FAQ, Ofte stillede spørgsmål

Musskema.dk modtager mange spørgsmål fra kunder og brugere om GDPR. Derfor denne FAQ, Ofte stillede spørgsmål om temaet.
 

FAQ, Ofte stillede spørgsmål 
- om GDPR, EUs Persondataforordning

Vi får løbende en række spørgsmål fra kunder og brugere.

Vi har besluttet, at vi tilføjer et spørgsmål til FAQ, så snart vi får stillet det flere gange.

Og vi sætter det ind her i alfabetisk rækkefølge.

 

Indtil videre er der følgende:

  1. Information om brud på persondatasikkerheden til tilsynsmyndigheden
  2. Forskningssamarbejde med Aarhus Universitet - med 100% anonyme data stillet til rådighed?
  3. Garantier ved sikkerhedsbrud
  4. Godkendelse af Databehandleraftalen
  5. Instruksen fra Dataansvarlige til Databehandler – skal beskrives i separat bilag?
  6. Personalemapper på fratrådte medarbejdere – hvor længe skal data være der?
  7. Risikovurdering - som grundlag for sikkerhedsniveauet
  8. Tilføring og sletning af data hvis Musskema.dk ikke længere eksisterer?
  9. Udstedelse af bøder - ansvarsbegrænsning?
  10. Underdatabehandleraftaler - kan kunden se dem?
  11. Underskrivelse af Databehandleraftalen – skal den underskrives fysisk?
  12. Data til forskningsformål i 100% anonymiseret form - Hvad mister man som kunde ved at vælge det fra?
  13. Underdatabehandleres CVR?

 

Information om brud på persondatasikkerheden til tilsynsmyndigheden

 

Kunden spørger:

Nogle har spurgt os, om vi kan sætte en deadline, så vi som databehandlere rapporterer brud på datasikkerhed inden for max 24 timer. I øjeblikket står der "uden unødig forsinkelse".

 

Vi svarer:

Nej, det hverken kan eller vil vi. For det skyldes en fejllæsning af selve Persondataforordningens artikel 33 (se nedenfor her). Databehandleren skal rapportere uden unødig forsinkelse. Og dataansvarlige skal rapportere inden for 72 timer. Disse to tidsrammer hænger ikke sammen. Den dataansvarlige har 72 timer fra det øjeblik, databehandleren informerer dem.

Sagen er:

  • Hvis der er et brud på den personlige datasikkerhed, har vi som dataansvarlige følgende ansvar:
  • “Informer databehandleren uden unødig forsinkelse efter at være gjort opmærksom på, at der har været en overtrædelse af den personlige databeskyttelse” (citat fra artikel 33).
  • Det betyder virkelig hurtigst muligt! Men også på en måde, så databehandler sikrer, at man ikke unødvendigt sår tvivl eller uro hos unødvendigt mange kunder, så databehandleren skal klargøre ting forsvarligt. Det sker hurtigst muligt! Og uden unødig forsinkelse.
  • Og derefter, når så kunden (=dataansvarlige) får besked, har kunderne 72 timer til at opfylde deres forpligtelser.
  • Det er selvfølgelig i alles interesse, at det sker så hurtigt som muligt! Eller: Uden unødig forsinkelse, som artikel 33 siger! 

Her er selve teksten: EU's Persondataforordning, Artikel 33  

Information om brud på persondatasikkerheden til tilsynsmyndigheden

  1. Ved brud på persondatasikkerheden anmelder den dataansvarlige uden uønsket forsinkelse og om muligt senest 72 timer efter at være blevet bekendt med det, krænkelsen af ​​persondatasikkerheden til den tilsynsmyndighed, der er kompetent i overensstemmelse med artikel 55, med mindre det er usandsynligt at krænkelsen af persondatasikkerheden udgør en risiko mod en virkelig persons rettigheder og frihed. Foretages anmeldelsen til tilsynsmyndigheden ikke inden 72 timer, ledsages den af en begrundelse for forsinkelsen.
  2. Databehandleren informerer uden unødig forsinkelse den dataansvarlige, når vedkommende opdager, at der er sket en overtrædelse af den personlige datasikkerhed.
  3. Den i stk. 1 omhandlede anmeldelse skal mindst:
    1. beskrive oprindelsen af bruddet på persondatasikkerheden, inklusiv, hvor det er muligt, kategorierne og det estimerede antal registrerede personer, såvel som kategorierne og det estimerede antal optegnelser af de berørte persondata.
    2. angive navne og kontaktinformationer på datasikkerhedskonsulenten eller en anden kontakt, hvor der kan tilbydes yderligere information.
    3. beskriv de tænkelige konsekvenser af bruddet på persondatasikkerheden.
    4. beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger til begrænsning af mulige skadelige virkninger.
  4. Når det ikke er muligt at give informationerne på samme tid, må informationerne gives i faser uden unødig forsinkelse.
  5. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder i forbindelse med brud på persondatasikkerheden, dens virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal gøre det muligt for tilsynsmyndigheden at kontrollere overholdelsen af ​​denne artikel.

