Personopplysninger:
Personvern og forsvarlig håndtering av personopplysninger har alltid vært viktig i Bjørnson. For å oppfylle gjeldende personvernlovgivning har vi oppdatert våre rutiner for behandling av personopplysninger. Denne personvernerklæringen forteller hvordan Bjørnson samler inn og bruker personopplysninger. Målet er å gi deg informasjon om vår behandling av personopplysninger.
Denne personvernerklæring gir informasjon om hvordan Bjørnson Organisasjonspsykologene (org. nr 983 459 285) (heretter også Bjørnson), behandler personopplysninger. Bjørnson har plikt til å gi enhver som ønsker informasjon om hvordan vi behandler personopplysninger innsyn i vår behandling. Sist oppdatert versjon av personvernerklæringen er alltid tilgjengelig på online.bjornson.no/personvern. Bjørnson er forpliktet til å beskytte og respektere ditt personvern jfr. Personopplysningsloven, EØS-avtalen vedlegg XI nr. 5e, og EU-personvernforordning 2016/679 (heretter også GDPR) om vern av fysiske personer i forbindelse med behandling av personopplysninger. Erklæringen inngår i Bjørnsons internkontroll for behandling av personopplysninger.
Bjørnson har spisskompetanse innen ledelse og organisasjonspsykologi. Våre kjerneleveranser er kartlegging og utvikling av organisasjon, ledere, team og arbeidsmiljø samt konflikthåndtering. Vi leverer også psykologsamtaler som er definert som helsetjeneste. Utdypende beskrivelse av vår produkt & tjenesteportefølje vil være tilgjengelig på www.bjornson.noFor å utføre våre oppdrag er det nødvendig å behandle personopplysninger.
Bjørnson er i utgangspunktet behandlingsansvarlig for personopplysninger vi behandler i forbindelse med drift av Bjørnson, og utførelse av oppdrag for våre kunder. Personopplysningene kan være knyttet til egne ansatte, jobbsøkere, styremedlemmer, aksjonærer, kontaktpersoner hos kunder og leverandører, privatkunder og potensielle kunder m.fl.Bjørnson, ved daglig leder, er overordnet behandlingsansvarlig for Bjørnsons behandling av personopplysninger. Der det daglige ansvaret er delegert, vil det komme fram under hvert enkelt punkt i personvernerklæringen. Delegeringen omfatter kun oppgavene, ikke ansvaret.
Kunden er å anse som behandlingsansvarlig og Bjørnson som databehandler når oppdraget er svært klart definert, og kunden har fastsatt et klart og avgrenset formål for hvordan Bjørnson skal gå frem etc. Bjørnson er også å anse som databehandler når Bjørnson foretar databehandling av personopplysninger på vegne av kunde. I de tilfeller der Bjørnson anses som databehandler for kunden, inngås en databehandleravtale som fastsetter hvordan Bjørnson skal behandle personopplysninger. Bjørnson inngår databehandleravtaler og underdatabehandleravtaler (3. part) med databehandlere som er engasjert av Bjørnson for å behandle personopplysninger tilhørende Registrerte/personer hos Behandlingsansvarlig. Begge skal etablere en bindende avtale som om behandling av personopplysninger i tråd med personvernlovgivningen.
Personopplysninger:
Som definert i GDPR artikkel 4. Enhver opplysning eller vurdering som kan knyttes til en identifisert eller identifiserbar fysisk person (den registrerte).
Sensitive personopplysninger:
Som definert i GDPR artikkel 4 og 9. Personopplysninger som gjelder helseforhold, etnisk opprinnelse, medlemskap i fagforening, seksuell orientering, politisk eller religiøs overbevisning.
Behandlingsprotokoll:
Behandlingsprotokoll beskriver hvordan personopplysninger for ulike kategorier Registrerte behandles.
Behandling:
Som definert i GDPR artikkel 4. Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Behandlingsansvarlig:
Som definert i GDPR atikkel 4. Fysisk eller juridisk person, eller ethvert annet organ som alene eller sammen med andre bestemmer formålet for behandlingen av personopplysninger og midlene som skal benyttes.
Databehandler:
Som definert i GDPR artikkel 4. Fysisk eller juridisk person, eller ethvert annet organ som behandler personopplysninger på vegne av behandlingsansvarlig.
