Personvern i ABAX

Personopplysninger er viktig for oss i ABAX og personvern er vår hovedprioritet. På disse sidene kan du lese mer om hvordan vi behandler kundeopplysninger, og hvordan vi sørger for at de til enhver tid er sikre.


PERSON-OPPLYSNINGER

ABAX behandler opplysninger i samsvar med den generelle personvernforordningen (GDPR) og i tråd med kundens instrukser. Vi samler ikke inn, lagrer eller behandler personopplysninger ut over det som er nødvendig for å utføre vår oppgave som databehandler eller behandlingsansvarlig. Vårt personvernombud kan besvare spørsmål om hvordan vi beskytter personopplysninger.

DATABEHANDLING

Vi bruker både manuelle og automatiserte systemer for å fjerne alle unødvendige opplysninger og sikre at opplysningene blir anonymisert. Våre sikkerhetsprosedyrer, tilgangskontroller og verktøy sikrer at opplysningene dine til enhver tid er beskyttet.

INNEBYGD PERSONVERN

Vår tjeneste er basert på prinsippene for innebygd personvern og personvern som standard. Opplysningene beskyttes uten at brukerne trenger å ta noen aktive grep. Brukerne av tjenesten vår skal ikke måtte gjøre noe for å sikre personvernet; det skal være ivaretatt som standard.


Anonymisering

Datastrøm og anonymisering  

Dataanonymisering er en type informasjons-opprydding hvor hensikten er personvern. Det er en prosess hvor vi enten krypterer eller fjerner personlig identifiserbar informasjon fra ett datasett, slik at personene som dataene beskriver forblir anonyme. 

Dataene vi oppbevarer i ABAX er lokasjonsdata. 

Påfyll av datastrømmen utføres fra sikkerhetskopier og anonymiseres ved hjelp av skripts (når det er etablert og bekreftet) 
Datastrømmen er bare tilgjengelig for Data Science-teamet, og dataene brukes til analytiske formål som forbedring av algoritmer på sporingsenhetene. 
Datastrømmen består av følgende informasjon: 

 

  • Avstand 
  • Maksimal hastighet 
  • Da turen startet og stoppet 
  • Når en tur ble mottatt av serverne våre 
  • Reisetype (forretningsmessig eller privat) 
  • En numerisk ID for føreren (ingen kobling til personverndata). Brukes til å påpeke følgende informasjon:
    • AktorID (firmaets id) 
    • Hvis det er en brukerkonto eller en administrasjonskonto 
    • Hvis det er en aktiv konto 
    • Språk satt på kontoen 
    • Dato for siste innlogging 
    • Dato for siste utlogging 
    • Hvilket grensesnitt / produkt er knyttet til kontoen 
    • Hvis Vis velkomstsideflagg er satt til sant eller usant 
    • Hvis tvinge tilbakestille passord flagget er satt til sant eller usant 
    • Bosted 
    • Hvis kunde kontoen har noen turer 
    • Hvis kunde kontoen har en aktiv fører 
    • Hvis kunde kontoen har forlatt selskapet 
    • Hvis kontaktinfo er oppdatert 
  • Dato for når kontoen sist ble endret 
  • Turinnstillinger 
  • En numerisk ID som identifiserer sporingsenheten 
  • En numerisk ID som identifiserer hovedkontoret 
  • En numerisk ID som identifiserer kjøretøyet 

Ingen personlig informasjon som navn, telefonnummer, e-post osv. Blir overført til datastrømmen. 
Posisjoner er anonymisert på en slik måte at det ikke er mulig å identifisere en enkeltpersons adresse bak et datapunkt eller den nøyaktige plasseringen av det opprinnelige datapunktet. Tur start og stopp posisjon vil bli gruppert sammen med andre sporingsenheters start og stopp posisjoner på en slik måte at ingen turer startes eller stoppes av en enkelt sporingsenhet og ingen start eller stopp posisjon kan spores tilbake til noen enkelt person. 

Mer tekniske forklart: 

Turer anonymiseres ved å geohashe start og stopp posisjoner. Geohashing endrer en posisjon (breddegrad, lengdegrad) til en hash som identifiserer et rektangel i et rutenett som legger over verdenskartet. Rutenettstørrelse avhenger av geohash-størrelsen (se https://en.wikipedia.org/wiki/Geohash). 


Anonymiseringsprosessen er iterativ og starter med en høy verdi på geohash (små rektangler). Geohash verdien starter på 12 (område størrelse på 7 cm2) og går ned til 1 (område størrelse på 25 009 930 km2). Hvis bare ett simkort har en plassering inne i rektangelet, reduseres geohash-verdien med en, og prosessen gjentas til andre simkort har en posisjon med samme geohash eller ved at geohash-verdien er 4 noe som tilsier et punkt-område på 762 kvadratkilometer (ref. Figur 1). 