 

Forskningssamarbejde med Aarhus Universitet - med 100% anonyme data stillet til rådighed?

 

Kunden spørger:

Er der et fælles dataansvar hos Musskema.dk, når Musskema.dk selv behandler data ved for eksempel at sende anonyme data til forskning på Aarhus Universitet? 

 

Vi svarer:

I Abonnementsvilkårene og Forretningsbetingelserne står som følger:

Musskema.dk forbeholder sig ret til i samarbejde med universitetsforskere at anvende statistiske data i 100% anonymiseret form til videnskabelige formål. Dette er en mulighed, som vi altid har medtaget i vores forretningsbetingelser, og det følger følgende principper:

Musskema.dk foretager et datauddrag, der er 100% anonymt og ikke kan identificere en bestemt kunde eller gruppe, da dataekstrakter kun vælges på følgende parametre:

  1. Lederens køn
  2. Medarbejderens køn
  3. Lederens kontrolpanel (antal medarbejdere, man er direkte leder for)
  4. Offentlig eller privat virksomhed
  5. Geografiske hovedkategorier
  6. Og i nogle overordnede branchesegmenter, når der er sikkerhed for en kritisk masse af kunder, så anonymitet kan opretholdes.

Hvis en kunde ikke ønsker at blive medtaget i et sådant benchmark, kan man fritages ved at kontakte Musskema.dk. Derefter vil kunden hverken deltage eller kunne benytte sig af dette benchmark.

Det korte svar er herefter:

    • Nej, der er ikke tale om fælles ansvar her
    • Som kunde er du ansvarlig for det, du indtaster - og hvad du vil bruge de statistikker, der kan udtrækkes fra systemet, grafer og rapporter - og hvordan
    • Musskema.dk er ansvarlig for, hvordan data lagres og stilles til rådighed for kunden - herunder i statistikker og rapporter, og at det overholder lovgivningen
    • Og i forhold til 100% anonyme data til forskningsformål på Aarhus Universitet - tilbyder vi ikke noget for dem, der ikke kan udtrække statistikker og rapporter, bare 100% anonymitet! Men vi har netop udvidet med geografi og overordnet industri + mand/kvinde leder, og her bruger vi et enkelt forskningsprogram, der "gætter" på køn med hensyn til fornavn med den risiko, at "Inge" er en drengs navn i Norge, mens det er et pigenavn i Danmark!
    • Og endelig kan enhver kunde på anmodning fravælge at deltage i og benytte sig af sådanne benchmarkdata. 

 

Garantier - ved sikkerhedsbrud

 

Kunden spørger:

Der mangler noget, specielt i afsnittet "Rapportering af sikkerhedsbrud". Musskema.dk giver ingen kontraktlige forsikringer om, at vi kan løfte 72 timers-kravet i forhold til en databrist fra dem, da Musskema.dk ikke garanterer den slags information, Artikel 33 og 34 kræver.

 

Vi svarer:

Nej, intet mangler. Begge dele er tydeligt indeholdt. Og Musskema.dk giver de nødvendige garantier.

Vær opmærksom på, at dataansvarliges deadline for max 72 timer først regnes fra den meddelelse, der er modtaget fra databehandleren. Da databehandleren skal underrette uden unødig forsinkelse, og da databehandleren alene finder ud af, at der er sket en overtrædelse, vil dette i praksis giver meget begrænsede muligheder for databehandleren til at være opmærksom på overtrædelsen, så ​​meddelelsen kan gives.

I Musskema.dk's databehandleraftale følger heraf, at databehandleren er forpligtet til at bistå den dataansvarlige med at opfylde sine forpligtelser efter artikel 33 og 34.

