Nyttig informasjon om databehandleravtale og personvern (GDPR) for bedriftskunder

I forbindelse med den kommende innføringen av nye personvernregler i Norge, Sverige og Danmark ved ny personopplysningslov og implementering av personvernforordningen (General Data Protection Regulation­­ – "GDPR") oppstår det naturlig en del spørsmål. Under har vi samlet og besvart de mest gjengående spørsmålene fra våre bedriftskunder om GDPR og databehandleravtaler. (Nokas privatkunder er ikke omfattet av endringene i følge med GDPR.)

Hvordan er fremdriftsplanen til Nokas for å forberede den nye loven?

Nokas startet allerede tidlig i 2017 og er i full gang med tilpasningen til innføringen av nye personvernregler i Norden ved ny personopplysningslov og implementering av personvernforordningen (GDPR). Vi vil starte utsesendelse av informasjonsbrev uke 16 og en oppdatert databehandleravtale for våre tjenester vil være tilgjengelig for elektronisk signering av våre kunder fra og med samme uke.

Får vi tilsendt oppdatert databehandleravtale fra Nokas?

Som en følge av innføringen av nye personvernregler, må det inngås ny databehandleravtale. Informasjon om dette og hvordan den kan signeres elektronisk vil komme i informasjonsbrev og i enkelte tilfeller via personlig kontakt fra kundekontakt.

Kan vi som kunder sende Nokas vår egen "standard" databehandleravtale for signering av Nokas?

Databehandleravtalen som gjøres tilgjengelig fra Nokas vil tilfredsstille kravene i ny personopplysningslov og GDPR. Siden det er en nær sammenheng mellom tjenestene fra Nokas, vilkårene som regulerer tjenestene og databehandleravtalen, er det viktig at det er disse vilkårene og databehandleravtalen som gjelder for tjenestene fra Nokas.

Enkelte kunder har sendt oss sin standard databehandleravtaler som skal dekke tjenestene fra Nokas, men siden disse avtalene er standardiserte, er de sjelden dekkende for tjenestene fra Nokas og regulerer ikke behandlingen av personopplysninger som følge av tjenestene på en tilstrekkelig måte.

Nokas ber derfor om at databehandleravtalen som kommer fra oss regulerer tjenestene fra Nokas og behandling av personopplysninger som følge av disse, og at det ikke oversendes en annen databehandleravtale til Nokas. Databehandleravtaler som blir mottatt av Nokas som ikke er dekkende for Nokas' tjenester kan ikke bli inngått, og Nokas' databehandleravtale bør i stedet bli benyttet.

Hvilke endringer gjør dere i avtaleforholdene for å justere mot de nye personvernreglene?

Vi er i gang med en revidering av våre prosesser og vår databehandleravtale er klargjort for å oppfylle de nødvendige tilpasninger til det nye regelverket. Vi vil sørge for at alle påkrevde endringer blir innarbeidet i våre oppdaterte vilkår og avtaler.

Har dere god nok tilgangskontroll som sikrer våre personopplysninger?

Nokas har tilgangskontroll som tilfredsstiller de gjeldende sikkerhetskrav. Tilgangskontroll vil i tillegg bli gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt, dette sammen med evaluering av alle systemer og nødvendige organisatoriske krav.

Vil Nokas gi ut en egen personvernerklæring for kunders ansatte?

Nokas vil publisere en personvernerklæring for Nokas' håndtering av data i de tilfeller hvor Nokas er behandlingsansvarlig. Nokas kan på forespørsel komme med forslag til personvernerklæring som våre kunder kan ta utgangspunkt i for å utarbeide egen personvernerklæring i relasjon til Nokas’ tjenester (fordi våre kunder er behandlingsansvarlig). Nokas vil også ha en personvernerklæring publisert på hjemmesiden og våre Apper om ikke lenge.

Benytter Nokas underleverandører?

Nokas AS benytter underleverandører på noen drifts- og tjenesterelaterte oppgaver. I den grad disse leverandørene har tilgang til personopplysninger, vil det inngås databehandleravtaler mellom disse og Nokas AS i tråd med kravene i GDPR. En liste over våre nasjonale underleverandører er synliggjort i databehandleravtalen. For Nokas AS' datterselskaper (dersom du som kunde har avtale med et av Nokas AS' datterselskaper) vil Nokas AS være kontraktspart for databehandleravtalen. Nokas AS datterselskaper i Norden er:

Tjenesteleveranse

Underleverandør Nokas AS

Land

Elektronisk overvåkning

Nokas Teknikk Hed/Opp AS

Norge

Elektronisk overvåkning

AS Skan-Kontroll

Norge

Elektronisk overvåkning

Nokas Brannkonsult AS

Norge

Elektronisk overvåkning

Semac AS

Norge

Vakt og kontrolltjenester

Nokas Aviation Security AS

Norge

Vakt og kontrolltjenester

AS Skan-Kontroll

Norge

Vakt og kontrolltjenester

Semac AS

Norge

Vakt og kontrolltjenester

Nokas Beredskap AS

Norge

Kurs- og konsulenttjenester

AS Skan-Kontroll

Norge

Kurs- og konsulenttjenester

Semac AS

Norge

Kurs- og konsulenttjenester

Nokas Brannkonsult AS

Norge

Kurs- og konsulenttjenester

Nokas Beredskap AS

Norge

Kurs- og konsulenttjenester

Nokas Aviation Security AS

Norge

Verdihåndtering og logistikk

Nokas Verdihåndtering AS

Norge

Verdihåndtering og logistikk

Nokas CMS (Danmark) A/S

Danmark

Verdihåndtering og logistikk

Nokas Kontantservice P/S

Danmark

Verdihåndtering og logistikk

Nokas Komplementarselskab ApS

Danmark

Elektronisk overvåkning

Nokas Teknik AB

Sverige

Verdihåndtering og logistikk

Nokas Värde AB

Sverige

Vakt og kontrolltjenester

Nokas Security AB

Sverige

 

