PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Like dokumenter
Personvernerklæring i NOAH AS

Personvern i EPD-Norge

Personvern i Amento AS

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvern i Otrera AS

Personverndokument NLT

NINAs personverndokument

Personvern i Konstali Helsenor AS

Personverndokument. For Tana Arbeidsservice AS 6.6 KONTAKTPERSONER HOS OPPDRAGSGIVER, SAMARBEIDSPARTNERE OG LEVERANDØRER

Personvern i Skjervøy Arbeidssamvirke AS

Utarbeidet dato: Utarbeidet av : Mari Johnsen Revisjonsnr. : 1 Revidert dato : Personvern i BME Johnsen AS

Personvern i Norges studentidrettsforbund

Revisjonsnummer 2 Sist revidert av Thorsrud Richard Skaar

GDPR General Data Protection Regulativ

Personopplysningsvern med ProFundo som databehandler

Prosedyre for personvern

GDPR HVA ER VIKTIG FOR HR- DATA

Rusmiddeltesting i arbeidslivet et personvernperspektiv

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

OM PERSONVERN TRONDHEIM. Mai 2018

Arbeidsgivers personvernplikter

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

Behandling av personopplysninger i Revisjon Vest AS

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Policy for personvern

Kunden er behandlingsansvarlig Unifaun er databehandler

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Personvern i Landbrukstenester Sogn SA

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

PERSONVERNERKLÆRING Behandling av personopplysninger i Øst-Revisjon DA

GDPR Hva, hvordan og når

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Henvendelse om vår behandling av personopplysninger kan rettes til:

Personvernerklæring. Behandling av personopplysninger i ValdresRevisorene AS og ValdresØkonomene AS

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernerklæring for Edvarda (Consortia Manager)

Databehandleravtale. Charlotte Lindberg Difi

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

PERSONVERNERKLÆRING Behandling av personopplysninger i Høilund Revisjon AS

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Seminar for Norids forhandlere

Personvernerklæring for Vesterålsprodukter AS

Personvernerklæring for medlemmer

Behandling av personopplysninger i Sigma Revisjon Drammen AS

DATABEHANDLERAVTALE. 1. Bakgrunn

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Databehandleravtale for Visma Avendo Webtime

GDPR Prosjektgjennomføring Sjekkliste

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

PERSONVERNERKLÆRING Behandling av personopplysninger i Revisjonskompaniet Midt-Norge AS

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

Personvernperspektivet og oppbevaring av intervjumateriale

PERSONVERNERKLÆRING Behandling av personopplysninger i Lundes Revisjonskontor I DA

Personvernerklæring for Webstep AS

Personvernerklæring for jobbsøkere til Gunnar Holth Grusforretning AS

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

GDPR - Personvern

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Personvernerklæring for Studentweb

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

INTEGRITETSPOLICY REKRUTTERING

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Personvernerklæring for Søknadsweb

Nytt regelverk, nye muligheter og masse avviksmeldinger!

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Personvernerklæring for Flyt Høgskolen i Molde

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

INFORMASJON OM BEHANDLING AV PERSONOPPLYSNINGER VED REKRUTTERING AV NYANSATTE

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Forte Fondsforvaltning AS personvernerklæring

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvernerklæring for Søknadsweb

PERSONVERNERKLÆRING LOFOTREVISJON AS

Personvern-rett H2016

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvernerklæring for Søknadsweb

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Transkript:

PERSONVERNSERKLÆRING AVANTI RYFYLKE. I personvernserklæringen finner du generell informasjon om behandling av personopplysninger hos Avanti Ryfylke og hvilke rettigheter du har. Avanti Ryfylke skal behandle personopplysningene dine på en lovlig og sikker måte. Å behandle opplysninger betyr for eksempel: - Å samle dem inn - Registrere dem - Sette dem sammen - Lagre dem - Utlevere dem