Der er derfor indeholdt de nødvendige garantier for, at Musskema.dk assisterer i forhold til at løfte den dataansvarliges forpligtelser.  

 

Yderligere dokumentation:

Betænkning angiver på side 496 at:

Som anført i bestemmelsens ordlyd, aktiveres den registeransvarliges forpligtelse til at anmelde personoplysninger til tilsynsmyndigheden, når den registeransvarlige er blevet opmærksom på brud på personoplysninger. En simpel formodning om, at brud på personoplysninger er sket eller en simpel opdagelse af en hændelse, anses ikke for tilstrækkelig til at betragte et brud på databeskyttelsen som værende "sket" i henhold til forordningen. En sådan simpel formodning kan dog forårsage, at den dataansvarlige skal overveje behandlingssikkerheden, jf. artikel 32.

I vurderingen af, om et brud er "sket", må antages at tage særligt hensyn til, om de oplysninger, der er nævnt i artikel 33, stk. 3, står til rådighed for udbyderen.

Og på side 497:

Hvad angår de tilfælde, hvor den registeransvarlige har forladt behandlingen af ​​personoplysninger til en databehandler, henvises der til forordningens artikel 33, stk. 1. 2, som er beskrevet mere detaljeret nedenfor.

Justitsministeriets bekendtgørelse forbinder derfor ikke datastyrelsens deadline og en databehandlers deadline.

Disse afsnit gentages i den manual, der er udstedt af Datatilsynet vedrørende krænkelser af personoplysninger.

 

Artikel 29 gruppen har i deres WP250 om brud på persondatasikkerheden på side 13 anført:

Artikel 33, stk. 2, gør det klart, at hvis en databehandler benytter en databehandlers data, og databehandleren bliver opmærksom på en overtrædelse af de personoplysninger, vedkommende behandler på vegne af, skal vedkommende underrette administrationen ”uden unødig forsinkelse”. Det er vigtigt at bemærkes, at databehandleren ikke først skal vurdere sandsynligheden for risiko som følge af en overtrædelse, inden vedkommende underretter den dataansvarlige. Det er den dataansvarlige der må foretage den nødvendige vurdering for at blive opmærksom på overtrædelsen. Databehandleren skal konstatere, om der er sket en overtrædelse, og giver derefter besked til den dataansvarlige. Den dataansvarlige bruger databehandleren til at nå sine mål; Derfor bør den dataansvarlige i princippet betragtes som "opmærksom", når databehandleren har informeret om overtrædelsen. Databehandlerens forpligtelse til at underrette sin registeransvarlig gør det muligt for den dataansvarlige at afhjælpe overtrædelsen og afgøre, om det er nødvendigt at underrette tilsynsmyndigheden i overensstemmelse med artikel 33, stk. 1, og de berørte personer i overensstemmelse med artikel 34, stk. 1. Databehandleren vil måske også undersøge overtrædelsen, da vedkommende måske ikke er i stand til at kende alle relevante fakta i sagen, for eksempel hvis en kopi eller backup af persondata ødelagt eller tabt af databehandleren stadig er afholdt af databehandleren. Dette kan påvirke, om den dataansvarlige derefter skal underrettes.

Uanset hvad Datatilsynet angiver i deres præsentation af en databehandlingsaftale, regnes den dataansvarlige deadline først efter, at meddelelsen er modtaget fra databehandleren. Da databehandleren skal underrette uden unødig forsinkelse, og da databehandleren kun finder ud af, at der er sket en overtrædelse, vil dette i praksis give meget begrænsede muligheder for at opholde sig fra databehandleren for at være opmærksom på overtrædelsen af ​​meddelelsen.

Det følger heraf, at databehandleren er forpligtet til at bistå den dataansvarlige med opfyldelse af sine forpligtelser efter artikel 33 og 34.

Det indeholder derfor tydeligt de nødvendige garantier, som Musskema.dk bistår med, når de løfter den dataansvarliges forpligtelser. 

 

Godkendelse af Databehandleraftalen

 

Kunden spørger:

Hvor og hvordan godkender man Databehandleraftalen?

