Skip to main content

Bruker du et påmeldingssystem? I så fall betror du persondata til leverandøren av systemet. Leverandøren må derfor kunne dokumentere at de etterlever GDPR-regelverket og behandler deltakerdata i tråd med dette.

Full etterlevelse av GDPR burde være en selvfølge for alle leverandører av påmeldingssystem, men ikke alle har samme nivå av modenhet rundt datalagring, datasikkerhet og personvern.

Hva gjør Proviso som leverandør og system for å etterleve GDPR og ivareta personvernet? 

Vi ser nærmere på hvordan Proviso legger til rette for at du som bruker av systemet kan samle inn og benytte deltakerdata på en forsvarlig og lovlig måte.

 

Vi sørger for at personvernet blir ivaretatt

Proviso-systemet er tilrettelagt med god funksjonalitet for å etterleve GDPR og ivareta personvernet. Blant annet har vi en egen GDPR-funksjon som brukes til å hente inn relevant samtykke fra deltakere – med klar informasjon om hvordan data blir behandlet videre. 

Det ligger ulike maler for ulike typer samtykker i systemet, og disse lar seg enkelt tilpasse til ulike arrangementer eller kundestandarder.

 

Vi gir bistand og råd

Proviso veileder deg som kunde med hensyn til å etterleve GDPR-regelverket når du bruker vårt system og våre tjenester.

Du får bistand med / råd om blant annet:

  • Innhenting, lagring og administrasjon av samtykke
  • Hvilke personopplysninger som er nødvendig for å levere tjenesten
  • At man har særlige beskyttelsesmekanismer for særlige kategorier av personopplysninger
  • Håndtering av deltakeres rett til innsyn og rett til å bli slettet, sletterutiner, etc.

 

Vi har strenge kontroller og oppfølging av underleverandører

Alle systemleverandører som benytter seg av en underleverandør, har plikt til å ha en databehandleravtale. Den skal sikre at persondata blir behandlet i samsvar med GDPR-regelverket. I tillegg setter databehandleravtalen en klar ramme for hvordan underleverandørene kan behandle opplysningene.

Proviso har databehandleravtaler med alle underleverandører som vi benytter for å levere tjenesten vår. Vi følger opp leverandørene regelmessig (spesielt de som er basert i USA og de nye reglene rundt dette, f.eks. Mailgun og SendGrid).

 

Vi har klart etablert ansvarsfordeling mellom oss og våre kunder

Her er en oppsummering av ansvarsfordelingen mellom Proviso og kundene våre:

 

1. Signere databehandleravtale

Alle kunder må signere en «utvidet» databehandleravtale med Proviso. En slik avtale regulerer hvem som eier dataene (kunden), og hvem som samler inn og behandler disse dataene (Proviso). Databehandleravtalen gir informasjon om rutiner ved avvik.

 

2. GDPR-funksjon

Proviso-systemet har en egen GDPR-funksjon som brukes til å hente inn relevant samtykke fra deltakere, med klar informasjon om hvordan data blir behandlet videre. Der denne funksjonen er aktivert, vil deltakere se en avhukingsboks og en generell tekst. 

Det er opp til deg som kunde å velge om avhukingsboksen skal være påkrevd eller ikke. Proviso har en standardtekst som er utarbeidet av våre jurister, men det vil være mulig for kunden å endre teksten ved behov. Der deltaker har gitt samtykke, vil dette komme frem i rapporter/systemet.

I tillegg er det mulig å be om ekstra samtykke for å sende deltakere annen relevant informasjon på et senere tidspunkt. Hvis deltakere ikke har samtykket til dette, kan man i utgangspunktet ikke sende dem annen informasjon senere. (Unntaket er hvis de er en nåværende kunde og det kan være nyttig/relevant informasjon for kundeforholdet – og det er mulig å si nei takk til flere utsendelser.)

 

3. Ekstra informasjonsfelt uten aktivt samtykke

Hvis dataene som samles inn, kun skal benyttes til å håndtere deltakeren på dette ene arrangementet (levere tjenesten som deltakeren aktivt har bestilt) og ikke benyttes videre, og det kun er navn/e-post som registreres, kan det være nok med et ekstra informasjonsfelt på registreringsskjemaet.

