Personvern og forsvarlig håndtering av personopplysninger har alltid vært viktig i Bjørnson. For å oppfylle gjeldende personvernlovgivning har vi oppdatert våre rutiner for behandling av personopplysninger.
Denne personvernerklæringen forteller hvordan Bjørnson samler inn og bruker personopplysninger. Målet er å gi deg informasjon om vår behandling av personopplysninger.
Denne personvernerklæring gir informasjon om hvordan Bjørnson Organisasjonspsykologene (org. nr 983 459 285) (heretter også Bjørnson), behandler personopplysninger. Bjørnson har plikt til å gi enhver som ønsker informasjon om hvordan vi behandler personopplysninger innsyn i vår behandling. Sist oppdatert versjon av personvernerklæringen er alltid tilgjengelig på bjornson.no/personvern. Bjørnson er forpliktet til å beskytte og respektere ditt personvern jfr. Personopplysningsloven, EØS-avtalen vedlegg XI nr. 5e, og EU-personvernforordning 2016/679 (heretter også GDPR) om vern av fysiske personer i forbindelse med behandling av personopplysninger. Erklæringen inngår i Bjørnsons internkontroll for behandling av personopplysninger.
Bjørnson har spisskompetanse innen ledelse og organisasjonspsykologi. Våre kjerneleveranser er kartlegging og utvikling av organisasjon, ledere, team og arbeidsmiljø samt konflikthåndtering. Vi leverer også psykologsamtaler som er definert som helsetjeneste. Utdypende beskrivelse av vår produkt & tjenesteportefølje vil være tilgjengelig på www.bjornson.no
For å utføre våre oppdrag er det nødvendig å behandle personopplysninger.
Bjørnson er i utgangspunktet behandlingsansvarlig for personopplysninger vi behandler i forbindelse med drift av Bjørnson, og utførelse av oppdrag for våre kunder. Personopplysningene kan være knyttet til egne ansatte, jobbsøkere, styremedlemmer, aksjonærer, kontaktpersoner hos kunder og leverandører, privatkunder og potensielle kunder m.fl.
Bjørnson, ved daglig leder, er overordnet behandlingsansvarlig for Bjørnsons behandling av personopplysninger. Der det daglige ansvaret er delegert, vil det komme fram under hvert enkelt punkt i personvernerklæringen. Delegeringen omfatter kun oppgavene, ikke ansvaret.
Kunden er å anse som behandlingsansvarlig og Bjørnson som databehandler når oppdraget er svært klart definert, og kunden har fastsatt et klart og avgrenset formål for hvordan Bjørnson skal gå frem etc. Bjørnson er også å anse som databehandler når Bjørnson foretar databehandling av personopplysninger på vegne av kunde. I de tilfeller der Bjørnson anses som databehandler for kunden, inngås en databehandleravtale som fastsetter hvordan Bjørnson skal behandle personopplysninger. Bjørnson inngår databehandleravtaler og underdatabehandleravtaler (3. part) med databehandlere som er engasjert av Bjørnson for å behandle personopplysninger tilhørende Registrerte/personer hos Behandlingsansvarlig. Begge skal etablere en bindende avtale som om behandling av personopplysninger i tråd med personvernlovgivningen.
Bjørnson skal sørge for at ansatte og innleide har relevant kjennskap til reglene om personvern og personopplysninger, herunder denne personvernerklæring. Kunnskapsnivået skal være tilpasset den enkelte ansattes behandling av personopplysninger. Enkelte grupper ansatte har behov for særlig kjennskap, f.eks. personalfunksjon, salg- og markedsfunksjon. Ledelsen i Bjørnson skal alltid ha god kjennskap til regelverket.
Bjørnson kartlegger all behandling av personopplysninger. Dette gjør vi i en behandlingsprotokoll, et eget kartleggingsskjema der vi angir blant annet kategorier av registrerte, formål med behandlingen, hvordan vi behandler opplysningene og hvilke grunnlag behandlingen har. Sammen med herværende personvernerklæring er behandlingsprotokollen en sentral del av dokumentasjonen som beskriver hvordan Bjørnson etterlever bestemmelser i personopplysningsloven. Behandlingsprotokollen inngår i Bjørnsons internkontroll for behandling av personopplysninger.
