FAQ, Ofte stillede spørgsmål

Musskema.dk modtager mange spørgsmål fra kunder og brugere om GDPR. Derfor denne FAQ, Ofte stillede spørgsmål om temaet.
 

FAQ, Ofte stillede spørgsmål
- om GDPR, EUs Persondataforordning

Vi får løbende en række spørgsmål herom fra kunder og brugere.

Vi har besluttet, at så snart vi har mødt samme type spørgsmål flere gange, så sætter vi det ind her i FAQ.

Og vi sætter det ind her i alfabetisk rækkefølge.

Indtil videre ligger der følgende:

  1. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
  2. Forskningssamarbejde med Aarhus Universitet - med 100% anonyme data stillet til rådighed?
  3. Garantier ved sikkerhedsbrud
  4. Godkendelse af Databehandleraftalen
  5. Instruksen fra Dataansvarlige til Databehandler – skal den være beskrevet i særskilt bilag?
  6. Personalemapper på fratrådte medarbejdere - hvor længe må data ligge her?
  7. Risikovurdering - som grundlag for sikkerhedsniveauet
  8. Udlevering og sletning af data, hvis Musskema.dk ikke længere eksisterer?
  9. Udstedning af bøder - ansvarsbegrænsning?
  10. Underdatabehandleraftaler – kan kunden se dem?
  11. Underskrift af Databehandleraftalen - skal den underskrives fysisk?
  12. Data til forskningsformål i 100% anonymiseret form - hvad mister man som kunde ved at vælge det fra?

 

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

Kunden spørger:

Nogle har spurgt os, om ikke vi kunne sætte en deadline på, så vi som Databehandlere melder brud på persondatasikkerheden ud inden for max. 24 timer. I øjeblikket står der "uden unødig forsinkelse". 

Vi svarer:

Nej, det hverken kan vi eller vil vi. For det beror på en fejllæsning af selve Persondataforordningens artikel 33 (se nedenfor her). Databehandleren skal melde ud uden unødig forsinkelse. Og Dataansvarlige skal melde ud inden 72 timer, men de to tidsrammer er ikke inkluderende, men har hver sin sfære. Dataansvarlige har 72 timer fra det øjeblik, hvor databehandler orienterer!

Sagen er:

  • Hvis der sker brud på persondatasikkerheden – så har vi som databehandlere følgende ansvar:
    ”underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden” (citat Artikel 33)
  • Det betyder virkelig hurtigst muligt! Men også på en måde, så databehandler sikrer, at man ikke unødigt sår tvivl eller uro hos unødigt mange kunder, så databehandler skal klargøre tingene forsvarligt. Det sker hurtigst muligt! Og uden unødig forsinkelse.
  • Og derefter, når så kunden = dataansvarlige får besked, så har kunden 72 timer til at leve op til sin forpligtelse.
  • Det er naturligvis i alles interesse, at det sker snarest muligt! Eller: Uden unødig forsinkelse, som Artikel 33 siger!

 

Her er selve teksten: EU's Persondataforordning, Artikel 33  

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

  1. Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.
  2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.
  3. Den i stk. 1 omhandlede anmeldelse skal mindst:
    1. beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
    2. angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
    3. beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
    4. beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
  4. Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.
  5. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.

 

Forskningssamarbejde med Aarhus Universitet - med 100% anonyme data stillet til rådighed?

Kunden spørger:

Er der tale om et delt dataansvar med Musskema.dk, da Musskema.dk selv behandler data ved eksempelvis at sende anonyme data til brug for forskning på Aarhus Universitet?

 

Vi svarer:

I Abonnementsvilkårene og Forretningsbetingelserne står følgende:

Musskema.dk forbeholder sig retten til i samspil med universiteternes forskere at anvende statistiske data i 100% anonymiseret form i videnskabeligt øjemed. Det er en mulighed, som vi altid har haft indeholdt i vores forretningsbetingelser, og det sker efter følgende principper:

Musskema.dk foretager et dataudtræk, som er 100% anonymt og ikke kan identificere en bestemt kunde eller gruppe, idet dataudtrækkene kun selekteres på følgende parametre:

  1. Lederens køn
  2. Medarbejderens køn
  3. Lederens span of control (antal medarbejdere, man er direkte leder for)
  4. Offentlig eller privat virksomhed
  5. Geografiske hovedkategorier
  6. Og i nogle overordnede branchesegmenter, når der er sikkerhed for en kritisk masse af kunder, så anonymiteten kan opretholdes.

