Databehandler og dataansvarlig
I GDPR 2018 taler man meget om, hvem der er ”databehandlere”, og hvem der er ”dataansvarlige”. I dette tilfælde er Planway databehandlere, og vores brugere er dataansvarlige. Planway hjælper jer, vores brugere, med håndtering af jeres kundedata, på vegne af jer og ud fra jeres interesser. Som kunder har I fuld kontrol over, hvordan vi behandler jeres data, idet vi udelukkende handler ud fra jeres instrukser.
For dybere indsigt i forhold vedr. databehandlere og dataansvarlige kan man læse mere på Datatilsynets hjemmeside
Hvad skal jeg gøre?
Ved oprettelsen af din Planway-bruger har du automatisk accepteret vores betingelser vedr. databehandling. Du behøver derfor ikke at foretage dig noget.
Dataplacering
Planway har sin hosting i Danmark hos et dansk selskab. Alle jeres kundeinformationer bliver derved opbevaret i Danmark og kommer ikke udenfor EU’s grænser.
Hvad skal jeg gøre?
Når du bruger Planway, er der helt styr på opbevaringen af dine data.
Samtykkekrav og forpligtelse til oplysning
Som dataansvarlig er det vigtigt, at din kommunikation er tydelig i forhold til håndtering og opbevaring af dine kunders data. Som hovedregel skal en behandling af data udelukkende ske, hvor der ligger samtykke fra dine kunder, og kun hvor der er et sagligt formål.
Dine klienter skal til enhver tid kunne få oplyst:
- hvilke personoplysninger du har registreret på dem
- hvad formålet er med opbevaring af deres personoplysninger
- i hvilket tidsrum personoplysningerne er blevet opbevaret
- hvordan de vil kunne få deres oplysninger slettet, udleveret eller berettiget
- hvilke samtykker, der er givet, og hvordan de kan trækkes tilbage
Opretter du klienter i Planway, skal du have deres samtykke til dette. Når klienter booker via online booking, giver de automatisk deres samtykke.
Hvad skal jeg gøre?
Hvis du har kunder, som ikke har anvendt online booking, skal du have deres permission for at kunne behandle deres data i Planway.
Data Protection Officer (DPO)
Som databehandler skal Planway have udpeget en DPO. Personen, der har rollen som DPO, har ansvaret for at sikre, at virksomheden efterlever kravene i GDPR 2018. Læs mere om rollen som DPO her: https://startvaekst.virk.dk/privacykompasset
Hvad skal jeg gøre?
Den bruger, der foretager oprettelse af jeres virksomhedsprofil hos Planway, sættes automatisk som DPO. Ønskes dette ændret, kan man skrive en mail til info@planway.com.
Data og portabilitet
Kunder, der er oprettet i Planway, har ret til at få deres data udleveret eller overført til et andet system. Hvis du har kunder, der ønsker at få udleveret data, eller du skal bruge deres data til en anden databehandler, så kan dette ordnes ved at tage kontakt til Planway.
Hvad skal jeg gøre?
Skriv en mail til info@planway.com, så vil vi meget gerne hjælpe med at udlevere de data, der efterspørges.
Right to be forgotten
Alle kunder har med GDPR 2018 ret til at blive ”glemt”. Her kræves det, at klienten slettes fra dit kundekartotek. Hvis klienten ønsker at blive ”glemt”, gøres det ved at slette kunden under personens profil i Planway.
Hvad skal jeg gøre?
Du skal som udgangspunkt ikke gøre noget. Ovenstående er kun relevant, hvis det efterspørges af dine kunder. Skulle det blive aktuelt, kan det ordnes gennem Planway.
Privacy by design
Med den nye persondataforordning bliver det et lovkrav, at man skal kryptere persondata. Hos Planway krypterer vi alle data, men hvis du bruger andre databehandlere, skal du tjekke, at de lever op til lovgivningen.
Hvad skal jeg gøre?
Hvis du ikke anvender andre systemer end Planway, behøver du ikke at gøre noget. Men bruger du andre databehandlere, skal du tjekke op med dem.
Udarbejdelse af Impact assessment
Efter den nye lovgivning skal alle dataansvarlige udarbejde en konsekvensanalyse (impact assessment), som forklarer, hvilke teknologier der har adgang til dine data. Herunder skal det vurderes, hvilke risici, der er forbundet med de parter, du samarbejder med samt, hvilke risici, der kan være for dine kunder.
Hvad skal jeg gøre?
Du skal udarbejde en konsekvensanalyse. Hvis du ønsker hjælp til dette, kan du kontakte os på info@planway.com.
Databrud og underretningspligt
Ved indtrædelse af den nye persondataforordning er det blevet lovkrav, at man som dataansvarlig forpligter sig til at indrapportere databrud senest 72 timer efter, det har fundet sted. Planway, som er databehandlere, skal underrette vores brugere og Datatilsynet i tilfælde af databrud. Denne procedure er nedskrevet, og vi er klar, hvis det skulle blive aktuelt.
Hvad skal jeg gøre?
Hvis du modtager en underretning fra os vedr. databrud, skal du underrette Datatilsynet. Vi vil naturligvis hjælpe med det praktiske, hvis det bliver aktuelt.
Dokumentation for compliance med Persondataforordningen
I rollen som dataansvarlig er det dit ansvar at have dokumentation for, at din virksomhed overholder persondataforordningen. Du skal således kunne dokumentere, at din virksomhed har korrekt omgang med data, og at data behandles korrekt af dine ”system-leverandører”.
Hvad skal jeg gøre?
Du skal kunne dokumentere over for Datatilsynet, at du behandler data korrekt.
SSL kryptering på alt kommunikation
Kommunikation skal fremover krypteres mellem browser og system. Dette er noget, du som dataansvarlig skal være opmærksom på, og det kan heldigvis nemt tjekkes. Når en side er SSL krypteret, vil der være en hængelås ved siden af websidens URL.
Hvad skal jeg gøre?
Alle handlinger i Planway er SSL krypterede, og du behøver derfor ikke at gøre noget i forhold til brug af Planway.
Dataudveksling mellem platforme
Du skal som dataansvarlig sikre, at integrationer mellem dine systemer kører på en SSL krypteret forbindelse. Dvs. at hvis du bruger en integration mellem dit bookingsystem og et regnskabssystem, så skal der være SSL kryptering på alle led i forbindelsen.
Hvad skal jeg gøre?
Hvis du udelukkende bruger integrationer fra Planway, så sørger vi for, at SSL sikkerheden er, som den skal være.