Databehandleraftale

Aftalebetingelser for databehandling

Kunden som tiltræder disse vilkår og Evovia ApS, CVR-nr. 31285305 (Evovia) har indgået aftale om Kundens adgang til og brug af Evovia (Abonnementsaftalen). Evovia er en standard it-service udbudt af Evovia som en cloudtjeneste til brug for gennemførelse af MUS-samtaler mv.

Evovia vil være databehandler for Kunden under de anførte Abonnementsvilkår, i henhold til Databeskyttelsesforordningens definitioner, idet Evovia opbevarer og behandler personoplysninger som led i, at Evovia cloudtjenesten gøres tilgængelig for Kunden. Parterne anerkender, at Databeskyttelsesforordningen og Databeskyttelses-loven finder anvendelse for Evovias behandling af personoplysninger på vegne af Kunden.

Databehandlervilkårene er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen).

Databehandlervilkårene har virkning fra det tidspunkt Kunden accepterer dem, og Databehandlervilkårene erstatter fra dette tidspunkt enhver tidligere databehandleraftale indgået mellem parterne i relation til de aftalte behandlingsaktiviteter under Aftalen.

Databehandlervilkårene supplerer herudover Abonnementsaftalen og har forrang for deri konfliktende vilkår.

Databehandleraftale
Disse databehandlervilkår (Databehandlervilkår) udgør parternes databehandleraftale for de af Kunden overladte behandlinger af personoplysninger, og som Evovia har påtaget sig som led i levering Evovia cloudtjenesten.

Databehandlervilkårene fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Evovia foretager behandling af personoplysninger på vegne af Kunden, og Databehandlervilkårene angiver de sikkerhedsforanstaltninger, som Evovia iagttager.

For de behandlingsaktiviteter, der er overladt til Evovia at udføre for Kunden, er Evovia databehandler i overensstemmelse med de gældende databeskyttelsesregler, mens Kunden enten er dataansvarlig eller databehandler i overensstemmelse med de gældende databeskyttelsesregler. Parterne skal hver især overholde de forpligtelser, som de gældende databeskyttelsesregler fastsætter og Databehandler-vilkårene frigør dermed ikke hverken Evovia eller Kunden for sådanne forpligtelser.

Varighed
Databehandlervilkårene er gældende, fra de får virkning, og indtil Evovia har slettet Kundens data i overensstemmelse med disse Databehandlervilkår. Databehandlervilkårene og Abonnementsaftalen er indbyrdes afhængige, og Databehandlervilkårene kan derfor ikke opsiges særskilt.

Evovias særlige garantier
Evovia garanterer overfor Kunden, at Evovia besidder tilstrækkelig ekspertise, pålidelighed og ressourcer til at gennemføre fornødne foranstaltninger for at overholde Databeskyttelsesforordningen for så vidt angår de behandlingsaktiviteter, Evovia skal gennemføre for Kunden efter Abonnementsaftalen.

Kundens særlige ansvar
Kunden er ansvarlig for at overholde den til enhver tid gældende persondatalovgivning i forhold til de personoplysninger, som overlades til Evovias behandling. Kunden er herunder overfor Evovia navnlig ansvarlig for og indestår for, at:

- Kunden har fornøden hjemmel til at behandle og til at overlade det til Evovia at behandle de personoplysninger, der indlæses i Evovia. I de tilfælde hvor Kunden er databehandler for de personoplysninger, som overlades til Evovias behandling, garanterer Kunden overfor Evovia, at Kundens instrukser, sådan som de kommer til udtryk gennem disse Databehandlervilkår og Abonnementsaftalen samt anvendelsen af Evovia inklusive underdatabehandlere som anden databehandler, er autoriseret af den dataansvarlige.

- Den afgivne Instruks, i henhold til hvilken Evovia skal behandle personoplysninger på vegne af Kunden, er lovlig. Kunden er herudover ansvarlig for at have gennemført fornødne sikkerhedsvurderinger i forhold til Kundens brug af Evovia cloudtjenesten, herunder erklærer Kunden, at Kunden under hensyntagen til det aktuelle tekniske niveau i Evovia og hos Evovia i øvrigt i forhold til de beskrevne foranstaltninger i Databehandlervilkårene, implementeringsomkostningerne og de overladte behandlings karakter, omfang, sammenhæng og formål samt risiciene for fysiske personers rettigheder og frihedsrettigheder har vurderet, at de af Evovia gennemførte sikkerheds-foranstaltninger er passende, og at de sikrer et sikkerhedsniveau, der passer til de identificerede risici for de registrerede personer, som de overladte oplysninger vedrører.

Behandlingernes karakter og formål
De aftalte behandlingers karakter er fastsat af parterne til levering af en standardiseret cloudtjeneste fra Evovia til Kunden, og hvori Kundens data opbevares og lagres, og hvor Kunden kan initiere supplerende behandlinger, så som eksempelvis generering af statistik, som gennemføres af Evovia på automatiseret vis.

Det kan herudover være aftalt konkret mellem parterne, at karakteren af behandlingerne også omfatter levering af tjenesteydelser, som medfører behandling af Kundens oplysninger.

Evovia vil dermed behandle de overladte oplysninger med det aftalte formål at levere servicen Evovia til Kunden, herunder at facilitere den aftalte funktionalitet som fastlagt i Aftalen.

Typen af oplysninger
De overladte behandlinger omfatter de typer af oplysninger, som Kunden indtaster og indlæser i Evovia cloudtjenesten. Dette omfatter navne, e-mail adresser, medarbejderes placering i organisationen, oplysninger om nærmeste leder samt de øvrige personoplysninger, som medarbejderen og dennes leder selv lægger ind i cloudtjenesten, fx forberedende notater, score, kommentarer af aftaler og handlingsplaner med deadline ved MUS, APV mv..

Kategorier af registrerede
Kategorierne af registrerede personer omfatter de kategorier, som Kunden lader omfatte af brugen af Evovia er designet til, at der kan indtastes oplysninger om navnlig Kundens medarbejdere.

Hvis en kunde ønsker at anvende Evovia-værktøjet 360 graders lederevaluering, hvori fx også indgår bidrag fra eksterne interessenter, så vil kategorierne af registrerede også omfatte sådanne eksterne interessenter.

Tilsvarende hvis Kunden ønsker at anvende en teamdialog-gruppe, som inkluderer en eller flere eksterne interessenter.

Omfang af behandlingsaktiviteter
Ved Kundens accept af Databehandlervilkårene, instruerer Kunden Evovia til at foretage behandling af Kundens personoplysninger til levering af Evovia cloudtjenesten på vilkår som angivet i Abonnementsaftalen og disse Databehandlervilkår.

Kunden kan herudover anmode Evovia om at modtage yderligere skriftlige instrukser for behandling af personoplysninger for Kunden, idet Evovia frit kan vælge at acceptere eller afslå sådanne yderligere instrukser. Evovia accepterer dog altid en instruks om at ophøre med at foretage videre behandling, hvilket medfører at Evovia sletter Kundens data indenfor de frister, som er angivet under punktet om sletning af data nedenfor. Evovias forpligtelser efter Abonnementsaftalen, som ikke kan leveres som konsekvens heraf, ophører dermed også.

Evovia vil efterkomme Kundens instrukser, som Evovia har godkendt, medmindre behandling af oplysninger efter instruksen vil være i strid med den gældende databeskyttelseslovgivning, som Evovia er underlagt. I så fald underretter Evovia Kunden herom, medmindre også sådan underretning vil være i strid med gældende retsregler.