Mottaker:
Som definert i GDPR artikkel 4. Fysisk eller juridisk person, eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om tredjepart eller ikke.
Den Registrerte:
Som definert i GDPR artikkel 4. Den person som personopplysningene kan knyttes til.
Samtykke:
Samtykke fra den registrerte er enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende.
Tilsynsmyndighet:
En uavhengig offentlig myndighet som er opprettet av en medlemsstat i hht generell personvernforordning artikkel 51 og som er ansvarlig for å overvåke overholdelse av personvernlovgivningen; Datatilsynet i Norge.
GDPR:
General Data Protection Regulation (GDPR). EU’s personvernforordning.
Register:
Enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier.
Annen relevant lovgivning, med forkortelser
I tillegg til personopplysningsloven har blant annet følgende lover betydning for Bjørnsons behandling av personopplysninger, Lov om helsepersonell (helseloven), Lov om arkiv (arkivloven), Lov om kontroll med markedsføring og avtalevilkår mv (markedsføringsloven), Lov om elektronisk kommunikasjon (ekomloven), Lov om arbeidsmiljø (arbeidsmiljøloven).
Bjørnson skal sørge for at ansatte og innleide har relevant kjennskap til reglene om personvern og personopplysninger, herunder denne personvernerklæring. Kunnskapsnivået skal være tilpasset den enkelte ansattes behandling av personopplysninger. Enkelte grupper ansatte har behov for særlig kjennskap, f.eks. personalfunksjon, salg- og markedsfunksjon. Ledelsen i Bjørnson skal alltid ha god kjennskap til regelverket.
Bjørnson kartlegger all behandling av personopplysninger. Dette gjør vi i en behandlingsprotokoll, et eget kartleggingsskjema der vi angir blant annet kategorier av registrerte, formål med behandlingen, hvordan vi behandler opplysningene og hvilke grunnlag behandlingen har. Sammen med herværende personvernerklæring er behandlingsprotokollen en sentral del av dokumentasjonen som beskriver hvordan Bjørnson etterlever bestemmelser i personopplysningsloven. Behandlingsprotokollen inngår i Bjørnsons internkontroll for behandling av personopplysninger.
Loven stiller opp seks grunnkrav som gjelder for all behandling av alle personopplysninger. Bjørnson skal sørge for at personopplysninger:
Behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte («lovlighet, rettferdighet og gjennomsiktighet»)
Samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene («formålsbegrensning»)
Er adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Er korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres («riktighet»)
Lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for («lagringsbegrensning»)
Behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»)
Hvis personopplysninger brukes til andre formål enn de er samlet inn for, (se kulepunkt 2), skal Bjørnson alltid vurdere om det nye eller endrede formålet er forenlig med det opprinnelige. Bjørnson skal da ta hensyn til de faktorene som fremgår av personvernforordningen artikkel 6 nr. 4.
Bjørnson skal ha minst ett av følgende grunnlag for all behandling av personopplysninger:
Den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål
Behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse
Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige
Behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn (interesseavveining)
Det skal gå frem av kartleggingsskjemaet hvilke(t) grunnlag vi har for å behandle opplysninger.
Hvis grunnlaget for behandling er samtykke fra den registrerte (se første kulepunkt), skal vi sette oss inn i de særlige reglene som gjelder for slike samtykker, blant annet kravet om dokumentasjon. Hvis grunnlaget for behandling er vår berettigede interesse (interesseavveining) (se fjerde kulepunkt overfor), vil vi konkretisere og skriftlig dokumentere avveiningen.
Du kan utøve dine rettigheter ved å sende en e-post til firma@bjornson.no ved behandlingsansvarlig eller personvernombud i Bjørnson. Se også kontaktinformasjon avslutningsvis i personvernerklæringen.
Alle som spør har krav på grunnleggende informasjon om behandling av personopplysninger i en virksomhet. Bjørnson har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler. Utover dette vil personvernombudet i Bjørnson kunne svare på spørsmål fra personer som får/kan få personopplysninger behandlet av Bjørnson.
