Databehandlerplattform for personvern
Iconfirm er den eneste løsningen som er skreddersydd for å dekke behovene dine som både Behandlingsansvarlig og Databehandler på ett sted. Bruker du Iconfirm vil du ha oppdatert og strukturert informasjon knyttet til personvern; systemregister, behandlingsprotokoller, samtykker, databehandleravtaler, sikkerhetsdokumentasjon, avviksregister, risikovurderinger, policies m.m. Som spesialist følger vi utviklingen av personvernregelverk og fortolkninger tett. Det gjør at vi er opptatt av detaljer og innarbeider nødvendige nyanser i vår teknologi.
Iconfirm gjør deg bedre
Ved å integrere Iconfirm i forretningsprosessene gjør vi det enklere å løpende etterleve lovverket. Vi hjelper deg med å automatisere utkast til databehandleravtaler og holde oversikt over alle variasjoner av forpliktelser som behandlingsansvarlige pålegger deg. Iconfirm lar deg forvalte innholdet i databehandleravtalene og bistå kundene effektivt. Det reduserer risiko, særlig om uhellet er ute og du må melde et databrudd.
Der du har behandleransvar hjelper vi med forpliktelsene du har ovenfor de registrerte samt oppfølging av dine egne databehandlere.
Funksjonene vi leverer ivaretar personvernet med en stor grad av presisjon og kvalitet for sine spesifikke områder. Samlet gir de en unik oversikt og kontroll - i egen virksomhet og på tvers av verdikjeden.
Vår løsning for digital samhandling tar utgangspunkt i et felles systemregister med strukturert og lett tilgjengelig informasjon, løpende oppdatert gjennom rollestyrt brukertilgang. For eksempel kan systeminformasjon vedlikeholdes av systemleverandøren, mens informasjon om juridiske grunnlag og hvilke data som samles inn, vedlikeholdes av behandlingsansvarlig. Det vil si at den som sitter tettest på kunnskapen leverer innholdet, som igjen skaper økt effektivitet, større presisjon og store besparelser.
Gjensidig ansvar for etterlevelse av loven
Som databehandler behandler man personopplysninger på vegne av andre. Det er den behandlingsansvarlige som har det overordnede ansvaret for å behandle personopplysninger i tråd med regelverket, og databehandleren skal kun behandle personopplysninger på vegne av den behandlingsansvarlige. Likevel er både databehandler og behandlingsansvarlig underlagt de samme prinsippene for behandling av personopplysninger som fastlagt i GDPR artikkel 5.
Personopplysningsloven artikkel 31. Samarbeid med tilsynsmyndigheten.
"Den behandlingsansvarlige og databehandleren (..) skal på anmodning samarbeide med tilsynsmyndigheten i forbindelse med utførelsen av dens oppgaver."
Akkurat som behandlingsansvarlige, må databehandleren samarbeide med tilsynsmyndighetene når de blir bedt om det og gjøre alle nødvendige tiltak for å sikre et tilstrekkelig nivå av sikkerhet i behandlingen (GDPR artikkel 32). Videre må databehandleren føre oversikt over alle kategorier behandlingsaktiviteter de har utført på vegne av en behandlingsansvarlig, akkurat som en behandlingsansvarlig må gjøre det (GDPR artikkel 30).
Særskilte krav til databehandleren
Databehandleren er underlagt særskilte krav i henhold til GDPR og kan være gjenstand for tiltak fra tilsynsmyndigheter (som Datatilsynet) for eventuelle brudd på regelverket.
Selv om databehandler tar sine egne operasjonelle beslutninger, må en databehandler kun behandle personopplysninger i henhold til den behandlingsansvarliges instruksjoner. I henhold til GDPR artikkel 28 må databehandler implementere passende organisatoriske og tekniske tiltak for å oppfylle retningslinjene fastsatt i GDPR, for eksempel har databehandler et ansvar for å sikre at den registrertes rettigheter blir beskyttet.