Evovia må kun behandle Kundens personoplysninger efter de instrukser fra Kunden, som Evovia har accepteret. Evovia er dog forpligtet til at foretage behandlinger, hvis dette følger af en retlig forpligtelse, som Evovia er underlagt. Evovia underretter i så fald Kunden herom inden behandlingen gennemføres, med mindre sådan underretning er ulovlig.

Varighed af behandlingsaktiviteter
Evovia foretager behandling af Kundens personoplysninger så længe Evovia er forpligtet under Abonnementsaftalen til at udføre behandlinger – typisk så længe Abonnementsaftalen er i kraft - og i en periode derefter indtil Evovia sletter Kundens data i overensstemmelse med reguleringen fastsat nedenfor i disse Databehandlervilkår.

Sikkerhedsforanstaltninger
Evovia iværksætter alle foranstaltninger, som kræves i henhold til Databeskyttelsesforordningen artikel 32, herunder vil Evovia gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de overladte personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne.

De gennemførte foranstaltninger er yderligere beskrevet i Evovias Beskrivelse af implementerede sikkerhedsforanstaltninger, version april 2022 (her), som Evovia løbende kan opdatere, idet ændringer i sikkerhedsforanstaltninger dog aldrig må føre til en forringelse af sikkerhedsniveauet. Opdaterede versioner af Beskrivelse af implementerede sikkerhedsforanstaltninger indgår automatisk som del af Databehandlervilkårene og erstatter tidligere versioner.

Rapportering af sikkerhedsbrud
Hvis Evovia bliver opmærksom på, at der er sket brud på persondatasikkerheden i forhold til de personoplysninger, Kunden har overladt til Evovia at behandle, skal Evovia underrette Kunden om bruddet på persondatasikkerheden uden unødig forsinkelse efter af Evovia er blevet bekendt med, at der er sket et sådant brud.

Evovia skal uden unødig forsinkelse efter at være blevet bekendt med at der er sket et brud på persondatasikkerheden tage rimelige og proportionelle skridt for at begrænse skaden ved bruddet.

Underretning til Kunden skal om muligt indeholde en beskrivelse af omstændighederne ved bruddet, bruddets karakter, hvilke skridt Evovia har taget eller påtænker at tage for at begrænse skaden ved bruddet, og hvilke forhold Evovia mener, Kunden skal være særlig opmærksom på i forbindelse med bruddet.

Evovia angiver i underretningen også kontaktoplysninger for Evovia, hvor yderligere oplysninger kan indhentes af Kunden.

Underretning kan fremsendes på e-mail til den kontaktadresse Evovia har noteret på Kunden.

Evovias meddelelse om brud på persondatasikkerheden udgør ikke en anerkendelse af skyld eller ansvar i forhold til et indtruffet brud på persondatasikkerheden.

Evovia bistår på anmodning Kunden med at sikre overholdelse af Kundens forpligtelserne i medfør af Databeskyttelsesforordningens artikel 33 og artikel 34 under hensyntagen til den overladte behandlings karakter og de oplysninger, der er tilgængelige for Evovia i forhold til et brud på persondatasikkerheden, som indtræffer hos Evovia.

Brug af underdatabehandlere
Kunden giver ved sin accept af disse Databehandlervilkår sin generelle godkendelse til at Evovia må gøre brug af andre databehandlere (underdatabehandler). Information om anvendte underdatabehandlere, inklusive deres funktion, og i hvilket land underdatabehandleren er etableret, er tilgængelig på (her).

Evovia sikrer ved antagelse af en underdatabehandler, at der indgås en skriftlig aftale med underdatabehandleren hvorigennem det sikres at:

1. der stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelsesforordningen.

2. Underdatabehandleren pålægges de samme databeskyttelsesforpligtelser som dem, der er fastsat i disse Databeskyttelsesvilkår, hvilket vil sige at kravene i Databeskyttelsesforordningen art. 28(3) skal efterleves samt at

3. Underdatabehandleren alene behandler Kundens persondata i den udstrækning, det er påkrævet for at opfylde de leveranceforpligtelser, underdatabehandleren har påtaget sig overfor Evovia, samt at behandlingen sker i overensstemmelse med de aftalte instrukser.

Opfylder en underdatabehandler ikke sine databeskyttelsesforpligtelser, forbliver Evovia fuldt ansvarlig over for Kunden for opfyldelsen af underdatabehandlerens databeskyttelsesforpligtelser.

Evovia kan løbende opdatere listen over anvendte underdatabehandlere. Opdatering skal ske mindst 30 dage forinden eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af en underdatabehandler gennemføres. Ved opdatering af listen, gives Kunden særskilt besked, for derved at give Kunden mulighed for at gøre indsigelse mod de planlagte ændringer. Hvis Kunden har indsigelser mod de planlagte ændringer, kan Kunden opsige sin Abonnementsaftale med Evovia med virkning enten øjeblikkelig eller fra udløb af den på opsigelsestidspunktet igangværende kalender måned. Det er en forudsætning for opsigelse efter dette punkt, at opsigelsen afgives overfor Evovia inden for 30 dage efter der er givet underretning om de planlagte ændringer. Opsigelse af Abonnementsaftalen er Kundens eneste beføjelser overfor Evovia i denne situation.

Overførsler af data
Medmindre Kunden giver Evovia særlig instruks herom, må Kundens data ikke overføres til et område udenfor EU.

Evovia kan dog overføre Kundens data til et tredjeland eller en international organisation når det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Evovia er underlagt. I så fald underrettes Kunden om dette retlige krav inden overførslen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

Kundens egen tilgang til personoplysninger indlagt i Evovia cloudtjenesten fra en lokation, som medfører at der sker en overførsel af personoplysninger til et tredjeland, anses som Kundens egen overførsel, og er dermed ikke omfattet af Evovias ansvar eller forpligtelser.

Bistand til Kunden
Evovia er forpligtet til på Kundens skriftlige anmodning herom, at yde Kunden følgende bistand:

Evovia bistår, under hensyntagen til de overladte behandlingers karakter, så vidt muligt Kunden ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af Kundens forpligtelse til at besvare anmodninger om udøvelsen af registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel 3 og som suppleret af Databeskyttelsesloven. Modtager Evovia en anmodning direkte fra en registreret eller potentielt registreret om udøvelse af dennes rettigheder, formidler Evovia straks henvendelsen videre til Kunden, som herefter afgør, om Evovias assistance skal rekvireres.

Evovia bistår også Kunden med at sikre overholdelse af Kundens forpligtelser i medfør af Databeskyttelsesforordningens artikel 32-36 under hensyntagen til de til Evovia overladte behandlingers karakter og de oplysninger, der er tilgængelige for Evovia.

Evovia er berettiget til et særskilt vederlag for den bistand, der ydes til opfyldelse af Kundens anmodninger under dette punkt ”Bistand til Kunden”. For så vidt angår bistand til opfyldelse af Kundens forpligtelser efter Databeskyttelsesforordningen art. 33-34 har Evovia dog ikke krav på vederlag for opfyldelse af de forpligtelser Evovia har efter punktet ”Rapportering af sikkerhedsbrud”.

Et vederlag efter dette punkt beregnes på grundlag af det tidsforbrug Evovia har anvendt samt Evovias almindelige timesats for sådant arbejde. De aktuelle priser er oplyst på prissiden (her).

Ansvar og ansvarsbegrænsning
For erstatning og anden kompensation, som skal betales til registrerede, som følge af en ulovlig behandling af personoplysninger, finder Databeskyttelsesforordningen artikel 82 og Databeskyttelsesloven § 40 anvendelse. I det indbyrdes forhold mellem parterne, er hver part dermed ansvarlig for at udrede den del af sådanne beløb, som svarer til partens del af ansvaret for skaden. Om nødvendigt fastsættes ansvarsfordelingen gennem domstolsprøvelse.