Loven stiller opp seks grunnkrav som gjelder for all behandling av alle personopplysninger. Bjørnson skal sørge for at personopplysninger:
Hvis personopplysninger brukes til andre formål enn de er samlet inn for, (se kulepunkt 2), skal Bjørnson alltid vurdere om det nye eller endrede formålet er forenlig med det opprinnelige. Bjørnson skal da ta hensyn til de faktorene som fremgår av personvernforordningen artikkel 6 nr. 4.
Bjørnson skal ha minst ett av følgende grunnlag for all behandling av personopplysninger:
Hvis grunnlaget for behandling er samtykke fra den registrerte (se første kulepunkt), skal vi sette oss inn i de særlige reglene som gjelder for slike samtykker, blant annet kravet om dokumentasjon. Hvis grunnlaget for behandling er vår berettigede interesse (interesseavveining) (se fjerde kulepunkt overfor), vil vi konkretisere og skriftlig dokumentere avveiningen.
Du kan utøve dine rettigheter ved å sende en e-post til post@bjornson.no ved behandlingsansvarlig eller personvernombud i Bjørnson. Se også kontaktinformasjon avslutningsvis i personvernerklæringen.
Alle som spør har krav på grunnleggende informasjon om behandling av personopplysninger i en virksomhet. Bjørnson har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler. Utover dette vil personvernombudet i Bjørnson kunne svare på spørsmål fra personer som får/kan få personopplysninger behandlet av Bjørnson.
De som er registrert i et av Bjørnsons systemer eller hos våre databehandlere har rett på innsyn i egne opplysninger. Vedkommende har også rett til å be om at uriktige, ufullstendige eller opplysninger Bjørnson ikke har adgang til å behandle blir rettet, slettet eller supplert. Krav fra den registrerte skal besvares kostnadsfritt for den registrerte og senest innen 30 dager. Informasjon slettes på oppfordring ved å kontakte post@bjornson.no. Bjørnson har ansvar for at personopplysninger ikke blir gjort tilgjengelige for uvedkommende og kan ved tvil be vedkommende som ønsker å utøve sine rettigheter om informasjon for å stadfeste identiteten.
En av våre viktigste oppgaver er å forvalte personopplysninger og data på en trygg, brukervennlig og ansvarlig måte. Dersom du er misfornøyd med vår behandling av personopplysninger eller har forslag til hvordan vi kan forbedre oss kan du kontakte Bjørnson som oppgitt overfor.
Du har også rett til å klage på vår behandling av personopplysninger til datatilsynet.no.
Bjørnson behandler i hovedsak opplysninger som du har gitt oss for en av disse årsakene:
Bjørnson får også personopplysninger indirekte, av følgende årsaker:
Salgs- og markedsansvarlig i Bjørnson har det daglige ansvaret for Bjørnsons behandlinger av personopplysninger på bjornson.no. Det er frivillig for de som besøker nettsidene å oppgi personopplysninger i forbindelse med tjenester, for eksempel å motta nyhetsbrev, invitasjon til ulike arrangement, informasjon om tjenester og produkter. Personopplysninger som samles inn via Bjørnsons nettsted vil være navn, epost, selskap. Behandlingsgrunnlaget er personvernforordningen artikkel 6 nr. 1 a), samtykke.
Bjørnson samler inn avidentifiserte opplysninger om besøkende på bjornson.no gjennom Google Analytics. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.
Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Vi samler inn hele IP-adressen, men IP-adressen avidentifiseres slik at bare de tre første gruppene i adressen brukes til å generere statistikk. Det vil si at dersom IP-adressen består av numrene 195.159.103.82, brukes bare 195.159.103.xx. I tillegg behandles IP-adressene på aggregert nivå, det vil si at all data slås sammen til en gruppe og ikke behandles individuelt.
Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å forbedre våre tjenester og få tjenester på bjornson.no til å fungere.
Det benyttes foreløpig ingen informasjonskapsler på bjornson.no.Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside. Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker både har blitt informert om og har gitt sitt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene, jf. ekomloven § 2-7b. Slik administrerer du informasjonskapsler nettvett.no.
