Overlat jobben med GDPR til oss!

Med Privacy Assistant hjelper vi deg med å håndtere store deler av personvernsdialogen med dine ansatte.

Les mer om Privacy Assistant

OFTE STILTE SPØRSMÅL OM GDPR FOR ABAX' BEDRIFTSKUNDER

I forbindelse med den kommende innføringen av nye personvernregler i Norge, ved ny personopplysningslov og implementering av personvernforordningen (General Data Protection Regulation­­ – "GDPR") oppstår det naturlig en del spørsmål. Under har vi samlet og besvart de mest gjengående spørsmålene fra våre bedriftskunder.

Er det mulig å få hjelp med GDPR?

Med vår nye tjeneste, Privacy Assistant, kan vi hjelpe deg med å håndtere store deler av personvernsdialogen med dine ansatte, slik at du heller kan fokusere på lønnsomme oppgaver. 
Privacy Assistant:

  • Sørger for at ditt selskap bruker våre produkter på en måte som samsvarer med GDPR
  • Håndterer GDPR-henvendelsene som kommer fra dine ansatte slik at du slipper å bruke tid på det, og kan fokusere på mer lønnsomme oppgaver
  • Hjelper deg å informere dine ansatte på en enkel måte med dokumenter tilpasset ditt selskap

Bestill ABAX Privacy Assistant her. 

Hvordan er fremdriftsplanen til ABAX for å forberede den nye loven?

ABAX er i full gang med tilpasningen til innføringen av nye personvernregler i Norge ved ny personopplysningslov og implementering av personvernforordningen (GDPR).  Vi har også sendt ut vilkår og oppdatert databehandleravtale for våre tjenester til våre kunder.

Får vi tilsendt oppdatert databehandleravtale fra ABAX?

Som en følge av innføringen av nye personvernregler, må det inngås ny databehandleravtale og endring av enkelte vilkår ved tjenestene fra ABAX. ABAX har derfor sendt ut oppdaterte vilkår og ny databehandleravtale til alle kunder. Endringene vil tre i kraft fra 25. mai 2018.

Kan vi som kunder sende ABAX vår egen "standard" databehandleravtale for signering av ABAX?

Vilkårene og databehandleravtalen som ble sendt den 25. april 2018 tilfredsstiller kravene i ny personopplysningslov og GDPR. Siden det er en nær sammenheng mellom tjenestene fra ABAX, vilkårene som regulerer tjenestene og databehandleravtalen, er det viktig at det er disse vilkårene og databehandleravtalen som gjelder for tjenestene fra ABAX.

Enkelte kunder har sendt oss sine standard databehandleravtaler som skal dekke tjenestene fra ABAX, men siden disse avtalene er standardiserte, er de sjelden dekkende for tjenestene fra ABAX og regulerer ikke behandlingen av personopplysninger som følge av tjenestene på en tilstrekkelig måte.

ABAX ber derfor om at databehandleravtalen som vil bli utsendt fra oss regulerer tjenestene fra ABAX og behandling av personopplysninger som følge av disse, og at det ikke oversendes en annen databehandleravtale til ABAX. Databehandleravtaler som blir mottatt av ABAX som ikke er dekkende for ABAX' tjenester kan ikke bli inngått, og ABAX' databehandleravtale bør i stedet bli benyttet.

Hvilke endringer gjør dere i avtaleforholdene for å justere mot de nye personvernreglene?

Vi er i gang med en revidering av våre vilkår og vår databehandleravtale for å gjøre de nødvendige tilpasninger til det nye regelverket. Vi vil sørge for at alle påkrevde endringer blir innarbeidet i våre oppdaterte vilkår og avtaler.

Har dere god nok tilgangskontroll som sikrer våre personopplysninger?

ABAX har tilgangskontroll som tilfredsstiller normale industrikrav. ABAX er sertifisert iht. ISO 27001 for informasjonssikkerhet, hvor tilgangskontroll er et av mange elementer. Tilgangskontroll vil i tillegg bli gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt.

Vil ABAX gi ut en egen personvernerklæring for kunders ansatte?

ABAX vil gi ut en personvernerklæring for ABAX' håndtering av data i de tilfeller hvor ABAX er behandlingsansvarlig. I tillegg tar vi sikte på å lage et forslag til personvernerklæring som våre kunder kan ta utgangspunkt i for å utarbeide egen personvernerklæring i relasjon til ABAX’ tjenester (fordi våre kunder er behandlingsansvarlig). 

ABAX AS (Norge) benytter underleverandører på noen drifts- og utviklingsrelaterte oppgaver. I den grad disse leverandørene har tilgang til personopplysninger, vil det inngås databehandleravtaler mellom disse og ABAX AS i tråd med kravene i GDPR. For ABAX AS' datterselskaper (dersom du som kunde har avtale med et av ABAX AS' datterselskaper) vil ABAX AS være underleverandør for det aktuelle datterselskapet, og ha databehandleravtale med datterselskapene i tråd med GDPR. ABAX AS´ datterselskaper i Europa er:

  • ABAX Sweden AB
  • ABAX Danmark A/S
  • ABAX Finland Oy
  • ABAX UK Ltd.
  • ABAX Nederland B.V.
  • ABAX Poland sp. z o.o.
  • ABAX Deutschland GMBH
  • ABAX Performance AS

Flytter ABAX våre personopplysninger til land utenfor EU/EØS og godkjente tredjeland?