En part er ansvarlig for bøder og anden straf der pålægges parten som følge af en ulovlig behandling af personoplysninger, og uden mulighed for regres.

Evovias førelse af fortegnelser
Evovia er forpligtet til at føre fortegnelser over de kategorier af behandlingsaktiviteter, som udføres for Kunden i overensstemmelse med Databeskyttelses-forordningen art. 30. Kunden er forpligtet til at oplyse Evovia om navn og kontaktoplysninger på Kundens eventuelle repræsentant og databeskyttelsesrådgiver og ajourføre sådanne oplysninger, så fortegnelserne kan føres korrekt af Evovia.

Fortrolighedsforpligtelse
Evovia skal sikre, at de personer, Evovia har autoriseret til at behandle Kundens personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Evovia og enhver, der udfører arbejde for Evovia, og som har adgang til Kundens personoplysninger, må kun behandle disse oplysninger efter Kundens instruks, medmindre anden behandling kræves i henhold til en retlig regulering, som Evovia er underlagt.

Evovia må alene autorisere personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Evovias forpligtelser overfor Kunden. Evovia skal løbende vurdere autorisationer og lukke adgange, når autorisationer udløber eller ophører.

Tilsyn og revision
Evovia stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databeskyttelses-forordningen artikel 28 samt kravene til Evovia, som disse Databehandlervilkår fastsætter, til rådighed for Kunden. Evovia giver herunder mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Kunden eller en anden revisor, som er bemyndiget af Kunden.

En gang årligt gennemgår Evovias revisor, Deloitte, sikkerhedssetup og udsteder en revisionserklæring, som Evovia stiller til rådighed for Kunden på hjemmesiden.

Kunden kan anmode om gennemførelse af fysisk inspektion hos Evovia. Anmodning skal fremsendes skriftlig til Evovia med angivelse af, hvad Kunden ønsker at lade omfatte af inspektionen. Parterne aftaler herefter de nærmere omstændigheder og omfang for inspektion, herunder tidspunkt for gennemførelse og rapporteringsform.

Inspektion kan alene ske af en person, som underlægger sig Evovias almindelige sikkerhedsforanstaltninger, og som tiltræder en fortrolighedsklausul direkte overfor Evovia.

Evovia kan fremsætte indsigelse mod en af Kunden udpeget person til gennemførelse af inspektion, hvis den udpegede person efter Evovias rimelige vurdering ikke er egnet eller kvalificeret til at kunne gennemføre inspektionen, herunder at personen (1) ikke er uafhængig, (2) er en direkte konkurrent til Evovia eller (3) af anden grund oplagt er uegnet til varetagelse af opgaven.

Fremsætter Evovia indsigelse mod den udpegede person, må Kunden udpege anden person til gennemførelse af inspektionen.

Tilsyn med Evovias anvendte underdatabehandlere sker gennem Evovia. Kunden kan dog vælge at initiere og deltage på en fysisk inspektion også hos underdatabehandleren. Tilsyn skal her ske under overholdelse af underdatabehandlerens opsatte vilkår for inspektion.

Evovia og underdatabehandleres eventuelle udgifter i forbindelse med afholdes af et fysisk tilsyn/en inspektion hos enten Evovia eller underdatabehandleren, afholdes af Kunden. Evovia og en eventuel underdatabehandler er herudover berettiget til vederlag for den medgåede tid til inspektionen, fastsat ud fra gældende prisliste (her).

For så vidt angår dette punkt om ”Tilsyn og revision” underretter Evovia omgående Kunden, hvis en instruks efter Evovias mening er i strid med Databeskyttelsesforordningen eller anden gældende databeskyttelseslovgivning, som Evovia er underlagt.

Udlevering og sletning af Kundens data
Efter Kundens valg sletter eller tilbageleverer Evovia alle personoplysninger til Kunden, efter at tjenesterne vedrørende behandling er ophørt – typisk ophør af Abonnementsaftalen - og Evovia sletter eksisterende kopier, medmindre Evovia er underlagt en retlig forpligtelse, som foreskriver at Evovia skal foretage opbevaring af personoplysningerne.

Evovias gennemførelse af Kundens instruks om at slette eller udlevere Kundens oplysninger sker i overensstemmelse med Databeskyttelsesforordningens regulering og så hurtigt, som det er praktisk muligt. Som standard sletter Evovia kundedata fra driftsmiljøet 14 dage efter Abonnementsaftalen er ophørt. Kunden accepterer herunder, at Kundens data indgår i en backupprocedure i 90 dage, hvorefter alle kopier af Kundens data er slettet.

Ændringer til Databehandlervilkårene
Evovia kan med et varsel på 90 dage ændre disse Databehandlervilkår. Oplysninger om planlagte ændringer fremsendes til Kunden. Hvis Kunden ikke ønsker at acceptere de varslede ændringer, kan Kunden opsige sin Abonnementsaftale. Kunden har ikke herudover nogen beføjelser som konsekvens af ændringer til Databeskyttelsesvilkårene.

Eventuelle ændringer vil altid sikre, at de til enhver tid gældende minimumskrav i persondatareglerne til indholdet af en databehandleraftale, pt. art. 28 i GDPR, også vil være opfyldt efter en given ændring.

Evovias kontaktoplysninger
Kundens henvendelser til Evovia omkring databeskyttelse, herunder også anmodninger om tilsyn og inspektion skal fremsendes til:

Evovia ApS
INCUBA, Åbogade 15,
8200 Aarhus N
E-mail: support@evovia.com
Attention: CEO, adm. direktør
Tlf.: 8675 1242.

Parternes opbevaringspligt
Evovia og Kunden er forpligtet til at opbevare elektronisk hver sin version af disse Databehandlervilkår og Abonnementsaftalen, som fastsætter de supplerende aftalte instrukser og eventuelle øvrige oplysninger, som er af betydning for, eller supplerer disse Databehandlervilkår.


Version, august 2020

Få svar på dine spørgsmål

Arkivpligt og Arkivlov - Udlevering og sletning af kundens data?


Spørgsmål:
Vi er som offentlig organisation underlagt arkivloven og arkivpligt, derfor er det  vel ikke korrekt, at data bare slettes?

Svar:
I vores Databehandlervilkår står følgende:

Efter Kundens valg sletter eller tilbageleverer Evovia alle personoplysninger til Kunden, efter at tjenesterne vedrørende behandling er ophørt – typisk ophør af Abonnement Aftalen - og Evovia sletter eksisterende kopier, medmindre Evovia er underlagt en retlig forpligtelse, som foreskriver at Evovia skal foretage opbevaring af personoplysningerne.

Evovias gennemførelse af Kundens instruks om at slette eller udlevere Kundens oplysninger sker i overensstemmelse med Databeskyttelsesforordningens regulering og så hurtigt, som det er praktisk muligt. Som standard sletter Evovia kundedata fra driftsmiljøet 14 dage efter Abonnement Aftalen er ophørt. Kunden accepterer herunder, at Kundens data indgår i en backup procedure i 90 dage, hvorefter alle kopier af Kundens data er slettet.