Side 2 av 15 PERSONVERN HOS AVANTI RYFYLKE AS. 1. OM PERSONVERNDOKUMENTET - s. 2 2. ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER HOS OSS - s. 2 3. KUNNSKAP OM REGLENE FOR PERSONOPPLYSNINGER - s. 2 4. KARTLEGGING AV BEHANDLING AV PERSONOPPLYSNINGER - s. 2 5. GRUNNKRAV FOR BEHANDLING AV PERSONOPPLYSNINGER - s. 3 6. GRUNNLAG FOR BEHANDLINGG AV PERSONOPPLYSNINGER - s. 4 6.1 BEHNANDLINGSGRUNNLAG - s. 4 6.2 BEHANDLING AV PERSONOPPLYSNINGER I FORBINDELSE MED GJENNOMFØRING AV ARBEIDSMARKEDSTILTAK - s. 5 6.3 ANSATTE - s. 6 6.4 TIDLIGERE ANSATTE - s. 6 6.5 JOBBSØKERE - s. 7 6.6 KONTAKTPERSONER HOS LEVERANDØRER/ BEDRIFTSKUNDER - s. 8 6.7 ANDRE KONTAKTPERSONER - s. 8 7. GRUNNLAG FOR BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER - s. 9 8. INFORMASJON TIL DE REGISTRERTE (PERSONVERNERKLÆRING) - s.10 9. REGISTRERTES RETTIGHETER - s. 10 10. SLETTING AV PERSONOPPLYSNINGER - s. 11 11. PERSONVERNOMBUD - s. 12 12. ALMINNELIG RISIKOVURDERING - s. 12 13. INFORMASJONSSIKKERHET - s. 13 14. AVVIK, ANALYSE AV AVVIK OG TILTAK FOR Å RETTE OPP I DEM - s. 13 15. KJØP AV IT-TJENESTER-DATABEHANDLERAVTALER - s. 14 16. BRUDD PÅ PERSOPPLYSNINGSIKKERHETEN - s. 14 17. KONTROLL, OPPDATERING OG REVISJON AV DOKUMENTET - s. 14 2

Side 3 av 15 1. Om personvernsdokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger er i samsvar med loven. 2. Ansvar for behandling av personopplysninger hos oss. Bedriften er ansvarlig for personopplysninger vi behandler, for eksempel om egne ansatte, kontaktpersoner hos kunder og leverandører, privat kunder og andre forretningsforbindelser. Bedriften har ansvaret for å overholde de plikter som følger av regler og lover om personopplysninger. 3. Kunnskap over reglene om personopplysninger. Vi skal sørge for at ansatte har kjennskap til reglene om personopplysninger, herunder dette dokumentet om personvern. Kunnskapsnivå skal være tilpasset den enkelte ansattes behandling av personopplysninger. 4. Kartlegging av behandling av personopplysninger. Vi skal kartlegge all behandling av personopplysninger. Dette skal vi gjøre i et eget skjema der vi angir blant annet kategorier av registrerte, formål med behandlingen, formål med behandlingen og hvilke grunnlag den har for behandlingen. Skjemaene skal bidra til at vi etterlever reglene om behandling av personopplysninger. 3

Side 4 av 15 5. Grunnkrav for behandling av personopplysninger. Loven stiller opp seks grunnlag som gjelder for all behandling av alle personopplysninger. Vi skal sørge for at personopplysninger skal: a) Behandles på en lovlig, rettferdig og åpen måte med hensyn til den registrerte. b) Samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke videre behandles på en måte som er uforenelig med formålene. c) Være adekvate, relevante og begrenset til det som er nødvendig for formålene. d) Være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene, uten opphold slettes eller korrigeres. e) Lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene. f) Behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak Hvis personopplysninger brukes til andre formål enn de er samlet inn for (se punkt b) ovenfor), skal vi alltid vurdere om det nye eller endrede formålet er forenelig med det opprinnelige. Vi skal da ta hensyn til de faktorene som fremgår av artikkel 6.d 4

Side 5 av 15 6. Grunnlag for å behandle personopplysninger. 6.1 Behandlingsgrunnlag Vi skal ha minst ett av følgende grunnlag for all behandling av personopplysninger: a) Den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål. b) Behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på anmodning fra den registrerte før en avtaleinngåelse. c) Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige. d) Behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn (interesseavveining) Det skal gå frem av kartleggingsskjemaet hvilke grunnlag vi har for å behandle opplysninger. Når grunnlaget for behandling er samtykke fra den registrerte (se p.k.t 6.1 a), skal vi sette oss inn i de særlige reglene som gjelder for slike samtykker, blant annet kravet om dokumentasjon. Hvis grunnlaget for behandling er vår berettigede interesse (interesseavveining se p.k.t 6.1 d), skal vi konkret og skriftlig dokumentere avveiningen. 6.2 Behandling av personopplysninger i forbindelse med gjennomføring av arbeidsmarkedstiltak. 5