Proviso har et standard informasjonsfelt lagt inn på alle globale maler, med en tekst utarbeidet av våre jurister. Dette feltet kan også legges til på egne maler.
Kunden bestemmer selv om dette feltet skal være synlig eller ikke. Denne teksten vil også være redigerbar.

 

4. Sletting av deltakerinformasjon – retten til å bli glemt

Dersom en deltaker ønsker å bli slettet, er det Provisos kunder som er ansvarlig for dette. Finnes det betalingsinformasjon knyttet til deltakeren, er det ikke mulig å slette deltakeren, og du er i henhold til norsk lov pålagt å lagre data i minst 5 år. Denne loven går foran loven om GDPR og retten til å bli glemt.

Proviso-systemet gjør det også mulig å “maskere” deltakere. Det vil si at man ikke tar vare på dataene, men beholder historikken. Se mer om dette nedenfor.

Les også: Bruker du et påmeldingssystem? Spør leverandøren om hvordan de etterlever GDPR

 

Vi sørger for sikker databehandling underveis i og etter arrangementet

Etter et arrangement kan du som arrangør “anonymisere” deltakerdata i Proviso-systemet (maskering av deltakere). Informasjonen om deltakeren blir ikke slettet, men navn og personlige opplysninger blir fjernet. 

På denne måten blir kun relevante statistikker opprettholdt, og historikken er fortsatt riktig. Historikk om tidligere arrangementer er viktig for mange av våre brukere, f.eks. antall deltakere totalt, antall på ulike aktiviteter, antall rom, etc.)

Alternativt kan du, når du setter opp arrangementet, bruke funksjonen ‘Slett svar på en bestemt dato eller ved arkivering av arrangementet’.. Dette kan være et godt alternativ hvis du ber deltakeren registrere informasjon som f.eks. mathensyn, som er en viktig opplysning å oppgi for å unngå mat han eller hun ikke tåler. Slik informasjon er ansett som sensitiv og bør derfor ikke lagres i etterkant.

Gamle data blir slettet regelmessig i henhold til inngåtte avtaler med hver enkelt kunde. Arrangementer med fakturering/betaling er lovpålagt å lagres i fem år.

 

Vi krypterer alle persondata

Alle persondata er kryptert i Proviso. I praksis betyr dette at dersom en hacker i et hypotetisk scenario angriper Proviso-systemet og mot formodning skulle klare å trenge gjennom brannmurer, avansert endepunktsbeskyttelse, kontinuerlig oppdatert antivirus og øvrige sikkerhetsforanstaltninger, vil deltakerdata være ubrukelig/uleselig for uvedkommende.

Les mer: Provisos personvernerklæring

 

Konklusjon: Proviso sikrer god etterlevelse av GDPR-regelverket 

Helt siden GDPR trådte i kraft i 2018, har etterlevelse av regelverket vært et satsingsområde for Proviso. Vi har lagt til rette for at brukere av vårt system kan samle inn og benytte deltakerdata på lovlig måte, i samsvar med GDPR-kravene. 

  • Vi har gode rutiner og god opplæring internt når det gjelder å behandle våre kunders data. 
  • Vi tar personvern på alvor og vil i samtale med deg som kunde rådgi og veilede deg med hensyn til etterlevelse av GDPR.
  • Vi sørger for sikker behandling og lagring av alle data.
  • Vi har gode rutiner dersom data skulle komme på avveie.

I påmeldingsskjemaet kan du enkelt informere om hvorfor du må samle inn data fra deltakerne, og dessuten kan du be om samtykke til å behandle disse. Like enkelt kan du automatisk slette deltakers svar hvis du ikke trenger dem når arrangementet er avsluttet.

Ønsker du å lagre data for å ha historikk til neste gang du lager et arrangement, er også det helt greit. Dataene ligger trygt lagret på server i Norge, og for sikkerhets skyld har vi i tillegg kryptert alle deltakeres persondata.

 

New call-to-action