1. Har Tidsbanken databehandleravtale?
Ja, Tidsbankens databehandlersavtale finner dere her.
2. Er personopplysninger i Tidsbanken sikret på en forsvarlig måte?
Alle personopplysninger lagres trygt hos våre underleverandørers datasentre. All overførsel av data fra disse datasentrene gjøres over krypterte linjer og er beskyttet bak Tidsbankens tilgangssystem. For å få tilgang til disse dataene kan man bruke flere former for innlogging. Eksempelvis ansattnummer og pin, key-innlogging og innlogging via nøkkelkort. Av sikkerhetsårsaker anbefaler vi alle kunder som bruker ansattnummer og pin å ha minst 4 tegn i pinkoden.
3. Hvor er data lokalisert? (Geografisk) – Og fra hvilke land har personell tilgang selv om dataene er i Norge/EU?
Data er lokalisert i Nord Irland, hos Microsoft Azure. Ingen utenom EU har tilgang til data, vi har heller ikke underleverandører lokalisert utenfor EU/EØS.
4. Kan Tidsbanken slette data om Ansatte om ønskelig?
Ja, det kan vi. Etter ønske fra Kunde kan Tidsbanken slette den data som Kunde ønsker. Når brukere blir slettet i våre systemer, har vi rutiner på plass som forhindrer feil som fører til et uerstattelig tap av data. I mange tilfeller må kundene manuelt bekrefte sletting av kundedata, inkludert personopplysninger.
5. Sletter Tidsbanken automatisk data?
Nei, Tidsbanken har ikke anledning til å slette data fra kundens database uten at det foreligger et ønske fra kunde. Vi kommer aldri til å slette data uten spesifikt samtykke fra kunde. For å slette data må det sendes mail til support@tidsbanken.no
6. Hvordan ivaretas sletting ved opphør av avtale partene i mellom?
Som standard tar Tidsbanken vare på kundens data i 3 måneder etter avtalens utløp, med mindre noe annet er avtalt med kunden. Om kunden ønsker all data slettet øyeblikkelig gjøres så klart dette.
7. Hvilke data lagres i Tidsbanken?
Databehandleravtalen inneholder en liste over all data som kan lagres i Tidsbanken. Hvilke data som faktisk lagres er opp til kunden.
8. Har Tidsbanken årlige sikkerhetsrevisjoner?
Ja, Tidsbanken utfører årlige sikkerhetsrevisjoner.
9. Har Tidsbanken rutiner og varsling ved sikkerhetsbrudd?
Ja, alle avvik der personer utenfor Tidsbanken eller hos databehandler får tilgang til data varsles til Kunde. Det er kundes ansvar å varsle dataansvarlig, men vi kan være behjelpelig med å utforme varslingen.
10. Har Tidsbankens ansatte taushetsplikt i forhold til persondata som blir behandlet?
Ja, alle ansatte hos Tidsbanken har taushetsplikt i forhold dataansvarligs data.
11. Bruker Tidsbanken cookies?
Tidsbanken bruker cookies til å styre innloggingen og samle logging til bruk i feilsøk.
Denne loggingen inneholder ikke persondata, og det er også anonyme data – det vil derfor ikke ha noe påvirkning på GDPR.
12. Sikrer Tidsbanken at behandlingen av data er lovlig?
Hva som er lovlig behandling av data varierer i stor grad fra bedrift til bedrift. Det er derfor ikke mulig for oss å sikre lovlig behandling generelt i systemet.
Men vi jobber tett med Advokatfirma Sands (https://www.sands.no/), som har kompetanse for å veilede din bedrift i lovlig behandling.
13. Når blir GDPR gyldig for Norge?
Forordningen begynte å gjelde i EU 25. Mai, og i Norge trådde den i kraft 20. juli.
14. Kan vi som kunder sende Tidsbanken vår egen "standard" databehandleravtale for signering av Tidsbanken?
Databehandleravtalen som gjøres tilgjengelig fra Tidsbanken vil tilfredsstille kravene i ny personopplysningslov og GDPR. Siden det er en nær sammenheng mellom tjenestene fra Tidsbanken, vilkårene som regulerer tjenestene og databehandleravtalen, er det viktig at det er disse vilkårene og databehandleravtalen som gjelder for tjenestene fra Tidsbanken.
Enkelte kunder har sendt oss sin standard databehandleravtaler som skal dekke tjenestene fra Tidsbanken, men siden disse avtalene er standardiserte, er de sjelden dekkende for tjenestene fra Tidsbanken og regulerer ikke behandlingen av personopplysninger som følge av tjenestene på en tilstrekkelig måte.
Tidsbanken ber derfor om at databehandleravtalen som kommer fra oss regulerer tjenestene fra Tidsbanken og behandling av personopplysninger som følge av disse, og at det ikke oversendes en annen databehandleravtale til Tidsbanken. Databehandleravtaler som blir mottatt av Tidsbanken som ikke er dekkende for Tidsbankens tjenester kan ikke bli inngått, og Tidsbankens databehandleravtale bør i stedet bli benyttet.
Har du ytterligere spørsmål om Tidsbanken og GDPR? Send oss en mail på gdpr@tidsbanken.no