Side 6 av 15 I forbindelse med gjennomføring av arbeidsmarkedstiltak, ligger det rettslige grunnlaget i lov om arbeidsmarkedstjenester (arbeidsmarkedsloven), lov om arbeids- og velferdsforvaltningen (NAV loven) og forskrift om arbeidsmarkedstiltak (tiltaksforskriften). Bedriftens rettslige grunnlag for å behandle personopplysninger i forbindelse med arbeidsmarkedstiltak er avledet av NAV s ansvar for å gjennomføre/organisere arbeidsmarkedstiltak. NAV er behandlingsansvarlig og bedriften er databehandler. Det rettslige forholdet mellom NAV og bedriften reguleres av databehandleravtalen. Unntaket er tiltak der deltakere har et ansettelsesforhold (VTA). Lønnsopplysninger, arbeidsavtaler, fraværsregistrering og eventuelt advarsler er personopplysninger som er knyttet til arbeidsforholdet og ikke selve tiltaksdeltakelsen. For disse opplysningene er bedriften behandlingsansvarlig, mens det for opplysninger knyttet til tiltaksdeltakelsen er NAV behandlingsansvarlig og bedriften databehandler. 6

Side 7 av 15 6.3 Ansatte Behandling av opplysninger er i hovedsak rettslige forpliktelser. Noe av behandlingen er også basert på interesseavveining. Vi har behov for å dokumentere at vi har oppfylt forpliktelser etter lov og avtale etter at de er oppfylt. Dette er berettigede interesser. Det er ikke mulig å ha tilgang til opplysningene på annen måte enn å lagre dem, behandling er derfor nødvendig. Ansatte hos oss har et løpende avtaleforhold med oss. Personopplysningene vi behandler er tilknyttet dette avtaleforholdet. Det er i stor grad snakk om opplysninger ansatte selv har gitt oss. Opplysningene gjelder forhold det er nærliggende at en arbeidsgiver behandler. 6.4 Tidligere ansatte Behandlingen av de fleste personopplysningene er basert på interesseavveining. Det kan oppstå behov for oss å dokumentere personalforhold også etter at arbeidsforholdet er avsluttet, for eksempel ved en tvist med den tidligere ansatte. Dette kan gjelde for eksempel dokumentasjon for at vi som arbeidsgiver har oppfylt våre forpliktelser etter lovgivning eller arbeidsavtalen. Dette er en berettiget interesse. Det er ikke mulig å ha tilgang til opplysningene på annen måte, behandling er derfor nødvendig. Behandlingen går ut på å lagre opplysningene i inntil 12 måneder. Opplysninger om at den ansatte har vert ansatt, varighet av arbeidsforholdet og arbeidsoppgaver kan vi lagre lengre.opplysningene vil ikke bli utlevert til andre uten at den tidligere ansatte ber om det, for eksempel i forbindelse med vurdering av ansettelse hos ny arbeidsgiver. 7

Side 8 av 15 6.5 Jobbsøkere Behandlingen av personopplysninger er basert på interesseavveining. Vi har behov for å bruke opplysninger for å vurdere jobbsøknader. Dette er en berettiget interesse. Det er ikke mulig å vurdere søknader uten å behandle personopplysninger. Behandling er derfor nødvendig. Vi ber de som vil søke jobb hos oss om å sende oss opplysninger om navn, utdanning, arbeidserfaring, referansepersoner mv (CV). Jobbsøkere vil ofte gi ytterligere personopplysninger de selv regner som relevante for vurderingen av deres søknad, for eksempel kontakt informasjon, familie forhold og interesser. I intervjuer stiller vi spørsmål for å avgjøre om jobbsøkeren passer til stillingen. I noen tilfeller kan vi bruke spørsmålsskjemaer for dette formålet. Hvis det blir aktuelt å ansette jobbsøkeren vil vi kunne be om ytterligere informasjon samt om dokumentasjon for opplysninger vi allerede har fått. Det er frivillig å gi oss opplysninger. Vi bruker ikke opplysningene til noe annet enn å vurdere søknaden. Vi gir ikke opplysningene til andre og kan beholde opplysninger fra jobbsøkere i 6 måneder, i tilfelle jobbsøkere skulle mene at deres rettigheter ikke er oppfylt. 6.6 Kontaktpersoner hos leverandører/bedriftskunder. 8

