GPDR retningslinjer,
Databehandling.

Ivaretagelse av personvernforordningen og behandling av personopplysninger på vegne av behandlingsansvarlig. Artikkel. 28 – 38. Resitasjon. 76 – 91.

FantasyLab

Telefon: 45464607 / 45494649

Sist oppdatert: 16.09.19

Epost: executive@fantasylab.io

Databehandler & Behandlingsansvarlig:

Databehandler: FantasyLab.

Behandlingsansvarlig: Kjøper.

Avtalens gyldighet, varighet og opphør:

Databehandleravtalen trer automatisk i kraft ved aksept av FantasyLab sitt standard avtalevilkår.

Avtalen er kun i effekt så lenge FantasyLab behandler personopplysninger på vegne av behandlingsansvarlig.

Dersom avtalen om levering av digitale tjenester sies opp av en av partene vil dette også medføre at denne avtalen opphører på samme tidspunkt. Avtalen kan sies opp av en av partene til enhver tid gjennom skriftlig melding.

Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.

Databehandler vil med mindre annet er avtalt, lagre og oppbevare kopier av personopplysninger i en ende til ende kryptert «Cloud miljø» skapt gjennom MEGA teknologien (mega.nz). To lokale PC’er vil være tilkoblet gjennom «to-faktor-autentisering» og en svært sterk pass-phrase (ikke vanlig passord). Ingen andre enn FantasyLab sin styret har tilgang til disse to PC’ene.

Rutiner og instrukser for behandling:

Det er påkrevd fra alle i databehandlerens «remote team» å fylle ut sine personopplysninger, signere under taushetserklæring + sende inn kopi av Passport, for verifisering. I tillegg er FantasyLab strukturert med strenge rutiner og instrukser på hvordan personopplysninger skal behandles.

Alle personopplysninger som tilhører behandlingsansvarlig sine kunder, skal lagres i behandlingsansvarlig sin digitale plattform. Tilgang til behandlingsansvarlig sine systemer skal gis til databehandler kun hvis strengt nødvendig, og med forhåndsvarsel for hvilken risiko den gjeldende databehandlingen innebærer.

Ved endt arbeid skal databehandler slette alle lokale datakopier som ble lagret under arbeidet og melde fra til behandlingsansvarlig om at de må bytte/endre på alle oppgitte passord. Databehandler, behandler ikke personopplysninger direkte utover at det designes og videreutvikles på behandlingsansvarlig sine systemer, der alle opplysninger innsamles.

Overføring av personopplysninger til en tredjepart:

Databehandler vil dele tilganger med sine «in-house ansatte» eller sitt «remote team» kun på en streng «need-to-know-basis». Tilgang vil bli delt med «remote team» først etter at databehandler har fått innvilget tillatelse fra den behandlingsansvarlige. Ved endt arbeid vil alle lokale datakopier som ble lagret underveis slettes og det vil meldes ifra til behandlingsansvarlig om;

  • Hvem som har hatt tilgang, hva som ble utført + bekreftelse på sletting av alle lokale kopier.
  • Behandlingsansvarlig må bytte/endre på alle oppgitte passord og slette alle tilganger.

Hvordan behandles personopplysninger og hvordan fungerer systemene som benyttes til behandling:

Personopplysninger som overføres til eller tilgjengeliggjøres for databehandler kan arkiveres midlertidig i databehandler sin ende til ende krypterte «Cloud miljø». Miljøet er sikret med en svært sterk pass-phrase + «2FA autentisering» for alle innlogginger. «2FA kodene» genereres kun på to mobile enheter som til enhver tid er i styrets besittelse. Ingen andre enn styret har tilgang til bedriftens overordnede og sensitive systemer.

Alle opplysninger og tilganger vil kun brukes for å fullføre den tildelte jobben. Overføringen av opplysninger fra databehandler til sine «in-house ansatte» eller sitt «remote team», vil skje gjennom applikasjonen «Slack».

Databehandlers taushetspikt

Se «FantasyLab AS, Orgnr. 92298376 – Taushetserklæring»

Databehandler benytter seg av et “remote team” utenfor Norge. Hvordan opplyses de ansatte og hvordan sikrer databehandler seg mot avtalebrudd?

De ansatte opplyses gjennom en taushetserklæring som må signeres + at det blir foretatt en nøye samtale med hver og en. Samtidig vil bedriften kreve kopi av Passport fra den ansatte før de tildeles informasjon.

Databehandler sikrer seg mot avtalebrudd ved at all sensitiv informasjon gjøres tilgjengelig for databehandler kun hvis strengt nødvendig. Databehandler viderefører så denne informasjonen eller tilgangen etter tillatelse fra behandlingsansvarlig.

Behandlingsansvarlig må melde ifra på forhånd til databehandler, hvis det skal tilgjengeliggjøres personopplysninger for databehandler som har en høy risiko tilknyttet ved seg. Databehandler forbeholder seg retten til å kunne si nei til jobber eller å ta imot opplysninger som er av for høy risiko.

Organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen:

  • Kryptering.
  • Ikke jobbe på åpent nett.
  • Bruke ekstremt sterke passord.
  • Bruke “2FA” for all innlogginger, så langt det er mulig.
  • Taushetserklæring + databehandleravtale for både in-house og remote ansatte.
  • Verifisering av alle “remote-team” via kopi av Passport og f.eks. en strøm eller mobil regning.

Dokumentering av rutiner og instrukser:

Nærværende dokument er et eksempel på dokumentasjon. Videre er spesifikke, konkrete rutiner og instrukser dokumentert og lagret i bedriftens krypterte «Cloud miljø».

Avtalebrudd:

Ved avtalebrudd forplikter databehandler seg til å straks varsle behandlingsansvarlig.

Er det tale om «brudd på» eller «mulig brudd på» personopplysningssikkerheten slik at personopplysninger har kommet eller kan komme på avveie, skal databehandler straks varsle behandlingsansvarlig med detaljert informasjon om avtalebruddet.

Behandlingsansvarlig har ansvaret for at melding om overtredelser av personvernreglene sendes til datatilsynet.

Behandlingsansvarlig kan ved avtalebrudd anmode databehandler om å stoppe videre behandling av informasjon med øyeblikkelig virkning, og senest innen 24 timer.

Meddelelser:

Meddelelser fra behandlingsansvarlig skal avgis skriftlig til databehandler: support@fantasylab.io.