Dersom reglene i personopplysningsloven brytes, kan Datatilsynet gi advarsler, fatte pålegg, utstede reprimander, stoppe behandlingen av personopplysninger eller ilegge overtredelsesgebyr.
Slik møter du GDPR-kravene med Iconfirm
Artikkel 25. Innebygd personvern og personvern som standardinnstilling
1. (..) gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering (..)
2. (..) sikre at det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles.
Med Iconfirm sparer du tid og kostnader
Iconfirms grunnstruktur er bygget rundt personvern etter norm for informasjonssikkerhet i helse- og omsorgssektoren. Det vil si at med Iconfirm får du en komplett plattform for innebygget personvern, enten du velger å bruke løsningen som en helintegrert komponet eller plug-in løsning. Dermed unngår man lange og kostnadsdrivende utviklingprosjekter. Sammen med oss oppfyller du personopplysninglovens krav til innebygget personvern på uker – ikke måneder.
Noen eksempler:
Pseudonymisering og delt behandling
Innebygd personvern som standardinnstilling.
Stor fleksibilitet hvor hver klient kan definere hvilke personidentifikatorer som behandles for hvilke kategorier av registrerte, formål og i hvilke underliggende systemer.
Sikker lagring
Løsningen er designet for særlig sikker behandling av helseopplysninger.
Sikkerhet innarbeidet i kode og logikk.
Hver organisasjon har egen krypteringsnøkkel som igjen lagres kryptert.
Kan integreres for bruk i andre løsninger for å ivareta krav om konfidensialitet, integritet og tilgjengelighet.
Personvernportalen
Iconfirm har utviklet en egen PersonvernPortal hvor enkeltpersoner kan administrere sine samtykker, rettigheter og personverndialog.
Artikkel 28. Databehandler
3. Behandling utført av en databehandler skal være underlagt en avtale (..)f) (..) bistå den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32-36 (..)
h) (..) muliggjøre og bidra til revisjoner, herunder inspeksjoner (..)
(..) omgående underrette den behandlingsansvarlige dersom vedkommende mener at en instruks er i strid med denne forordning eller andre bestemmelser om vern av personopplysninger (..
Full oversikt med et tastetrykk
Iconfirm sørger for full oversikt over alle personopplysninger og kundeforhold. Med automatisk varsling av for eksempel frister for revisjonsrapporter og hvilken varslingstid den enkelte Behandlingsansvarlige har ved et bytte av underdatabehandler. Også oppgaver knyttet til den registrerte vil bli direkte varslet til databehandler fra Iconfirms PersonvernPortal. All informasjon, fra behandlingsaktiviteter til kunder, som lagres i Iconfirm er strukturert, oversiktlig og søkbart, med mulighet for flere ulike rapporter.
Databehandler skal iht lovverket bistå den behandlingsansvarlige med å oppfylle dennes plikter, som for eksempel å overholde krav til personopplysningssikkerhet, vurdering av personvernkonsekvenser og avviksmeldinger. Databehandleren skal, til en hver tid, kunne tilgjengeliggjøre informasjon om dette til den behandlingsansvarlige. Informasjonsplikten gjelder også databehandlerens underleverandører, som skal være underlagt de samme krav som databehandleravtalen mellom den behandlingsansvarlig og databehandler.Databehandleren må også kunne oppfylle den registrertes rettigheter til innsyn, rettelser, endringer og sletting. Datatilsynet er tilsynsmyndighet etter personopplysningsloven, og har derfor mulighet til å be om all informasjon tilsynet trenger for å kontrollere at loven etterleves.
Automatisk utarbeidelse av databehandleravtaler
Med Iconfirm får du automatisk utfylling av databehandleravtaler basert på den danske standarden som er forankret i det Europeiske personvernrådet og anbefalt av Datatilsynet. Artikkel 28 beskriver alle spesifikke krav til avtalens innhold – hva databehandleren faktisk skal gjøre (behandlingen), behandlingens art, hva som er formålet med behandlingen, hvor lenge avtalen skal vare, hva slags personopplysninger som er registrert og hvilke kategorier av personer personopplysningene gjelder.
