravtalen som gjelder for tjenestene fra ABAX.

Enkelte kunder har sendt oss sine standard databehandleravtaler som skal dekke tjenestene fra ABAX, men siden disse avtalene er standardiserte, er de sjelden dekkende for tjenestene fra ABAX og regulerer ikke behandlingen av personopplysninger som følge av tjenestene på en tilstrekkelig måte.

ABAX ber derfor om at databehandleravtalen som vil bli utsendt fra oss regulerer tjenestene fra ABAX og behandling av personopplysninger som følge av disse, og at det ikke oversendes en annen databehandleravtale til ABAX. Databehandleravtaler som blir mottatt av ABAX som ikke er dekkende for ABAX' tjenester kan ikke bli inngått, og ABAX' databehandleravtale bør i stedet bli benyttet.

Har dere god nok tilgangskontroll som sikrer våre personopplysninger?

ABAX har tilgangskontroll som tilfredsstiller normale industrikrav. ABAX er sertifisert iht. ISO 27001 for informasjonssikkerhet, hvor tilgangskontroll er et av mange elementer. Tilgangskontroll vil i tillegg bli gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt.

Vil ABAX gi ut en egen personvernpolicy for kunders ansatte?

ABAX distribuerte en personvernpolicy for ABAX' håndtering av data 25.april 2018. Personvernpolicyen finner du her.

Hvordan håndterer ABAX bruk av underleverandører?

ABAX AS (Norge) benytter underleverandører på noen drifts- og utviklingsrelaterte oppgaver. I den grad disse leverandørene har tilgang til personopplysninger, vil det inngås databehandleravtaler mellom disse og ABAX AS i tråd med kravene i GDPR. For ABAX AS' datterselskaper (dersom du som kunde har avtale med et av ABAX AS' datterselskaper) vil ABAX AS være underleverandør for det aktuelle datterselskapet, og ha databehandleravtale med datterselskapene i tråd med GDPR. ABAX AS´ datterselskaper i Europa er:

  • ABAX Sweden AB
  • ABAX Danmark A/S
  • ABAX Finland Oy
  • ABAX UK Ltd.
  • ABAX Nederland B.V.
  • ABAX Poland sp. z o.o.
  • ABAX Deutschland GMBH
  • ABAX Performance AS

Flytter ABAX våre personopplysninger til land utenfor EU/EØS og godkjente tredjeland?

Alle data behandles i EU/EØS-området.

Behandler ABAX sensitive personopplysninger for sine kunder?

I de løsninger ABAX tilbyr, foretar ikke ABAX på vegne av kunden noen innsamling av sensitive personopplysninger. Hvorvidt kunden selv, eventuelt andre brukere av våre tjenester som kunder har gitt tilgang, legger inn sensitive opplysninger i våre løsninger, har ABAX ikke kontroll over. 

Hvilke tiltak setter ABAX i gang for å sikre at varslingsplikten overfor oss som kunde ivaretas?

ABAX har allerede etablerte varslingsrutiner ved hendelser rundt informasjonssikkerhet som en del av vår ISO 27001-sertifisering. Disse varslingsrutinene blir gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt.

Andre forhold som påvirker oss som kunde av ABAX når det gjelder GDPR?

Våre nye avtalevilkår og databehandleravtale tilpasset det nye regelverket ble sendt ut til våre kunder 25. april 2018. Den oppdaterte avtalen og oppdaterte vilkår må godkjennes av kunden innen regelverkets ikrafttredelse. Rent praktisk vil godkjenning av de oppdaterte betingelsene for de fleste kunder skje ved at den som har administratortilgang til vår løsning hos kunden, godkjenner nye vilkår og databehandleravtale direkte i vårt system etter innlogging.

Hvilke personopplysninger lagres?

Svaret på dette spørsmålet avhenger for det første av hvilket eller hvilke av ABAX’ produkter kunden har avtale om med ABAX, og for det andre av hvilke personopplysninger kunden/bruker legger inn i våre systemer.

Har de registrerte selv lagt inn personopplysninger i ABAX' systemer?

Dette er det kundene selv (som behandlingsansvarlig), og ikke ABAX (som databehandler), som har kontroll over

Er de registrerte informert om innsamling/registrering av personopplysningene?)

ABAX som databehandler i tilknytning til våre systemer har ingen kontroll over hvorvidt de registrerte faktisk er informert om innsamling/registering av opplysningene i de systemer vi tilbyr våre kunder. Det er ABAX’ kunde (som behandlingsansvarlig) som skal informere de registrerte om innsamlingen/registreringen av opplysningene som legges inn i systemene. 

Er de registrerte kjent med hvor personopplysningene lagres? 

Informasjon til de registrerte er det kunden (som behandlingsansvarlig) og ikke ABAX (som databehandler) som har kontroll over.

Finnes det rutiner for sletting av personopplysninger? Finnes dokumentasjon? Hvor er dokumentasjon lagret?

Nye rutiner og prosesser i tråd med det nye regelverket er under utarbeidelse. Rutinene vil bli lagret i vårt interne kvalitetsstyringssystem.

Som databehandler for ABAX’ systemer opptrer vi etter instruks fra/avtale med vår kunde (som behandlingsansvarlig), også hva gjelder når data slettes.

Er personvernkonsekvensene vurdert? Er risiko- og sårbarhetsanalyse knyttet til systemet utført? Dokumentasjon? Hvor er dokumentasjonen lagret?

Vurdering av personvernkonsekvenser (DPIA) samt risiko- og sårbarhetsanalyser i tråd med det nye regelverket er en sentral del av arbeidet ABAX gjør i forbindelse med GDPR-implementeringen. Vurdering av personvernkonsekvenser er gjort, og konklusjonen er at ABAX ikke utarbeider en DPIA. Behandlingen av personlig data for våre tjenester er betraktet som en behandling som ikke vil medføre høy risiko.

Skriver ABAX loggfiler som inneholder oversikt over brukerpålogginger og brukerhandlinger (hva brukere gjør)?

For å kunne utføre support til våre kunder, har ABAX i tråd med våre avtaler loggfiler på når en bruker er opprettet i vårt system, informasjon om hvem som opprettet brukeren og brukerpålogginger som inkluderer tidspunkt og IP-adresse. Det er ikke logger for hva brukerne gjør i våre systemer.

ABAX fører imidlertid logg over all aktivitet administrator av våre systemer hos en kunde foretar seg i våre løsninger.

 

Ønsker du å bestille ABAX Privacy Assistant? Legg igjen telefonnummeret ditt, og vi kontakter deg!