Det betyder konkret:

  1. Kunden har valget mellem at få tilbageleveret data (dvs. selv hente det ud, som skal hentes ud) eller blot slettet data. Hvis Evovia tilbageleverer/kunden selv henter ud, så sletter vi efterfølgende på en aftalt dato. Det er det, der står i bestemmelsen – og det er det, som databeskyttelsesforordningen stiller krav om.
  2. Kunden kan dermed frit vælge at få udleveret data/selv hente dem ud. Hvis kunden er underlagt arkivloven og arkivpligten, kan man således blot få udleveret data/selv hente dem ud til dette formål.
    Der er derfor ikke noget problem i bestemmelsen.
  3. Kunden kan efter skriftlig henvendelse og mod særskilt betaling på kundens instruks få Evovia til at bistå med at hente de relevante data ud til arkivering af data efter arkivloven, forinden sletning gennemføres i Evovia.
Information om brud på persondatasikkerheden til tilsynsmyndigheden


Spørgsmål:

Nogle har spurgt os, om vi kan sætte en deadline, så vi som databehandlere rapporterer brud på datasikkerhed inden for max 24 timer. I øjeblikket står der "uden unødig forsinkelse".

Svar:
Nej, det hverken kan eller vil vi. Men derimod "smider vi, hvad vi har i hænderne". Og uden unødig forsinkelse opklarer vi alle relevante elementer og rapporterer om muligt. Ønsket om fx 24 timer er derfor ikke relevant. For det skyldes en fejllæsning af selve Persondataforordningens artikel 33 (se nedenfor her). Databehandleren skal rapportere uden unødig forsinkelse. Og dataansvarlige skal rapportere inden for 72 timer. Disse to tidsrammer hænger ikke sammen. Den dataansvarlige har 72 timer fra det øjeblik, databehandleren informerer dem.

Sagen er:

  • Hvis der er et brud på den personlige datasikkerhed, har vi som databehandler følgende ansvar:
  • “Informer dataansvarlig (=kunden) uden unødig forsinkelse efter at være gjort opmærksom på, at der har været en overtrædelse af den personlige databeskyttelse” (citat fra artikel 33).
  • Det betyder virkelig hurtigst muligt! Men også på en måde, så databehandler sikrer, at man ikke unødvendigt sår tvivl eller uro hos unødvendigt mange kunder, så databehandleren skal klargøre ting forsvarligt. Det sker hurtigst muligt! Og uden unødig forsinkelse.
  • Og derefter, når så kunden (=dataansvarlige) får besked, har kunderne 72 timer til at opfylde deres forpligtelser.
  • Det er selvfølgelig i alles interesse, at det sker så hurtigt som muligt! Eller: Uden unødig forsinkelse, som artikel 33 siger! 

Her er selve teksten: EU's Persondataforordning, Artikel 33  

Information om brud på persondatasikkerheden til tilsynsmyndigheden

  1. Ved brud på persondatasikkerheden anmelder den dataansvarlige uden uønsket forsinkelse og om muligt senest 72 timer efter at være blevet bekendt med det, krænkelsen af ​​persondatasikkerheden til den tilsynsmyndighed, der er kompetent i overensstemmelse med artikel 55, med mindre det er usandsynligt at krænkelsen af persondatasikkerheden udgør en risiko mod en virkelig persons rettigheder og frihed. Foretages anmeldelsen til tilsynsmyndigheden ikke inden 72 timer, ledsages den af en begrundelse for forsinkelsen.
  2. Databehandleren informerer uden unødig forsinkelse den dataansvarlige, når vedkommende opdager, at der er sket en overtrædelse af den personlige datasikkerhed.
  3. Den i stk. 1 omhandlede anmeldelse skal mindst:
    1. beskrive oprindelsen af bruddet på persondatasikkerheden, inklusiv, hvor det er muligt, kategorierne og det estimerede antal registrerede personer, såvel som kategorierne og det estimerede antal optegnelser af de berørte persondata.
    2. angive navne og kontaktinformationer på datasikkerhedskonsulenten eller en anden kontakt, hvor der kan tilbydes yderligere information.
    3. beskriv de tænkelige konsekvenser af bruddet på persondatasikkerheden.
    4. beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger til begrænsning af mulige skadelige virkninger.
  4. Når det ikke er muligt at give informationerne på samme tid, må informationerne gives i faser uden unødig forsinkelse.
  5. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder i forbindelse med brud på persondatasikkerheden, dens virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal gøre det muligt for tilsynsmyndigheden at kontrollere overholdelsen af ​​denne artikel.
Data til forskningsformål i 100 % anonymiseret form


Spørgsmål:
Jeg skriver i Abonnementsvilkår og Forretningsbetingelser på Evovia, der stiller data til rådighed for forskning på Aarhus Universitet i 100% anonymiseret form. I skriver også, at kunden måske ønsker at blive undtaget fra dette. Derfor spørger vi: Kan I specificere, hvad man mister som kunde, hvis ikke ønsker at have vores data inkluderet i den anonymiserede statistik?

Svar:
Det er korrekt. I vores Abonnementsvilkår og Forretningsbetingelser skriver vi således: (link).

Evovia forbeholder sig retten til, i samarbejde med universitetsforskere, at bruge statistisk data i 100 % anonymiseret form til specifikke formål. Det er en mulighed, som vi altid har I vores Forretningsbetingelser, og det er følgende principper:

Evovia foretager en dataudtræk, som er 100% anonymt og ikke kan identificere en bestemt kunde eller gruppe, idet datauddragene kun vælges på følgende parametre:

  • Lederens køn
  • Medarbejderens køn
  • Lederens kontrolpanel (antal medarbejdere, man er direkte leder for)
  • Offentlig eller privat virksomhed
  • Geografiske hovedkategorier
  • Og i nogle overordnede branchesegmenter, når der er sikkerhed for en kritisk masse af kunder, så anonymitet kan opretholdes.

Hvis en kunde ikke ønsker at indgå i sådanne benchmarks, kan de kontakte Evovia. Så vil kunden ikke deltage eller selv kunne benytte denne benchmark. 

I en række år har vi arbejdet sammen med blandt andet Statskunstskab på Aarhus Universitet. Læs mere her (link).

Det betyder,

  • Hvis en kunde ønsker at blive ekskluderet fra dette, vil kundens data ikke blive brugt til forskning.
  • Det vil heller ikke være muligt at lave en udtræk for virksomhedens data.  
Dokumentation for ISAE-3000-revisionserklæring


Spørgsmål:
Kan dataansvarlig få tilsendt den underliggende dokumentation for ISAE 3000-erklæringen, som fx underdatabehandleraftaler, risikovurdering osv.?

Svar:
Nej. Ikke uden videre. Og slet ikke få tilsendt!

Vores system er omgærdet af ekstrem høj sikkerhed, så derfor kan og må vi slet ikke sende en masse af den slags ud af huset. Derfor bruger vi et 6-cifret beløb hvert år på at få Deloitte til som uvildig og anerkendt revisionsfirma at udarbejde den årlige ISAE 3000–revisionserklæring ultimo maj, som alle vores kunder får indsigt i. I virkeligheden på samme måde som ved et revideret regnskab, som offentliggøres. Der bliver bilag og lignende heller ikke offentliggjort.               

Vores ISAE 3000 er revisionens dokumentation for og blåstempling af kontrolmålene i erklæringen. Hvis der er afvigelser på et eller flere kontrolmål, vil det tydeligt fremgå af revisors forbehold. Der er i erklæringen medtaget alle relevante kontrolmål udarbejdet af FSR, som er publiceret af Datatilsynet i februar 2019. Og det fremgår klart her, at de anførte kontrolmål er eksempler, som må tilpasses den enkelte virksomheds data, som behandles på kundernes vegne.

Hvis en kunde ikke er tilfreds med ISAE 3000-revisionserklæringen, kan en ledelseserklæring fra Musskema.dk’s direktion, på temaer som evt. ikke findes tilstrækkeligt belyst i ISAE 3000, komme på tale. Og hvis det fortsat ikke er tilfredsstillende, kan kunden bede om en ekstern Audit – som så til gengæld foregår on location og mod honorar og omgærdet af stor sikkerhed og fortrolighedserklæringer o.l. Om priser se her fra vores databehandleraftale.