 

Vi svarer:

  • Så snart, der oprettes topledelse i en organisation – eller den inkluderes i et topniveau – logges der ind i Musskema.dk. Derefter åbner databehandlingsaftalen, og du kan ikke fortsætte, med mindre en af jer har godkendt den.
  • Hvis ikke du har haft tid til at læse databehandlingsaftalen, bedes du venligst acceptere den. Så har du indtil d. 14. maj 2018 til at underskrive datavilkår og tjenester. Hvis ikke vi hører mere fra kunden inden 14. maj 2018 er godkendelsen gyldig.   
  • Nogle sekunder efter godkendelsen får du en mail i din indbakke, hvor der er vedhæftet en PDF-fil til hele databehandlingsaftalen, hvor din virksomheds navn er tilføjet – sammen med Musskema.dk’s direktørers underskrifter.   

 

Instruksen fra Dataansvarlige til Databehandler – skal det beskrives i et separat bilag?

 

Kunden spørger:

Når det i henhold til forordningens artikel 28, stk. 3a hedder, at databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, hvad betyder det så? Skal der foreligge et særligt dokument for det?

 

Vi svarer:

Nej, ikke nødvendigvis. Vi kan ikke forudsige alle tænkelige situationer, men når det sker, skal det dokumenteres/kunne dokumenteres.

Konkret: Hvis en leder eller medarbejder har et teknisk problem under MUS-dialogen og kontakter support, og support ikke kan løse kundens opgave uden at få adgang til spørgeskemaet, kan support kun gøre det, hvis en leder/medarbejder går ind på sin profil og giver support adgang via et afkrydsningsfelt, som kan fjernes så snart, problemet er løst. Denne instruktion er beskrevet i systemet.

Instruktionerne ligger i vilkårene under overskriften "Behandling", hvori det er angivet, ved kundens accept af Databehandervervilkårene, at kunden opfordrer Musskema til at behandle kundens personoplysninger til levering af Musskema.dk lagringsservice på vilkår, som angives i Tilmeldingsaftalen og disse Databehandervilkår.

I selve databehandlervilkårene er der et afsnit vedr. behandlingens karakter og formål, hvor der bl.a. står: Det kan herudover være aftalt konkret mellem parterne, at behandlingernes art også omfatter levering af tjenester, der indebærer behandling af kundens oplysninger. Det giver mulighed for, at kunden kan give Musskema.dk instruktioner til at tage sig af f.eks. en anonym trivselsundersøgelse for kunden. Derefter handler databehandleren på klare instruktioner fra dataansvarlige i den givne situation.

Det er sådan, det skal anskues.

 

Personalemapper 
- på fratrådte medarbejdere, hvor lang tid skal data ligge her?

 

Kunden spørger:

Det fremgår af Musskema.dk’s databehandleraftale, at når en medarbejder slettes fra kundens system, bliver medarbejderen slettet efter 14 dage, mens de indtastede data, aftaler og scorer er lagret i lederens arkiv i 5 år. Er det lovligt med de 5 år?

 

Vi svarer:

Ja, det er lovligt at lagre personaledokumenter i +5 år ifølge Datatilsynets praksis, og lederens arkiv er et arkiv, som kun den pågældende leder har adgang til, og det skal betragtes som en "udvidet funktion" af medarbejdermappen. 

 

Risikovurdering - som grundlag for sikkerhedsniveauet

 

Kunden spørger:

Hvilken risikovurdering er baseret på sikkerhedsniveauet i systemet? Og er det taget i betragtning, at systemet muligvis kan indeholde sundhedsoplysninger?

 

Vi svarer:

I risikovurderingen er der inkluderet en vurdering af risikokilderne: De sårbarheder, der kan eksistere i systemet, og hvordan dette trusselbillede kan føre til en begivenhed, der kan karakteriseres som en krænkelse af personoplysninger, i overensstemmelse med databeskyttelsesforordningen natur. 4 (12). Sandsynligheden og sværhedsgraden af ​​et brud vurderes derefter for at bestemme det samlede risikobillede.

Der er klare instruktioner fra Musskema.dk til brugerne om, at der ikke er behov for at indlæse sundhedsoplysninger i vores system. Musskema.dk er ikke et journalsystem - men det kan bruges til en meget god dialog om, hvad der skaber og reducerer fravær. Det er et dialogsystem.

 

Udlevering og sletning af data i Musskema.dk eksisterer ikke længere

 

Kunden spørger:

Hvordan udleveres/slettes data, hvis Musskema.dk går konkurs? Hvem er modtageren?