Hvis en kunde ikke ønsker at indgå i en sådan benchmark, kan man blive fritaget ved henvendelse til Musskema.dk. Så vil kunden hverken deltage eller kunne gøre brug af denne benchmark.

Det korte svar er herefter:

    • Nej, der er ikke tale om delt ansvar her
    • Kunden har ansvar for, hvad man taster ind – og hvad man vil bruge de statistikker til, der kan trækkes ud af systemet, grafer og rapporter – og hvordan
    • Musskema.dk har ansvar for, hvordan data opbevares og stilles til rådighed for kunden – bl.a. i statistikker og rapporter, og at det lever op til lovgivningen
    • Og i relation til 100% anonyme data til forskningsformål ved Aarhus Universitet – så stiller vi jo ikke noget til rådighed for dem, som ikke kunden selv kan trække af statistikker og rapporter, her blot 100% anonyme! Dog har vi lige udvidet med noget geografi og overordnet branche + mand/kvinde som leder, og her anvender vi et enkelt forskningsprogram, som ”gætter” på køn hos leder ud fra fornavn med den risiko, at ”Inge” er et drengenavn i Norge, mens det er et pigenavn i Danmark!
    • Og endelig kan enhver kunde ved henvendelse ønske sig fri fra at deltage i – og gøre brug af – sådanne benchmark data.

 

 

Garantier – ved sikkerhedsbrud

Kunden spørger:

Savner måske noget, specielt i afsnittet “Rapportering af sikkerhedsbrud”. Musskema.dk giver ingen kontraktlige garantier for, at vi selv er i stand til at løfte 72-timers-kravet i forhold til et databrud fra dem, ligesom Musskema.dk ikke garanterer de oplysninger, art. 33 og 34 kræver.

 

Vi svarer:

Nej, der mangler ikke noget. Begge dele er klart indeholdt. Og Musskema.dk giver de omtalte og nødvendige garantier.

Vær meget OBS på, at den dataansvarliges frist på de max. 72 timer først regnes fra notifikationen er modtaget fra databehandleren. Eftersom databehandleren skal give meddelelse uden unødig forsinkelse, og eftersom databehandleren blot skal konstatere at der er sket et brud, så vil dette i praksis give meget begrænsede muligheder for at gøre ophold fra databehandleren bliver bekendt med bruddet, til meddelelse skal gives.

I Musskema.dk’s databehandleraftale følger herefter, at databehandleren er forpligtet til at bistå den dataansvarlige med at opfylde sine forpligtelser efter artikel 33 og 34.

Der er derfor indeholdt de nødvendige garantier for, at Musskema bistår med at løfte den dataansvarliges forpligtelser.

 

Yderligere dokumentation:

Betænkning angiver på side 496 at:

Som det fremgår af bestemmelsens ordlyd, aktiveres den dataansvarliges forpligtelse til at foretage anmeldelse af brud på persondatasikkerhed til tilsynsmyndigheden, efter at den dataansvarlige er blevet bekendt med, at der er sket et brud på persondatasikkerheden. En simpel formodning om, at et brud på persondatasikkerheden har fundet sted, eller en simpel påvisning af en hændelse vurderes i den forbindelse ikke at være tilstrækkeligt til at anse et brud på persondatasikkerheden for at være ”sket” i forordningens forstand. En sådan simpel formodning kan dog bevirke, at den dataansvarlige skal overveje behandlingssikkerheden, jf. forordningens artikel 32.

I vurderingen af, om et brud er ”sket”, må der antages at skulle tages særligt hensyn til, om de oplysninger, der er nævnt i forordningens artikel 33, stk. 3, står til rådighed for udbyderen.

