Hvordan forholde seg til personvern?
Personvern er et viktig tema. Hvis dere har en egen nettside som viser deres "Retningslinjer for personvern", kan det være kjekt å linke til denne siden på Påmeldingsskjemaet. Hvis dere ikke har egen nettside utenom Pindena, så kan dere opprette en aktivitet, skjule skjema, og skrive inn "Retningslinjer for personvern" i den siden.
Følgende aspekter bør du som arrangør tenke på i forhold til personvern når du oppretter en aktivitet:
- Tenk over hvor sensitiv informasjon du etterspør. Ville du vært komfortabel med å gi ut det?
- Informasjon du etterspør, er det noe som er greit å være lagret på en nettside, slik at dine kollegaer kan kikke på aktiviteten og svarene?
Hvordan slette deltagere og sensitiv data etter at aktiviteten er ferdig?
- Benytt funksjonene i systemet for Automatisk sletting av deltagere og / eller Automatisk sletting av sensitive data. Se egne FAQ-artikler angående dette.
- Fjern spørsmålet fra skjema: Hvis det blir spurt om f.eks personnummer, så kan dette spørsmålet fjernes fra spørreskjema etter påmelding er slutt. Merk: husk å eksporter deltagerlisten først, hvis denne trengs. Å fjerne spørsmålet kan gjøres ved huke fort for at spørsmålet skal være påkrevet og vis/skjul.
- Fjern svaret til deltager: Hvis det er en deltager som har fylt ut sitt personnummer, istedenfor noe annet som ble spurt om, så kan dere fjerne svaret til den deltageren. Gå inn på Deltagere > Deltagere og klikk på linjen for den aktuelle deltageren. Da åpnes siden hvor deltageren har fylt ut sin informasjon. Her kan du da slette informasjonen til det spørsmålet, for så å trykke lagre. Da vises ikke lenger informasjonen i backend.
Flere avdelinger og roller
Med en Enterprise lisens har man mulighet til å opprette flere avdelinger slik at man han separere brukere. Dette kan være kjekt om det er mange ansatte, hvor ikke alle skal ha tilgang til alt. Kun de brukere i den avdelingen (og de med rolle Enterprise Superadmin) har tilgang til aktivitetene.
Databehandleravtale
Kontakt Pindena AS om dere ønsker å signere vår Databehandleravtale.
Databehandleravtalen gjelder for personopplysningslovens § 13, jf. § 15 og personopplysningsforskriftens kapittel 2.
Kopi fra https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§8
"§ 13. Informasjonssikkerhet
Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.
En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd.
Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak.
Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet.
Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.
Kongen kan gi forskrift med nærmere regler om internkontroll.
En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 13."