General Data Protection Regulation (GDPR)

Sikker behandling av persondata er en selvfølge

 

For SurveyXact-brukere er ikke sikker behandling av persondata noe nytt. EUs personvernforordning, GDPR, trådte i kraft 25. mai 2018, og datasikkerheten for EU-borgernes personopplysninger ble endelig tatt på alvor. Vi i SurveyXact har imidlertid alltid hatt sikkerheten til våre respondenters persondata som viktigste fokusområde i utviklingen av systemet.

Helt siden SurveyXact ble utviklet som et internt analyseverktøy for konsulentfirmaet Rambøll Management Consulting, har vi etterstrebet å ha bransjens sikreste IT-setup. I dag er SurveyXact markedets mest fleksible og brukervennlige spørreskjemaverktøy – med hele Rambøll Management Consultings ekspertise i ryggen.

Med hundrevis av kunder i både offentlig og privat sektor er vi stolte av å sette standarden for hvordan de gjeldene lovene for behandling av persondata overholdes i vår bransje.

Det handler om åpenhet, nødvendighetsprinsippet og sikkerhet

EUs personvernforordning stiller strenge og meget skjerpede krav til alle som behandler persondata. Reglene er mangfoldige, men kort sagt gjelder følgende:

 

Du skal opplyse respondentene dine om nøyaktig hva du har som formål å bruke dataene deres til, og du må kun samle inn, oppbevare og behandle data som er nødvendige for å oppfylle det tiltenkte formålet.

 

Dine respondenter har til enhver tid rett til å få tilgang til sine innsamlede persondata, til å rette opp i dem, og i de fleste tilfeller slette dem.     

Du må sørge for at kun de absolutt mest nødvendige ansatte i din virksomhet har tilgang til dine respondenters personopplysninger – samt at data ikke kan komme i hendene på uvedkommende.

 

Du må kun beholde og behandle innsamlede data så lenge det er nødvendig med hensyn til det tiltenkte formålet.

 

 

Siden datasikkerhet har vært høyt prioritert hos SurveyXact i mange år, var vi godt forberedt på EUs nye personvernforordning. Kun noen få tekniske finjusteringer var nødvendig for å gjøre det enkelt for våre brukere å følge de nye reglene.

Hva er GDPR?

Formålet med EUs nye Personvernforordning er å beskytte EU-borgernes personopplysninger, gi den enkelte borger bedre kontroll over sine persondata, samt sikre enhetlige regler for databeskyttelse på tvers av hele EU. Reglene gjelder for alle som behandler data vedrørende EU-borgere –organisasjoner utenfor EU som behandler EU-borgeres persondata er dermed også underlagt reglene.

Forordningen skjerper kravene til åpenhet og sikkerhet for den registrerte, samtidig innfører forordningen strenge sanksjoner mot organisasjoner som ikke overholder reglene. EU kan følgelig nå gi bøter på opptil 4 prosent av en virksomhets globale omsetning.

GDPR for spørreskjemaundersøkelser

Av natur inneholder spørreskjemaundersøkelser personopplysninger – det er mennesker vi undersøker. I mange tilfeller er det nødvendig å samle inn sensitive personopplysninger - eksempelvis i forbindelse med pasientundersøkelser. Derfor har vi fokusert på å gjøre det enkelt og trygt for deg å imøtekomme dine respondenters rett til sikker datahåndtering, uten å gå på kompromiss med svarprosenten.

 

Den registrertes rettigheter

Det skal være enkelt for dine respondenter å kunne tilbakekalle sitt samtykke til enhver tid, og få sine data slettet fra undersøkelsen. Med den nye respondentsøkefunksjonen i SurveyXact, er det enkelt å isolere svarene til den enkelte respondent og slette disse dataene fra én eller flere undersøkelser.

 

Kontrollert tilgang

Kun de ytterst nødvendigste personene bør ha tilgang til dine respondenters data. Med tilgangskontroll i SurveyXact kan du enkelt tildele bestemte medarbeidere de nødvendige rettighetene på følgende nivåer:

Spørreskjemarettigheter (innebærer ikke persondata)

Distribusjonsrettigheter (innebærer persondata)

Analyserettigheter (innebærer persondata)

Rapporteringsrettigheter (kan innebære persondata)

Dokumentasjon på sikkerhet

Du må kunne dokumentere at du, samt dine samarbeidspartnere, overholder EUs personvernforordning. Siden 2017 har en databehandleravtale fulgt med SurveyXact-lisensen. I kombinasjon med revisjonserklæringen fra PwC er dette din garanti for at vi tar sikkerheten din på alvor. 

