Safety Observer - Datasikkerhed

NFA ejer app'en Safety Observer 3.0.

• App’en og det tilhørende administratormodule er gratis at anvende.
• Hver 'virksomhed' har deres egen konto med egen 'Virksomhedskode'.
• NFA får ikke adgang til virksomhedernes data (målinger, fritekst, fotos, smileys etc.), med mindre der er indgået aftale mellem NFA og en enkelt virksomhed mht. support eller et forskningsprojekt.

GDPR

• OBS: Det er den enkelte kontos administratorer og -brugeres ansvar at overholde persondataforordningen (GDPR), fx i forbindelse med design af skemaer, indsamling og lagring af personfølsomme data og fotos
• Kontoens administratorer og -brugere kan evt. regelmæssigt selv slette deres data (PDF rapporter og Excel filer)
• Eksempel på en samtykkeerklæring til brug af billeder

Dataansvar

• NFA er Dataansvarlig, og der henvises til NFA's Privatlivspolitik
• Brugere har ret til at få noget slettet - og kan selv slette deres bruger profil (i app'en) og konti (i administrationsmodulet). Kontakt den Dataansvarlige

Hosting og drift

• Der er indgået databehandleraftaler med Nordicode.dk om drift og hosting af Safety Observer 3.0.
• Codning i React Native
• Alle forbindelser sker over en krypteret linje. Hosting-omkostningerne af data er p.t. sponsoreret af NFA.

Databehandleraftalerne (Safety Observer 2.0) omhandler bl.a.:

• Baggrund: Databehandleraftalen er udarbejdet med udgangspunkt i et aftalegrundlag fra Datatilsynet med tilpasning til Databehandlerens leverancer af tjeneste(r) eller services. Databehandleraftalen er udformet med henblik på Parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale. Den Dataansvarlige har overfor omverdenen som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af Databeskyttelsesforordningen og lov nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger af 23. maj 2018 (”Databeskyttelsesloven”).
• Fortrolighed: Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
• Behandlingssikkerhed: Sikkerhedsniveauet skal afspejle kravene i ISO 27000 med et højt sikkerhedsniveau jf. Databeskyttelsesforordningens artikel 9.
• Lokalitet for behandling: Behandling af de i Databehandleraftalen omfattede personoplysninger kan ikke uden den Dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end hos de godkendte co-lokationer eller Databehandlerens lokationer. Alle evt. underdatabehandlere har adresser i Danmark.
• Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande: Databehandleren må ikke indenfor rammerne af Databehandleraftalen foretage en sådan overførsel.
• Nærmere procedurer for den Dataansvarliges tilsyn med den behandling, som foretages hos Databehandleren: Databehandleren skal mindst én gang årligt for egen regning indhente en revisionserklæring fra en uafhængig tredjepart angående Databehandlerens overholdelse af denne Databehandleraftale med tilhørende bilag. Der er mellem Parterne enighed om, at der kan anvendes en eller flere af følgende typer af revisionserklæringer: ISAE 3402 type 2, ISAE 3000 om overholdelse af persondatalovgivningen og ISO 27001 certifikat. Revisionserklæringerne offentliggøres på Databehandlerens hjemmeside snarest muligt efter indhentelsen.