Bjørnson benytter e-post og telefon som en del av det daglige arbeidet og i alminnelig dialog med interne og eksterne kontakter. Vi skanner all inn og utgående e-post for virus og skadevare.Bjørnson sender ikke sensitive personopplysninger med e-post. Vi gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til ikke å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre Bjørnsons IKT-infrastruktur.
På nettsiden kan du be Bjørnson om å ta kontakt med deg. Den som henvender seg blir bedt om å oppgi navn, epost, telefon, emne og en kort beskrivelse av hva henvendelsen gjelder. Den som henvender seg blir bedt om ikke å oppgi taushetsbelagte, sensitive eller fortrolige opplysninger da skjemaet er ukryptert. Dette er også eksplisitt opplyst i selve kontaktskjemaet. Når du bruker kontaktskjema vil din henvendelse bli sendt via post@bjornson.no og vil også bli oppbevart i CMS (Content Management System) tilhørende vårt nettsted. Vi benytter den informasjonen du gir fra deg, til å ta kontakt med deg og gi deg adekvat oppfølging. Henvendelser som gjelder Bjørnsons tjenesteportefølje vil bli registrert i Bjørnsons CRM system. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b), som tillater oss å behandle opplysninger som er nødvendig for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Personopplysningene er nødvendig for å kunne følge opp den registrertes henvendelse. Bjørnson vil på årlig basis slette henvendelser som er mottatt via kontaktskjema på nettsiden.
Bjørnson registrerer og behandler personopplysninger om sine ansatte for å administrere lønns- og personalansvar samt ivareta arbeidsgiveransvaret. Behandlingsgrunnlag vil være for å ivareta forpliktelser og rettighet knyttet til arbeidsavtalen jfr. personvernforordningen artikkel 6 nr. 1, b) evt. også arbeidsgivers berettigede interesser jfr. artikkel 6 nr. 1, f). I Bjørnson er det daglig leder, faglig leder og økonomi- og administrasjonsansvarlig som har tilgang til denne informasjonen. Det kan også være 3. part (Pensjon, forsikring, offentlige myndigheter) som får tilgang til ansattes personopplysninger for å kunne ivareta arbeidstakers og arbeidsgivers interesser.
Typer personopplysninger som registreres er:
Regnskapsfører har tilgang til det som er nødvendig i fbm lønnskjøring, lønnsrapportering, pensjonsinnberetning, reise- og utleggsoppfølging. Det registreres nødvendige opplysninger for utbetaling av lønn, lønnsnivå, timeregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Opplysninger om navn og yrkeskode i hht SSB’s kodeoversikt er offentlig rapporteringspliktig informasjon. Utgangspunktet for lagring av øvrige personopplysninger for ansatte er at de ikke skal lagres lenger enn det som er nødvendig. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven og evt. andre relevante lover. Bjørnson vil på årlig basis gå gjennom lagrede personopplysninger for ansatte og slette opplysninger som vi ikke har grunnlag for å oppbevare.
Dersom du søker jobb i Bjørnson behandler vi personopplysninger som er relevante i rekrutteringsprosessen. Herunder studiested, karakterer, referanser, personlige egenskaper. Vi trenger å behandle opplysningene for å vurdere aktuelle kandidater. Behandlingsgrunnlaget for dette er samtykke personvernforordningen artikkel 6 nr. 1 b) «…for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse eller samtykke». I stillingsutlysningen vil vi oppfordre søker om ikke å oppgi sensitive personopplysninger. Dersom din søknad likevel inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 9 nr. 2 b) og h). Alle stillingssøknader med vedlegg blir registrert i tilgangsbegrenset område på Sharepoint. Utgangspunktet for lagring av personopplysninger er at de ikke skal lagres lenger enn det som er nødvendig. Bjørnson vil gå gjennom lagrede personopplysninger for jobbsøkere, og slette søknader og vedlegg når søknadsprosessen er ferdig. For lagring ut over rekrutteringsprosessen innhentes samtykke. Søkerlister og innstillinger bevares.