      

Anonymitet

Full anonymitet er ofte en forutsetning for at respondenter deltar i undersøkelser – spesielt når de innbefatter sensitive personopplysninger. I SurveyXact kan du enkelt velge at en undersøkelse skal være anonym. Du kan gjøre undersøkelsen anonym fra begynnelsen dersom du ikke har behov for identifiserbare persondata. Du kan også gjøre det senere, dersom du ikke lenger trenger personopplysningene, men likevel ønsker å beholde dataen – for eksempel for å følge historisk utvikling.

Velg din databehandler med omhu

 

Ditt ansvar

Når du samler inn data til din undersøkelse er du behandlingsansvarlig, mens SurveyXact er en databehandler. En databehandler opererer etter den behandlingsansvarliges instrukser. Du skal altså selv kunne stå inne for de dataene som kommer inn i systemet. Du har også som behandlingsansvarlig ansvar for at opplysningene er anskaffet på lovlig vis, samt at du kun anvender dem til det formålet du har opplyst om ved innsamlingen. Hvis lover overtredes på et tidspunkt i prosessen, er det du som er ansvarlig. Det betyr også at du må være svært påpasselig med hvem du velger som databehandler.

Vårt ansvar

Selv om ansvaret til syvende og sist ligger hos deg dersom loven ikke overholdes, gjør vi som databehandler alt vi kan for å ta vare på dataene dine og gjøre det enkelt for deg å overholde loven. SurveyXact leverer all sikkerhetsdokumentasjon du har behov for, i form av en ISAE 3000-II revisjonserklæring fra PwC, samt databehandleravtalen som følger med din SurveyXact-lisens.

Samtidig har vi utviklet en rekke funksjoner som gir deg full kontroll på tilgangen til dine respondenters data.

Avansert brukerstyring

Som administrator kan du tildele ulike rettigheter til forskjellige medarbeidere. Samtidig logger systemet all aktivitet, slik at du til enhver tid kan se hvem som har trukket ut hvilke opplysninger, og når. Loggen er faktisk så detaljert at vi til enhver tid kan gjenopprette en brukersesjon.

To-faktor innlogging

To-faktor innlogging dobler sikkerheten. Som kjent fra BankID skal du først taste inn ditt personlige brukernavn og passord, deretter skal du godkjennes av systemet ved hjelp av enten en SMS-kode eller identifikasjon av din IP-adresse.

Single sign-on

Med single sign-on kan du koble brukertilgangen sammen med deres «Active Directory». Det betyr at de medarbeiderne du har gitt tilgang må logge inn på sin arbeidsplass for å få tilgang til SurveyXact. Når ansatte slutter, opphører deres tilgang til SurveyXact.

Data bak lås og slå

Til tross for at sikkerheten kan trues av bredbåndskabler og andre fysiske forhold, er dataene dine i gode hender. Vi lagrer alle data i Danmark i et toppsikkert hostingsenter, som tåler både innbruddsforsøk, så vel som røyk, brann og vann.

Vi har mange datakritiske systemer – både strømforsyning, klimaanlegg og data-backup. Vi tar en full backup til en annen server som ligger på en annen fysisk lokasjon hver dag.  

Vi foretar penetrasjonstest av vårt eget sikkerhetsoppsett, det vil si at vi prøver å hacke oss inn i vårt eget driftsmiljø. Dette har vi ennå ikke lykkes med.

 

Spør vår databeskyttelsesrådgiver

Du er velkommen til å kontakte Rambøll Management Consulting sin databeskyttelsesrådgiver dersom du har spørsmål om EUs personvernforordning, eventuelt datasikkerhet generelt.

 

Databeskyttelsesrådgiver
Ivan Dalsgaard Sørensen
Manager
Rambøll Management Consulting

E: ivds@ramboll.com
T: +45 51 61 78 22

Frequently Asked Questions (FAQ)

1. Skal jeg innhente samtykke for å samle inn persondata fra alle respondenter?

Du skal alltid ha samtykke for å samle inn persondata. Med da det krever en bevisst og aktiv handling for å delta i en spørreskjemaundersøkelse, kan selve deltakelsen regnes som et samtykke. I spesielle tilfeller – for eksempel hvis en undersøkelse innebærer sensitive personopplysninger – anbefaler vi at du får et mer eksplisitt samtykke.