Anonymisering brukes også når vi selger / deler lokasjonsdata med tredjepartskunder. En lignende tilnærming brukes da til å anonymisere dataene i disse tilfellene. 

geohashing no

Figur 1 – Geohashing, grønne rektangler blir ny posisjon (erstatter de røde posisjonene med rektangelet) 

Databehandling

Databehandleravtale 

I tillegg til våre vilkår og vår personvernpolicy må alle ABAX’ kunder undertegne en databehandleravtale.  
Dokumentasjon for alle våre markeder er tilgjengelig her: https://www.abax.com/no/terms-and-conditions

Underdatabehandlere i ABAX 

GDPR fastsetter to alternative former for godkjenning som må innhentes fra den behandlingsansvarlige før databehandleren kan engasjere en underbehandler:  

1.    Spesifikk forhåndsgodkjenning til å bruke en underbehandler. Dette alternativet er aktuelt når oppgavene/tjenestene databehandleren leverer til den behandlingsansvarlige, er av spesifikk art, altså at underbehandleren engasjeres for å levere spesifikke tjenester til en gitt kunde eller en liten gruppe kunder. Dette gjelder typisk når løsningen databehandleren leverer, må tilpasses den behandlingsansvarliges behov.

2.    Generell godkjenning til å bruke en underbehandler. Dette alternativet er aktuelt når tjenestene som databehandleren leverer til den behandlingsansvarlige, er de samme eller vesentlig de samme for et stort antall kunder. I slike tilfeller må databehandleren holde den behandlingsansvarlige orientert om at det brukes underbehandlere, og om enhver utskifting av underbehandlere før nye underbehandlere engasjeres. Den behandlingsansvarlige har alltid rett til å gjøre innsigelser mot bruk av visse underbehandlere.

ABAX bruker alternativet med generell godkjenning for kunder som bruker våre tjenester. ABAX utvikler og forbedrer sine tjenester kontinuerlig. Ny eller forbedret funksjonalitet kan kreve bruk av nye underbehandlere. Dersom ABAX skulle innhente skriftlig godkjenning fra alle sine kunder, ville dette ha gjort ny utvikling umulig. 
En oppdatert oversikt over hvilke underbehandlere vi bruker, er tilgjengelig på https://www.abax.com/no/terms-and-conditions

Innebygd personvern

Hvordan håndterer vi personvernet i tjenesten du har kjøpt? 

Proaktivitet og forebygging 

Med innebygd personvern sikres en proaktiv tilnærming til personvernrisikoer. Problemer må forebygges før de inntreffer, og det bør treffes tiltak for å redusere potensiell risiko, selv før risikoen blir åpenbar. Utilstrekkelig sikkerhets- og personvernpraksis må også oppdages og korrigeres tidlig, før noen skade er skjedd.

Dette forutsetter en forpliktelse til konsekvent håndheving av personvernstandardene GDPR krever. Dette dekkes av kravet om å gjennomføre vurderinger av personvernkonsekvenser før behandlingen starter. De behandlingsansvarliges og databehandlernes ansvar er også klart angitt og må følges. En god implementering av dette forutsetter en fullstendig forpliktelse.

Personvern som standard 

Prinsippet om personvern som standard krever at brukernes opplysninger beskyttes uten at de trenger å svare på noe som helst. Enkeltpersoner skal ikke måtte gjøre noe for å sikre at opplysningene er sikre – de skal være sikre som standard.

Dette kravet er fastsatt i artikkel 25 og 32 i GDPR, og personvernombudene har ansvar for å sikre at disse reglene følges.

I henhold til GDPR innbefatter standardinnstilling tre grunnleggende personvernelementer:

Angivelse av formål – Alle enkeltpersoner skal varsles om hva opplysningene deres skal brukes til.

Begrensning av innsamling – Innsamlingen av personopplysninger må være lovlig og åpen.

Dataminimering – Så lite data som mulig skal samles inn, og bare for umiddelbar behandling.
 

Personvern innebygd i designet 

Under utvikling av teknologier som skal brukes av selskaper og nettjenester, må det tas behørig hensyn til å designe dem slik at personvernet forblir en integrert del av systemet.

Selv før systemene når sluttbrukerne, må alle gode personverntiltak allerede være på plass. Funksjonaliteten for brukerne bør være upåvirket av disse personverntiltakene, og systemene bør være laget på en slik måte at mulige feilkonfigurasjoner eller feil ikke går ut over personvernet. Dette prinsippet er hovedsakelig omtalt i artikkel 25 og 32 samt i flere av betraktningene i GDPR

Full funksjonalitet – positiv sum  

Målet med personvern som standardinnstilling er å skape en vinn-vinn-situasjon for alle interessenter. Tanken er at disse personverntiltakene vil gi fordeler for både selskapene og brukerne. I stedet for en nullsum-situasjon der brukerne bare kan få fordeler på selskapenes bekostning, eller omvendt, har disse «personvern som standardinnstilling»-tiltakene som mål å skape en positiv nettoeffekt uten at det inngås noen kompromisser.

