21 May, 2018

PUL / GDPR

Hur vi jobbar med och följer GDPR

PUL (personuppgiftslagen) har funnits länge. Det nya är lagen om GDPR. Det som händer är att kraven och reglerna skärps och att fler företag omfattas av de nya kraven. Nu är det inte bara de som hanterar personuppgifter som omfattas.

Notyfile hanterar personuppgifter för och åt sina kunder. Det innebär att Notyfile processar data och kunderna agerar insamlare av data. Detta innebär att kunden kontrollerar data och är ansvarig för bl.a. hur länge data lagras, behandlas i en dess verksamhet och i vissa fall få samtycke.

Vi har internt sett över vilka anställda som kommer ha access till olika typer av information. Detta regleras, sedan tidigare, med sekretessavtal och vissa fall nu omstruktureringar.

Hur ser vi till att vi och våra kunder följer de nya kraven?

Vi har anpassat systemet efter de krav GDPR ställer på oss som lagringspart. Vi har genomfört tekniska och organisatoriska anpassningar för, borttagning av data, modifiering av data och om något skulle avslöjas.
Vi har långt innan GDPR blev aktuellt jobbat med detta och en det mesta fanns redan på plats. Nu har vi uppdaterat och säkerställt hanteringen av lösenord, kryptering, intern åtkomst, säkerhetskopiering m.m. Detta har vi jobbat med hela tiden men nu även anpassat för GDPR.

Hur vi byggt och bygger portalen

Lagen om GDPR säger att ett företag inte får sprida personuppgifter till obehöriga, spara längre än nödvändigt eller dela personuppgifter om det ej är relevant eller har tillstånd.
Notyfile har dokumentation på hur alla data lagras, var den lagras och hur länge.

Vi uppmanar våra användare att se över vilken information de spara och om denne är relevant. Du har rätt, som användare, att lagra personuppgifter minst 1 år och ev längre vid exemepelvis garantiärenden eller situationer som kräver längre relation till kunden.

Detta kan vara en säljprocess där en bindningstid går ut har du möjlighet att en tid efter få chansen att kontakta kund igen för att fortsätta affärsrelationen. Du som användare har också rätt att bestämma vem i er organisation som har rätt att ändra/läsa olika saker.

Flytta data och raderas

Som individ har man nu rätt att bli borttagen ur företags register, till viss del. Den invidid som har tillgång till Notyfiles portal har också rätt att radera data när denne helst vill. En slutkund eller tredje part person har också möjlighet att när som helst tas bort ur vår databas.
Vi har anpassat applikationen på ett sätt att när en användare vill radera data raderas den först från portalen och efter 1 månad och helt bort från databasen. Om en användare/individ vill raderas helt från databasen direkt är detta möjligt.
Vi har placerat hela databasen på ett och samma ställe vilket gör radering, ändringar möjligt att utföra snabbt. Även dokumentationen blir tydlig och detta gör att vi uppfylller kraven för GDPR.

Tredje part och överföring av data

Redan innan GDPR blev känt jobbade vi hårt med datasäkerhet och hantering av data. Vi har en klar struktur för hur detta hanteras och tydlig dokumentation.
All data lagras på Google Cloud Platform (GCP) som i sin tur följer kraven i Europa.

Vill du läsa mer om hur våra tredjeparts system jobbar med GDPR kan du läsa här:

GCP (Google) https://privacy.google.com/businesses/compliance/#?modal_active=none
Scrive https://scrive.com/terms
Freshdesk https://www.freshworks.com/privacy/gdpr/