Uavhengig av persondataens karakter, krever EUs personvernforordning at det skal foreligge et informert samtykke. Hvilke persondata vedkommende avgir, og ikke minst hvorfor, skal være helt tydelig for respondenten. Som behandlingsansvarlig er du blant annet forpliktet til å opplyse den registrerte om hvorfor du har bruk for de gjeldende opplysningene, hva formålet med innsamlingen er, hvordan du oppbevarer dataene, samt hvor lenge. Du skal også opplyse om at du benytter en tredjepart som databehandler (som SurveyXact). EUs personvernforordning presiserer også at du ved innhenting av samtykke skal informere respondentene om deres rettigheter. Disse omfatter retten til å få innsikt i egen innsamlet data, foreta endringer i egen data, samt tilbakekalle samtykket og få sin innsamlede data slettet fra din og din databehandlers (SurveyXact) database. Du skal i denne sammenheng gjøre det enkelt for respondentene å benytte seg av disse rettighetene ved å oppgi kontaktinformasjonen til selskapets behandlingsansvarlige.

Det er med andre ord en del informasjon som skal være lett tilgjengelig for respondenten for å oppfylle EUs personvernforordnings krav til åpenhet. Du kan velge å samle alle disse opplysningene på undersøkelsens forside. Du kan også vise et utdrag av informasjonen på forsiden, og via en link henvise til en side med informasjon om personopplysninger på din virksomhets hjemmeside. Her bør du også beskrive eventuelle spesielle forhold knyttet til undersøkelsene dine - herunder at SurveyXact er databehandler.   

Eksempel på samtykkeerklæring.

Reglene for hvordan det informerte samtykket skal innhentes kan tolkes på flere måter. Men en tommelfingerregel som hjelper til med å overholde EUs persondataforordning er at du skal være 100 prosent transparent når det kommer til alt som omhandler persondata. Du er derfor langt bedre dekket dersom du er helt klar på hva du samler inn, hvorfor og hvor lenge du oppbevarer dataen. Samtidig gir det økt troverdighet - som også er den viktigste parameteren i forhold til svarprosent.
2. Lagrer SurveyXact respondentenes IP-adresser?

Nei. Alle respondenters IP-adresser blir anonymisert. Hverken du eller ansatte i SurveyXact har tilgang til å se eller benytte IP-adressene.
3. Kan jeg slette persondata i en eksisterende undersøkelse?

Ja, du kan slette alle data, herunder persondata, i alle undersøkelser i SurveyXact. EUs personvernforordning gir alle registrerte «retten til å bli glemt». Det skal altså etter forespørsel være mulig å slette alle spor fra enhver deltaker i en undersøkelse. Det finnes en rekke måter å håndtere dette på:

  • Du kan slette spesifikke variabler i en undersøkelse
  • Du kan slette besvarelsen til en bestemt respondent
  • Du kan slette alle data i en undersøkelse
  • Du kan slette hele undersøkelsen

Med vår nye respondentsøkefunksjon, som tillater deg å finne bestemte respondenter på tvers av alle undersøkelsene dine, kan du enkelt finne og slette besvarelsen til en spesifikk respondent.

Husk at det som behandlingsansvarlig er ditt ansvar å slette all personlig identifiserbar informasjon når formålet med innsamlingen og oppbevaringen er oppfylt.
4. Kan jeg anonymisere data i undersøkelsen min, slik at den ikke lenger inneholder persondata?

Ja, vår nye GDPR-anonymiseringsfunksjon gjør det enkelt å anonymisere data i din undersøkelse ved hjelp av filtre og autofiltre. Du kan for eksempel benytte:

  • Tidsfilter: Her kan du anonymisere data ut ifra et bestemt tidsintervall
  • Bakgrunnsdatafilter: Her kan du anonymisere alle bakgrunnsdata
  • Systemdatafilter: Her kan du anonymisere eksempelvis telefonnumre
  • Filter for tekst- og kommentarfelt i bakgrunns- og/eller spørreskjemadata: Her kan du anonymisere alle åpne felt både i databasen og i selve undersøkelsen.

Husk at det er ditt ansvar som behandlingsansvarlig å anonymisere data og ha klare retningslinjer for prosessen. For eksempel kan ikke-personidentifiserbare data plutselig bli identifiserbare når de kombineres.
5. Hvor lenge lagres persondata i SurveyXact?