Og på side 497:

For så vidt angår de tilfælde, hvor den dataansvarlige har overladt behandlingen af personoplysninger til en databehandler, henvises til forordningens artikel 33, stk. 2, der er nærmere omtalt nedenfor.

Justitsministeriets bekendtgørelse kobler dermed ikke den dataansvarliges tidsfrist og en databehandlers tidsfrist sammen.

Disse afsnit er gentaget i den vejledning Datatilsynet har udsendt omkring brud på persondatasikkerheden.

 

Artikel 29 gruppen har i deres WP250 om brud på persondatasikkerheden på side 13 anført:

Article 33(2) makes it clear that if a processor is used by a controller and the processor becomes aware of a breach of the personal data it is processing on behalf of the controller, it must notify the controller “without undue delay”. It should be noted that the processor does not need to first assess the likelihood of risk arising from a breach before notifying the controller; it is the controller that must make this assessment on becoming aware of the breach. The processor just needs to establish whether a breach has occurred and then notify the controller. The controller uses the processor to achieve its purposes; therefore, in principle, the controller should be considered as “aware” once the processor has informed it of the breach. The obligation on the processor to notify its controller allows the controller to address the breach and to determine whether or not it is required to notify the supervisory authority in accordance with Article 33(1) and the affected individuals in accordance with Article 34(1). The controller might also want to investigate the breach, as the processor might not be in a position to know all the relevant facts relating to the matter, for example, if a copy or backup of personal data destroyed or lost by the processor is still held by the controller. This may affect whether the controller would then need to notify.

 

Uanset hvad Datatilsynet angiver i deres oplæg på en databehandleraftale, så regnes den dataansvarliges frist først fra notifikationen er modtaget fra databehandleren. Eftersom databehandleren skal give meddelelse uden unødig forsinkelse, og eftersom databehandleren blot skal konstatere at der er sket et brud, så vil dette i praksis give meget begrænsede muligheder for at gøre ophold fra databehandleren bliver bekendt med bruddet, til meddelelse skal gives.

Det følger herefter, at databehandleren er forpligtet til at bistå den dataansvarlige med at opfylde sine forpligtelser efter artikel 33 og 34.

Der er derfor helt klart indeholdt de nødvendige garanter for, at Musskema bistår med at løfte den dataansvarliges forpligtelser.

 

 

 

Godkendelse af Databehandleraftalen

Kunden spørger:

Hvor og hvordan godkender man Databehandleraftalen?

 

Vi svarer:

  • Så snart du som topleder i en organisation – eller inddraget på topniveau – logger dig ind i Musskema.dk, så popper Databehandleraftalen op, og du kan faktisk ikke komme videre, før en af jer har godkendt den!
  • Hvis du ikke har haft fornøden tid til at sætte dig ind i Databehandleraftalen, så Godkend bare, og derefter har du frem til 14. maj 2018 til at sætte dig ind i Databehandlervilkårene. Hvis ikke vi har hørt fra kunden skriftligt senest d. 14. maj 2018, så står godkendelsen ved magt!
  • I løbet af få sekunder efter godkendelsen ligger der så en mail i din mailboks med en PDF-fil vedhæftet, hvor hele Databehandleraftalen ligger, hvor jeres firmanavn er sat ind – og hvor Musskema.dk’s direktions underskrifter er stemplet ned med dato.

 

 

 

Instruksen fra Dataansvarlige til Databehandler – skal den være beskrevet i særskilt bilag?

 

Kunden spørger:

Når det ifølge forordningens artikel 28, stk. 3a hedder, at databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, hvad betyder det så? Skal der foreligge et særligt dokument for det?

 

Vi svarer:

Nej, det er ikke nødvendigt, fordi vi ikke kan forudsige alle tænkelige situationer, men når det sker, så skal det være dokumenteret/kunne dokumenteres.