Gjennomgående sikkerhet 

Datasikkerhet og personvern må sikres fra innsamlingstidspunktet til den endelige slettingen av opplysningene. På hvert enkelt punkt i opplysningenes livssyklus må de hele tiden beskyttes og gjøres rede for.

GDPR er påfallende klar på dette. Hensikten med denne regelen fremgår klart av de mange bestemmelsene om datainnsamling, lagring og sletting. Målet er å sikre at det ikke finnes noen hull i datasikkerheten, for datasikkerhet anses som et nødvendig motstykke til personvern.

Derfor krever GDPR bruk av flere metoder for å sikre ansvar (for f.eks. loggføring) og sikkerhet (anonymisering, tilgangskontroll osv.).

Synlighet og åpenhet  

Nøkkelen til ansvar (og overholdelse av GDPR) er åpenhet. Alle interessenter, partnere og underbehandlere må være gransket, gjenstand for revisjon og åpen for ekstern kontroll. Uten åpenhet og synlighet finnes det ingen realistisk måte å ta rede på om prinsippene for personvern som standardinnstilling er implementert slik de skal.

Respekt for personvernet 

Den beste måten å få gode resultater ved implementering av funksjoner med innebygd personvern er å ha sluttbrukerne i bakhodet under utviklingen av produkter. De bør designes for å oppfylle brukernes behov og gjøre det lett for dem å styre og følge med på hvordan opplysningene deres behandles.

Hvordan sikrer du personvernet ved innføring av nye funksjoner?

Allerede før vi treffer en beslutning om å implementere en ny funksjon eller et nytt produkt, foretar vi en grundig vurdering av personvernaspektet. Vi rådfører oss med vår Data Protection Officer (DPO) og juridiske rådgivere (advokatfirmaer) når vi er i tvil. I tillegg fokuserer programvaretesterne våre ekstra mye på personvernaspektet, og alle potensielle risikoer er løst før en funksjon lanseres på markedet.

Privacy Assistant

La oss ta oss av GDPR.
Bestemmelsene i GDPR gir nå dine ansatte rett til å få vite hvilke personopplysninger du har registrert om dem, og de har også «rett til å bli glemt». Noen av dine ansatte kommer sannsynligvis til å be deg om dette. Har du tid til å håndtere alle forespørsler fra ansatte, eller vil du at vi skal ta oss av det for deg? Med personvernassistenten håndterer vi mesteparten av personverndialogen med dine ansatte slik at du kan fokusere på lønnsomheten i selskapet..

Privacy Assistant gjør følgende: 
  • Sikrer at selskapet ditt bruker ABAX’ produkter og tjenester på en måte som gjør at du overholder GDPR 
  • Håndterer forespørsler fra ansatte slik at du kan fokusere på driften av selskapet 
  • Informerer dine ansatte på en lettfattelig måte i samsvar med GDPR ved hjelp av dokumenter som er spesialtilpasset ditt selskap

Informasjonssikkerhet

Informasjonssikkerhet har høyeste prioritet hos ABAX. Her finner du svar på noen av de vanligste spørsmålene kundene våre stiller om informasjonssikkerheten på nettstedet vårt, abax.com.

Hvor lagrer ABAX kundeopplysninger? 

Kundeopplysninger er vårt mest verdifulle aktivum, så lagringsløsningene våre må være sikre og pålitelige. Vi bruker en kombinasjon av våre egne datasentre og leverandører av offentlige skytjenester. Hoveddatasenteret vårt er i Sverige. Vi bruker flere underleverandører som behandler kundeopplysninger på våre vegne. En oppdatert liste over disse finner du på https://www.abax.com/no/terms-and-conditions

Hvordan krypterer ABAX opplysningene våre når de lagres? 

Opplysninger som lagres i datasenteret vårt, lagres på selvkrypterende harddisker slik at du som kunde skal være trygg på at dine opplysninger er sikre hos oss.

Hvordan krypterer ABAX opplysninger som er på vei til kundene? 

Når du bruker produktene våre gjennom nettleseren eller appene våre, krypteres all kommunikasjon med TLS-kryptering, som er bransjestandarden. Nettleseren din vil vise et hengelåssymbol, som viser at forbindelsen er kryptert.

Hvilke typer sikkerhetsstandarder følger ABAX? 

Vi følger ISO 27001, en standard for informasjonssikkerhet. Denne standarden omfatter flere styringssystemer som skal sikre at all behandling av data skjer på en sikker måte og slik at kundenes data ikke utsettes for unødvendig risiko. 