Bjørnson behandler personopplysninger om styremedlemmer i selskapet i fbm administrasjon og protokollering av styrearbeid samt rapportering til offentlige myndigheter.Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 c) – behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, foretaksregisterloven, som pålegger selskaper å registrere personopplysninger om styremedlemmer. Oppbevaring av disse personopplysningene er lovhjemlet og vil ikke bli slettet. Styremedlemmer kan også bli presentert med navn, bilde og kortfattet cv på Bjørnsons web, intranett, eller i andre relevante sammenhenger. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f) - interesseavveining. Behandlingen er nødvendig for å ivareta selskapets berettigede interesse. Informasjonen vil bli slettet/endret i forbindelse med at styremedlem skiftes ut. Bjørnson behandler personopplysninger om aksjonærer (enkeltpersoner) i selskapet for å oppfylle myndighetskrav. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 c) – behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, aksjeloven, som pålegger selskap å oppbevare opplysninger om tidligere aksjeeiere i 10 år. Aksjonærer kan også bli presentert med navn, bilde på Bjørnsons web, intranett, eller i andre relevante sammenhenger. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f) - interesseavveining. Behandlingen er nødvendig for å ivareta selskapets berettigede interesse. Personopplysningene vil bli oppbevart i hht lovhjemmel. Behandling av personopplysninger begrunnet med interesseavveining vil bli slettet/endret i forbindelse med at aksjonærstruktur endres.
Hvis du eller din arbeidsgiver har et eksisterende kundeforhold til Bjørnson Organisasjonspsykologene, vil vi kunne sende deg informasjon på e-post eller andre elektroniske kommunikasjonsmetoder innenfor rammene av markedsføringsloven, med mindre du har bedt oss om noe annet. Behandlingsgrunnlaget vil være det eksisterende kundeforhold der felles interesse vil være å ivareta kunderelasjonen. Dette er også tydelig beskrevet hos datatilsynet: «Det vil si at man ikke trenger samtykke etter markedsføringsloven dersom nyhetsbrevet ikke inneholder markedsføring. Man trenger heller ikke samtykke dersom nyhetsbrevet inneholder markedsføring, men det foreligger et eksisterende kundeforhold i forbindelse med salg». (https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2018/samtykke-til-nyhetsbrev-og-epostlister/)
Datatilsynet beskriver videre: «En virksomhet må alltid ha et behandlingsgrunnlag for å behandle personopplysninger slik som navn, telefonnummer og e-postadresse. Det finnes flere mulige behandlingsgrunnlag, blant annet samtykke, at det er nødvendig å behandle opplysningene for å oppfylle en avtale eller at det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.» (https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2018/samtykke-til-nyhetsbrev-og-epostlister/)
Hvis du ikke har et eksisterende kundeforhold til Bjørnson, vil vi bare sende slik markedsføring dersom du har gitt oss samtykke.
Bjørnson sender ut nyhetsbrev/invitasjoner via e-post. For at vi skal kunne sende e-post må du registrere navn, selskapsnavn og en e-postadresse. Når du bruker kontaktskjema vil de personopplysninger du registrerer bli oppbevart i CMS tilhørende vårt nettsted. MailChimp benyttes for utsendelse av nyhetsbrevet. E-postadressen lagres i en egen database, deles ikke med andre og slettes hvis du melder deg av. E-postadressen slettes også om vi får tilbakemelding om at den ikke er aktiv. Behandlingsgrunnlaget for innsamling og behandling av dine personopplysninger i tilknytning til Bjørnsons nyhetsbrev er et etablert kundeforhold eller personvernforordningen artikkel 6 nr. 1 a), altså samtykke.
Vi markedsfører arrangementer på vårt nettsted, bjornson.no, på Bjørnsons Facebook side i tillegg til at det er mulig å melde interesse for påmelding til hvert enkelt arrangement. For å melde interesse, må du skrive inn e-post adresse, navn og hvilket firma du representerer. Vi bruker denne informasjonen for å ha oversikt over hvem som har meldt interesse for et arrangement og sikre at vi sender riktig informasjon til riktige mottakere. Hvis vi har behov for å komme i kontakt med interessenter for å gi viktige beskjeder hender det også at vi bruker e-post eller telefon.
Behandlingsgrunnlaget for innsamling og behandling av personopplysninger i tilknytning til arrangementer i regi Bjørnson er et etablert kundeforhold eller personvernforordningen artikkel 6 nr. 1 a), altså samtykke. Bjørnson sletter personopplysninger som er registrert i denne forbindelse, og som vi ikke har grunnlag for å oppbevare, på årlig basis.