Forskningssamarbejde med Aarhus Universitet


Spørgsmål:
Er der et fælles dataansvar hos Evovia, når Evovia selv behandler data ved for eksempel at sende anonyme data til forskning på Aarhus Universitet? 

Svar:
I Abonnementsvilkårene og Forretningsbetingelserne står som følger:

Evovia forbeholder sig ret til i samarbejde med universitetsforskere at anvende statistiske data i 100% anonymiseret form til videnskabelige formål. Dette er en mulighed, som vi altid har medtaget i vores forretningsbetingelser, og det følger følgende principper:

Evovia foretager et datauddrag, der er 100% anonymt og ikke kan identificere en bestemt kunde eller gruppe, da dataekstrakter kun vælges på følgende parametre:

  1. Lederens køn
  2. Medarbejderens køn
  3. Lederens kontrolpanel (antal medarbejdere, man er direkte leder for)
  4. Offentlig eller privat virksomhed
  5. Geografiske hovedkategorier
  6. Og i nogle overordnede branchesegmenter, når der er sikkerhed for en kritisk masse af kunder, så anonymitet kan opretholdes.

Hvis en kunde ikke ønsker at blive medtaget i et sådant benchmark, kan man fritages ved at kontakte Evovia. Derefter vil kunden hverken deltage eller kunne benytte sig af dette benchmark.

Det korte svar er herefter:

    • Nej, der er ikke tale om fælles ansvar her
    • Som kunde er du ansvarlig for det, du indtaster - og hvad du vil bruge de statistikker, der kan udtrækkes fra systemet, grafer og rapporter - og hvordan
    • Evovia er ansvarlig for, hvordan data lagres og stilles til rådighed for kunden - herunder i statistikker og rapporter, og at det overholder lovgivningen
    • Og i forhold til 100% anonyme data til forskningsformål på Aarhus Universitet - tilbyder vi ikke noget for dem, der ikke kan udtrække statistikker og rapporter, bare 100% anonymitet! Men vi har netop udvidet med geografi og overordnet industri + mand/kvinde leder, og her bruger vi et enkelt forskningsprogram, der "gætter" på køn med hensyn til fornavn med den risiko, at "Inge" er en drengs navn i Norge, mens det er et pigenavn i Danmark.
    • Og endelig kan enhver kunde på anmodning fravælge at deltage i og benytte sig af sådanne benchmarkdata. 
Garantier ved sikkerhedsbrud


Spørgsmål:
Der mangler noget, specielt i afsnittet "Rapportering af sikkerhedsbrud". Evovia giver ingen kontraktlige forsikringer om, at vi kan løfte 72 timers-kravet i forhold til en databrist fra dem, da Evovia ikke garanterer den slags information, Artikel 33 og 34 kræver.

Svar:
Nej, intet mangler. Begge dele er tydeligt indeholdt. Og Evovia giver de nødvendige garantier.

Vær opmærksom på, at dataansvarliges deadline for max 72 timer først regnes fra den meddelelse, der er modtaget fra databehandleren. Da databehandleren skal underrette uden unødig forsinkelse, og da databehandleren alene finder ud af, at der er sket en overtrædelse, vil dette i praksis giver meget begrænsede muligheder for databehandleren til at være opmærksom på overtrædelsen, så ​​meddelelsen kan gives.

I Evovia databehandleraftale følger heraf, at databehandleren er forpligtet til at bistå den dataansvarlige med at opfylde sine forpligtelser efter artikel 33 og 34.

Der er derfor indeholdt de nødvendige garantier for, at Evovia assisterer i forhold til at løfte den dataansvarliges forpligtelser.  

Yderligere dokumentation:
Betænkning angiver på side 496 at:

Som anført i bestemmelsens ordlyd, aktiveres den registeransvarliges forpligtelse til at anmelde personoplysninger til tilsynsmyndigheden, når den registeransvarlige er blevet opmærksom på brud på personoplysninger. En simpel formodning om, at brud på personoplysninger er sket eller en simpel opdagelse af en hændelse, anses ikke for tilstrækkelig til at betragte et brud på databeskyttelsen som værende "sket" i henhold til forordningen. En sådan simpel formodning kan dog forårsage, at den dataansvarlige skal overveje behandlingssikkerheden, jf. artikel 32.

I vurderingen af, om et brud er "sket", må antages at tage særligt hensyn til, om de oplysninger, der er nævnt i artikel 33, stk. 3, står til rådighed for udbyderen.

Og på side 497:

Hvad angår de tilfælde, hvor den registeransvarlige har forladt behandlingen af ​​personoplysninger til en databehandler, henvises der til forordningens artikel 33, stk. 1. 2, som er beskrevet mere detaljeret nedenfor.

Justitsministeriets bekendtgørelse forbinder derfor ikke datastyrelsens deadline og en databehandlers deadline.

Disse afsnit gentages i den manual, der er udstedt af Datatilsynet vedrørende krænkelser af personoplysninger.

Artikel 29 gruppen har i deres WP250 om brud på persondatasikkerheden på side 13 anført:

Artikel 33, stk. 2, gør det klart, at hvis en databehandler benytter en databehandlers data, og databehandleren bliver opmærksom på en overtrædelse af de personoplysninger, vedkommende behandler på vegne af, skal vedkommende underrette administrationen ”uden unødig forsinkelse”. Det er vigtigt at bemærkes, at databehandleren ikke først skal vurdere sandsynligheden for risiko som følge af en overtrædelse, inden vedkommende underretter den dataansvarlige. Det er den dataansvarlige der må foretage den nødvendige vurdering for at blive opmærksom på overtrædelsen. Databehandleren skal konstatere, om der er sket en overtrædelse, og giver derefter besked til den dataansvarlige. Den dataansvarlige bruger databehandleren til at nå sine mål; Derfor bør den dataansvarlige i princippet betragtes som "opmærksom", når databehandleren har informeret om overtrædelsen. Databehandlerens forpligtelse til at underrette sin registeransvarlig gør det muligt for den dataansvarlige at afhjælpe overtrædelsen og afgøre, om det er nødvendigt at underrette tilsynsmyndigheden i overensstemmelse med artikel 33, stk. 1, og de berørte personer i overensstemmelse med artikel 34, stk. 1. Databehandleren vil måske også undersøge overtrædelsen, da vedkommende måske ikke er i stand til at kende alle relevante fakta i sagen, for eksempel hvis en kopi eller backup af persondata ødelagt eller tabt af databehandleren stadig er afholdt af databehandleren. Dette kan påvirke, om den dataansvarlige derefter skal underrettes.

Uanset hvad Datatilsynet angiver i deres præsentation af en databehandlingsaftale, regnes den dataansvarlige deadline først efter, at meddelelsen er modtaget fra databehandleren. Da databehandleren skal underrette uden unødig forsinkelse, og da databehandleren kun finder ud af, at der er sket en overtrædelse, vil dette i praksis give meget begrænsede muligheder for at opholde sig fra databehandleren for at være opmærksom på overtrædelsen af ​​meddelelsen.

Det følger heraf, at databehandleren er forpligtet til at bistå den dataansvarlige med opfyldelse af sine forpligtelser efter artikel 33 og 34.

Det indeholder derfor tydeligt de nødvendige garantier, som Evovia bistår med, når de løfter den dataansvarliges forpligtelser. 

Godkendelse af Databehandleraftalen


Spørgsmål:
Hvor og hvordan godkender man Databehandleraftalen?