Hvilke leverandører bruker ABAX til å overføre opplysninger? 

Maskinvaren vår kommuniserer over mobilnettet til Telenor og deres globale nettverk av partnere. Flere internettleverandører (ISP-er) besørger kommunikasjonen mellom våre kunder og systemer ved hjelp av løsninger med full redundans. ABAX’ infrastruktur er koblet til høykapasitets internettlinjer på flere viktige internettsentraler. 

Hvordan sikrer ABAX sikkerheten på sine servere? 

For å sikre at serverne våre forbli sikre, bruker vi nettverkssegmentering, som innebærer at vi deler nettverket inn i mindre segmenter. Dette beskytter infrastrukturen vår mot cyberangrep.

Hvilke rutiner har ABAX for sikkerhetskopiering av kundeopplysninger? 

Vi tar regelmessig sikkerhetskopi av alle våre kunders data og lagrer dem på et sikkert sted utenfor våre lokaler. For deg som kunde betyr dette at vi kan gjenopprette opplysningene dine og begrense tap av data hvis en katastrofe skulle inntreffe.  

Hvordan sikrer ABAX kundeopplysningene på sine nettverk? 

For å sikre at serverne våre forbli sikre, bruker vi nettverkssegmentering, som innebærer at vi deler nettverket inn i mindre segmenter. Dette beskytter infrastrukturen vår mot cyberangrep.

Hvordan sikrer ABAX kontroll med tilgangen til sine servere og systemer?  

Vi bruker en utbredt metode for tilgangskontroll som kalles POLP (Principle of Least Privilege – prinsippet om minste tilgangsnivå). Dette innebærer i praksis at vi begrenser tilgangen til kontoene på systemene våre og gir dem det laveste tilgangsnivået som samtidig lar dem utføre visse oppgaver. For å sikre at vi følger POLP-prinsippene, gjennomfører vi regelmessig revisjon av alle kontoer og tilhørende tilgangsrettigheter som en del av prosedyrene våre for overholdelse av ISO 27001.

Kom i gang

Innføring av tjenesten: Få det rett helt fra starten 

Fastsett et gyldig formål for tjenesten  


Når du begynner å bruke ABAX-tjenesten, må du huske å gjennomføre det på riktig måte slik at du sikrer at personvernbestemmelsene overholdes. Dette betyr at selskapet ditt må ha et gyldig og lovlig formål med behandlingen av opplysningene i tråd med den generelle personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a)–f), som lyder som følger:  

Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt:
a)     den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål,

b)     behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse,

c)     behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige,

d)     behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser,

e)     behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,

f)     behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.

ABAX har ulike virksomhetsområder som noen av disse formålene kan være relevante for, og dermed også for våre kunder.

FORESLÅTTE FORMÅL FOR ABAX TRIPLOG

Dokumentasjon til skatteetaten 
ABAX Triplog er laget for å dokumentere kjøretøyenes yrkeskjøring i tråd med skatteetatens regler. For yrkesbiler vil det finnes løpende dokumentasjon for alle turer som er gjennomført. Det blir etablert rutiner for å sikre at gjeldende regelverk følges.

Skille skattemessig mellom privatkjøring og yrkeskjøring
ABAX Triplog brukes for å skille skattemessig mellom privatkjøring og yrkeskjøring. Turen blir klassifisert av føreren, administratoren og/eller automatisk av systemet.

Spørsmål fra kunden
Data fra ABAX Triplog kan brukes til å svare på spørsmål og klager fra kunder. Dette bør bare gjøres etter en spesifikk kundehenvendelse, og bare for å besvare det konkrete spørsmålet.

Sikkerhet
ABAX Triplog kan brukes til å lokalisere en ansatt.

Fakturering av kunder
Data fra ABAX Triplog kan brukes som underlag for fakturering av kunden for kjøring (tid og kilometer).

Feilaktige timelister
ABAX Triplog kan brukes hvis det foreligger en konkret mistanke om at en timeliste ikke er riktig. Den ansatte det gjelder, skal gis mulighet til å være til stede under kontrollen, og skal også tilbys bistand av tillitsvalgt eller en annen part.

Serviceoppfølging
Data fra ABAX Triplog kan brukes til å følge opp serviceintervaller for kjøretøyene. Servicevarsler kan sendes av systemet på e-post eller tekstmelding.

Effektivitet
ABAX Fleet Management sporer gjeldende posisjon for kjøretøyene dine. Dette kan brukes til å sende det kjøretøyet som er nærmest til et oppdrag.

Ruteplanlegging
ABAX Fleet Management kan vise alle turer kjørt på en bestemt dag på kartet. Dette kan brukes til å optimalisere kjøreruter.