Bjørnson benytter CRM-verktøyet 24sevenoffice Det registreres ulike typer personopplysninger i CRM-verktøyet tilhørende kunder, leverandører, sponsorer og øvrige samarbeidspartnere. Dette er opplysninger som navn, stilling/ansvarsområde, adresse, telefonnummer, epostadresse, bransje og annen relevant informasjon. I CRM er det oppgitt hvorvidt personen representerer kunde, leverandør, sponsor og/eller samarbeidspartner. Behandlingsgrunnlaget for innsamling og behandling av personopplysninger i tilknytning til Bjørnsons CRM system er et etablert kundeforhold eller personvernforordningen artikkel 6 nr. 1 a), altså samtykke.
Bjørnson behandler personopplysninger for ansatte hos våre kunder i fbm leveranse av utvikling/rådgiving og kartlegging. I tillegg behandler vi personopplysninger i fbm evaluering av oppdrag. Daglig leder i Bjørnson har overordnet ansvar for behandling av personopplysninger i fbm leveranser og evaluering.
Bjørnson vil enkelte ganger registrere og behandle personopplysninger om kundens ansatte i fbm utvikling av kundens organisasjon, team, ledere og medarbeidere. Dette vil typisk være opplysninger som ansattes navn, epost, rolle. Bjørnson er i all hovedsak behandlingsansvarlig for slike oppdrag. Bjørnson vil ta initiativ til å innhente individuelt samtykke som behandlingsgrunnlag når det er påkrevd. I Bjørnson vil både ansvarlig konsulent/-er og administrativt personell ha tilgang til disse personopplysningene som del av leveransen.
Typer personopplysninger som kan bli registrert er:
Kontaktinformasjon og jobbinformasjon kan inngå i fbm beskrivelsen av tilbuds- og leveransedokumenter og i fbm evaluering av leveranser. Informasjon om leveranser lagres på Bjørnsons Sharepoint - Microsoft Office 365 - som brukes som elektronisk arkiv- og dokumentbehandlersystem. Bjørnson praktiserer intern tilgangsstyring til Sharepoint, basert på organisatorisk rolle og ansvarsområde. Den enkelte medarbeider i Bjørnson er ansvarlig for at den faktiske behandlingen av personopplysninger er i samsvar med rutinene. Bjørnson kontrollerer på jevnlig basis at rutinene blir fulgt.
Bjørnson leverer en rekke kartlegginger. Både standard hyllevare levert av 3. part og egenutviklede verktøy; hhv. standard og skreddersøm. Kartleggingene spenner fra miljø- til individundersøkelser, og kan være anonyme eller ikke-anonyme. Leveranser fra Bjørnson kan bestå av enkeltvise kartlegginger eller kombinasjoner av kartlegginger som spenner fra kvantitative til kvalitative, anonyme/identifiserbare, individuelle/miljøundersøkelser etc.
Bjørnson informerer om formålet med kartleggingen, og hvorvidt den er anonym eller ikke. Bjørnson vil ikke dele opplysningene med andre eller bruke opplysningene til andre formål enn det som er angitt. Registrerte som deltar i kartlegginger får mulighet til å gi og trekke sitt informerte samtykke. De har mulighet til å kontakte Bjørnson for å be om innsyn i sine personopplysninger, og få disse slettet.
Vi samler inn personopplysninger i fbm at vi gjennomfører kartlegginger. Både for å kontakte deltakere og rapportere resultater. Ved rapportering av resultat til kunde vil Bjørnson sørge for å ivareta evt. krav til anonymitet basert på forskningsetiske prinsipper. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 a), individuelt samtykke. Materialet slettes så snart grunnlaget for behandling og oppbevaring ikke er tilstede.
Bruk av 3. parts kartleggingsverktøy
Oversikt over 3. parts leverandører er beskrevet i Databehandleravtalen. Grunnlaget for behandling av personopplysninger i fbm disse verktøy er individuelt informert samtykke som gis i forkant av besvarelse. Hvis det er ønskelig at anonymisert data skal kunne benyttes i etterkant av opprinnelig formål for innhentet samtykke, (eks. til forskning) må dette være inkludert i opprinnelig samtykke eller samtykke må innhentes på nytt. Samtykke kan når som helst trekkes tilbake, og deltaker slettes. Det er etablert underdatabehandleravtaler med samtlige 3. parts kartleggingsleverandører hvor databehandler forplikter seg på å behandle personopplysninger på vegne av Bjørnson i hht gjeldende personvernbestemmelser. Det er etablert sletterutiner i de ulike verktøyene som sikrer at personvernbestemmelser er ivaretatt. Slettingsbestemmelser vil fremgå av de enkelte underdatabehandleravtaler og/eller på underleverandørens nettside.