 

Vi svarer:

Hvis Musskema.dk går konkurs, udpeges en kurator til at håndtere ejendommen. Kurator/konkursboet erstatter Musskema.dk og har en iboende interesse i at levere eller slette data.

 

Udstedelse af bøder - ansvarsbegrænsning?

 

Kunden spørger:

Hvis den bødeudstedende myndighed fastsætter en ansvarsfordeling, følger man så den, eller er der en intern afgørelse af det samme? Begrænsning af ansvar er ikke helt klart. 

 

Vi svarer:

Som udgangspunkt følges opdelingen af ​​ansvaret udstedt af den bødeudstedende myndighed. 83 - hvilket naturligt ville være i overensstemmelse med principperne. 82 også. I den udstrækning en del under henvisning til garantierne mv., indgår det i aftalen, hvad det betyder, at den endelige ansvarsfordeling skal være forskellig. Dette kan forfølges, men i så fald vil det i sidste ende være en domstolsbeslutning. 

 

Underdatabehandleraftaler - kan kunden se dem?

 

Kunden spørger:

Er det muligt at se underdatabehandleraftalerne? 

 

Vi svarer:

Man har ikke adgang til at læse databehandlerens aftaler med underdatabehandlere. Musskema.dk får hvert år senest ultimo maj måned udarbejdet en revisionserklæring, ISAE 3000, som lægges på secure-hjemmesiden til alle kunder. 

 

Underskrivning af Databehandleraftalen: Skal den underskrives fysisk?

 

Kunden spørger:

Skal der foreligge en fysisk underskrift af Databehandleraftalen?

 

Vi svarer:

  • Nej, det er ikke nødvendigt.
  • Vi kan ikke dokumentere, hvem I virksomheden der har accepteret – og hvornår.
  • Det er nok.
  • Men i samme øjeblik en kunde har accepteret Databehandleraftalen i vores system, modtager du en mail med en PDF-fil med hele aftalen, og med firmaets navn indsat + en dato og underskrift samt stempel fra Musskema.dk’s direktion.
  • Se også: Godkendelse af Databehandleraftalen

 

 

Data til forskningsformål i 100% anonymiseret form - Hvad mister man som kunde ved at vælge det fra?

 

Kunden spørger:

Jeg skriver i Abonnementsvilkår og Forretningsbetingelser på Musskema.dk, der stiller data til rådighed for forskning på Aarhus Universitet i 100% anonymiseret form. I skriver også, at kunden måske ønsker at blive undtaget fra dette. Derfor spørger vi: Kan I specificere, hvad man mister som kunde, hvis ikke ønsker at have vores data inkluderet i den anonymiserede statistik?

 

Vi svarer:

Det er korrekt. I vores Abonnementsvilkår og Forretningsbetingelser skriver vi således: (link).

Musskema.dk forbeholder sig retten til, i samarbejde med universitetsforskere, at bruge statistisk data i 100 % anonymiseret form til specifikke formål. Det er en mulighed, som vi altid har I vores Forretningsbetingelser, og det er følgende principper:

Musskema.dk foretager en dataudtræk, som er 100% anonymt og ikke kan identificere en bestemt kunde eller gruppe, idet datauddragene kun vælges på følgende parametre:

  • Lederens køn
  • Medarbejderens køn
  • Lederens kontrolpanel (antal medarbejdere, man er direkte leder for)
  • Offentlig eller privat virksomhed
  • Geografiske hovedkategorier
  • Og i nogle overordnede branchesegmenter, når der er sikkerhed for en kritisk masse af kunder, så anonymitet kan opretholdes.

Hvis en kunde ikke ønsker at indgå i sådanne benchmarks, kan de kontakte Musskema.dk. Så vil kunden ikke deltage eller selv kunne benytte denne benchmark. 

I en række år har vi arbejdet sammen med blandt andet Statskunstskab på Aarhus Universitet. Læs mere her (link).

Det betyder,

  • Hvis en kunde ønsker at blive ekskluderet fra dette, vil kundens data ikke blive brugt til forskning.
  • Det vil heller ikke være muligt at lave en udtræk for virksomhedens data.  

 

Underdatabehandleres CVR-nummer

Nogle har efterspurgt underdatabehandleres CVR-nummer:

  • Traels.it: CVR 22001884
  • Hetzner: VAT Reg. No.: DE812871812
Lad os tage en snak om mulighederne Lad os ringe dig op, så vi sammen kan finde en løsning