Miljøvennlig kjøring - redusere miljøavtrykket
ABAX Driving Behaviour kan gi førerne poeng ut fra deres kjøreadferd. Høyere poengsum betyr lavere miljøavtrykk.For å redusere driftskostnader på kjøretøy samt redusere utslipp, benyttes «Driving Behaviour» som viser hvor mye CO2 hvert kjøretøy slipper ut, harde oppbremsinger, akselerasjoner,svinger og tomgangskjøring. Systemet leverer score per ansatt som brukes til å motivere til grønn kjøring.

Samfunnsansvar
ABAX Driving Behaviour kan brukes til å motivere førerne dine til å kjøre sikrere og mer effektivt.

Bedre kjørestandarder
ABAX Driving Behaviour kan brukes til å motivere førerne dine til å kjøre sikrere og mer effektivt og dermed redusere antall hendelser på veien.

Redusere flåtekostnadene 
ABAX Driving Behaviour kan bidra til å gjøre kjøringen mer effektiv og dermed redusere drivstoff- og servicekostnadene.

 

FORESLÅTTE FORMÅL FOR ABAX EQUIPMENT CONTROL 

Sporing
ABAX Equipment Control kan brukes til å lokalisere og få tilbake tapt utstyr.

Effektivitet
ABAX Equipment Control kan brukes til å lokalisere utstyr til et bestemt oppdrag. 

Besparelser
ABAX Equipment Control kan loggføre bruken av selvgående utstyr. Disse dataene kan brukes til å redusere bruk som ikke er berettiget

Fakturering av faktisk bruk
ABAX Equipment Control kan loggføre bruken av selvgående utstyr. Disse dataene kan brukes av eieren til å fakturere kunden på grunnlag av faktisk bruk.

Fakturering etter bruk i et område
ABAX Equipment Control kan loggføre bruken av selvgående utstyr i et bestemt område. Disse dataene kan brukes av eieren til å fakturere kunden på grunnlag av antall timer i et prosjekt.

Serviceoppfølging
Data fra ABAX Equipment Control kan brukes til å følge opp service på utstyret. Servicevarsler kan sendes av systemet på e-post eller tekstmelding.
 

Viktig å huske 

Ved innføring av en ny tjeneste som omfatter kontrolltiltak, anbefaler myndighetene at selskapet involverer de ansatte tidlig i prosessen. (Typisk vil dette gjerne være en tillitsvalgt.) 

Selskapets administrasjon bør organisere et møte med den tillitsvalgte og/eller andre aktuelle ansatte i selskapet for å drøfte de ulike kontrolltiltakene forbundet med en tjeneste som ABAX. 

I tillegg må selskapet oppgi formålet med kontrolltiltaket, mulige konsekvenser av et tiltak (f.eks. hvordan teknologien fungerer og hvilke data som måles og rapporteres til administratoren) og hvor lenge kontrolltiltaket vil vare (vanligvis en avtaleperiode). 

Informasjonen kan gis muntlig eller skriftlig til de ansatte. I enkelte tilfeller kan selskapet holde et informasjonsmøte for å sikre at alle ansatte er informert,  og for at de ansatte skal få anledning til å komme med tilbakemeldinger. 

Det er opp til våre kunder å angi det behandlingsformålet som best passer for deres virksomhet.
 Forslagene til formål er bare forslag – våre kunder kan oppgi andre formål som passer bedre til deres behov. I henhold til arbeidsmiljøloven bør de ansatte involveres ved innføring av ABAX-tjenester slik at innføringen går glatt i hele selskapet. 

Hvert enkelt formål må oppfylle minst ett av vilkårene i GDPR (artikkel 6 nr. 1 bokstav a)–f)). Hva er det viktig å huske? Følgende sentrale momenter bør være relevante for våre kunder ved gjennomføring av formålet/formålene og det rettslige grunnlaget for behandling av opplysninger. 
 

Husk:

  • Du må ha et gyldig og lovlig formål for å kunne behandle personopplysninger.
  • Det er seks mulige lovlige formål for behandlingen. Ikke noe enkeltgrunnlag er «bedre» eller viktigere enn de andre. Hvilket grunnlag som er mest passende å bruke, avhenger av ditt formål og din relasjon.
  • De fleste lovlige grunnlag krever at behandlingen er «nødvendig» for et spesifikt formål. Hvis du med rimelighet kan oppnå det samme formålet uten behandlingen, er ikke grunnlaget lovlig.
  • Du må fastslå det lovlige grunnlaget før behandlingen starter, og du bør dokumentere dette. Vi har et interaktivt verktøy som kan være til hjelp.
  • Sørg for at du får det rett første gangen – du bør ikke angi et annet lovlig grunnlag senere uten at det er god grunn til det. Særlig kan du vanligvis ikke bytte fra samtykke til et annet grunnlag.
  • Personvernerklæringen din bør inneholde det lovlige grunnlaget for behandlingen i tillegg til formålet/formålene med behandlingen av opplysningene.
  • Hvis formålet endres, vil du kanskje kunne fortsette behandlingen på det opprinnelige lovlige grunnlaget hvis det nye formålet er forenlig med det opprinnelige formålet (med mindre det opprinnelige lovlige grunnlaget var samtykke).
  • Hvis du behandler en spesiell kategori personopplysninger, må du identifisere både et lovlig grunnlag for generell behandling og et ytterligere grunnlag for behandling av denne typen opplysninger.
  • Hvis du behandler personopplysninger om straffedommer og lovovertredelser, må du identifisere både et lovlig grunnlag for generell behandling og et ytterligere grunnlag for behandling av denne typen opplysninger.
     