Som følge EUs personvernforordning skal du kun oppbevare data så lenge det er nødvendig for å oppfylle formålet med datainnsamlingen. Når du ikke lenger har bruk for dataene, skal du selv sørge for å slette eller anonymisere dem. Du skal heller ikke beholde dataen selv om kunne tenke deg å bruke dem til et annet formål, for eksempel i markedsføring. I så fall skal du be om et nytt eksplisitt samtykke. Det er ditt ansvar å slette data du ikke lenger har bruk for i SurveyXact.

Hvis du ikke selv sletter data, lagrer SurveyXact dem så lenge du har en aktiv lisens. Dersom din lisens utløper, sletter SurveyXact de dataene du ikke selv har slettet. Når du eller SurveyXact sletter dataene dine, lagres de opptil 3 måneder i vårt backup-system, deretter blir de ugjenkallelig slettet.
6. Hvor er SurveyXact sine servere plassert?

Som følge av EUs personvernforordning må EU-borgernes persondata som utgangspunkt ikke sendes ut av EU, EØS eller til land som ikke er kategorisert som et sikkert tredjeland – les mer i Datatilsynets veiledning.

SurveyXact sine servere, som betjener våre kunder over hele verden, er fysisk plassert hos hostingselskapet Fuzion i Aarhus, Danmark. I de tilfeller vi benytter underdatabehandlere, garanterer vi at data ikke sendes til usikre tredjeland.
7. Hvem i Rambøll/SurveyXact har tilgang til mine data?

Kun et fåtall medarbeidere hos oss har tilgang til dine data. Det dreier seg om de som arbeider med utviklingen og driften av SurveyXact. Dersom en av disse ansettelsesforholdene opphører, sperres den ansattes brukertilgang umiddelbart. Vi fører en liste over autoriserte medarbeidere, hvor vi angir hvilken type tilgang autorisasjonen dekker.

Hvis du har bruk for support, kan du via vårt supportadministrasjonssystem gi en bestemt supportmedarbeider hos SurveyXact tilgang til persondataene dine. Supportsystemet sikrer at tilgangen kun gis til ønsket medarbeider, til de spesifikke persondataene, og i et begrenset tidsrom – for eksempel en time.
8. Benytter SurveyXact underdatabehandlere?

Ja, SurveyXact bruker en underdatabehandler for undersøkelser hvor spørreskjemaet distribueres via SMS. Nåværende underdatabehandler for SMS-distribusjon kan finnes på surveyxact.no/smsbestilling 

Underdatabehandler benyttes kun i forbindelse med SMS-distribusjon.
9. Hvilke rettigheter har respondenten i forhold til SurveyXact?

Respondentene har rett til å få innblikk i personopplysningene du oppbevarer, samt korrigere dem dersom de ikke er korrekte. Som utgangspunkt har respondenter også rett til å få sine persondata slettet fra dine undersøkelser og arkiver. I visse tilfeller trumfer imidlertid formålet ved å bevare personopplysningene respondentens rett til å få dem slettet. Det gjelder for eksempel visse studier som inneholder helsedata, hvor opplysningene kan være nødvendige for fremtidige behandlinger.

De nye GDPR-funksjonene i SurveyXact gjør det enkelt for deg å imøtekomme respondentenes rettigheter.

Husk at det også er ditt ansvar å korrigere eller slette persondata i eventuelle eksporterte Excel-ark.

Hvis SurveyXact blir kontaktet direkte av en av dine respondenter vedrørende det overstående, har vi en effektiv og profesjonell prosedyre for å håndtere dette. Vi sender forespørselen til den aktuelle personen i organisasjonen din, samtidig som vi informerer respondenten om det videre forløpet. I henhold til EUs personvernforordning skal «virksomheten gjennomføre sletting uten ugrunnet opphold og normalt senest innen én måned».
10. Hvordan beskytter jeg persondata i min organisasjon, slik at kun utvalgte medarbeidere har tilgang til dem?

Du er forpliktet til å beskytte innsamlede persondata så godt som mulig. Du skal derfor minimere andres tilgang til data så langt det lar seg gjøre. Du skal kun gi tilgangsrettigheter til de ytterst mest nødvendige medarbeiderne. Både den gamle og den nye brukerstyringen i SurveyXact gjør det enkelt å kontrollere tilgangen til personopplysninger på et detaljert og presist nivå. Med den nye brukerstyringen kan du ved hver enkelt undersøkelse tildele deg selv og kolleger rettigheter på følgende nivåer:

  • Spørreskjemarettigheter (innebærer ikke persondata)
  • Distribusjonsrettigheter (innebærer persondata)
  • Analyserettigheter (innebærer persondata)
  • Rapporteringsrettigheter (kan innebære persondata)

På den måten kan du for eksempel gi enkelte medarbeidere tilgang til å se resultatene av en undersøkelsene, uten at de kan se persondata.
11. Blir brukere i SurveyXact automatisk slettet når ansatte slutter i virksomheten?

