Guide til persondataforordningen (GDPR)

Nedenstående guide giver overblik over, hvilke forhold du som bruger skal tage stilling til, og hvilke krav du skal efterleve.


Databehandler og dataansvarlig

I GDPR 2018 taler man meget om, hvem der er ”databehandlere”, og hvem der er ”dataansvarlige”. I dette tilfælde er Nordium databehandlere, og vores brugere er dataansvarlige. Nordium hjælper jer, vores brugere, med håndtering af jeres data, på vegne af jer og ud fra jeres interesser. Som kunder har I fuld kontrol over, hvordan vi behandler jeres data, idet vi udelukkende handler ud fra jeres instrukser.

For dybere indsigt i forhold vedr. databehandlere og dataansvarlige kan man læse mere på Datatilsynets hjemmeside.

Hvad skal jeg gøre?

Ved oprettelsen af din Nordium-profil accepterer du vores betingelser vedr. databehandling. Du behøver derfor ikke at foretage dig noget.

Databehandler og dataansvarlig

Nordium har hosting i henholdsvis Irland ved Heroku samt Nord Europa ved Microsoft Azure. Alle dine og jeres kundeinformationer bliver derved opbevaret sikkert og kommer ikke udenfor EU’s grænser.

Hvad skal jeg gøre?

Når du bruger Nordium er der helt styr på opbevaringen af dine data.

Samtykkekrav og forpligtelse til oplysning

Som dataansvarlig er det vigtigt, at din kommunikation er tydelig i forhold til håndtering og opbevaring af dine kunders data. Som hovedregel skal en behandling af data udelukkende ske, hvor der ligger samtykke fra dine kunder, og kun hvor der er et sagligt formål.

Dine klienter skal til enhver tid kunne få oplyst:

– hvilke personoplysninger du har registreret på dem

– hvad formålet er med opbevaring af deres personoplysninger

– i hvilket tidsrum personoplysningerne er blevet opbevaret

– hvordan de vil kunne få deres oplysninger slettet, udleveret eller berettiget

– hvilke samtykker, der er givet, og hvordan de kan trækkes tilbage

Når klienter booker via online booking og opretter sig, giver de automatisk deres samtykke.

Hvad skal jeg gøre?

Hvis du har kunder, som ikke har anvendt online booking, skal du have deres permission for at kunne behandle deres data i Nordium. Bemærk at Nordium kun opretter dokumenter til hver af dine klienter automatisk med at de har givet samtykke.

Data Protection Officer (DPO)

Som databehandler skal Nordium have udpeget en DPO. Personen, der har rollen som DPO, har ansvaret for at sikre, at virksomheden efterlever kravene i GDPR 2018. Læs mere om rollen som DPO her: https://startvaekst.virk.dk/privacykompasset

Hvad skal jeg gøre?

Det er én af vores udviklere og GDPR-eksperter, som automatisk indsættes som DPO, når du opretter en profil. For mere information kan man skrive en mail til [email protected]

Data og portabilitet

Kunder, der er oprettet i Nordium, har ret til at få deres data udleveret eller overført til et andet system. Hvis du har kunder, der ønsker at få udleveret data, eller du skal bruge deres data til en anden databehandler, så kan dette ordnes ved at tage kontakt til Nordium.

Hvad skal jeg gøre?

Skriv en mail til [email protected], så vil vi meget gerne hjælpe med at udlevere de data, der efterspørges.

Right to be forgotten

Alle brugere – vores kunder og deres klienter – har med GDPR 2018 ret til at blive ”glemt”. Her kræves det, at klienten og dine data slettes i vores system.

Hvad skal jeg gøre?

Du skal som udgangspunkt ikke gøre noget. Ovenstående er kun relevant, hvis det efterspørges af dine kunder eller du selv ønsker det på egne vegne. Skulle det blive aktuelt kan du tage kontakt via [email protected]

Privacy by design

Med den nye persondataforordning bliver det et lovkrav, at man skal kryptere persondata. Hos Nordium krypterer vi alle data, men hvis du bruger andre databehandlere, skal du tjekke, at de lever op til lovgivningen.

Hvad skal jeg gøre?

Hvis du ikke anvender andre systemer end Nordium, behøver du ikke at gøre noget. Men bruger du andre databehandlere, skal du tjekke op med dem.

Udarbejdelse af Impact assessment

Efter den nye lovgivning skal alle dataansvarlige udarbejde en konsekvensanalyse (impact assessment), som forklarer, hvilke teknologier, der har adgang til dine data. Herunder skal det vurderes, hvilke risici, der er forbundet med de parter, du samarbejder med samt, hvilke risici, der kan være for dine kunder.

Hvad skal jeg gøre?

Du skal udarbejde en konsekvensanalyse. Hvis du ønsker hjælp til dette, kan du kontakte os på [email protected]

Databrud og underretningspligt

Ved indtrædelse af den nye persondataforordning er det blevet lovkrav, at man som dataansvarlig forpligter sig til at indrapportere databrud senest 72 timer efter, det har fundet sted. Nordium, som er databehandlere, skal underrette vores brugere og Datatilsynet i tilfælde af databrud. Denne procedure er nedskrevet, og vi er klar, hvis det skulle blive aktuelt.

Hvad skal jeg gøre?

Hvis du modtager en underretning fra os vedr. databrud, skal du underrette Datatilsynet. Vi vil naturligvis hjælpe med det praktiske, hvis det bliver aktuelt.

Dokumentation for compliance med Persondataforordningen

I rollen som dataansvarlig er det dit ansvar at have dokumentation for, at din virksomhed overholder persondataforordningen. Du skal således kunne dokumentere, at din virksomhed har korrekt omgang med data, og at data behandles korrekt af dine ”system-leverandører”.

Hvad skal jeg gøre?

Du skal kunne dokumentere over for Datatilsynet, at du behandler data korrekt.

SSL kryptering på alt kommunikation

Kommunikation skal fremover krypteres mellem browser og system. Dette er noget, du som dataansvarlig skal være opmærksom på, og det kan heldigvis nemt tjekkes. Når en side er SSL krypteret, vil der være en hængelås ved siden af websidens URL.

Hvad skal jeg gøre?

Alle handlinger i Nordium er SSL krypterede, og du behøver derfor ikke at gøre noget i forhold til brug af Nordium.

Dataudveksling mellem platforme

Du skal som dataansvarlig sikre, at integrationer mellem dine systemer kører på en SSL krypteret forbindelse. Dvs. at hvis du bruger en integration mellem dit bookingsystem og et regnskabssystem, så skal der være SSL kryptering på alle led i forbindelsen.

Hvad skal jeg gøre?

Hvis du udelukkende bruger integrationer fra Nordium, så sørger vi for, at SSL sikkerheden er, som den skal være. Nordium prioriterer sikkerhed som øverste prioritet, og derfor vil vi ikke i fremtiden udvikle integrationer eller andet uden en SSL krypterede forbindelse.

Lær Nordium bedre at kende

Skriv dig op til vores nyhedsbrev for behandlere og modtag information om, hvordan Nordium kan hjælpe dig og din hverdag. Du kan framelde dig igen til enhver tid.
© Nordium 2021, alle rettigheder forbeholdes
Nordium I/S | C. A. Olesens Gade 4, 9000 Aalborg | CVR: 41696761
GDPR Servicevilkår Cookie- og Privatlivspolitik