Kan jeg bruke opplysningene i systemet til hva jeg vil? 

Når ABAX-tjenesten innføres, må du oppgi nøyaktig hva du vil bruke opplysningene til. Du kan ikke bruke opplysningene og informasjon du har for hånden på noen annen måte enn det formålet som er oppgitt.
Hvis du endrer formålet eller angir et nytt, må du organisere et nytt møte med den tillitsvalgte/aktuelle ansatte og sørge for at alle ansatte er informert om dette. Det nye formålet må selvsagt være gyldig og ha en klar forbindelse til det rettslige grunnlaget i GDPR. 

Selskapet må informere om formålet og beskrive nøyaktig hva personopplysningene skal brukes til, ikke hva de kan brukes til. Med andre ord må formålet spesifiseres og kommuniseres, og det bør ikke være for omfattende eller for vagt. Det angitte formålet skal fastslå hva personopplysningene vil bli brukt til. Bruk av personopplysninger for andre formål enn det som er angitt, innebærer brudd på Personopplysningloven. 

 

Mange kunder spør oss om malverk og forslag til avtaler, vi har utarbeidet to dokumenter som dere enkelt kan laste ned her. Husk å tilpasse malen til din bedrift.

Forslag til innhold i internkontrollsystemet

Forslag til bilinstruks og bilpolicy

Samtykkeerklæring privatbiler

Teknologi

GDPR i vår teknologi 

Terminering og sletting  

Terminering som medfører sletting gjelder data som tilhører kunder som sier opp kontrakten og ikke har kjøpt DLG (Data Lagrings Garanti). DLG er et produkt kundene kan kjøpe som garanterer at vi tar vare på kundens data etter at kontrakt er terminert. Sletting kan utføres for hele kunde kontrakten eller for en enkelt bruker som er en del av kunden. Når en bruker ønsker å slette sine data, vil bare data som er direkte linket til brukeren bli slettet. Sletting for en enkelt bruker trigges gjennom "Privacy Assistant" (ref. Figur 2). Brukeren spesifiserer hva slags data som skal slettes ved å fylle ut et skjema (bedrifter har mulighet til å lage en mal for å lette prosessen for brukerne). 
Når kundens kontrakt termineres, slettes alle data koblet til alle brukere som er en del av kunde kontrakten. 

Som en ekstra kvalitetskontroll lager vi en "vaskeliste" som inneholder alle kunder som skal slettes. Listen blir verifisert der vi fjerner kunder fra listen som av en eller annen grunn ikke bør slettes (fornyelse av kontrakt osv.). 

Når vi mottar en forespørsel om sletting, bør data slettes innen 30 dager. Dette gjelder både for sletting av kunder og sletting av enkeltbrukere. 
Når slettingen starter, bruker vi en spesifikk tjeneste som sender ut kommandoer til alle tjenestene våre i forskjellige domener. Kommandoene som sendes ut vil trigge sletting av personverndata i alle domener for den nåværende kunden eller brukeren. 
Før slettingen trekker vi ut verdifulle datapunkter og kjører disse gjennom datastrømmen vår. 

Gjennom våre rutiner for datastrømmen, anonymiserer vi dataene slik at de ikke kan spores tilbake til kunde / bruker (Personvern). Planen i fremtiden er å automatisere datastrømmen til å anonymisere data i det vi mottar data fra sporingsenhetene. Anonymiserte data beholdes uavhengig til analytiske formål selv om sletting bestilles (ref. Anonymisering).  
 

termination

Figur 2 – Sletteprosessen ved oppsigelse

Personvernspolicy

Slik behandler ABAX personopplysninger

Vi er avhengige av tillit fra våre kunder. Derfor er vi også opptatt av å ivareta ditt personvern. Alle dine personopplysninger skal være trygge hos oss. Det inkluderer alt som kan knyttes direkte til deg som person, blant annet adresse, kontaktinformasjon, GPS-posisjoner og øvrige personopplysninger.

