Få hjelp for GDPR
Den 25. mai 2018 trer ett nytt EU-direktivt i kraft som har som hensikt å skjerpe kravene til hvordan EU-borgernes personopplysninger samles inn, behandles og lagres. Hos GoMentor er vi opptatt av å beskytte ditt personvern og din personlige informasjon, og vi ønsker derfor det nye direktivet velkommen. Som psykolog, terapeut eller coach har man allerede høye krav til beskyttelse av klienters personopplysninger, men det er nye krav i direktivet som det er viktig å forholde seg til. Her vil vi gjennomgå sentrale ting i personvernforordningen og hvordan GoMentor bidrar til at de nye lovene følges.
Når det håndteres personopplysninger er det primært snakk om to parter; databehandler og dataansvarlig. Forholdet mellom GoMentor og mentorer, samt hvem som fyller hvilke roller og deres forpliktelser i den beskrevet i databehandlingsavtalen mellom GoMentor og mentorer.
På Datatilsynets hjemmeside kan du lese mer om forholdet mellom databehandler og dataansvarlig.
Skal jeg som mentor gjøre noe?
Nei. Forholdet mellom databehandler og dataansvarlig er definert i databehandlingsavtalen som alle mentorer på Gomentor aksepterer i starten av samarbeidet.
Den nye personvernforordningen fastsetter at personopplysninger skal lagres innenfor EU med tilstrekkelig sikkerhetsnivå, noe GoMentor allerede gjør. All personopplysninger som oppgis i forbindelse med bookinger, henvendelser, sesjoner mm. oppbevares altså innenfor EU og er beskyttet.
Enkelte verktøy vi benytter, f.eks. Mailchimp til nyhetsbrev, sender enkelte data (navn og e-mailadresse) til et 3. land utenfor EU. I disse tilfellene er det sikret det lovpålagte nivået for sikkerhet, overholdelse av GDPR, samt inngått en databehandlingsavtale.
Skal jeg som mentor gjøre noe?
Nei. Alle henvendelser, brukeropplysninger og sesjoner via GoMentor er allerede sikre og oppbevares innenfor EU etter de gjeldende regler. Benytter du andre systemer til eksempelvis journalføring, mail eller en digital kalender er du selv ansvarlig for at disse overholder de gjeldende reglene.
Et vesentlig krav i Personvernforordningen er opplysningen om den databehandlingen som finner sted og nye krav til samtykke. Behandling av personopplysninger skal alltid ha en informert begrunnelse for å kunne finne sted. Det kan være:
Da det ved terapi, coaching og personlig utvikling er snakk om sensitive personopplysninger, er det påkrevd å innhente samtykke fra den spesifikke EU-borgeren. Ved bruk av GoMentor skjer denne opplysningen i forbindelse med en henvendelse eller booking, hvor det bla.a opplyses om:
Skal jeg som mentor gjøre noe?
Det er avhengig av situasjonen. Hvis klienten kontakter eller booker deg via GoMentor, så trenger du ikke å gjøre noe. Hvis du derimot oppretter en booking til en klient som ikke har startet sin kontakt eller hatt en tidligere booking hos deg gjennom GoMentor, må du selv innhente og oppbevare samtykket og forsikre deg om at vedkommende er opplyst om de ovenstående ting.
Som noe nytt skal visse bedrifter oppnevne en Data Protection Officer, et personvernombud. Ombudets rolle er å løpene forsikre seg om at bedriften lever opp til kravene i den nye Personvernforordningen.
På Datatilsynets hjemmeside kan du lese mer om hva personvernombud er og kravene.
Skal jeg som mentor gjøre noe?
Nei. GoMentor har oppnevnt et personvernombud som har sikret at vi lever opp til direktivet, samt assisterer ved EU-borgeres og myndigheters henvendelser vedrørende håndteringen av personopplysninger.