De som er registrert i et av Bjørnsons systemer eller hos våre databehandlere har rett på innsyn i egne opplysninger. Vedkommende har også rett til å be om at uriktige, ufullstendige eller opplysninger Bjørnson ikke har adgang til å behandle blir rettet, slettet eller supplert. Krav fra den registrerte skal besvares kostnadsfritt for den registrerte og senest innen 30 dager. Informasjon slettes på oppfordring ved å kontakte firma@bjornson.no. Bjørnson har ansvar for at personopplysninger ikke blir gjort tilgjengelige for uvedkommende og kan ved tvil be vedkommende som ønsker å utøve sine rettigheter om informasjon for å stadfeste identiteten.
En av våre viktigste oppgaver er å forvalte personopplysninger og data på en trygg, brukervennlig og ansvarlig måte. Dersom du er misfornøyd med vår behandling av personopplysninger eller har forslag til hvordan vi kan forbedre oss kan du kontakte Bjørnson som oppgitt overfor.
Bjørnson behandler i hovedsak opplysninger som du har gitt oss for en av disse årsakene:
Du har søkt jobb i Bjørnson
Du jobber i Bjørnson som fast ansatt eller har tilknytning som underleverandør
Du er definert som kontaktperson hos kunde, leverandør, samarbeidspartner etc.
Du deltar i kartlegging- og/eller utviklingsarbeid som lederutvikling, teamutvikling, arbeidsmiljøkartlegging, m.m.
Du mottar helsetjenester som privatperson eller som ansatt i en virksomhet som er kunde av Bjørnson
Du har bedt Bjørnson å kontakte deg gjennom kontaktskjema, e-post eller telefon
Du har meldt deg på kurs eller seminarDu abonnerer på nyheter fra Bjørnson
Bjørnson får også personopplysninger indirekte, av følgende årsaker:
I forbindelse med en leveranse til din arbeidsgiver
En ansatt har oppgitt deg som nærmeste pårørendeEn jobbsøker har oppgitt deg som referanse.
Salgs- og markedsansvarlig i Bjørnson har det daglige ansvaret for Bjørnsons behandlinger av personopplysninger på online.bjornson.no. Det er frivillig for de som besøker nettsidene å oppgi personopplysninger i forbindelse med tjenester, for eksempel å motta nyhetsbrev, invitasjon til ulike arrangement, informasjon om tjenester og produkter. Personopplysninger som samles inn via Bjørnsons nettsted vil være navn, epost, selskap. Behandlingsgrunnlaget er personvernforordningen artikkel 6 nr. 1 a), samtykke.
Bjørnson samler inn avidentifiserte opplysninger om besøkende på bjornson.no gjennom Google Analytics. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.
Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Vi samler inn hele IP-adressen, men IP-adressen avidentifiseres slik at bare de tre første gruppene i adressen brukes til å generere statistikk. Det vil si at dersom IP-adressen består av numrene 195.159.103.82, brukes bare 195.159.103.xx. I tillegg behandles IP-adressene på aggregert nivå, det vil si at all data slås sammen til en gruppe og ikke behandles individuelt.
Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å forbedre våre tjenester og få tjenester på bjornson.no til å fungere.
Det benyttes foreløpig ingen informasjonskapsler på bjornson.weblow.io. Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside. Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker både har blitt informert om og har gitt sitt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene, jf. ekomloven § 2-7b. Slik administrerer du informasjonskapsler .
Bjørnson benytter e-post og telefon som en del av det daglige arbeidet og i alminnelig dialog med interne og eksterne kontakter. Vi skanner all inn og utgående e-post for virus og skadevare.Bjørnson sender ikke sensitive personopplysninger med e-post. Vi gjør oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer derfor til ikke å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre Bjørnsons IKT-infrastruktur.
På nettsiden kan du be Bjørnson om å ta kontakt med deg. Den som henvender seg blir bedt om å oppgi navn, epost, telefon, emne og en kort beskrivelse av hva henvendelsen gjelder. Den som henvender seg blir bedt om ikke å oppgi taushetsbelagte, sensitive eller fortrolige opplysninger da skjemaet er ukryptert. Dette er også eksplisitt opplyst i selve kontaktskjemaet.