Innsamling av personopplysninger

ABAX behandler personopplysninger først og fremst i forbindelse med kundeservice, kundeoppfølging, kundeadministrasjon, markedsføring, fakturering og gjennom avtalene vi har inngått med våre kunder.

ABAX innhenter som regel opplysningene direkte fra deg. Noen ganger henter vi opplysninger fra andre kilder, som kan være både offentlige og private institusjoner. I tillegg innhentes GPS posisjoner automatisk gjennom noen av våre produkter. Disse GPS posisjonene er også å anse som personopplysninger.

Vi informerer deg når vi innhenter opplysninger om deg og ABAX er behandlingsansvarlig for disse opplysningene, med mindre innsamlingen er lovbestemt, hvis varsling er umulig eller uforholdsmessig vanskelig, eller hvis vi vet at du allerede er kjent med at vi innhenter disse opplysningene. Dersom ABAX mottar dine opplysninger i listeform i forbindelse med markedsføringsaktiviteter, vil du ved første kommunikasjon fra ABAX relatert til markedsføring basert på slik liste, ha mulighet til å reservere deg fra fremtidig kommunikasjon basert på slik liste. I tilfeller hvor ABAX samler inn personopplysninger på oppdrag fra våre kunder, og slik sett opptrer som en databehandler på vår kundes vegne, vil det være vår kunde som har ansvaret for informasjonen til deg. Vi vil i slike tilfeller også kunne gi deg informasjon direkte, men da på oppdrag fra vår kunde.

Tidvis kan vi gjøre opptak av telefonsamtaler hvis du samtykker til det.

Kundeundersøkelser

Når du har vært i kontakt med ABAX, kan vi spørre deg om hvordan opplevelsen din var. Da lærer vi mer om hvordan vi kan gi våre kunder enda bedre produkter og tjenester. Ved hjelp av disse tilbakemeldingene kan vi også måle effekten av forbedringstiltak og se på koblingen mellom kundetilfredshet og kundeadferd over tid.

Hvis du ikke vil dele denne typen opplysninger med oss, kan du la være å svare på undersøkelsen vi sender deg.

Nyhetsbrev og markedsføring

Du vil kunne motta markedsføring, informasjon og varslinger fra ABAX. Dette kan komme på e-post, gjennom våre hjemmesider eller i andre hensiktsmessige kanaler. Dette vil kunne komme i tre forskjellige kategorier: 

  • Informasjon og nyheter, som regel i form av nyhetsbrev på e-post. 
  • Kampanjer og invitasjoner. 
  • Systemvarslinger om dine tjenester fra ABAX. 

Du kan på ethvert tidspunkt registrere eller avregistrere deg i forhold til å motta denne kommunikasjonen.

Utlevering av personopplysninger

Internt i konsernet 

Internt i ABAX-konsernet har vi et felles kunderegister som er tilgjengelig for alle konsernselskapene. Formålet med dette konsernkunderegisteret er å gi kundene våre best mulig service, samt informasjon og tilbud om produkter og tjenester vi tilbyr. Konsernets felles kunderegister kan inneholde disse opplysningene om deg: 

  • navn 
  • kontaktopplysninger 
  • hvilket selskap du er ansatt i 
  • opplysninger om hvilket konsernselskap du er kunde i 
  • hvilke tjenester og produkter du har avtale om 
  • historikk over din kontakt med ABAX 
Behandlingsansvarlig 

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger. I ABAX-konsernet er behandlingsansvarlig det ABAX-selskapet du har inngått avtale med. For personopplysninger som samles inn basert på oppfyllelse av avtaler med våre kunder vil det som regel være kunden selv som er behandlingsansvarlig.

Databehandler 

Når det er ABAX sin kunde som er Behandlingsansvarlig har ABAX rollen som Databehandler. For dette formål er det inngått en Databehandleravtale mellom kunden og ABAX. 
ABAX har også inngått avtaler med underleverandører om databehandling. Egne databehandleravtaler regulerer alle personopplysninger som deles med våre underleverandører. Våre underleverandører kan ikke bruke opplysningene til andre formål enn det som er bestemt av Behandlingsansvarlig.

Dine rettigheter

Innsyn 

Du har rett til å få informasjon om hvilke personopplysninger vi behandler og hvordan vi behandler dem. En god del av den informasjonen vi har om deg som kunde, får du oversikt over på dine personlige sider. Forespørsler om ytterligere innsyn gjøres til Behandlingsansvarlig for opplysningene.

For ansatte i bedrifter som er kunder av ABAX er noen datafelter kun synlige for den ansatte selv, og ikke for arbeidsgiver (bl.a. private turer i ABAX Triplog). Dersom det via arbeidsgiver (Behandlingsansvarlig) bes om kopi av alle data registrert på den ansatte, gjøres det oppmerksom på at disse data da også kan være synlige for arbeidsgiver i denne prosessen.

