FAQ Vi forsøker her å svare på de mest vanlige spørsmålene. Siden vil bli oppdatert etter hvert som vi har mer informasjon klar. Kommer Uni Micro sine produkter til å være klare for den nye loven? Uni Micro skal være klar og overholde kravene i den nye loven innen den trer i kraft, gjennom å gi tilgang til oppdaterte versjoner som har innebygget støtte for ny personvernlovgivning. 29.06.2018: Oppdateringen er nå tilgjengelig for de første kundene. Når trer loven i kraft i Norge? Følg med på regjeringens nettsider vedrørende dette. Siste oppdatering er i løpet av juli. Inntil vi har konkret dato forholder Uni Micro AS seg til 01.juli 2018. Oppdateringen er planlagt til slutten av juni. Er det forskjell på Unimicro V3, Uni24 og Uni Economy med tanke på personvernlovgivningen? Ja, ved de skybaserte løsningene (Uni24 og Uni Economy) er Uni Micro databehandler siden data lagres hos oss. Med Unimicro V3 derimot er den enkelte kunde og evt driftsleverandør behandlingsansvarlig og databehandler. Det er kun når vi henter inn backup for å feilsøke eller lignende at Uni Micro har tilgang på V3-data. Her har vi utarbeidet egne rutiner for behandling og sletting av data. Hva skjer med avtaleforholdene mellom kunden og Uni Micro for å støtte den nye loven? Uni Micro utarbeider nødvendige avtaler både overfor kunder (databehandleravtale) og overfor underleverandører (leverandøravtale), i.h.h. til den nye loven. Databehandleravtalen kommer med en oppdatering i slutten av juni. Du vil da ikke kunne gå videre før du har godtatt avtalen. Juni 2018: Du kan nå lese databehandleravtalen her. Hva må jeg tenke på i forhold til GDPR? Det er mange forhold som påvirker dere som kunde, bl.a. deres rolle som behandlingsansvarlig. Databehandleravtalen vil adressere alle slike forhold for personopplysninger som vi i egenskap av systemleverandør (i noen tilfeller databehandler) og dere i egenskap av kunde (behandlingsansvarlig) kommer i befatning med. Vi vil også måtte dokumentere at vi driver programvareutvikling med innebygd personvern, og dokumentere vår informasjonssikkerhet. Hvilken dokumentasjon bør mitt firma utarbeide eller skaffe i forbindelse med GDPR? Oversikt over personopplysningene man har med formål og eventuelle vurderinger gjort på lagringstid o.l. Rutinebeskrivelser på all behandling av personopplysninger Risikoanalyser Internkontroll Databehandleravtale Personvernerklæring Protokoll over behandlingsaktiviteter Er tilgangskontroll god nok til å sikre våre opplysninger? Uni Micro har allerede nå, og vil også i fremtiden ha god nok tilgangskontroll for våre kunder, bl.a. gjennom egne dedikerte databaser pr. kunde, samt en rekke andre tiltak på sikkerhet. Husk at det er opp til hver enkelt å sikre tilgangskontroll på eget nettverk, SQL-server og lignende. Dersom det f.eks. ikke er passord på maskinen, og bruker har haket av for å huske passord ved pålogging, så kan i teorien hvem som helst ha tilgang til dataene. Hver enkelt bruker må være bevisst på hvilke opplysninger de selv har tilgang til, og hindre at andre får tilgang til data med mindre man har et formål med tilgangen. Vil dere gi ut en egen personvernerklæring? Uni Micro arbeider med en egen personvernerklæring, som vil adressere alle spørsmål man måtte ha om hvordan vi samler inn, bearbeider og ellers behandler personopplysninger både som behandlingsansvarlig og databehandler. Denne vil også være tilgjengelig for alle innen personvernforordningen trer i kraft i Norge. Juni 2018: Du kan nå lese personvernerklæringen her. Hvordan arbeider dere med datasikkerheten? Uni Micro gjør kontinuerlige vurderinger og gjennomfører nødvendige tiltak i forhold til å forsterke datasikkerheten. Vi har bl.a. engasjert egne sikkerhetsfirma som tester våre skybaserte løsninger for å evt. avdekke sårbarheter og forbedringspunkter. Benytter dere underleverandører som får tilgang til våre opplysninger? Alle underleverandører vi benytter, og som evt. får tilgang til personopplysninger vil vi informere om gjennom databehandleravtalen. Slike underleverandører er forpliktet til å selv redegjøre for sin befatning med personopplysninger, og hvordan disse håndteres. Alle underleverandører må dokumentere dette, og vil også være underlagt samme lovgivning og restriksjoner som Uni Micro selv. Flytter dere våre personopplysninger til land utenfor EU/EØS? Nei, ingen personopplysninger (eller andre data) hverken oppbevares eller flyttes til land utenfor EU/EØS. Hvordan behandler dere kundedata med sensitive opplysninger? Databehandleravtalen og Personvernerklæringen vil inneholde informasjon om behandling av alle personopplysninger, inkludert sensitive. Hvilke tiltak setter dere i gang for å sikre at varslingsplikten overfor oss som kunde ivaretas? Utvidet logging kombinert med nye interne rutiner, samt tilførsel av kompetanse på ny personvernlovgivning er blant tiltak Uni Micro har satt i gang. For å få mer kunnskap om GDPR anbefaler vi deg å lese mer på Datatilsynets nettsider.