Når du bruker kontaktskjema vil din henvendelse bli sendt via firma@bjornson.no og vil også bli oppbevart i CMS (Content Management System) tilhørende vårt nettsted. Vi benytter den informasjonen du gir fra deg, til å ta kontakt med deg og gi deg adekvat oppfølging. Henvendelser vedrørende psykologsamtaler/helsehjelp overføres til PsykBase for videre behandlingsoppfølging der det er aktuelt. Henvendelser som gjelder Bjørnsons tjenesteportefølje vil bli registrert i Bjørnsons CRM system. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b), som tillater oss å behandle opplysninger som er nødvendig for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Personopplysningene er nødvendig for å kunne følge opp den registrertes henvendelse. Bjørnson vil på årlig basis slette henvendelser som er mottatt via kontaktskjema på nettsiden.
Bjørnson registrerer og behandler personopplysninger om sine ansatte for å administrere lønns- og personalansvar samt ivareta arbeidsgiveransvaret. Behandlingsgrunnlag vil være for å ivareta forpliktelser og rettighet knyttet til arbeidsavtalen jfr. personvernforordningen artikkel 6 nr. 1, b) evt. også arbeidsgivers berettigede interesser jfr. artikkel 6 nr. 1, f). I Bjørnson er det daglig leder, faglig leder og økonomi- og administrasjonsansvarlig som har tilgang til denne informasjonen. Det kan også være 3. part (Pensjon, forsikring, offentlige myndigheter) som får tilgang til ansattes personopplysninger for å kunne ivareta arbeidstakers og arbeidsgivers interesser.
Typer personopplysninger som registreres er:
Kontaktinformasjon: navn, fødselsnummer, adresse, telefonnummer, pårørende, bilde av ansatt til bruk på web, osv.
Jobbinformasjon: stillingstittel, vedkommendes arbeidsinstruks, tilrettelegging av vedkommendes arbeid, cv, og utvikling i rollen osv.
Finansiell informasjon: Lønn, kontonummer, kredittkort osv.
Regnskapsfører har tilgang til det som er nødvendig i fbm lønnskjøring, lønnsrapportering, pensjonsinnberetning, reise- og utleggsoppfølging. Det registreres nødvendige opplysninger for utbetaling av lønn, lønnsnivå, timeregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Opplysninger om navn og yrkeskode i hht SSB’s kodeoversikt er offentlig rapporteringspliktig informasjon. Utgangspunktet for lagring av øvrige personopplysninger for ansatte er at de ikke skal lagres lenger enn det som er nødvendig. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven og evt. andre relevante lover. Bjørnson vil på årlig basis gå gjennom lagrede personopplysninger for ansatte og slette opplysninger som vi ikke har grunnlag for å oppbevare.
Dersom du søker jobb i Bjørnson behandler vi personopplysninger som er relevante i rekrutteringsprosessen. Herunder studiested, karakterer, referanser, personlige egenskaper. Vi trenger å behandle opplysningene for å vurdere aktuelle kandidater. Behandlingsgrunnlaget for dette er samtykke personvernforordningen artikkel 6 nr. 1 b) «…for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse eller samtykke». I stillingsutlysningen vil vi oppfordre søker om ikke å oppgi sensitive personopplysninger. Dersom din søknad likevel inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 9 nr. 2 b) og h). Alle stillingssøknader med vedlegg blir registrert i tilgangsbegrenset område på Sharepoint. Utgangspunktet for lagring av personopplysninger er at de ikke skal lagres lenger enn det som er nødvendig. Bjørnson vil gå gjennom lagrede personopplysninger for jobbsøkere, og slette søknader og vedlegg når søknadsprosessen er ferdig. For lagring ut over rekrutteringsprosessen innhentes samtykke. Søkerlister og innstillinger bevares.
Bjørnson behandler personopplysninger om styremedlemmer i selskapet i fbm administrasjon og protokollering av styrearbeid samt rapportering til offentlige myndigheter.Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 c) – behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, foretaksregisterloven, som pålegger selskaper å registrere personopplysninger om styremedlemmer. Oppbevaring av disse personopplysningene er lovhjemlet og vil ikke bli slettet. Styremedlemmer kan også bli presentert med navn, bilde og kortfattet cv på Bjørnsons web, intranett, eller i andre relevante sammenhenger. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f) - interesseavveining. Behandlingen er nødvendig for å ivareta selskapets berettigede interesse. Informasjonen vil bli slettet/endret i forbindelse med at styremedlem skiftes ut.