Som behandlingsansvarlig er det ditt ansvar å administrere brukerne dine – dette inkluderer opprettelse, oppsigelse og tildeling av rettigheter. Ved å koble din brukeradministrasjon i SurveyXact sammen med Active Directory, kan de automatisere denne prosessen.

Når din virksomhet ikke lenger har en aktiv lisens, sørger SurveyXact for å legge ned alle brukertilganger og rettigheter.

Vi tilbyr to tilleggsytelser i SurveyXact som kan automatisere administrasjonen av brukerne i SurveyXact – Single Sign-On (SSO) og to-faktor innlogging. Begge disse løsningene er beskrevet i vår tilleggsmappe.
12. Hvilke typer data kan man oppbevare i SurveyXact?

I følge EUs nye personvernforordning kan du kun samle inn og oppbevare data som er nødvendige for å oppfylle det tiltenkte formålet med innsamlingen. Du kan for eksempel ikke samle inn telefonnumre dersom det ikke er nødvendig for å oppnå det oppgitte formålet. Databehandleravtalen mellom SurveyXact og din organisasjon spesifiserer formål og regulerer hvilke typer persondata du kan oppbevare. EUs personvernforordning opererer med to kategorier: Alminnelige personopplysninger og sensitive personopplysninger. Du bør behandle sensitive personopplysninger særskilt varsomt.
13. Hvordan kan vi være sikre på at SurveyXact lever opp til den sikkerheten som loves?

Det kan du være helt sikker på av flere grunner! De fem primærårsakene er:

  • SurveyXact er et IT-system, utviklet og eid av Rambøll. SurveyXact overholder derfor de strenge kravene Rambøll har forpliktet seg til i forhold til å være en ansvarlig virksomhet. Disse er beskrevet på Rambølls hjemmesider: http://www.ramboll.com/who-we-are/a-responsible-company
  • SurveyXact og din organisasjon har inngått en gyldig databehandleravtale i overenstemmelse med EUs personvernforordning
  • SurveyXact får hvert år IT-sikkerheten revidert av PwC. Revisjonen er basert på den internasjonale standard ISAE 3000-II
  • Vi utfører penetrasjonstest av driftsmiljøet, hvor vi tester om man kan hacke seg inn i våre systemer
  • Som lisensinnehaver av SurveyXact har din organisasjon rett til å foreta en revisjon av SurveyXact, hvor du kan påse at databehandleravtalen og tekniske og organisatoriske sikkerhetsforanstaltninger er implementert
14. Hva gjør Rambøll med dataen vår?

Når du kjøper en lisens på SurveyXact, følger det med en databehandleravtale. Databehandleravtalen er tilpasset nettopp ditt formål med bruken av SurveyXact, og den er vår felles kontrakt på at vi kun gjør det du instruerer oss til i databehandleravtalen.

Databehandleravtalen er basert på Datatilsynets veiledning og tilpasset SurveyXacts setup. Vår databehandleravtale blir også vurdert årlig i forbindelse med revisjonserklæringen.

https://www.datatilsynet.no/ 

Du skal svare på en respondentens forespørsel om innsyn, rettelse, sletting osv. uten ugrunnet opphold og normalt senest innen én måned.
15. Hva skal jeg føre fortegnelse over?

Når du samler inn data til din spørreundersøkelse er du dataansvarlig. Som dataansvarlig er du underlagt kravet om å føre en intern fortegnelse over behandlingen av personopplysninger som foretas av deg og din databehandler. Du skal kunne vise at din behandling av personopplysninger lever opp til reglene.

Fortegnelsen skal være skriftlig og elektronisk, og skal kun leveres til Datatilsynet etter anmodning. Plikten omfatter behandling av alminnelige personopplysninger (ikke-sensitive personopplysninger), samt sensitve personopplysninger.

Fortegnelsen skal minimum inneholde:

  • Navn og kontaktopplysninger
  • Formål
  • Kartegorier av registrerte personopplysninger
  • Kategorier av mottakere ved utlevering av personopplysninger
  • Overføring til tredjeland og internasjonale organisasjoner
  • Slettefrister
  • Tekniske og organisatoriske foranstaltninger