<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1734562070190813&amp;ev=PageView&amp;noscript=1">
av Helene Stokke den 03. mai 2018

Bruker du et påmeldingssystem? Spør leverandøren om hvordan de etterlever GDPR

Justis- og beredskapsdepartementet har kunngjort at den nye personopplysningsloven utsettes med litt over en måned, til 1. juli. Kort forklart er årsaken til forsinkelsen konstitusjonelle forhold i Liechtenstein som kan forsinke EØS-avtalen. Norge vil ikke gjøre GDPR til norsk lov før den er på plass i EØS.

Utsettelsen til tross – det er likevel bare 59 dager til forordningen trer i kraft. Er din bedrift ikke à jour med de nye reglene, er det lurt å komme i gang. Som vi skriver om her, får GDPR sentral betydning for arrangører.

 

Oppfyller leverandøren GDPR-kravene?

Hvis du er arrangør og per i dag bruker (eller akter å investere i) et påmeldingssystem, innebærer det i praksis at du betror persondata til systemleverandøren. Når dere setter ut hele eller deler av behandlingen av personopplysninger til en annen tjenesteleverandør, er den eller de som behandler opplysningene, definert som databehandlere.

Som den behandlingsansvarlige part skal dere da forsikre dere om at databehandleren har tilstrekkelig sikkerhetsnivå. Dette innebærer at du som kunde må bedømme hvilke sikkerhetstiltak som gjøres av leverandøren for å beskytte dine persondata.

Ulike leverandører har ulik grad av modenhet når det gjelder GDPR og sikkerheten rundt dine og dine deltakeres persondata.

Med andre ord er det viktig å velge en leverandør som kan dokumentere at de samler inn personopplysninger i samsvar med det nye regelverket. Et sentralt punkt på listen blir derfor å sjekke den aktuelle leverandørens evne til å oppfylle GDPR-kravene.

Hvordan legger leverandøren til rette for at brukere av påmeldingssystemet kan samle inn og bruke deltakeres data på en lovlig måte?

I dette innlegget går vi gjennom 5 spørsmål dere bør stille leverandøren av påmeldingssystemet dere bruker eller har tenkt å investere i.

1. Har dere utarbeidet en databehandleravtale mellom dere og deres kunder?

En virksomhet som bruker skytjenester eller nettbaserte tjenester som behandler personopplysninger, vil i de aller fleste tilfeller måtte ha en databehandleravtale. Databehandleravtalen regulerer hva databehandleren (f. eks. leverandøren av et påmeldingssystem) kan gjøre med personopplysningene.

Det er viktig å skille mellom vanlige personopplysninger og sensitiv informasjon. Det er enda strengere krav dersom informasjonen man samler inn, er sensitiv. Dette skal også fremkomme i en databehandleravtale.

2. Hvordan sørger dere for sikker datalagring?

Spør leverandøren om hva slags sikkerhetstiltak de har på plass for å beskytte data mot tap, misbruk og uautorisert bruk.

3. Hvilke rutiner har dere for håndtering av sikkerhetsbrudd?

Spør systemleverandøren om hvilke prosedyrer de har for å melde fra dersom personopplysninger kommer på avveie.

4. Hvordan tilrettelegger dere systemet teknisk for å innhente relevant samtykke fra deltakere?

Registrering av personopplysninger krever samtykke fra den som registreres, eller at man har et rettslig grunnlag for å gjøre det.

Du må få avklart med systemleverandøren hva slags løsninger de har laget for enkelt å innhente de samtykker du som kunde må få fra dine kunder, både for lagring av persondata og for kommunikasjon til disse.

 

5. Hvordan er det lagt til rette for muligheten til å bli glemt/slettet eller evt. anonymisert?

GDPR dreier seg i første rekke om at enkeltindivider får større bestemmelsesrett over sine egne data og økt kontroll med hvem som vet hva. De som har fått sine personopplysninger registrert, har også rett til å bli slettet når forutsetningen for registreringen ikke lenger er til stede. I GDPR omtales det som «retten til å bli glemt».

Dersom en deltaker ber deg om å slette alle opplysningene dere har om ham/henne – vil leverandøren av påmeldingssystemet da være behjelpelig med å spore opp dataene?

Det er dessuten viktig å bevare historikk om tidligere arrangementer, som f. eks. antall deltakere totalt, antall på ulike aktiviteter, antall rom, etc. Hvilke grep har systemleverandøren tatt for å gi mulighet for å «anonymisere» en deltaker (fjerne navn og personlig data) uten å måtte slette deltakerinformasjon?

 

GDPR innebærer at arrangementsplanleggere, arrangører og eventbyråer får et større ansvar for å sikre opplysningene de behandler i forbindelse med arrangement. Ikke minst må du som arrangør sørge for at leverandøren av påmeldingssystemet dere bruker eller skal investere i, samler inn personopplysninger i samsvar med det nye regelverket.

 

Gratis e-bok: GDPR-sjekkliste

Skrevet av Helene Stokke

Helene er daglig leder i Proviso AS og har over tjue års erfaring fra reiseliv, hotell og arrangementer, med system som hovedfelt. Helene har en lidenskap for kundeservice og har vært med på å utvikle store deler av Provisos deltaker- og påmeldingssystem. Helene var tidligere leder for Customer Success Team i Proviso. Som daglig leder er hennes primæroppgave å videreføre og videreutvikle selskapet til en klar markedsleder i kategorien meeting management. Ved siden av jobb er Helene engasjert i langrennsmiljøet i Drøbak og er ofte å finne på en skiarena på Østlandet.