Personvern

En databehandleravtale er et juridisk bindende dokument som regulerer databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige. FirstAgenda er databehandler i forbindelse med levering av sine løsninger, og dere som kunder er behandlingsansvarlige.

For å sikre at personvernforordningen overholdes, er det nødvendig å inngå en avtale som regulerer omfanget og varigheten av behandlingen. Vær oppmerksom på at du som behandlingsansvarlig har det overordnede ansvaret.

FirstAgenda gir løsningene Prepare, Publication, Live, Management og LetDialog.

Vær oppmerksom på at det er nødvendig at databehandleravtalen inngås på produktnivå, ettersom behandlingsaktiviteten varierer fra løsning til løsning.

Hvis organisasjonen din bruker flere løsninger, må du inngå et tilsvarende antall databehandleravtaler. Det vil for eksempel være nødvendig å inngå to databehandleravtaler hvis organisasjonen din bruker både Prepare og Publication.

Ved bruk av FirstAgenda Publication skjer det en behandling av personopplysninger som definert i GDPR art. 4. I denne behandlingen av personopplysninger må du som behandlingsansvarlig være klar over at behandlingsaktiviteten er forskjellig fra FirstAgenda Prepare , og derfor er vi som databehandler forpliktet i henhold til GDPR art. 28 til å motta instrukser og formål for å utøve disse behandlingsaktivitetene i vår levering av FirstAgenda Publication

Det finnes formaliserte prosedyrer for å sikre at FirstAgenda gjennomfører en risikovurdering for å oppnå tilstrekkelig sikkerhet. Risikovurderingen som er gjennomført er oppdatert og dekker den aktuelle behandlingen av personopplysninger. FirstAgenda har implementert tekniske tiltak for å sikre tilstrekkelig sikkerhet i samsvar med risikovurderingen.

Vi innhenter en årlig ISAE3000-erklæring fra en uavhengig revisor, som blant annet tester at risikovurderinger er gjennomført. Erklæringene gjøres tilgjengelig på nettstedet og fungerer som dokumentasjon på at vi overholder personvernforordningen og bestemmelsene i databehandleravtalen.

Opplysningene lagres i henhold til en databehandleravtale. Vi utfører løpende screening og kontroll av våre underdatabehandlere for å sikre tilstrekkelig behandlingssikkerhet.

Vi har iverksatt egnede organisatoriske og tekniske sikkerhetstiltak for å sikre at det ikke skjer utilsiktede overføringer til tredjeland, inkludert, men ikke begrenset til, krypteringstiltak i samsvar med EDPBs anbefalinger i denne forbindelse.

På FirstAgenda har vi kjøpt en tjeneste som AWS er forpliktet til å behandle data innenfor dataregionen EU-WEST (Irland), og dermed innenfor EU/EØS.

FirstAgenda har, i forlengelsen av det ovennevnte, truffet ytterligere tiltak for å sikre at personopplysningene er underlagt tilstrekkelig sikkerhet og derfor ikke kan nås av uautoriserte tredjeparter. Det er iverksatt krypteringstiltak i samsvar med EDPBs anbefalinger for dette formålet, og det er sikret at krypteringsnøkkelen lagres separat, slik at selv AWS ikke har mulighet til å dekryptere den.

FirstAgendas datasett. Av sikkerhetshensyn ønsker vi ikke å offentliggjøre nøyaktig hvor krypteringsnøkkelen er lagret, da dette kan utnyttes.

Vær oppmerksom på at EU-kommisjonen den 10. juli 2023 vedtok en beslutning om tilstrekkelig beskyttelsesnivå som åpner for overføring av personopplysninger til USA uten bruk av andre overføringsgrunnlag. Dette krever imidlertid at mottakeren er sertifisert i henhold til det nye EU-U.S. Data Privacy Framework av det amerikanske handelsdepartementet, noe AWS er. https://www.dataprivacyframework.gov/s/participant-search

Av sikkerhetshensyn ønsker vi ikke å offentliggjøre nøyaktig hvor krypteringsnøklene er lagret, da dette kan utnyttes med negative konsekvenser. Krypteringsnøklene lagres separat på steder som ikke engang AWS kjenner til.

Binero har hovedkontor i Sverige, og derfor foregår all hosting i Sverige. Med Binero får du et europeisk oppsett der du også er sikret et høyt sikkerhetsnivå, noe som gjenspeiles i deres sertifiseringer og erklæringer.

AWS er i henhold til sin standard underdatabehandleravtale forpliktet til å behandle data innenfor dataregionen EU-WEST (Irland). AWS har et topp moderne oppsett, noe som gjenspeiles i deres mange sertifiseringer og erklæringer.

Vi har opplyst om våre forbehold i vår siste ISAE3000-erklæring. Dette utdypes ytterligere nedenfor:

Avvik i ISAE3000-erklæringen

Som databehandler tilbyr vi løsninger for deg som behandlingsansvarlig. Det er den behandlingsansvarlige som må overholde GDPR artikkel 12, 13 og 14. I noen av løsningene våre tilbyr vi deg som behandlingsansvarlig å overholde opplysningsplikten, spesielt ved å støtte en underside der du har mulighet til å gi den lovpålagte informasjonen.

Som kunde må du være klar over hvem som må overholde hva i hvilken rolle. Det betyr at når du går inn på nettstedet/nettsidene FirstAgenda , har disse nettsidene ingenting med leveransen av løsningene å gjøre, og dermed er FirstAgenda behandlingsansvarlig for behandlingen av personopplysninger som skjer på nettsidene.

Det brukes ingen informasjonskapsler i selve løsningene.