Hva er en personopplysning?
Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, bilnummer, bilder osv.
Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.
Referanse:
https://www.datatilsynet.no/om-personvern/personopplysninger/
Hvilke personopplysninger lagres i Didac trainer?
Didac trainer tilbyr funksjonalitet for å kunne gjennomføre og følge opp kurs og opplæring i bedrifter. For å kunne tilby dette behøver applikasjonen mulighet til å lagre og håndtere følgende opplysninger som kan knyttes til enkeltperson:
- Navn, Telefonnummer og Epost, alternativt profilbilde, ansattdato, beskrivelse (fritekst) og fakturaadresse.
- Opplysninger som logges ved pålogging, slik som brukeragent (user agent), tidspunkt og IP-adresse.
- Opplysninger knyttet til gjennomføring og godkjenning av opplæring, samt tilhørende resultater.
- Opplysninger knyttet til kommunikasjon med andre brukere av systemet i forbindelse med gjennomføring av opplæring.
- Opplysninger knyttet til hvilke deler av organisasjonen en person tilhører.
- Dersom kunden benytter pålogging i Didac trainer, lagres også passord. Passordene lagret i kryptert form (en-veis «saltet» hash).
Opplysningene regnes ikke som sensitive etter personopplysningsloven §2.
Referanse:
https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_1#§1
Hvem har tilgang til personopplysningene?
Personopplysningene som lagres i Didac trainer kan tilgjengeliggjøres enten direkte via applikasjonens grensesnitt, eller indirekte via bakenforliggende driftsplattform.
Tilgang via applikasjonsgrensesnittet, reguleres av kunden selv, ved hjelp av Didac trainers innebygde tilgangsstyring. Opplysningene kan gjøres tilgjengelig via skjerm eller ved via programmatisk grensesnitt (API).
Tilgang til Didac trainers driftsplattform er forbeholdt teknisk personell fra Didac og fra Didac sine underleverandører. Denne tilgangen er nødvendig for å sikre stabil drift av løsningene. I utgangspunktet omfatter underleverandører kun teknisk personell fra Orange Business AS (tidl. Basefarm). Dersom det er avtalt tilleggstjenester som f.eks. integrasjon med andre systemer, utvikling av støtte-APPer for mobile plattformer e.l., vil det være aktuelt å gi tilgang også til andre leverandører. Per dato er denne type tilgang kun gitt til Evidi AS (tidl. Communicate) i forbindelse med utvikling av integrasjonsløsninger.
Hvordan er tilgang til personopplysningene sikret?
Tilgang til applikasjonens grensesnitt er sikret av industristandard teknologi for autentisering og autorisasjon i moderne web-applikasjoner (Owin/ OpenId). All trafikk mellom klient og server er kryptert med https/ SSL. Se egen dokumentasjon for detaljer.
Tilgang til driftsplattformen for teknisk personell er sikret både ved fysiske begrensninger som adgangskontroll til driftshaller, arbeidssted, og teknologiske begrensninger som VPN, IP-filtrering o.l. Arbeidsstasjonene til teknisk personell, er sikret med automatisk skjermlås og passord som endres med jevne mellomrom.
Sikring av databaser begrenses bla. ved at kundedata lagres i separate databaser, en per kunde. Der hvor tilgang er nødvendig, gis dette også per kunde, slik at integrasjonsleverandører kun får tilgang til data til den aktuelle kunden.
Sletting av personopplysninger i Didac trainer
Dersom man ønsker å fjerne personopplysninger fra Didac trainer, benyttes en kombinasjon av anonymisering og sletting. Dette gjøres for å kunne bevare statistikk på gjennomføring av opplæring.
Når en bruker anonymiseres, overskrives verdien i alle felter som kan brukes til å identifisere brukeren. Dette omfatter navn, epost, telefonnummer, beskrivelser, påloggingsnavn, referanseID, ansattdato og profilbilde. Eventuelle kommentarer som er skrevet av eller til brukeren overskrives. Eventuelle meldinger som er sendt fra bruker overskrives.
Følgende slettes:
- Medlemskap i eller ansvar for grupper
- Alle koordinatortildelinger
- Alle filer som bruker har lastet opp
- Alle filer som administrator har lastet opp i tilknytning til bruker
- Alle meldinger som har blitt sendt til bruker.
- Alle påloggingsforsøk som kan knyttes til bruker
Merk at sletting og/ eller anonymisering av individuelle brukere i egen løsning påligger deg som kunde, med mindre annet er avtalt.
Ved opphør av kontrakt, slettes alle data og opplysninger tilknyttet kundens installasjon, herunder alle personopplysninger, på tidspunkt avtalt med kunde. Avtalen sikrer kunden rett og mulighet til å eksportere nødvendige data før sletting. Selve slettingen av kundedokumenter, -filer og -data gjennomføres automatisk. Etter at slettingen er gjennomført, vil det ta ytterliggere 30 dager før alle data er slettet fra backup.
Kommentarer
0 kommentarer
Logg på hvis du vil legge inn en kommentar.