Konkret: Hvis en leder eller medarbejder har et teknisk problem i MUS-spørgeramme, og man kontakter Support for at få hjælp, og Support ikke kan løse denne opgave for kunden uden at få adgang til at gå ind i selve spørgerammen, så kan Support kun det, hvis den pågældende leder/medarbejder går ind i sin profil og giver Support denne adgang ved et flueben, som straks kan fjernes igen, når problemet er løst. Men så er instruksen ”dokumenteret” i systemet.

Instruksen er indeholdt i vilkårene under punktet ”Behandlingernes omfang”, hvor det bl.a. er angivet, at  Ved Kundens accept af Databehandlervilkårene, instruerer Kunden Musskema til at foretage behandling af Kundens personoplysninger til levering af Musskema.dk cloudtjenesten på vilkår som angivet i Abonnement Aftalen og disse Databehandlervilkår.

I selve databehandlervilkårene er der et afsnit vedr. behandlingens karakter og formål, hvor det bl.a. står: Det kan herudover være aftalt konkret mellem parterne, at karakteren af behandlingerne også omfatter levering af tjenesteydelser, som medfører behandling af Kundens oplysninger. Det peger på muligheden for, at kunden kan give Musskema.dk instruks om at forestå fx en anonym trivselsmåling for kunden. Så handler Databehandleren på klar instruks fra Dataansvarlige i den givne situation.

Det er sådan det skal anskues.

 

 

Personalemapper
– på fratrådte medarbejdere, hvor længe må data ligge her?

 

Kunden spørger:

Der står i Musskema.dk’s Databehandleraftale, at når en medarbejder slettes af kundens system, så slettes medarbejderen efter 14 dage, mens indtastede data, aftaler og score opbevares i lederens arkiv i 5 år. Er det lovligt med de 5 år?

 

Vi svarer:

Ja, det er lovligt at opbevare personalemapper i +5 år i henhold til Datatilsynets praksis, og lederens arkiv er et arkiv, som kun pågældende leder har adgang til, og det er at betragte som en ”forlænget funktion” af Personalemappen.

 

 

Risikovurdering – som grundlag for sikkerhedsniveauet

Kunden spørger:

Hvilken risikovurdering ligger til grund for sikkerhedsniveauet i systemet? Og er der taget højde for at systemet potentielt kan indeholde helbredsoplysninger?

 

Vi svarer:

I risikovurderingen er indgået en vurdering af, hvilke risikokilder der består, hvilke sårbarheder der kan bestå i systemet, og hvordan dette trusselsbillede kan føre til en begivenhed, der kan karakteriseres som et brud på persondatasikkerheden, i overensstemmelse med Databeskyttelsesforordningen art. 4 (12). Sandsynligheden for og alvorligheden ved et brud er herefter vurderet for at fastsætte det samlede risikobillede.

Der ligger klare vejledninger fra Musskema.dk til brugerne, om at der ikke skal/må taste helbredsoplysninger ind i vores system. Musskema.dk er ikke bare noget, der ligner et lægefagligt journalsystem – men kan anvendes til en super god dialog om det, som skaber og nedbringer sygefravær. Det er et dialogsystem.

 

Udlevering og sletning af data, hvis Musskema.dk ikke længere eksisterer?

Kunden spørger:

Hvordan udleveres/slettes data, hvis Musskema.dk går konkurs? Hvem er sat som begunstiget?

 

Vi svarer:

Hvis Musskema.dk går konkurs, vil der blive udpeget en kurator til at håndtere boet. Kurator/konkursboet træder i stedet for Musskema.dk, og har en iboende interesse i at udlevere eller slette data.

 

Udstedning af bøder - ansvarsbegrænsning?

Kunden spørger:

Hvis den bødeudstedende myndighed fastlægger en ansvarsfordeling, er det så den der følges eller er det en intern afgørelse af samme? Ansvarsbegrænsningen er ikke helt klar.

 

Vi svarer:

Som udgangspunkt følges den ansvarsfordeling, der er indeholdt i bødepålæggelsen efter art. 83 – hvilket vil stemme overens med principperne efter art. 82 også. I den udstrækning en part under henvisning til de garantier mv. der er indeholdt i aftalen mener, at den endelige ansvarsfordeling skal være anderledes, kan dette forfølges, men det vil i så fald være en domstolsafgørelse i sidste instans også.