Artikkel 30. Protokoller over behandlingsaktiviteter
2. Hver databehandler og, dersom det er relevant, databehandlerens representant skal føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av en behandlingsansvarlig.
Samsvar mellom avtale og protokoll
Behandlingsdokumenter i Iconfirm sikrer rett personvernerklæring og korrekt oppfyllelse av informasjonsplikten til ansatte, kunder, leverandører etc. ut i fra hvilke data som blir behandlet. Dokumentet beskriver hvilket juridiske grunnlag man benytter, hvilke data som samles inn og hvor lenge de skal lagres, den spesifikke personvernerklæringen, påkrevd autentisering fra den registrerte, risikovurderinger og interesseavveininger. Iconfirm gjør administrasjonen av behandlingsgrunnlag enkelt og intuitivt for de som skal dokumentere disse.
Behandlingsprotokoller i Iconfirm
Effektivt vedlikeholdt via operativt behandlingsansvarlig for enten prosess eller system
Detaljerte behandlingsprotokoller på grunnlag av informasjon i prosessoversikt og systemregisteret
Mange maler over behandlingsaktiviteter, både generiske og kundespesialtilpasset
Sikrer konsistent informasjon
- Mellom databehandler og behandlingsansvarlig
- Databehandleravtale og behandlingsprotokoll
Artikkel 32. Sikkerhet ved behandlingen
(..) databehandleren (skal) gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet, alt etter hva som er egnet,
a) pseudonymisering og kryptering av personopplysninger,
b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene,
c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse,
d) en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.
En levende programvare
Som spesialist følger vi utviklingen av personvernregelverk og fortolkninger tett. Det gjør at vi er opptatt av detaljer og nyanser i lovverket som får konsekvenser for ditt arbeid med personopplysninger. Iconfirms teknologi er derfor i stadig videreutvikling for å levere best på sikkerhet.
Etter EUs personvernforordning (GDPR) er virksomheter pliktet til å varsle om sikkerhetsbrudd som involverer personopplysninger innen 72 timer. Databehandler skal rapportere til behandlingsansvarlige som igjen må vurdere om det skal varsles til Datatilsynet og de berørte. Med Iconfirm kan databehandler og behandlingsansvarlige samhandle effektivt om nødvendige tiltak.
Tiltaksfokusert avvikshåndtering
God oversikt på grunn av strukturerte data allerede i systemregister og samhandling med databehandlere:
- Enkelt å registrere, rask respons
- Enkel oversikt over registrerte/omfang
- Versjonshåndtering ved større avvik
- Full loggføring
- Rapportering/varsling
Nøkkelfordeler ved bruk av Iconfirm
Oversikt
- Sikrer god ressursutnyttelse og fjerning av dobbeltarbeid.
- Teknologi som er kvalitetssikret før det tas i bruk.
- Strukturert informasjon gir mulighet for analyser og god oversikt samt konsistent gjenbruk av data i behandlingsprotokoll, databehandleravtaler og internkontroll.
- Systemoversikten spiller en nøkkelrolle hvis en registrert ønsker å utøve sine rettigheter.
- Automatisk utfylling av databehandleravtaler basert på den danske standarden som er forankret i det Europeiske personvernrådet og anbefalt av Datatilsynet.
Tilleggsfunksjoner
- Effektiv varsling ved databrudd/ avvikshåndtering.
- Effektiv prosess-støtte for håndtering av registrertes rettigheter.
- Mulighet for systemintegrasjoner for integritet, konfidensialitet og automasjon i databehandling.
- Praktisk løsning for pseudonymisering og splittet behandling (ref Schrems II supplerende tiltak).
- Godt støttesystem for internkontroll.
- DPIA screening, evt. deling av disse.
- Rutiner for revisjonssykler og varsler ved oppdatering av informasjon.
- Loggførsel over alle aktiviteter.
- God tilgangskontroll og sikkerhet hvor brukere i Iconfirm er sterkt autentisert.