Hva er GDPR?

GDPR (The General Data Protection Regulation) er den nye europeiske forordningen for personvern som trer i kraft i 2018, og dette medfører nye regler for personvern i Norge. Alle norske virksomheter får nye plikter knyttet til rutinene rundt hvordan de håndterer personopplysninger.

 

Tripletex som databehandler

GDPR krever at alle datasystem har en databehandleravtale. Tripletex leverer en én-til-mange-tjeneste siden vi ikke har mulighet til å overholde individuelle databehandleravtaler med hver enkelt kunde. Tripletex vil derfor lage én databehandleravtale som gjelder for tjenesten Tripletex og alle brukerne som benytter tjenesten.

Tripletex vil sikre at denne databehandleravtalen, våre plikter og brukernes rettigheter og er i samsvar med gjeldende personvernlovgivning. Den nye avtalen, som vil vises i løsningen, må signeres elektronisk av kontoens kontoadministrator når vi har de nødvendige brikkene på plass. Samtidig lager vi nå nye funksjoner i løsningen som vil hjelpe alle kunder med å overholde kravene som pålegges dere som behandlingsansvarlige.

 

Hva innebærer dette for deg som er kunde av Tripletex?

Kundekontoens registrerte kontoadministrator vil motta informasjon om personvern i Tripletex og signere databehandleravtalen. Tripletex plikter å opplyse om hvordan vi behandler personopplysninger, hva slags personopplysninger som lagres hos oss og hvor lenge disse personopplysningene lagres. Samtidig må du som kunde overholde kravene som pålegges deg som behandlingsansvarlig. Dette vil Tripletex hjelpe deg med.

 

Hva må Tripletex gjøre?

Tripletex plikter å gi kundene kortfattet, tydelig informasjon som er lett tilgjengelig. Informasjonen skal inneholde:

  • kontaktdetaljer til den behandlingsansvarlige i Tripletex.
  • kontaktdetaljer til et eventuelt personvernombud.
  • hva som er formålet med behandlingen av personopplysningene.
  • hva slags personopplysninger som behandles.
  • grunnlaget for behandlingen av personopplysninger, som f.eks. samtykke.
  • hvem personopplysningene eventuelt skal utleveres til.
  • hvor lenge opplysningene skal oppbevares.
  • om det forekommer automatiske avgjørelser, som f.eks. profilering.

 

Hvor lagrer Tripletex data?

I Norge lagres data hos Basefarm. Backup lagres hos Amazon Web Services i Irland.

Når er databehandleravtalen på plass i Tripletex?

Vi jobber nå med å få ferdig alt av funksjonalitet knyttet til GDPR. Alt vil være på plass før GDPR trer i kraft i 2018.

Vil 2FA komme i forbindelse med GDPR?

2FA er ikke et krav, men en anbefaling i forhold til risikoanalyse av systemene der data lagres. Tripletex anses som et trygt system, men vi vil på sikt se på å også implementere 2FA.

Kan jeg få dokumentasjon fra Tripletex?

Ja, det kan man, men normalt vil man kun behøve en databehandleravtale. Vi vil ved skriftlige henvendelser sende ut dokumentasjon til dem som har krav på å se dette, men vi vil av sikkerhetsmessige årsaker kontrollere at personen er berettiget til å motta det vi sender.

Vi bygger videre på en god internkultur rundt sikkerhet og personvern

Tripletex har alltid hatt klare interne og eksterne regler forbundet med sikkerhet og bruk av personopplysninger. Vi er i en bransje der omdømme betyr svært mye, og derfor har vi alltid hatt fokus på dette. Vi bygger nå videre på denne kjerneideologien, og Tripletex har blitt tildelt et eget personvernombud som skal overvåke arbeidet rundt GDPR og personvern fremover.