Side 9 av 15 Behandlingen av personopplysninger er basert på interesseavveining. Vi har behov for å holde kontakt med våre leverandører for å følge opp blant annet bestillinger og leveranser. Dette er en berettiget interesse. Den kontakten blir bare effektiv ved å kontakte enkeltpersoner direkte. Behandling er derfor nødvendig. Behandlingen skjer overfor kontaktpersonens arbeidsgiver, som ønsker å være leverandør hos oss. I tillegg til navn behandler vi kontaktopplysninger, som telefonnummer, e-post adresse, dette er knyttet først og fremst til kontaktpersonens arbeidsforhold og ikke til kontaktpersonens privatliv. Omfanget av opplysningene er svært begrenset. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen. Vi mener at den berettigede interessen går foran kontaktpersonens interesser. 6.7 Andre kontaktpersoner. Behandling av personopplysninger er basert på interesseavveining. Vi har behov for å ha kontakt med offentlige myndigheter, for eksempel NAV og tilsynsmyndigheter i forbindelse med offentligrettslige forhold der vi kan ha forpliktelser og rettigheter. Dette er en berettiget interesse.i en del tilfeller vil den kommunikasjonen kun være effektiv hvis vi kan kontakte enkeltpersoner direkte. Behandling er derfor nødvendig. Vi lagrer navn og kontaktdetaljer og bruker opplysningene til å kontakte personens arbeidsgiver. Opplysningene er knyttet til kontaktpersonens arbeidsgivers virksomhet og ikke til kontaktpersonens privatliv. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen. Vi mener at den berettigede interessen går foran kontaktpersonens interesser. 7. Grunnlag for behandling av sensitive personopplysninger. 9

Side 10 av 15 Behandling av sensitive personopplysninger krever behandlingsgrunnlag i tillegg til de som er nevnt i punkt 6. Sensitive personopplysninger er: - helse - opplysninger om rasemessig eller etnisk opprinnelse - politisk oppfatning - religion - overbevisning - fagforeningsmedlemskap - genetiske opplysninger - biometriske opplysninger - seksuelle forhold eller seksuell orientering Skal vi behandle slike opplysninger, skal vi sørge for å ha behandlingsgrunnlag. For ansatte hos oss vil opplysninger om helse være særlig aktuell. Helse omfatter for eksempel sykdom, skader og fravær begrunnet i dette. Særlig aktuelt behandlingsgrunnlag vil være at behandling er nødvendig i egenskap av arbeidsgiver, for eksempel ved oppfølging og rapportering til offentlige myndigheter eller ved tilrettelegging av arbeidsforholdet. Behandling av opplysninger om straffbare forhold og lovovertredelser o.l. er underlagt særlige regler som vi skal sette oss inn i hvis vi skal behandle slike opplysninger. 10

Side 11 av 15 8. Informasjon til de registrerte. (Personvernerklæring) Vi skal gi lovbestemt informasjon til de registrerte. Vi skal gi slik informasjon i en personvernerklæring. Alle registrerte skal ha tilgang til den informasjonen som gjelder dem. Informasjon om personvern gir vi til ansatte gjennom vår Kvalitetshåndbok og gjennom vår Brukerhåndbok for ansatte i VTA Dersom den registrerte har utfordringer med å lese og forstå informasjonen i permen, vil vi vurdere en annen hensiktsmessig måte informasjonen kan gis på. Informasjonen skal inneholde blant annet: - Navnet på bedriften - Kontakt informasjon - Formålet med behandlingen - Kategoriene av personopplysninger - Mottakere av personopplysninger (dersom de utleveres) - Info om e.v.t utlevering av personopplysninger til andre land - Hvor lenge personopplysningene lagres - De registrertes rett til å kreve innsyn, rette eller slette personopplysningene - Hvordan virksomheten fikk tilgang til personopplysningene - Muligheten til å klage virksomheten inn til Datatilsynet. 9. Registrertes rettigheter. Vi skal besvare henvendelser fra registrerte uten ugrunnet opphold. Mottar vi slike henvendelser, skal de sendes til daglig leder. Vi skal sørge for at registrerte får gjennomført rettighetene sine hos oss. 11

Side 12 av 15 10. Sletting av personopplysninger Vi skal slette personopplysninger uten ugrunnet opphold når de ikke lengre er nødvendig for formålet de ble samlet inn eller behandlet for. Vi skal gå igjennom dette minst `en gang i året. Personer i tiltakene VTA og AFT Personopplysningene slettes etter 12 uker. Ansatte Vi beholder som hovedregel alle opplysninger i hele ansettelsestiden. Ansatte kan be om at opplysningene blir slettet. Dette vil bli vurdert konkret. Lovgivningen kan stille krav til lengre oppbevaringstid. Tidligere ansatte og jobbsøkere Se ovenfor om behandlingsgrunnlaget for disse kategoriene. Lovgivning kan stille krav til lengre oppbevaring enn det som fremgår der. Kontaktpersoner hos leverandører og kunder Vi skal slette opplysningene når vi er kjent med at kontaktpersonen har sluttet hos leverandøren eller at kunde/leverandør har utpekt ny kontaktperson. Det samme gjelder når leverandør- eller kundeforhold er opphørt. Andre kontaktpersoner Vi skal slette opplysningene når vi er kjent med at personen ikke lengre er relevant for våre behov, herunder hvis personen slutter hos bedriften, den offentlige etaten osv. 12