Bjørnson behandler personopplysninger om aksjonærer (enkeltpersoner) i selskapet for å oppfylle myndighetskrav. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 c) – behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, aksjeloven, som pålegger selskap å oppbevare opplysninger om tidligere aksjeeiere i 10 år. Aksjonærer kan også bli presentert med navn, bilde på Bjørnsons web, intranett, eller i andre relevante sammenhenger. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f) - interesseavveining. Behandlingen er nødvendig for å ivareta selskapets berettigede interesse. Personopplysningene vil bli oppbevart i hht lovhjemmel. Behandling av personopplysninger begrunnet med interesseavveining vil bli slettet/endret i forbindelse med at aksjonærstruktur endres.
Hvis du eller din arbeidsgiver har et eksisterende kundeforhold til Bjørnson Organisasjonspsykologene, vil vi kunne sende deg informasjon på e-post eller andre elektroniske kommunikasjonsmetoder innenfor rammene av markedsføringsloven, med mindre du har bedt oss om noe annet. Behandlingsgrunnlaget vil være det eksisterende kundeforhold der felles interesse vil være å ivareta kunderelasjonen. Dette er også tydelig beskrevet hos datatilsynet: «Det vil si at man ikke trenger samtykke etter markedsføringsloven dersom nyhetsbrevet ikke inneholder markedsføring. Man trenger heller ikke samtykke dersom nyhetsbrevet inneholder markedsføring, men det foreligger et eksisterende kundeforhold i forbindelse med salg».
Datatilsynet beskriver videre: «En virksomhet må alltid ha et behandlingsgrunnlag for å behandle personopplysninger slik som navn, telefonnummer og e-postadresse. Det finnes flere mulige behandlingsgrunnlag, blant annet samtykke, at det er nødvendig å behandle opplysningene for å oppfylle en avtale eller at det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.»
Hvis du ikke har et eksisterende kundeforhold til Bjørnson, vil vi bare sende slik markedsføring dersom du har gitt oss samtykke.
Bjørnson sender ut nyhetsbrev/invitasjoner via e-post. For at vi skal kunne sende e-post må du registrere navn, selskapsnavn og en e-postadresse. Når du bruker kontaktskjema vil de personopplysninger du registrerer bli oppbevart i CMS tilhørende vårt nettsted. MailChimp benyttes for utsendelse av nyhetsbrevet. E-postadressen lagres i en egen database, deles ikke med andre og slettes hvis du melder deg av. E-postadressen slettes også om vi får tilbakemelding om at den ikke er aktiv. Behandlingsgrunnlaget for innsamling og behandling av dine personopplysninger i tilknytning til Bjørnsons nyhetsbrev er et etablert kundeforhold eller personvernforordningen artikkel 6 nr. 1 a), altså samtykke.
Vi markedsfører arrangementer på vårt nettsted, bjornson.no, på Bjørnsons Facebook side i tillegg til at det er mulig å melde interesse for påmelding til hvert enkelt arrangement. For å melde interesse, må du skrive inn e-post adresse, navn og hvilket firma du representerer. Vi bruker denne informasjonen for å ha oversikt over hvem som har meldt interesse for et arrangement og sikre at vi sender riktig informasjon til riktige mottakere. Hvis vi har behov for å komme i kontakt med interessenter for å gi viktige beskjeder hender det også at vi bruker e-post eller telefon.
Behandlingsgrunnlaget for innsamling og behandling av personopplysninger i tilknytning til arrangementer i regi Bjørnson er et etablert kundeforhold eller personvernforordningen artikkel 6 nr. 1 a), altså samtykke. Bjørnson sletter personopplysninger som er registrert i denne forbindelse, og som vi ikke har grunnlag for å oppbevare, på årlig basis.