Samtlige underleverandører og innleide konsulenter som jobber på oppdrag for Bjørnsons kunder er forpliktet til å gjøre seg kjent med Bjørnsons personvernerklæring, og må signere på at de forplikter seg til å jobbe i hht denne i oppdrag for Bjørnsons kunder. I tillegg signerer samtlige innleide konsulenter på taushetsplikt- og datadisiplinerklæring.
Bjørnson har i dag en IKT-driftsmodell der vi har outsourcet våre IT-systemer og overlatt driften til eksterne parter. Vi bruker enkelte databehandlere til å samle inn, lagre og/eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller inngår vi avtaler med databehandler for å sikre at behandlingen av opplysningene er i samsvar med personvernregelverket og krav til behandling av personopplysninger. Bruken av databehandlere er ikke å regne som en utlevering av personopplysninger. Leverandørene kan ikke bruke opplysningene til andre formål enn det de er innhentet til. Bjørnson bruker databehandlere på flere forskjellige områder, for eksempel for IKT-tjenester som lagring og drift, helsetjenester, regnskap og lønn, markedsføring mm.
Upheads (org. nummer 980 893 936) står for drift av PCer, Active Directory servere, brannmurer, printservere, Exchange (e-post), Microsoft Office m.m. Upheads er lokalisert i Norge og konsulentene som jobber opp mot oss jobber fra Norge. Vi benytter Sharepoint som dokumenthåndteringssystem. Upheads AS leverer også tjenester i tilknytning til system og Sharepoint utvikling.
Som lønn- og regnskapssystem (inkludert inngående faktura og reiseutlegg) bruker vi tjenester fra Azets Insight AS (org. nummer 983 338 917) som kjører på deres servere. Busy blir brukt som system for å administrere arbeidstid, overtid og fravær. Dette driftes av 24sevenOffice (org. nummer 995 251 094).
Destino AS (org. nummer 960 339 355) er vår leverandør for utvikling og vedlikehold av Bjørnsons web. Opplysninger som samles inn i forbindelse med drift av nettstedet, lagres på egne servere som driftes av Destino. Det er kun Bjørnson og Destino som har tilgang til opplysningene som samles inn.
Bjørnson har vurdert om personvernforordningen krever at Bjørnson skal ha personvernombud. Vi har svært få fysiske personer som kunder. Vi driver ikke regelmessig og systematisk monitorering i stor skala av registrerte. For de fleste kategorier av registrerte behandler vi stort sett alminnelige personopplysninger som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l. I forbindelse med leveranser av konflikthåndtering, psykologsamtaler, individ- og miljøkartlegginger både kvalitative og kvantitative behandler vi sensitive opplysninger om ansatte hos kunder. I sum har vi konkludert med at Bjørnson ikke er underlagt krav om å ha personvernombud, men vi har likevel valgt å ha personvernombud. Hovedoppgavene til personvernombudet er å være en faglig ressurs innenfor personvern, stå til tjeneste med informasjon og rettledning og følge med på at regelverk og interne retningslinjer for behandling av personopplysninger blir etterlevd. Personvernombudet er et bindeledd mellom Bjørnson som behandlingsansvarlig og Datatilsynets tilsynsmyndighet. Personvernombudet svarer også på spørsmål fra personer som får/kan få personopplysningene sine behandlet av Bjørnson. Kontaktinformasjon finner du til slutt i dette dokumentet.
Bjørnson risikovurderer på jevnlig basis vår behandling av personopplysninger. Vurderingen skal gjøre at vi er i stand til å identifisere og definere hvilke sikkerhetstiltak vi skal gjennomføre.Vurderingene inkluderer sannsynlighet og alvorlighetsgrad (risiko) for personers "rettigheter og friheter", som fysisk skade, skade på ting eller formue og medisinsk skade. Eksempler på skader er diskriminering, identitetstyveri, omdømmeskade, tap av sosial aktelse, at konfidensielle opplysninger blir kjent for uvedkommende og uakseptable inngrep i privatlivets fred.