Retting 

Det er viktig at opplysningene vi har om deg er riktige og at de er nødvendige for å iverksette avtalene vi har inngått med deg og gi deg god service. Du kan kreve at vi retter og sletter opplysninger om deg hvis de er mangelfulle eller unødvendige. Krav om retting gjøres til Behandlingsansvarlig for opplysningene.

Sletting 

ABAX sletter personopplysninger når de ikke lenger er nødvendige for å oppfylle det formålet de ble innhentet for. Det betyr at så lenge du har en avtale med oss, lagrer vi nødvendige opplysninger om deg. Når avtaleforholdet avsluttes, vil vi slette data med mindre avtale om videre lagring er inngått. Mer informasjon om sletting finnes i vilkår for våre tjenester. Krav om sletting av opplysninger rettes til Behandlingsansvarlig. Om det er lovbestemte krav til minimum lagringstid, for eksempel for regnskapsmateriale, vil ikke sletting kunne kreves før denne minimumstiden er passert.

Informasjonskapsler (cookies)

Formål 

Informasjonskapsler (cookies) er små filer som lagrer informasjon om hvordan du bruker en internettside. Informasjonen lagres i den nettleseren du bruker, altså hos deg.

ABAX bruker informasjonskapsler på våre hjemmesider for å: 

  • lære av din adferd, slik at vi kan forbedre nettstedets funksjonalitet, brukeropplevelse og innhold 
  • tilpasse innholdet, slik at det blir mest mulig relevant for deg 
  • gi deg relevant og tilpasset markedsføring på andre nettsteder du besøker

Du kan oppleve å se annonser fra oss på andre nettsteder, basert på innhold og sider du har besøkt på nettsidene våre. Informasjonskapslene som brukes for å få til det inneholder kun informasjon om hvilke sider du har besøkt på nettstedet vårt, og ikke opplysninger som kan identifisere deg som kunde.

Opplysningene vi innhenter i forbindelse med bruk av våre hjemmesider kan i visse tilfeller bli kombinert med informasjon fra ditt øvrige kundeforhold. 

Benytter du nettsidene våre uten å skru av funksjonen for informasjonskapsler i nettleseren din, aksepterer du ABAX´ bruk av informasjonskapsler. Det er dessverre ikke teknisk mulig å logge inn på sidene våre hvis du ikke aksepterer at vi legger informasjonskapsler i nettleseren din.

Slik unngår du informasjonskapsler 

Om du ikke vil tillate lagring av informasjonskapsler på din datamaskin, må du slå av funksjonen i nettleseren. Vær oppmerksom på at dette vil føre til at du mister funksjonalitet på www.abax.com og andre nettsteder.

Du kan slette informasjonskapsler ved å følge instruksjonene for sletting av informasjonskapsler i din nettleser.

Hvis du ønsker å tillate informasjonskapsler, men samtidig følge med på hva vi egentlig lagrer, så finnes det tillegg til nettleseren din som lar deg gjøre det på en forholdsvis enkel måte. Et mye brukt alternativ finner du på www.ghostery.com.

Personvern på www.abax.com

Bruk av analyseverktøy 

På www.abax.com registrerer vi følgende informasjon om deg: 

  • din posisjon, ved bruk av IP-adresse, posisjonsdata eller lignende
  • dine elektroniske spor, for eksempel hvilke sider du besøker og hvilke produkter du bestiller 
  • teknisk informasjon om din nettleser og ditt operativsystem 

Informasjonen om din adferd på våre nettsider bruker vi til disse formålene: 

  • analyse 
  • personlig tilpassing av nettstedet 
  • kundeservice 
  • markedsføring 

Vi benytter Google Analytics til trafikkanalyse på www.abax.com og tilhørende nettsteder. Du kan reservere deg mot Google Analytics fra denne siden: Google Analytics 

Du kan bli kontaktet 

Dersom du benytter veileder for produkt på våre hjemmesider, kan det hende at vi kontakter deg i salgsøyemed basert på din bruk av veilederen.

Personprofiler 

I ABAX bruker vi ved noen anledninger personprofiler for å tilpasse våre tilbud til deg. Personprofiler er en sammenstilling av opplysninger vi har fått fra deg, som for eksempel navn, adresse, andre opplysninger du har oppgitt, hvilke tjenester du bruker og trafikkopplysninger. Når vi benytter oss av profilering i vår markedsføring, opplyser vi deg om det.

Personvernombud 

ABAX´ personvernombud, Christine Blomquist, skal blant annet være en hjelp for deg som kunde. Har du spørsmål om hvordan vi behandler dine personopplysninger, kan du kontakte personvernombudet på dpo@abax.no. 
På Datatilsynets hjemmesider kan du lese mer om hvilke krav som stilles for behandling av personopplysninger.