<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=151809838993421&amp;ev=PageView&amp;noscript=1">

Tappin har alle GDPR-rutiner på plass

Skrevet av Ingar Hagen

For mange er GDPR noe stort og skummelt. Det har så visst ikke manglet på skremselspropaganda omkring de nye personvernreglene. Derfor er det kanskje ikke så rart at man kan bli småstresset av tanken på registreringssystemer og apper til eventer.

Vurderer du å bruke en eventapp på ditt neste arrangement og synes at GDPR virker komplisert og skremmende?

Senk skuldrene – det er langt fra så skummelt som det kan fremstå. Velger du en leverandør som har alle rutinene for GDPR i orden, er dette noe som går av seg selv, uten at du behøver å tenke noe særlig på det.

Som kunde eller sluttbruker av Tappin Event App kan du føle deg helt trygg – vi har alt på plass med hensyn til det nye regelverket.

 

La oss ta en kort gjennomgang av hva vi gjør for å etterleve GDPR og sikre våre kunder (appeierne) og sluttbrukerne av appen.

 

1. Standardisert personvernerklæring og brukeravtale i alle apper, med aktiv godkjenning fra bruker som logges

GDPR krever at brukeren av eventappen gir aktivt samtykke til at du kan lagre personopplysninger om vedkommende. For enkelhets skyld har vi slått sammen personvernerklæringen og standard brukeravtale til én avtaletekst.

Personvernerklæringen og brukeravtalen omhandler enkelt og greit hva appeier og Tappin har lov til å gjøre med innholdet du poster, og hva bruker har lov til å gjøre i appen. Første gang en bruker går inn i appen, må han eller hun aktivt gi samtykke ved å huke av før de går videre.

Brukerens samtykke er sporbart. Det vil si at hvis en bruker i etterkant sier at han eller hun ikke har gitt samtykke, så kan vi bekrefte at jo, det gjorde de. Og vi kan henvise til hvilken dato og hvilket klokkeslett de gjorde det på, og fra hvilken IP-adresse, osv.

Våre kunder, altså appeierne, kan legge til egne punkter til brukeravtalen. Hvis de ønsker å legge til noe også i personvernerklæringen, så kan de det. Men vår standard dekker 99 %.

 

2. Databehandleravtale med alle kunder og partnere

Mellom oss og selskapet/organisasjonen som eier appen, foreligger det en databehandleravtale, hvor vi er databehandler, og selskapet er behandlingsansvarlig.

Databehandleravtalen beskriver på en klar og tydelig måte hvordan Tappin behandler personopplysninger, og hva vi kan gjøre med disse. Avtalen sikrer at personopplysninger blir behandlet i samsvar med regelverket. Alle data om brukere av våre apper blir lagret innenfor EU/EØS-området.

Avtalen omtaler også Tappins interne sikkerhetsrutiner, bl. a. forskriftsmessig kryptering av dataene, rutiner for avvikshåndtering og forsvarlig sikring av servere, databaser og annet tilsvarende utstyr.

Databehandleravtalen er viktig for at både vi som leverandør og du som appeier skal være klar over rettigheter, forpliktelser og ansvar vi har, både overfor hverandre og i henhold til regelverket.

 

3. Interne sikkerhetsrutiner

Tappin har på plass alle interne rutiner for å sikre at data ikke kommer på avveie eller kan nås gjennom uautorisert tilgang eller datainnbrudd.

Våre datasikkerhetsrutiner er i henhold til eller bedre enn GDPR-reglementet, og de tar høyde for alle mulige scenarier – som f. eks. hva vi skal gjøre hvis en PC blir stjålet, hvis en ansatt mister telefonen sin, og lignende.

 

4. Avvikshåndtering og rapportering

Avvikshåndtering er en sentral del av GDPR. Hvis det skjer et avvik med dataene som skyldes brudd på datasikkerheten, rapporterer Tappin dette internt, gjennom avviksskjemaer.

Vi beskriver hva som har skjedd, hvilke umiddelbare tiltak vi har iverksatt, og hvilke endelige tiltak vi iverksetter for å lukke avviket og begrense konsekvensene av det. Deretter utarbeider vi en rapport på hva vi har gjort, om avviket er lukket, osv.

Alle avvik blir rapportert til behandlingsansvarlig, dvs. vår kunde, som er appeier. Og så er det vårt felles ansvar å varsle de berørte, og eventuelt de myndigheter som skal varsles, dersom dette er påkrevd.

 

100 % sletting eller utlevering av personopplysninger

Med GDPR får alle borgere rett til å kreve at opplysningene om dem blir slettet (“retten til å bli glemt”). Når en sluttbruker av Tappin Event App ber om å bli slettet, eller om å få ut alle sine personopplysninger, så har vi systemer for dette.

Ber du om å bli slettet, blir du faktisk slettet HELT, både fra live-systemer og backups.

Ber du om å få ut opplysninger, får du ut ALLE opplysningene.

 

Konklusjon

En viktig førstesjekk for en arrangør er at man bruker en leverandør som har alle rutiner for GDPR i orden.

I henhold til regelverket skal alle persondata lagres innenfor EU/EØS-området. En av snubletrådene mange arrangører kan gå i, er at de velger en leverandør som er utenfor Europa, og som kanskje gir beng i hele GDPR. Da risikerer man i verste fall en bot på 20 millioner euro, eller 5 % av brutto global omsetning …

Velger du derimot en leverandør som har alle rutiner på plass og etterlever det nye regelverket i alle ledd, slik som Tappin, så er dette noe som går av seg selv. En profesjonell leverandør vil dessuten kunne gi deg råd om hvordan du oppfyller kravene i forordningen og har alt ditt på det tørre.

Tappin sørger for at alle kunder, samarbeidspartnere og sluttbrukere blir tatt vare på, og at alle data behandles på en forsvarlig og trygg måte.

Les mer om våre rutiner for GDPR i dette innlegget.

 

Gratis e-bok: Slik velger du riktig eventapp