I forbindelse innføringen av nye personvernregler i Norge, Sverige og Danmark ved ny personopplysningslov og implementering av personvernforordningen (General Data Protection Regulation – "GDPR"), oppstår det naturlig en del spørsmål. Under har vi samlet og besvart de mest gjengående spørsmålene fra våre bedriftskunder om GDPR og databehandleravtaler. (Avarn Security privatkunder er ikke omfattet av endringene i følge med GDPR.)
Kan vi som kunder sende Avarn Security vår egen "standard" databehandleravtale for signering av Avarn Security?
Databehandleravtalen fra Avarn Security tilfredsstiller kravene i ny personopplysningslov og GDPR. Siden det er en nær sammenheng mellom tjenestene fra Avarn Security, vilkårene som regulerer tjenestene og databehandleravtalen, er det viktig at det er disse vilkårene og databehandleravtalen som gjelder for tjenestene fra Avarn Security.
Enkelte kunder har sendt oss sin standard databehandleravtaler som skal dekke tjenestene fra Avarn Security, men siden disse avtalene er standardiserte, er de sjelden dekkende for tjenestene fra Avarn Security og regulerer ikke behandlingen av personopplysninger som følge av tjenestene på en tilstrekkelig måte.
Avarn Security ber derfor om at databehandleravtalen som kommer fra oss regulerer tjenestene fra Avarn Security og behandling av personopplysninger som følge av disse, og at det ikke oversendes en annen databehandleravtale til Avarn Security. Databehandleravtaler som blir mottatt av Avarn Security som ikke er dekkende for tjenester fra Avarn Security, kan ikke bli inngått, og Avarn Securitys sine databehandleravtale bør i stedet bli benyttet.
Hvilke endringer er gjort i avtaleforholdene for å justere mot de nye personvernreglene?
Vi har revidert våre prosesser og vår databehandleravtale oppfyller de nødvendige tilpasninger til det nye regelverket.
Har dere god nok tilgangskontroll som sikrer våre personopplysninger?
Avarn Security har tilgangskontroll som tilfredsstiller de gjeldende sikkerhetskrav. Tilgangskontroll vil i tillegg bli gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt, dette sammen med evaluering av alle systemer og nødvendige organisatoriske krav.
Vil Avarn Security i ut en egen personvernerklæring for kunders ansatte?
Avarn Security har en egen personvernerklæring for Avarn Security sin håndtering av data i de tilfeller hvor Avarn Security er behandlingsansvarlig. Avarn Security kan på forespørsel komme med forslag til personvernerklæring som våre kunder kan ta utgangspunkt i for å utarbeide egen personvernerklæring i relasjon til Avarn Security sine tjenester (fordi våre kunder er behandlingsansvarlig).
Benytter Avarn Security underleverandører?
Avarn Security AS benytter underleverandører på noen drifts- og tjenesterelaterte oppgaver. I den grad disse leverandørene har tilgang til personopplysninger, er det inngått databehandleravtaler mellom disse og Avarn Security AS i tråd med kravene i GDPR. En liste over våre nasjonale underleverandører er synliggjort i databehandleravtalen. For Avarn Security AS sine datterselskaper (dersom du som kunde har avtale med et av våre datterselskaper) vil Avarn Security være kontraktspart for databehandleravtalen. Avarn Security datterselskaper i Norden er:
|
Tjenesteleveranse |
Underleverandør Avarn Security AS |
Land |
|
Elektronisk overvåkning |
Avarn Security Innlandet AS |
Norge |
|
Elektronisk overvåkning |
AS Skan-kontroll |
Norge |
|
Elektronisk overvåkning |
Nokas Brannkonsult AS |
Norge |
|
Elektronisk overvåkning |
Semac AS |
Norge |
|
Vakt og kontrolltjenester |
Avarn Security Aviation AS |
Norge |
|
Vakt og kontrolltjenester |
AS Skan-kontroll |
Norge |
|
Vakt og kontrolltjenester |
Semac AS |
Norge |
|
Vakt og kontrolltjenester |
Avarn Security Beredskap AS |
Norge |
|
Kurs- og konsulenttjenester |
AS Skan-kontroll |
Norge |
|
Kurs- og konsulenttjenester |
Semac AS |
Norge |
|
Kurs- og konsulenttjenester |
Nokas Brannkonsult AS |
Norge |
|
Kurs- og konsulenttjenester |
Avarn Security Beredskap AS |
Norge |
|
Kurs- og konsulenttjenester |
Avarn Security Aviation AS |
Norge |
|
Verdihåndtering og logistikk |
Nokas Verdihåndtering AS |
Norge |
|
Verdihåndtering og logistikk |
Nokas CMS (Danmark) A/S |
Danmark |
|
Verdihåndtering og logistikk |
Nokas Kontantservice P/S |
Danmark |
|
Verdihåndtering og logistikk |
Nokas Komplementarselskab ApS |
Danmark |
|
Elektronisk overvåkning |
Avarn Security Teknik AB |
Sverige |
|
Verdihåndtering og logistikk |
Nokas Värde AB |
Sverige |
|
Vakt og kontrolltjenester |
Avarn Security AB |
Sverige |
Flytter Avarn Security våre personopplysninger til land utenfor EU/EØS og godkjente tredjeland?