Bjørnson benytter CRM-verktøyet Microsoft Dynamics 365. Det registreres ulike typer personopplysninger i CRM-verktøyet tilhørende kunder, leverandører, sponsorer og øvrige samarbeidspartnere. Dette er opplysninger som navn, stilling/ansvarsområde, adresse, telefonnummer, epostadresse, bransje og annen relevant informasjon. I CRM er det oppgitt hvorvidt personen representerer kunde, leverandør, sponsor og/eller samarbeidspartner. Behandlingsgrunnlaget for innsamling og behandling av personopplysninger i tilknytning til Bjørnsons CRM system er et etablert kundeforhold eller personvernforordningen artikkel 6 nr. 1 a), altså samtykke.
Bjørnson behandler personopplysninger for ansatte hos våre kunder i fbm leveranse av helsetjenester, utvikling/rådgiving og kartlegging. I tillegg behandler vi personopplysninger i fbm evaluering av oppdrag. Faglig leder i Bjørnson har ansvar for behandling av personopplysninger i fbm leveranser og evaluering.
Bjørnson er behandlingsansvarlig for helsetjenester. For den delen av virksomheten som gjelder helsetjenester - psykologsamtaler- benytter Bjørnson «Psykbase» som elektronisk journalsystem. I dette systemet lagres personopplysninger og sensitive personopplysninger som navn, fødselsnummer, telefon, epost, adresse, pårørende, helse og beskrivelse av behandling m.m. Faglig leder i Bjørnson har ansvar for at helsetjenester i Bjørnson ytes i hht gjeldende helselovgivning. Det er etablert rutiner for bruk av elektronisk journalsystem og brannsikkert arkivskap (til bruk for arbeidsnotater frem til journalføring i Psykbase. Den enkelte psykolog er for øvrig underlagt bestemmelser i helselovgivingen og er også selv personlig ansvarlig for at saksbehandlingen er i samsvar med gjeldende lovgivning. Behandlingsgrunnlaget for behandling av personopplysninger i fbm ytelse av helsetjenester er helselovgivning og journallovgivning samt avtale med den enkelte pasient.
Bjørnson vil enkelte ganger registrere og behandle personopplysninger om kundens ansatte i fbm utvikling av kundens organisasjon, team, ledere og medarbeidere. Dette vil typisk være opplysninger som ansattes navn, epost, rolle. Bjørnson er i all hovedsak behandlingsansvarlig for slike oppdrag. Bjørnson vil ta initiativ til å innhente individuelt samtykke som behandlingsgrunnlag når det er påkrevd. I Bjørnson vil både ansvarlig konsulent/-er og administrativt personell ha tilgang til disse personopplysningene som del av leveransen.
Typer personopplysninger som kan bli registrert er:
Kontaktinformasjon: navn, epost, (telefonnummer)
Jobbinformasjon: stillingstittel, arbeidsinstruks, tilrettelegging av vedkommendes arbeid og utvikling i rollen osv.
Kontaktinformasjon og jobbinformasjon kan inngå i fbm beskrivelsen av tilbuds- og leveransedokumenter og i fbm evaluering av leveranser. Informasjon om leveranser lagres på Bjørnsons Sharepoint - Microsoft Office 365 - som brukes som elektronisk arkiv- og dokumentbehandlersystem. Bjørnson praktiserer intern tilgangsstyring til Sharepoint, basert på organisatorisk rolle og ansvarsområde. Den enkelte medarbeider i Bjørnson er ansvarlig for at den faktiske behandlingen av personopplysninger er i samsvar med rutinene. Bjørnson kontrollerer på jevnlig basis at rutinene blir fulgt.
Bjørnson leverer en rekke kartlegginger. Både standard hyllevare levert av 3. part og egenutviklede verktøy; hhv. standard og skreddersøm. Kartleggingene spenner fra miljø- til individundersøkelser, og kan være anonyme eller ikke-anonyme. Leveranser fra Bjørnson kan bestå av enkeltvise kartlegginger eller kombinasjoner av kartlegginger som spenner fra kvantitative til kvalitative, anonyme/identifiserbare, individuelle/miljøundersøkelser etc.
Bjørnson informerer om formålet med kartleggingen, og hvorvidt den er anonym eller ikke. Bjørnson vil ikke dele opplysningene med andre eller bruke opplysningene til andre formål enn det som er angitt. Registrerte som deltar i kartlegginger får mulighet til å gi og trekke sitt informerte samtykke. De har mulighet til å kontakte Bjørnson for å be om innsyn i sine personopplysninger, og få disse slettet.