Svar:

  • Så snart, der oprettes topledelse i en organisation – eller den inkluderes i et topniveau – logges der ind i Evovia. Derefter åbner databehandlingsaftalen, og du kan ikke fortsætte, med mindre en af jer har godkendt den.
  • Hvis ikke du har haft tid til at læse databehandlingsaftalen, bedes du venligst acceptere den. Så har du indtil d. 14. maj 2018 til at underskrive datavilkår og tjenester. Hvis ikke vi hører mere fra kunden inden 14. maj 2018 er godkendelsen gyldig.   
  • Nogle sekunder efter godkendelsen får du en mail i din indbakke, hvor der er vedhæftet en PDF-fil til hele databehandlingsaftalen, hvor din virksomheds navn er tilføjet – sammen med Evovias direktørers underskrifter.   
Godkendelse af underdatabehandlere?


Spørgsmål:
Skal Evovia som databehandler ikke have en godkendelse fra den dataanvarlige, altså kunden før eventuel skift af underdatabehandler?

Svar:
Først vil vi beskrive, hvad den normale procedure er, hvis der skal skiftes underdatabehandler. Der vil det ske i ro og mag, og så er der 30 dages mulighed for, at kunderne ved den fælles henvendelse herom kan gøre indsigelse og evt. opsige abonnementet, hvis man ikke kan acceptere den nye underdatabehandler. Denne hovedvej står klart i vores Databehandleraftale:

”Evovia kan løbende opdatere listen over anvendte underdatabehandlere. Opdatering skal ske mindst 30 dage forinden eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af en underdatabehandler gennemføres. Ved opdatering af listen, gives Kunden særskilt besked, for derved at give Kunden mulighed for at gøre indsigelse mod de planlagte ændringer. Hvis Kunden har indsigelser mod de planlagte ændringer, kan Kunden opsige sin Abonnement Aftale med Musskema med virkning enten øjeblikkelig eller fra udløb af den på opsigelsestidspunktet igangværende kalender måned. Det er en forudsætning for opsigelse efter dette punkt, at opsigelsen afgives overfor Evovia inden for 30 dage efter der er givet underretning om de planlagte ændringer. Opsigelse af Abonnement Aftalen er Kundens eneste beføjelser overfor Evovia i denne situation.”

 

Men i akutte sikkerhedsmæssige situationer må vi handle for at sikre bedst mulig sikkerhed for kunderne.

Her forklares nærmere hvorfor:

  • Som ansvarlig databehandler er vi nødt til at se force majeure-situationer i øjnene. Hvis fx en underdatabehandler misligholder vores tillid, må vi af hensyn til vores +600 kunder handle øjeblikkeligt og udskifte.
  • Hvis vi akut skal flytte til en større sikkerhed, ville vi blive nødt til at lade data, for de kunder som ikke vil acceptere en generel godkendelse, ligge hos den underdatabehandler, vi ikke længere kan stå inde for. Og det er selvfølgelig ikke holdbart.

Her er en præcisering af, hvordan proceduren i praksis vil være i en sådan akut situation:

  • Hvis vi over night må skifte underdatabehandler, så gør vi det
  • I samme nu det er sket, og alt er valideret hos os – sender vi en enslydende orientering til alle +600 kunder, hvor vi redegør for det og præsenterer den nye og validiteten
  • Hvis en kunde ikke kan acceptere det, så tager vi en dialog om det – og stopper eventuelt samarbejdet og vi leverer data tilbage.

Vi må samtidig sige, at vi aldrig har været i nærheden af en sådan situation.

I Evovia har vi valgt den generelle godkendelse, jf. Forordningens artikel 28, da den specifikke af sikkerhedsmæssige hensyn ikke kan accepteres overfor jer som kunder. Ovennævnte lever op til Artikel 28 i Forordningen og er valideret af vores GDPR-advokater.

Instruksen fra Dataansvarlige til Databehandler


Spørgsmål:
Når det i henhold til forordningens artikel 28, stk. 3a hedder, at databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, hvad betyder det så? Skal der foreligge et særligt dokument for det?

Svar:
Nej, ikke nødvendigvis. Vi kan ikke forudsige alle tænkelige situationer, men når det sker, skal det dokumenteres/kunne dokumenteres.

Konkret: Hvis en leder eller medarbejder har et teknisk problem under MUS-dialogen og kontakter support, og support ikke kan løse kundens opgave uden at få adgang til spørgeskemaet, kan support kun gøre det, hvis en leder/medarbejder går ind på sin profil og giver support adgang via et afkrydsningsfelt, som kan fjernes så snart, problemet er løst. Denne instruktion er beskrevet i systemet.

Instruktionerne ligger i vilkårene under overskriften "Behandling", hvori det er angivet, ved kundens accept af Databehandervervilkårene, at kunden opfordrer Evovia til at behandle kundens personoplysninger til levering af Evovia lagringsservice på vilkår, som angives i Tilmeldingsaftalen og disse Databehandervilkår.

I selve databehandlervilkårene er der et afsnit vedr. behandlingens karakter og formål, hvor der bl.a. står: Det kan herudover være aftalt konkret mellem parterne, at behandlingernes art også omfatter levering af tjenester, der indebærer behandling af kundens oplysninger. Det giver mulighed for, at kunden kan give Evovia instruktioner til at tage sig af f.eks. en anonym trivselsundersøgelse for kunden. Derefter handler databehandleren på klare instruktioner fra dataansvarlige i den givne situation.

Det er sådan, det skal anskues.

Oplysningspligt over for medarbejdere


Spørgsmål:
Vi har som dataansvarlig en oplysningspligt over for vores medarbejderne. Kan I hjælpe med at opfylde den? 

Svar:
Ja, det kan vi, og her har vi sammensat en tekst plukket fra eksisterende materiale:

Typer af oplysninger, som lagres.

Her fra Databehandleraftalens tekst:

Typen af oplysninger
De overladte behandlinger omfatter de typer af oplysninger, som Kunden indtaster og indlæser i Evovia cloudtjenesten. Dette omfatter navne, e-mail adresser, medarbejderes placering i organisationen, oplysninger om nærmeste leder samt de øvrige personoplysninger, som medarbejderen og dennes leder selv lægger ind i cloudtjenesten, fx forberedende notater, score, kommentarer af aftaler og handlingsplaner med deadline ved MUS, APV mv..

Hvor lagres data rent faktisk?
Her fra Bilag om Underdatabehandlere (står også i mere kortfattet tekst i Bilag om Implementerede sikkerhedsforanstaltninger):

UNDERDATABEHANDLERE

Al data opbevares i et tysk datacenter hos Hetzner Online GmbH.
Data forlader ikke hostingcentret med mindre dette er aftalt med Dataansvarlige. Data opbevares kun på Databehandlerens computere i det omfang indholdet måtte blive cachet i browseren. Personfølsomme data vil kun blive cachet på Databehandlerens computer, hvis der er givet tilladelse af Dataansvarlige til at arbejde med data.

1. Underdatabehandlere, som vi har Underdatabehandleraftale med:

Traels.it, Bøgevej 32, 5200 Odense V. Danmark, att. Simon Ravn

Hovedansvar for den tekniske udvikling af hele musskema.dk platformen og derfor har fuld adgang.

Hetzner Online GmbH, Industristrss. 25, 91710 Gunzenhausen

Hosting af alle servere

I forbindelse med driftsudfordringer kan de gives adgang til applikations-servere – men ikke database-servere, som indeholder fortrolig data

  • Hetzner Online, Tyskland – har en afdeling i Finland, som ikke foretager egentlig databehandling men alene opbevarer vores krypterede backupfil.
  • Hetzner Online, Tyskland har en underdatabehandleraftale med den finske afdeling: Hetzner Finland Oy, Huurrekuja 10, 04360 Tuusula, Finland

Hvor længe opbevares data?
Her fra FAQ, Personalemapper:

Normalt altid 5 år – i henhold til Datatilsynets praksis.