Dataene behandles i EU/EØS-området, med unntak av at Avarn Security AS benytter Cognizant Worldwide ltd. som leverandør av IT tjenester. Dette innebærer at enkelte ansatte i Cognizant har tilgang til personopplysninger via Avarn Security systemer. Avarn Security AS har sørget for at tilgangen til disse opplysningene for de aktuelle ansatte i Cognizant er i tråd med kravene i GDPR.
Behandler Avarn Security sensitive personopplysninger for sine kunder?
I de tjenester Avarn Security tilbyr, foretar ikke Avarn Security på vegne av kunden noen behandling av særlige kategorier personopplysninger.
Hvilke tiltak setter Avarn Security i gang for å sikre at varslingsplikten overfor oss som kunde ivaretas?
Avarn Security har allerede etablerte varslingsrutiner ved hendelser rundt informasjonssikkerhet. Disse varslingsrutinene sikrer at alle krav i det nye regelverket er ivaretatt. Databehandleravtalen beskriver varslingsfrister i tråd med forordningen.
Andre forhold som påvirker oss som kunde av Avarn Security når det gjelder GDPR?
Vår databehandleravtale er tilpasset det nye regelverket og vil være tilgjengelig for våre kunder fortløpende de kommende ukene og frem til det nye regelverket trer i kraft. Den oppdaterte avtalen må godkjennes av kunden innen regelverkets ikrafttredelse. Rent praktisk vil godkjenning av de oppdaterte betingelsene for de fleste kunder skje ved at den som mottar informasjonsbrevet hos kunden, og har de nødvendige fullmakter, godkjenner og krysser av for de tjenester Avarn Security leverer i databehandleravtalen direkte i vårt system etter innlogging.
Hvilke personopplysninger lagres?
Svaret på dette spørsmålet avhenger for det første av hvilket eller hvilke av Avarn Security sine produkter/tjenester kunden har avtale om. De ulike tjenestevedleggende i Avarn Security sin databehandleravtale har listet opp de personopplysninger som behandles innenfor de ulike tjenesteleveransene.
Er de registrerte informert om innsamling/registrering av personopplysningene?
Avarn Security som databehandler i tilknytning til våre systemer har ingen kontroll over hvorvidt de registrerte faktisk er informert om innsamling/registering av opplysningene i de tjenester vi tilbyr våre kunder. Det er Avarn Security-kunden (som behandlingsansvarlig) som skal informere de registrerte om innsamlingen/registreringen av opplysningene som legges inn i systemene eller registreres.
Er de registrerte kjent med hvor personopplysningene lagres?
Informasjon til de registrerte er det kunden (som behandlingsansvarlig) og ikke Avarn Security (som databehandler) som har kontroll over.
Finnes det rutiner for sletting av personopplysninger? Finnes dokumentasjon? Hvor er dokumentasjon lagret?
Nye rutiner og prosesser i tråd med det nye regelverket er utarbeidet og noe er under utarbeidelse. Vårt interne kvalitetskontroll vil kjøre revisjoner på sletterutiner, samt at alle våre systemer er samlet i en felles oversikt som er gjenstand for årlig evaluering og gjennomgang.
Som databehandler opptrer vi etter instruks fra/avtale med vår kunde (som behandlingsansvarlig), også hva gjelder når data slettes.
Har Avarn Security eget personvernombud?
Ja, Avarn Security har eget personvernombud som er godkjent av myndighetene.
Er personvernkonsekvensene vurdert? Er risiko- og sårbarhetsanalyse knyttet til systemet utført? Dokumentasjon? Hvor er dokumentasjonen lagret?
Vurdering av personvernkonsekvenser (DPIA) samt risiko- og sårbarhetsanalyser i tråd med det nye regelverket inngår som en sentral del av arbeidet Avarn Security har igangsatt for tilpasning til det nye regelverket. Alle nye behandlinger eller nye systemer som igangsettes vil bli underlagt en risiko- og sårbarhetsanalyse, i de tilfeller det er nødvendig gjennomføres en DPIA (Data Protection Impact Assessment) slik det er beskrevet i forordningen og artikkel 29 gruppen.