Flytter Nokas våre personopplysninger til land utenfor EU/EØS og godkjente tredjeland?

Dataene behandles i EU/EØS-området, med unntak av at Nokas AS benytter Cognisant Worldwide ltd. som leverandør av IT tjenester. Dette innebærer at enkelte ansatte i Cognisant har tilgang til personopplysninger via Nokas systemer. Nokas AS har selvsagt sørget for at tilgangen til disse opplysningene for de aktuelle ansatte i Cognisant vil være i tråd med kravene i GDPR. Nødvendige avtaler er allerede på plass i god tid før GDPR trer i kraft.

Behandler Nokas sensitive personopplysninger for sine kunder?

I de tjenester Nokas tilbyr, foretar ikke Nokas på vegne av kunden noen innsamling av sensitive personopplysninger / særskilte kategorier personopplysninger.

Hvilke tiltak setter Nokas i gang for å sikre at varslingsplikten overfor oss som kunde ivaretas?

Nokas har allerede etablerte varslingsrutiner ved hendelser rundt informasjonssikkerhet. Disse varslingsrutinene blir gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt. Databehandleravtalen beskriver varslingsfrister i tråd med forordningen.

Andre forhold som påvirker oss som kunde av Nokas når det gjelder GDPR?

Vår nye databehandleravtale tilpasset det nye regelverket vil være tilgjengelig for våre kunder fortløpende de kommende ukene og frem til det nye regelverket trer i kraft. Den oppdaterte avtalen må godkjennes av kunden innen regelverkets ikrafttredelse. Rent praktisk vil godkjenning av de oppdaterte betingelsene for de fleste kunder skje ved at den som mottar informasjonsbrevet hos kunden, og har de nødvendige fullmakter, godkjenner og krysser av for de tjenester Nokas leverer i databehandleravtalen direkte i vårt system etter innlogging.

Hvilke personopplysninger lagres?

Svaret på dette spørsmålet avhenger for det første av hvilket eller hvilke av Nokas’ produkter/tjenester kunden har avtale om med Nokas. De ulike tjenestevedleggende i Nokas databehandleravtale har listet opp de personopplysninger som behandles innenfor de ulike tjenesteleveransene.

Er de registrerte informert om innsamling/registrering av personopplysningene?

Nokas som databehandler i tilknytning til våre systemer har ingen kontroll over hvorvidt de registrerte faktisk er informert om innsamling/registering av opplysningene i de tjenester vi tilbyr våre kunder. Det er Nokas’ kunde (som behandlingsansvarlig) som skal informere de registrerte om innsamlingen/registreringen av opplysningene som legges inn i systemene eller registreres.

Er de registrerte kjent med hvor personopplysningene lagres?

Informasjon til de registrerte er det kunden (som behandlingsansvarlig) og ikke Nokas (som databehandler) som har kontroll over.

Finnes det rutiner for sletting av personopplysninger? Finnes dokumentasjon? Hvor er dokumentasjon lagret?

Nye rutiner og prosesser i tråd med det nye regelverket er utarbeidet og noe er under utarbeidelse. Vårt interne kvalitetskontroll vil kjøre revisjoner på sletterutiner, samt at alle våre systemer er samlet i en felles oversikt som er gjenstand for årlig evaluering og gjennomgang.

Som databehandler opptrer vi etter instruks fra/avtale med vår kunde (som behandlingsansvarlig), også hva gjelder når data slettes.

Har Nokas eget personvernombud?

Ja, Nokas har eget personvernombud som er godkjent av myndighetene.

Er personvernkonsekvensene vurdert? Er risiko- og sårbarhetsanalyse knyttet til systemet utført? Dokumentasjon? Hvor er dokumentasjonen lagret?

Vurdering av personvernkonsekvenser (DPIA) samt risiko- og sårbarhetsanalyser i tråd med det nye regelverket inngår som en sentral del av arbeidet Nokas har igangsatt for tilpasning til det nye regelverket. Alle nye behandlinger eller nye systemer som igangsettes vil bli underlagt en risiko- og sårbarhetsanalyse, i de tilfeller det er nødvendig gjennomføres en DPIA (Data Protection Impact Assessment) slik det er beskrevet i forordningen og artikkel 29 gruppen.

Hvilken informasjon sendes ut fra dere til oss i forbindelse med GDPR og når kan vi forvente info?

Det kommer et informasjonsbrev fra Nokas fortløpende de kommende ukene, med beskrivelse for hvordan du som kunde kan signere vår databehandleravtale.

Har du ytterligere spørsmål om Nokas og GDPR? Ta kontakt med Nokas kundesenter