Dataene behandles i EU/EØS-området, med unntak av at ABAX AS benytter sitt datterselskap i Kina (ABAX China Ltd.) som leverandør av enkelte tjenester. Dette innebærer at enkelte ansatte i ABAX Kina har tilgang til personopplysninger via ABAX AS' systemer. ABAX AS vil selvsagt sørge for at tilgangen til disse opplysningene for de aktuelle ansatte i ABAX Kina vil være i tråd med kravene i GDPR, med nødvendige avtaler på plass i god tid før GDPR trer i kraft.

Behandler ABAX sensitive personopplysninger for sine kunder?

I de løsninger ABAX tilbyr, foretar ikke ABAX på vegne av kunden noen innsamling av sensitive personopplysninger. Hvorvidt kunden selv, eventuelt andre brukere av våre tjenester som kunder har gitt tilgang, legger inn sensitive opplysninger i våre løsninger, har ABAX ikke kontroll over. 

Hvilke tiltak setter ABAX i gang for å sikre at varslingsplikten overfor oss som kunde ivaretas?

ABAX har allerede etablerte varslingsrutiner ved hendelser rundt informasjonssikkerhet som en del av vår ISO 27001-sertifisering. Disse varslingsrutinene blir gjennomgått for å sikre at alle krav i det nye regelverket er ivaretatt.

Andre forhold som påvirker oss som kunde av ABAX når det gjelder GDPR?

Våre nye avtalevilkår og databehandleravtale tilpasset det nye regelverket vil sendes ut til våre kunder senest én måned før det nye regelverket trer i kraft. Den oppdaterte avtalen og oppdaterte vilkår må godkjennes av kunden innen regelverkets ikrafttredelse. Rent praktisk vil godkjenning av de oppdaterte betingelsene for de fleste kunder skje ved at den som har administratortilgang til vår løsning hos kunden, godkjenner nye vilkår og databehandleravtale direkte i vårt system etter innlogging.

Hvilke personopplysninger lagres?

Svaret på dette spørsmålet avhenger for det første av hvilket eller hvilke av ABAX’ produkter kunden har avtale om med ABAX, og for det andre av hvilke personopplysninger kunden/bruker legger inn i våre systemer.

Har de registrerte selv lagt inn personopplysninger i ABAX' systemer?

Dette er det kundene selv (som behandlingsansvarlig), og ikke ABAX (som databehandler), som har kontroll over

Er de registrerte informert om innsamling/registrering av personopplysningene?)

ABAX som databehandler i tilknytning til våre systemer har ingen kontroll over hvorvidt de registrerte faktisk er informert om innsamling/registering av opplysningene i de systemer vi tilbyr våre kunder. Det er ABAX’ kunde (som behandlingsansvarlig) som skal informere de registrerte om innsamlingen/registreringen av opplysningene som legges inn i systemene. 

Er de registrerte kjent med hvor personopplysningene lagres? 

Informasjon til de registrerte er det kunden (som behandlingsansvarlig) og ikke ABAX (som databehandler) som har kontroll over.

Finnes det rutiner for sletting av personopplysninger? Finnes dokumentasjon? Hvor er dokumentasjon lagret?

Nye rutiner og prosesser i tråd med det nye regelverket er under utarbeidelse. Rutinene vil bli lagret i vårt interne kvalitetsstyringssystem.

Som databehandler for ABAX’ systemer opptrer vi etter instruks fra/avtale med vår kunde (som behandlingsansvarlig), også hva gjelder når data slettes.

Er personvernkonsekvensene vurdert? Er risiko- og sårbarhetsanalyse knyttet til systemet utført? Dokumentasjon? Hvor er dokumentasjonen lagret?

Vurdering av personvernkonsekvenser samt risiko- og sårbarhetsanalyser i tråd med det nye regelverket inngår som en sentral del av arbeidet ABAX har igangsatt for tilpasning til det nye regelverket. Rutinene vil bli lagret i vårt interne kvalitetsstyringssystem.

Skriver ABAX loggfiler som inneholder oversikt over brukerpålogginger og brukerhandlinger (hva brukere gjør)?

For å kunne utføre support til våre kunder, har ABAX i tråd med våre avtaler loggfiler på når en bruker er opprettet i vårt system, informasjon om hvem som opprettet brukeren og brukerpålogginger som inkluderer tidspunkt og IP-adresse. Det er ikke logger for hva brukerne gjør i våre systemer.

ABAX fører imidlertid logg over all aktivitet administrator av våre systemer hos en kunde foretar seg i våre løsninger.

Hvilken informasjon sendes ut fra dere til oss i forbindelse med GDPR og når kan vi forvente info?

Det kommer nødvendig informasjon fra ABAX senest én måned før det nye regelverket trer i kraft, sammen med utsendelse av oppdaterte vilkår og databehandleravtale fra ABAX.

 Har du ytterligere spørsmål om ABAX og GDPR? Benytt kontaktskjemaet under, og du hører fra oss! 

Kontakt oss

Vennligst fyll inn dine kontaktdetaljer, og vi vil kontakte deg i løpet av 24 timer. Husk å oppgi hva henvendelsen gjelder for raskest mulig håndtering.