Personalemapper 
- på fratrådte medarbejdere, hvor lang tid skal data ligge her?

Spørgsmål:
Det fremgår af Evovias databehandleraftale, at når en medarbejder slettes fra kundens system, bliver medarbejderen slettet efter 14 dage, mens de indtastede data, aftaler og scorer er lagret i lederens arkiv i 5 år. Er det lovligt med de 5 år?

Svar:
Ja, det er lovligt at lagre personaledokumenter i +5 år ifølge Datatilsynets praksis, og lederens arkiv er et arkiv, som kun den pågældende leder har adgang til, og det skal betragtes som en "udvidet funktion" af medarbejdermappen. 

Hvem kan se hvad? 
Her fra selve systemet, hvor alle dialogdokumenter øverst indeholder nedenstående data, så ingen medarbejder eller leder er i tvivl om, hvem der kan se hvad, inden man indtaster noget… Her eks. fra MUS:

    1. Hvem er denne medarbejder: Jørgine
    2. Hvilket team sidder hun i: Administrationen
    3. Hvem kan se de indtastede data i selve forberedelsesarket + referatet: Nærmeste leder/Poul L. (ved lederskift kan den nye leder IKKE se fortrolige data af denne slags – med mindre medarbejderen selv viser dem).
    4. OG Kasper M., det er nemlig muligt at inddrage flere personer til indsigt i data, men kun når medarbejderen forlods kan se det og aldrig bagudrettet.
    5. Indgåede aftaler og anonyme grafiske oversigter pr. team kan ses af overordnede chef og eventuelt HR, som kan inddrages, og det fordi Aftaler forpligter også organisationen ud over den nærmeste leder. Eventuel ny leder vil altid kunne se aftaler, idet de som sagt forpligter ud over den leder, som har indgået aftalen.
Personalemapper - på fratrådte medarbejdere, hvor lang tid skal data ligge her?


Spørgsmål:
Det fremgår af Evovias databehandleraftale, at når en medarbejder slettes fra kundens system, bliver medarbejderen slettet efter 14 dage, mens de indtastede data, aftaler og scorer er lagret i lederens arkiv i 5 år. Er det lovligt med de 5 år?

Svar:
Ja, det er lovligt at lagre personaledokumenter i +5 år ifølge Datatilsynets praksis, og lederens arkiv er et arkiv, som kun den pågældende leder har adgang til, og det skal betragtes som en "udvidet funktion" af medarbejdermappen. 

Privacy by default og Privacy by design

Spørgsmål:
Har Evovia beskrevet en Privacy by default og Privacy by design?

Svar:
Ja det har vi.

Hos Evovia har vi hele vejen igennem tænkt privacy. Der er valgt gode tekniske løsninger, som sikrer at data og filosofien gennem udviklingen har været at skabe et trygt rum, hvor medarbejderen ved, at det kun er den/de indvolverede ledere, der har adgang til de ting, der skrives.

Da vores filosofi fra starten har været at skabe et fortroligt rum mellem leder og medarbejder, er der heller ikke noget, man skal slå til for at sikre data - som eksempel skal en bruger give supportere tilladelse, før systemet lader dem gå ind på elementer, der tillader fortrolige data

Dette kan eksemplificeres således:

Privacy by design

Privacy by design

Privacy by default
Hele arkitekturen i Evovia er bygget op med udgangspunkt i at sikre fortrolighed og den højeste persondatabeskyttelse. Samtidigt er det indarbejdet, at personlig information om en bruger kun bliver opbevaret, så længe som det er nødvendigt for at kunne levere vores service.

Hvem kan se hvad?
Her fra selve systemet, hvor alle dialogdokumenter øverst indeholder nedenstående data, så ingen medarbejder eller leder er i tvivl om, hvem der kan se hvad, inden man indtaster noget. Her et eksempel fra MUS:

 

  1. Hvem er denne medarbejder: Jørgine
  2. Hvilket team sidder hun i: Administrationen
  3. Hvem kan se de indtastede data i selve forberedelsesarket + referatet:
    Nærmeste leder/Poul L. (ved lederskift kan den nye leder IKKE se fortrolige
    data af denne slags med mindre medarbejderen selv viser dem).
  4. OG Kasper M., det er nemlig muligt at inddrage flere personer til indsigt i data,
    men kun når medarbejderen forlods kan se det og aldrig bagudrettet.
  5. Indgåede aftaler og anonyme grafiske oversigter pr. team kan ses af overordnede
    chef og eventuelt HR, som kan inddrages. Det er fordi aftaler også forpligter
    organisationen ud over den nærmeste leder. Eventuel ny leder vil altid kunne se
    aftaler, idet de som sagt forpligter ud over den leder, som har indgået aftalen.
Revisionserklæring - hvorfor ISAE 3000?


Spørgsmål:
Hvorfor ISAE 3000?

Svar:
Evovia har sammen med Deloitte valgt ISAE 3000, som den bedste og mest dækkende europæiske standard for vores område. Og de enkelte kunder kan se den senest opdaterede på deres profil. Den opdateres årligt.

Den overordnede forskel mellem ISAE 3000 og andre lignende fx ISAE 3402 ligger i, at ISAE 3402 finder anvendelse, når erklæringen og de kontroller der indgår i erklæringen, omhandler finansiel rapportering. Hvis Musskema.dks produkt var ex. at levere Axapta, så ville erklæringen skulle bruges af vores kunders revisorer til brug for aflæggelse af regnskabet for vores kunder. I det tilfælde, burde det være en ISAE 3402.

Men sådan er vores produkt jo ikke.

ISAE 3000 kan bruges til alt andet end finansiel rapportering, herunder eksempelvis rapportering på kontroller omkring persondata, som Deloitte har lavet hos os. Men generelt kan den bruges til alt der ikke behandler finansiel information, ex. service desk systemer, portaler etc.

Når det er sagt, så er der overlap i kontrollerne. Område B i vores erklæring omhandler generelle it-kontroller, som ofte også vil være omfattet af en ISAE 3402 erklæring. ISAE 3402 erklæringen vil dog ofte have endnu flere it-kontroller med, men ikke indeholde noget om persondata.

Så hvor vidt der skal leveres den ene eller den anden type erklæring, afhænger af den service, der leveres. Hvis vores kunder ønsker rapportering på, hvorvidt Evovia overholder databehandleraftalen og beskytter kundernes persondata, så er ISAE 3000 den rigtige. Havde vi nu været et datacenter, eller på anden vis drev kundens IT-systemer, ville ISAE 3402 måske være bedre.

Derfor har vi valgt ISAE 3000.

Risikovurdering - som grundlag for sikkerhedsniveauet


Spørgsmål:
Hvilken risikovurdering er baseret på sikkerhedsniveauet i systemet? Og er det taget i betragtning, at systemet muligvis kan indeholde sundhedsoplysninger?

Svar:
I risikovurderingen er der inkluderet en vurdering af risikokilderne: De sårbarheder, der kan eksistere i systemet, og hvordan dette trusselbillede kan føre til en begivenhed, der kan karakteriseres som en krænkelse af personoplysninger, i overensstemmelse med databeskyttelsesforordningen natur. 4 (12). Sandsynligheden og sværhedsgraden af ​​et brud vurderes derefter for at bestemme det samlede risikobillede.