 

 

Underdatabehandleraftaler – kan kunden se dem?

Kunden spørger:

Er det muligt at se underdatabehandleraftalerne?

 

Vi svarer:

Der er som udgangspunkt ikke adgang til at se underdatabehandleraftalerne. I forbindelse med gennemførelse af tilsyn med Musskema.dk, kan Musskema.dk vælge at fremvise de dele af underdatabehandleraftalerne, som ikke indeholder kommercielle vilkår eller sådanne tekniske specifikationer, som kan kompromittere den samlede sikkerhed. Herudover vil Musskema.dk afgive ledelseserklæringer og i en vis udstrækning også revisionserklæringer om underdatabehandleraftalerne, som integreres i den årlige revisionserklæring.  

 

 

Underskrift af Databehandleraftalen:
skal den underskrives fysisk?

Kunden spørger:

Skal der foreligge en fysisk underskrift af Databehandleraftalen?

 

Vi svarer:

  • Nej, det er ikke nødvendigt.
  • Vi kan dokumentere, hvem i firmaet, der har accepteret – og hvornår.
  • Det er nok.
  • Men i samme øjeblik en kunde har Accepteret Databehandleraftalen i vores system, så modtager man en mail med en PDF-fil med hele aftalen, og med firmaets navn indsat + en dato og underskrift stemplet ned med Direktionen hos Musskema.dk.
  • Se i øvrigt: Godkendelse ad Databehandleraftalen

 

 

Data til forskningsformål i 100% anonymiseret form - hvad mister man som kunde ved at vælge det fra?

Kunden spørger:

I skriver i Abonnementsvilkår og Forretningsbetingelser, at Musskema.dk stiller data til rådighed for forskning på Aarhus Universitet i 100% anonymiseret for. Og i forlængelse af det, skriver I også, at kunden kan ønske sig fritaget for at indgå i dette. Derfor spørger vi: Kan I konkretisere, hvad man mister som kunde, såfremt vi fravælger at lade vores data indgå i Jeres anonymiserede statistikker?

 

Vi svarer:

Det er korrekt. I vores Abonnements- og Forretningsvilkår skriver vi sådan her (se helheden):

 

Statistiske data - 100% anonymiseret primært til forskningsformål

Musskema.dk forbeholder sig retten til i samspil med universiteternes forskere at anvende statistiske data i 100% anonymiseret form i videnskabeligt øjemed. Det er en mulighed, som vi altid har haft indeholdt i vores forretningsbetingelser, og det sker efter følgende principper:

Musskema.dk foretager et dataudtræk, som er 100% anonymt og ikke kan identificere en bestemt kunde eller gruppe, idet dataudtrækkene kun selekteres på følgende parametre:

  • Lederens køn
  • Medarbejderens køn
  • Lederens span of control (antal medarbejdere, man er direkte leder for)
  • Offentlig eller privat virksomhed
  • Geografiske hovedkategorier
  • Og i nogle overordnede branchesegmenter, når der er sikkerhed for en kritisk masse af kunder, så anonymiteten kan opretholdes.

Hvis en kunde ikke ønsker at indgå i en sådan benchmark, kan man blive fritaget ved henvendelse til Musskema.dk. Så vil kunden hverken deltage eller kunne gøre brug af denne benchmark.

Gennem nogle år har vi arbejdet sammen med Aarhus Universitet, Institut for Statskundskab om bl.a. dette. Læs mere her.

Det betyder,

  • At hvis en kunde ønsker sig fritaget her, så udleveres denne kundes data ikke til forskningsformål i 100% anonymiseret form
  • At den pågældende kunde heller ikke får mulighed for at trække på de benchmark-data, som vi i løbet af 2019 stiller til rådighed for kunderne selv at kunne trække inden for brancher.

 

Lad os tage en snak om mulighederne Lad os ringe dig op, så vi sammen kan finde en løsning