Safety Observer - Datasikkerhed

Læs mere om hosting af Safety Observer data og datasikkerhed her

App'en Safety Observer er udviklet af Det Nationale Forskningscenter for Arbejdsmiljø i samarbejde med Arbejdsmedicinsk Klinik, Herning og Branchefællesskaber for Arbejdsmiljø (BFA).

  • App’en og administratormodulet er gratis at anvende
  • Hver 'virksomhed' har deres egen konto med aktiveringskoder (virksomhedskoder), der er specifikke både for virksomhedens kontoadministratorer og -brugere
  • NFA får ikke adgang til virksomhedernes data (målinger, fritekst, fotos, smileys etc.), med mindre der er indgået aftale mellem NFA og en enkelt virksomhed

GDPR

  • OBS: Det er den enkelte kontos administratorer og -brugeres ansvar at overholde persondataforordningen (GDPR), fx i forbindelse med design af skemaer, indsamling og lagring af personfølsomme data og fotos
  • Kontoens administratorer og -brugere kan evt. regelmæssigt selv slette deres data (PDF rapporter og Excel filer)
  • Eksempel på en samtykkeerklæring til brug af billeder

Dataansvar

Hosting

  • Der er indgået databehandleraftaler med både hosting firmaet (sentia.com/dk) og app bureauerne (mustache.dk og nordicode.dk)
  • Der er opsat et IT-hostingmiljø (sentia.com/dk) med redundante backups dagligt og nødstrømsforsyning via dieselgeneratorer. Alle forbindelser sker over en krypteret linje. Hosting-omkostningerne af data er p.t. sponsoreret af Det Nationale Forskningscenter for Arbejdsmiljø, NFA

Databehandleraftalerne omhandler bl.a.:

  • Baggrund: Databehandleraftalen er udarbejdet med udgangspunkt i et aftalegrundlag fra Datatilsynet med tilpasning til Databehandlerens leverancer af tjeneste(r) eller services. Databehandleraftalen er udformet med henblik på Parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale. Den Dataansvarlige har overfor omverdenen som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af Databeskyttelsesforordningen og lov nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger af 23. maj 2018 (”Databeskyttelsesloven”).
  • Fortrolighed: Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  • Behandlingssikkerhed: Sikkerhedsniveauet skal afspejle kravene i ISO 27000 med et højt sikkerhedsniveau jf. Databeskyttelsesforordningens artikel 9.
  • Lokalitet for behandling: Behandling af de i Databehandleraftalen omfattede personoplysninger kan ikke uden den Dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end hos de godkendte co-lokationer eller Databehandlerens lokationer. Alle evt. underdatabehandlere har adresser i Danmark.
  • Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande: Databehandleren må ikke indenfor rammerne af Databehandleraftalen foretage en sådan overførsel.
  • Nærmere procedurer for den Dataansvarliges tilsyn med den behandling, som foretages hos Databehandleren: Databehandleren skal mindst én gang årligt for egen regning indhente en revisionserklæring fra en uafhængig tredjepart angående Databehandlerens overholdelse af denne Databehandleraftale med tilhørende bilag. Der er mellem Parterne enighed om, at der kan anvendes en eller flere af følgende typer af revisionserklæringer: ISAE 3402 type 2, ISAE 3000 om overholdelse af persondatalovgivningen og ISO 27001 certifikat. Revisionserklæringerne offentliggøres på Databehandlerens hjemmeside snarest muligt efter indhentelsen.