Der er klare instruktioner fra Evovia til brugerne om, at der ikke er behov for at indlæse sundhedsoplysninger i vores system. Evovia er ikke et journalsystem - men det kan bruges til en meget god dialog om, hvad der skaber og reducerer fravær. Det er et dialogsystem.

Samtykke for at trække anonyme grafisk data


Spørgsmål:
Skal medarbejdere give samtykke for, at der kan trækkes anonyme grafiske data?

Svar:
Nej, det skal medarbejderen ikke. Og medarbejderen kan heller ikke forlange det.

Juridisk set er der ikke hjemmel for at stille det krav.

Idet der kan ske anonymisering, kan der også udtages statistiske oplysninger, så længe det ikke er muligt at identificere personen ud fra oplysningerne. Vi følger dog klart de anbefalinger fra Datatilsynet, at ved fx udtræk af anonymiserede data til Excel, skal der altid være mindst 4 besvarelser for at opretholde anonymiteten i sådanne sager.

Når en virksomhed registrerer og behandler personoplysninger i forbindelse med gennemførelse af MUS-samtaler, så følger det af Datatilsynets retningslinjer, at

”I det omfang der […] afholdes medarbejderudviklingssamtaler på det private arbejdsmarked, vil almindelige oplysninger kunne behandles med samtykke eller på grundlag af artikel 6, stk. 1, litra f. Hvis der er tale om følsomme oplysninger, vil der som udgangspunkt kun kunne ske behandling med den ansattes udtrykkelige samtykke. Der kan dog også være tale om behandling af oplysninger med anden hjemmel, f.eks. forordningens artikel 9, stk. 2, litra f (fastlæggelse mv. af retskrav).”

Virksomheden kan derfor ud fra en interesseafvejning foretage behandling af personoplysninger i forbindelse med MUS-samtaler.

Der vil derfor heller ikke som udgangspunkt være tale om en samtykkebaseret behandling- eller en behandling, der kun kan ske på baggrund af et samtykke.

Juristerne diskuterer det med at lave statistiske oplysninger ud fra persondata. Juristerne fastslår for det første, at anonymisering af personoplysninger slet ikke er en behandling, idet det savner mening i forhold til grundprincippet i Forordningens art. 5 om opbevaringsbegrænsning. Forordningen angiver i præamblen direkte, at behandling af anonymiserede data falder udenfor forordningens anvendelsesområde. (Peter Blume har argumenteret for at det synspunkt).  

Andre jurister fastslår, at anonymisering altid ligger indenfor det behandlingsformål, man oprindeligt har, idet det igen understøtter behandlingsprincippet om opbevaringsbegrænsning.

Endelig fastslår andre jurister, at anonymisering altid er foreneligt med det oprindelige formål, og at behandlingen derfor kan ske.

Evovia har normalt anbefalet de to først anførte vinkler på sagen.

Udlevering og sletning af data i Evovia eksisterer ikke længere


Spørgsmål:
Hvordan udleveres/slettes data, hvis Evovia går konkurs? Hvem er modtageren?

Svar:
Hvis Evovia går konkurs, udpeges en kurator til at håndtere ejendommen. Kurator/konkursboet erstatter Evovia og har en iboende interesse i at levere eller slette data.

Udstedelse af bøder - ansvarsbegrænsning?


Spørgsmål:
Hvis den bødeudstedende myndighed fastsætter en ansvarsfordeling, følger man så den, eller er der en intern afgørelse af det samme? Begrænsning af ansvar er ikke helt klart. 

Svar:
Som udgangspunkt følges opdelingen af ​​ansvaret udstedt af den bødeudstedende myndighed. 83 - hvilket naturligt ville være i overensstemmelse med principperne. 82 også. I den udstrækning en del under henvisning til garantierne mv., indgår det i aftalen, hvad det betyder, at den endelige ansvarsfordeling skal være forskellig. Dette kan forfølges, men i så fald vil det i sidste ende være en domstolsbeslutning. 

Underdatabehandleres CVR-nummer

Nogle har efterspurgt underdatabehandleres CVR-nummer:

  • Traels.it: CVR 22001884
  • Hetzner: VAT Reg. No.: DE812871812
Underdatabehandleraftaler - kan kunden se dem?


Spørgsmål:
Er det muligt at se underdatabehandleraftalerne? 

Svar:
Man har ikke adgang til at læse databehandlerens aftaler med underdatabehandlere. Evovia får hvert år senest ultimo maj måned udarbejdet en revisionserklæring, ISAE 3000, som lægges på secure-hjemmesiden til alle kunder. 

Underskrivning af Databehandleraftalen: Skal den underskrives fysisk?


Spørgsmål:
Skal der foreligge en fysisk underskrift af Databehandleraftalen?

Svar:

  • Nej, det er ikke nødvendigt.
  • Vi kan ikke dokumentere, hvem I virksomheden der har accepteret – og hvornår.
  • Det er nok.
  • Men i samme øjeblik en kunde har accepteret Databehandleraftalen i vores system, modtager du en mail med en PDF-fil med hele aftalen, og med firmaets navn indsat + en dato og underskrift samt stempel fra Evovias direktion.
  • Se også: Godkendelse af Databehandleraftalen
Ændring af databehandlervilkår


Spørgsmål:
Hvorfor står der i jeres databehandleraftale, at Evovia kan ændre dadtabehandlervilkårerne? Vi mener, at det som udgangspunkt er os som dataansvarlige, der er ansvarlig for databehandleraftalens indhold og dermed også ændringer.

Svar:
Af hensyn til kundens sikkerhed er det meget vigtigt, at en databehandleraftale er præcis og omfatter de rigtige temaer inden for området. Og det er vores databehandleraftale, hvor de mere ”generelle” aftaler kan være mere flagrende og dermed i virkeligheden udgøre et sikkerheds-issue for kunden. Vi har i Evovia godt 600 kunder og ligeså mange databehandleraftaler. Så for at sikre, at alle kunder får den bedst mulige sikkerhed er det hensigtsmæssigt, at vigtige og nødvendige ændringer, fx på baggrund af lovgivningen, ændres i alle databehandleraftaler på én gang. Og det sikrer vi bedst ved, at vi har retten til at ændre.

Naturligvis kan I som dataansvarlige også ændre, men vi understreger, at vi ALTID vil være opmærksomme på, hvis ændringer i lovgivningen eller tilhørende praksis giver anledning til en justering af databehandleraftalen, og det vil ske straks det er nødvendigt ud fra bestemmelserne, som det er formuleret i databehandleraftalen:

Evovia kan med et varsel på 90 dage ændre disse Databehandlervilkår. Oplysninger om planlagte ændringer fremsendes til Kunden. Hvis Kunden ikke ønsker at acceptere de varslede ændringer, kan Kunden opsige sin Abonnement Aftale. Kunden har ikke herudover nogen beføjelser som konsekvens af ændringer til Databeskyttelsesvilkårene.

Ændringer af databehandlervilkår – en lille finjustering

Ca. 600 kunder har ikke gjort indsigelse, men da en enkelt gjorde, måtte vi medgive, at der kunne være et issue her, og derfor har vi justeret Databehandlervilkårene for at dække et evt. ”hul”:

"Eventuelle ændringer vil altid sikre, at de til enhver tid gældende minimumskrav i persondatareglerne til indholdet af en databehandleraftale, pt. art. 28 i GDPR, også vil være opfyldt efter en given ændring."

I vores verden hører det til som en indre logik – og derfor har ca. 600 kunder heller ikke kommenteret det, men bare skrevet under. Og derfor har vi justeret det – uden at ulejlige så mange kunder endnu en gang. Men nu er et evt. hul lukket!