EU-borgere fra nå av rett til å få full innsikt i hvilke personopplysninger som oppbevares og behandles om dem, samt muligheten for å eksportere denne informasjonen hvis det skulle være ønskelig. GoMentor har utviklet en funksjon for dette som er å finne i brukernes dashboards.
Skal jeg som mentor gjøre noe?
Nei.
Som EU-borger har man rett til å bli glemt hos virksomheter, når dataen ikke skal benyttes til et saklig formål lenger. Det betyr at man har rett til å få sin data slettet. Som bruker på GoMentor informeres man bl.a om hvor lenge data oppbevares ved henvendelser og bookinger. Utover dette er det mulig å gjøre innvendinger mot bruk og lagring av personopplysninger via dashbordet.
Skal jeg som mentor gjøre noe?
Nei. Hvis din klient ønsker å bli glemt fra GoMentor før den automatiske slettingen, skal vedkommende gjøre innvendinger mot bruken og oppbevaring av personopplysninger via sitt dashboard eller ved å kontakte vår Support-avdeling. Husk at retten til å bli glemt også gjelder deg som mentor, med mindre du er forpliktet gjennom lov til å oppbevare disse personopplysningene.
En vesentlig del av Personvernforordningen handler om beskyttelse av personopplysninger, både i forhold til systemer og prosesser. GoMentor har alltid hatt databeskyttelse som et ufravikelig krav i vår utvikling og drift. Dette betyr at all data er beskyttet og kryptert, både i forhold til behandling, overføring og oppbevaring.
Skal jeg som mentor gjøre noe?
Ja. Du skal forsikre deg om at eventuelle andre systemer du benytter lever opp til det nye direktivet. Utover dette skal du inngå databehandlingsavtale med de databehandlere du samarbeider med.
Som dataansvarlig er du forpliktet til å utarbeide en konsekvensanalyse, som bl.a. beskriver de systemene og prosessene du jobber med samt en vurdering av de risikoene disse medfører. Eksempelvis hvis personopplysninger faller i feil hender. Du skal også beskrive hvilke sikkerhetstiltak du tar i forhold til beskyttelsen av disse personopplysninger.
På Datatilsynets hjemmeside kan du lese mere om kravene til en konsekvensanalyse.
Skal jeg som mentor gjøre noe?
Ja. Du må selv gjennomføre konsekvensanalysen.
Med det nye EU-direktivet er det skjerpede krav til opplysningsplikt ved
avvik. Alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet. Dersom det oppstår et avvik (eksempelvis at uvedkommende får tilgang til din mail-konto) skal du som dataansvarlig eller databehandler sende inn avviksmelding til Datatilsynet innen 72 timer. Som databehandler har GoMentor plikt til å informere brukere og Datatilsynet om eventuelle avvik. Utover dette har vi sikret at våre systemer og prosesser er sikre, samt at vi har en fremgangsmåte hvis det mot forventning oppstår et avvik.
Skal jeg som mentor gjøre noe?
Ja. I tilfelle av et avvik skal du informere Datatilsynet innen 72 timer. Det gjelder også hvis mottar informasjon fra oss om et avvik.
En av de vesentlige aspektene i Personvernforordningen er kravet til intern dokumentasjon av behandlingsrutiner, prosesser og sikkerhetstiltak. Denne interne dokumentasjonen skal kunne fremvises til Datatilsynet, hvis de kommer på besøk. GoMentor har denne dokumentasjonen klargjort.
På Datatilsynets hjemmeside kan du lese mer om kravene til dokumentasjon.
Skal jeg som mentor gjøre noe?
Ja. Du skal selv dokumentere din virksomhets overholdelse av Personvernforordningen.
Dersom du har spørsmål til GoMentors overholdelse av Personvernforordningen er du velkommen til å kontakte oss på support@gomentor.no
Du kan også lese mere om Personvernforordningen og Datatilsynets veiledninger på Datatilsynets hjemmeside.