Behandlingsprotokollen (kartleggingsskjemaet over personopplysninger) viser at vi:
Basert på denne risikovurderingen mener vi at konsekvensene ved regelbrudd vil være spesielt alvorlig for personopplysninger samlet inn i fbm psykologsamtaler. Bjørnson er behandlingsansvarlig for psykologsamtaler.
Samfunnsutviklingen tatt i betraktning tar vi høyde for at det er sannsynlig at vi vil bli utsatt for flere og hyppigere forsøk på datainnbrudd. Vi skal løpende risikovurdere vår IT driftsmodell, og endringer som kan påvirke informasjonssikkerheten, for eksempel når vi kjøper nye IT-tjenester og evaluerer leverandører. Resultatene av risikovurderinger skal godkjennes av den som har det daglige behandlingsansvaret i Bjørnson, daglig leder.
Vi har etablert databehandleravtaler med alle IT-leverandører som behandler personopplysninger.Vi har etablert egne rutiner for behandling av sensitive personopplysninger, herunder begrensning av tilgang.Vi har etablert rutiner for å ivareta IT-sikkerhet på alle nivå og områder i Bjørnson.
Vi skal etter loven treffe passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som svarer til risikoen knyttet til vår behandling av personopplysninger. Vi skal da ta hensyn til teknikkens stand, gjennomføringskostnadene og behandlingens karakter, omfang og formål, samt sammenhengen den utføres i. Risikoene våre er vurdert overordnet i punktet ovenfor.
I tillegg til allerede implementerte sikkerhetstiltak er følgende tiltak gjennomført:
I fbm etableringen av personvernerklæringen har Bjørnson implementert og korrigert selskapets rutiner for behandling av personopplysninger slik at vi følger reglene i personopplysningsloven og rutinene i erklæringen. Sentralt i arbeidet har vært «behandlingsprotokollen» hvor vi har kartlagt Bjørnsons behandling av personopplysninger og avvik fra behandlingsrutinene for hver kategori av registrerte. Avvikene er avviksbehandlet eller er i avviksbehandling.
Fremover skal vi sikre etterlevelse av personopplysningsloven ved at vi på årlig basis kartlegger og evaluerer vår behandling av personopplysninger. Vi skal dokumentere både hvilke avvik vi har funnet, og hva vi har gjort for å rette dem opp. Avvik skal registreres i Bjørnsons avvikssystem som del av kvalitetssystemet. Avvikene skal behandles i tråd med avviksbehandling for behandling av personopplysninger.
Et avvik, eller sikkerhetsbrudd, defineres som et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet
Ved avvik skal Datatilsynet varsles innen 72 timer etter at Bjørnson, som behandlingsansvarlig, har fått kunnskap om avviket. De berørte parter (den registrerte, kunden) skal gis et varsel med følgende innhold:
I følgende tilfeller kan Bjørnson la være å varsle de berørte:
Om nødvendig skal avvik på behandling av personopplysninger varsles til Datatilsynet.
Denne personvernerklæring oppdateres og revideres løpende. Bakgrunnen er blant annet at reglene i lov og forskrift kan bli endret, vår behandling av personopplysninger kan bli endret eller erfaringer kan tilsi at vi bør endre rutinene våre. Av de samme grunnene skal vi også jevnlig gjennomgå og oppdatere behandlingsprotokoll (kartleggingsskjema) for behandling av personopplysninger. Det er daglig leder som har ansvar for at behov for endringer og revisjoner blir identifisert og innarbeidet i dokumentet og i behandlingsprotokollen.Evalueringen bør omfatte for eksempel følgende spørsmål:
I følgende tilfeller kan Bjørnson la være å varsle de berørte:
Om nødvendig skal avvik på behandling av personopplysninger varsles til Datatilsynet.
Behandlingsansvarlig og personvernombud i Bjørnson: Ingrid Ottesen, Daglig leder
post@bjornson.no | +47 4000 23 43 | Stokkamyrveien 13, N- 4313 SANDNES.