Side 13 av 15 11. Personvernombud. Vi har en løpende vurdering på om vår bedrift skal ha et eget personvernombud. Vi tar behandlingen av sensitive personopplysninger svært alvorlig, og den enkelte ansatte er informert om våre prosedyrer og er ansvarlig for håndteringen av dette. 12. Alminnelig risikovurdering. Vi skal gjennomføre en risikovurdering av behandlingen av personopplysninger. Denne vurderingen skal gjøre oss i stand til å identifisere og definere hvilke sikkerhetstiltak som skal gjennomføres. Vurderingene skal gjelde sannsynlighet og alvorlighetsgrad (risiko) for personers rettigheter og friheter, som fysisk skade, diskriminering, identitetstyveri, omdømmeskade, tap av sosial aktelse, at konfidensielle opplysninger blir kjent for uvedkommende og uakseptable inngrep i privatlivets fred. Kartleggingsskjemaet viser at vi: - I vår primærtjeneste behandler sensitive opplysninger. - Behandler opplysninger om ansatte som er vanlige for å administrere personalforhold, herunder etterlevelse av lovpålagte forpliktelser. - Behandler opplysninger som en del av det å drive alminnelig næringsvirksomhet. - Påser at datasikkerheten blir ivaretatt i alle ledd. 13

Side 14 av 15 13. Informasjonssikkerhet. Vi skal etter loven treffe passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som svarer til risikoen knyttet til vår behandling av personopplysninger. Vi skal da ta hensyn til teknikkens stand, gjennomføringskostnadene og behandlingens karakter, omfang og sammenhengen den utføres i. Risikoene våre er vurdert overordnet i punkt 12. På bakgrunn av dette har vi gjennomført disse tiltakene: - Datasystem som gir mulighet for å spore endringer, hvem som har endret, til hvilket tidspunkt og i tillegg vise hvem som har lest i dokumentet og når dette skjedde - Begrenset tilgang der arbeidsleder eller veileder har kun tilgang til de personopplysninger som er relevant. - Dataleverandør som har backup-system, som sikrer at opplysninger lagret i filer/dokument ikke går tapt. - All lagring i eksterne servere er sikret med personlige tilgangskontoer som har to trinns innloggingsprosess. - Ansatte skal gis opplæring i bruk av virksomhetens IT-system. - Uvedkommende skal hindres tilgang til personopplysningene eller utstyr disse er lagret på. 14. Avvik, analyse av avvik og tiltak for å rette opp i dem. Bedriften har eget avvikssystem som også omfatter IT-sikkerhet og personvern. 14

Side 15 av 15 15. Kjøp av IT- tjenester Databehandleravtaler. Vi vil opptre som databehandleransvarlig når virksomheten kjøper IT- tjenester fra en tjenesteleverandør. Vi har da fortsatt ansvaret for at personvernlovgivningen blir etterlevd. Før vi kjøper IT- tjenester skal vi vurdere om leverandøren tilfredsstiller kravene til sikkerhet som personopplysningsloven krever. Leverandør skal kunne dokumentere at de oppfyller kravene. Dersom tjeneste leverandøren skal overføre personopplysninger til land utenfor EU/EØS, må det foreligge et lovlig grunnlag for dette. 16. Brudd på personopplysningssikkerheten. Ved brudd på personopplysningssikkerheten for eksempel ved et hackerangrep, skal vi melde dette inn til Datatilsynet. Brudd på personopplysningssikkerheten betyr brudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning eller tilgang til personopplysninger vi behandler. Vi skal dokumentere eventuelle brudd på personopplysningssikkerheten. Dette gjør vi ved å beskrive de faktiske forholdet rundt hendelsen. I tillegg skal vi beskrive virkningene dette førte til og hvilke tiltak som er tatt for å avhjelpe bruddet. Denne dokumentasjonen gjør det mulig for Datatilsynet å kontrollere at virksomheten har etterlevd kravene i loven. 17. Kontroll, oppdatering og revidering av dokumentet. Vi skal oppdatere og revidere dette dokumentet jevnlig. Bakgrunnen er blant annet at reglene i lov og forskrift kan bli endret, vår behandling av personopplysninger kan bli endret eller erfaringer kan tilsi at vi bør endre rutinene våre. Det er daglig leder som har ansvaret for at endringer og revisjoner blir identifisert og innarbeidet i dokumentet. Dette gjøres årlig. 15

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding