Er skytjenesteleverandøren din GDPR-kompatibel?

May 2, 2018

Bruker din bedrift en SaaS-løsning i dag, eller planlegger dere å investere i en?

Da er det noen viktige spørsmål dere bør stille leverandøren, for å være sikker på at systemet er kompatibelt med de nye GDPR-reglene som kommer 1. juli. (Jepp, det er utsatt.)

Som bruker av en SaaS-løsning betror du i praksis persondata til leverandøren av systemet. Når dere setter ut hele eller deler av behandlingen av personopplysninger til en annen tjenesteleverandør, er den eller de som behandler opplysningene, definert som databehandler.

Som den behandlingsansvarlige part er dere da forpliktet til å forsikre dere om at databehandleren har tilstrekkelig sikkerhetsnivå. Dette innebærer at du som kunde må bedømme hvilke sikkerhetstiltak leverandøren gjør for å beskytte dine persondata.

Ikke alle leverandører er like “modne” når det gjelder GDPR og sikkerheten rundt dine personopplysninger. Når du kjøper et nytt SaaS-basert-system, må du kontrollere at leverandøren (og eventuelle tredjepartsleverandører) har tatt hensyn til datasikkerhet og personvernprinsipper allerede i utviklingen av systemet.

Systemet skal oppfylle følgende sikkerhetskrav:

  • Tilgang kun til de som trenger oppgavene for å utføre sitt arbeid.
  • Funksjoner for å slette data som ikke lenger behandles.
  • Innstillinger kan tilpasses slik at mengden personopplysninger som samles inn eller behandles, minimeres.
  • Begrensning av hvilke apper som kan brukes til behandling av personopplysninger.
  • Sterk påloggingsautentisering ved behandling av personopplysninger.
  • Beskyttelse av personopplysninger når de sendes eller lagres, f. eks. på ulike enheter, i skyen eller ved kryptering.
  • Her er 3 spørsmål dere bør stille til leverandøren av SaaS-systemet dere bruker eller skal investere i:

     

    1. Har leverandøren utarbeidet en databehandleravtale mellom seg og sine kunder?

    En virksomhet som bruker skytjenester eller nettbaserte tjenester som behandler personopplysninger, vil i de aller fleste tilfeller måtte ha en databehandleravtale. Databehandleravtalen regulerer hva databehandleren (f. eks. leverandøren av et IT-system), kan gjøre med personopplysningene.

    2. Hvordan sørger leverandøren for sikker datalagring/hosting?

    Spør leverandøren om hva slags sikkerhetstiltak de har på plass for å beskytte data mot tap, misbruk og uautorisert bruk.

    3. Hvilke rutiner har leverandøren for håndtering av eventuelle sikkerhetsbrudd?

    Spør systemleverandøren om hvilke prosedyrer de har for å melde fra dersom personopplysninger kommer på avveie.

     

    Er dere i rute til GDPR?

      

    New Call-to-action

    Skrevet av Tom-Erik von Krogh-Martinsen

    Som forenklingsevangelist og daglig leder i CHECKD, drives Tom-Erik av å gjøre hverdagen enklere og bedre for ansatte i byggebransjen.

    Er skytjenesteleverandøren din GDPR-kompatibel?

    Tom-Erik von Krogh-Martinsen

    Bruker din bedrift en SaaS-løsning i dag, eller planlegger dere å investere i en?

    Da er det noen viktige spørsmål dere bør stille leverandøren, for å være sikker på at systemet er kompatibelt med de nye GDPR-reglene som kommer 1. juli. (Jepp, det er utsatt.)

    Som bruker av en SaaS-løsning betror du i praksis persondata til leverandøren av systemet. Når dere setter ut hele eller deler av behandlingen av personopplysninger til en annen tjenesteleverandør, er den eller de som behandler opplysningene, definert som databehandler.

    Som den behandlingsansvarlige part er dere da forpliktet til å forsikre dere om at databehandleren har tilstrekkelig sikkerhetsnivå. Dette innebærer at du som kunde må bedømme hvilke sikkerhetstiltak leverandøren gjør for å beskytte dine persondata.

    Ikke alle leverandører er like “modne” når det gjelder GDPR og sikkerheten rundt dine personopplysninger. Når du kjøper et nytt SaaS-basert-system, må du kontrollere at leverandøren (og eventuelle tredjepartsleverandører) har tatt hensyn til datasikkerhet og personvernprinsipper allerede i utviklingen av systemet.

    Systemet skal oppfylle følgende sikkerhetskrav:

  • Tilgang kun til de som trenger oppgavene for å utføre sitt arbeid.
  • Funksjoner for å slette data som ikke lenger behandles.
  • Innstillinger kan tilpasses slik at mengden personopplysninger som samles inn eller behandles, minimeres.
  • Begrensning av hvilke apper som kan brukes til behandling av personopplysninger.
  • Sterk påloggingsautentisering ved behandling av personopplysninger.
  • Beskyttelse av personopplysninger når de sendes eller lagres, f. eks. på ulike enheter, i skyen eller ved kryptering.
  • Her er 3 spørsmål dere bør stille til leverandøren av SaaS-systemet dere bruker eller skal investere i:

     

    1. Har leverandøren utarbeidet en databehandleravtale mellom seg og sine kunder?

    En virksomhet som bruker skytjenester eller nettbaserte tjenester som behandler personopplysninger, vil i de aller fleste tilfeller måtte ha en databehandleravtale. Databehandleravtalen regulerer hva databehandleren (f. eks. leverandøren av et IT-system), kan gjøre med personopplysningene.

    2. Hvordan sørger leverandøren for sikker datalagring/hosting?

    Spør leverandøren om hva slags sikkerhetstiltak de har på plass for å beskytte data mot tap, misbruk og uautorisert bruk.

    3. Hvilke rutiner har leverandøren for håndtering av eventuelle sikkerhetsbrudd?

    Spør systemleverandøren om hvilke prosedyrer de har for å melde fra dersom personopplysninger kommer på avveie.

     

    Er dere i rute til GDPR?

      

    New Call-to-action

    Skrevet av Tom-Erik von Krogh-Martinsen

    Som forenklingsevangelist og daglig leder i CHECKD, drives Tom-Erik av å gjøre hverdagen enklere og bedre for ansatte i byggebransjen.

    Ønsker du bedre kontroll i byggeprosjektene dine?

    Hei, vi er CHECKD, og vi er fast bestemt på at vårt verktøy kan hjelpe deg.
    Uansett hvilken del av byggebransjen du tilhører.

    Les mer
    Om CHECKD

    I 2013 ble CHECKD etablert med ett mål: å forenkle hverdagen til de som jobber i byggebransjen. Vi skulle løse
    dette gjennom å gjøre tunge og manuelle prosesser lettere ved hjelp av applikasjoner det er enkelt å bruke.

    Vi har fortsatt det samme målet, og har laget solide, gode og visuelle løsninger både for felt og kontor.
    Hovedproduktet vårt, CHECKD® Field, brukes idag over hele Norden. Vi har kontorer midt i Oslo sentrum, i Kongens gate 16.  

    Kom gjerne innom om du vil ha en kopp kaffe og høre mer om CHECKD®

    Relevante innlegg

    Les noen av våre innlegg om bygg, anlegg, eiendom og digitalisering

    5 ting du må tenke på når du velger kvalitetssikringssystem for byggebransjen 2019

    November 14, 2018

    CHECKD utvider staben med ny person i salg og marked...

    January 22, 2019

    It's great to see the TEAM in action when I arrive

    January 22, 2019