Vi samler inn personopplysninger i fbm at vi gjennomfører kartlegginger. Både for å kontakte deltakere og rapportere resultater. Ved rapportering av resultat til kunde vil Bjørnson sørge for å ivareta evt. krav til anonymitet basert på forskningsetiske prinsipper. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 a), individuelt samtykke. Materialet slettes så snart grunnlaget for behandling og oppbevaring ikke er tilstede.
Bruk av 3. parts kartleggingsverktøy
Oversikt over 3. parts leverandører er beskrevet i Databehandleravtalen. Grunnlaget for behandling av personopplysninger i fbm disse verktøy er individuelt informert samtykke som gis i forkant av besvarelse. Hvis det er ønskelig at anonymisert data skal kunne benyttes i etterkant av opprinnelig formål for innhentet samtykke, (eks. til forskning) må dette være inkludert i opprinnelig samtykke eller samtykke må innhentes på nytt. Samtykke kan når som helst trekkes tilbake, og deltaker slettes. Det er etablert underdatabehandleravtaler med samtlige 3. parts kartleggingsleverandører hvor databehandler forplikter seg på å behandle personopplysninger på vegne av Bjørnson i hht gjeldende personvernbestemmelser. Det er etablert sletterutiner i de ulike verktøyene som sikrer at personvernbestemmelser er ivaretatt. Slettingsbestemmelser vil fremgå av de enkelte underdatabehandleravtaler og/eller på underleverandørens nettside.
Samtlige underleverandører og innleide konsulenter som jobber på oppdrag for Bjørnsons kunder er forpliktet til å gjøre seg kjent med Bjørnsons personvernerklæring, og må signere på at de forplikter seg til å jobbe i hht denne i oppdrag for Bjørnsons kunder. I tillegg signerer samtlige innleide konsulenter på taushetsplikt- og datadisiplinerklæring.
Bjørnson har i dag en IKT-driftsmodell der vi har outsourcet våre IT-systemer og overlatt driften til eksterne parter. Vi bruker enkelte databehandlere til å samle inn, lagre og/eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller inngår vi avtaler med databehandler for å sikre at behandlingen av opplysningene er i samsvar med personvernregelverket og krav til behandling av personopplysninger. Bruken av databehandlere er ikke å regne som en utlevering av personopplysninger. Leverandørene kan ikke bruke opplysningene til andre formål enn det de er innhentet til. Bjørnson bruker databehandlere på flere forskjellige områder, for eksempel for IKT-tjenester som lagring og drift, helsetjenester, regnskap og lønn, markedsføring mm.
Cloudservice (org. nummer 991 073 930) står for drift av PCer, Active Directory servere, brannmurer, printservere, Exchange (e-post), Microsoft Office m.m. Cloudservice er lokalisert i Norge og konsulentene som jobber opp mot oss jobber fra Norge. Vi benytter Sharepoint som dokumenthåndteringssystem. Upheads AS (org. nummer 980 893 936) leverer tjenester i tilknytning til system og Sharepoint utvikling.
Aspit AS (org. nummer 983 439 977) er Bjørnsons databehandler, og leverandør av drift og vedlikehold av PsykBase som gjelder helsetjenester. Opplysninger som samles inn i forbindelse med drift av Psykbase, lagres på egne servere som driftes av Aspit. Aspit har stor vekt på driftsleveranser for offentlig og privat helsevesen der datasikkerhet er av særskilt betydning. Aspit’s serverfarmer er lokalisert i Green Mountain datasenter i Telemark. Datasenteret er Tier lll sertifisert, samt innehar ISO 9001, ISO 14001 og ISO 27001 sertifiseringer. Alt utstyr driftes av ASPIT med ITIL-sertifisert driftspersonell (se også www.aspit.no).
Som lønn- og regnskapssystem (inkludert inngående faktura og reiseutlegg) bruker vi tjenester fra Azets Insight AS (org. nummer 983 338 917) som kjører på deres servere. ProPlan Time blir brukt som system for å administrere arbeidstid, overtid og fravær. Dette driftes av ProPlan AS (org. nummer 959 472 823).
Destino AS (org. nummer 960 339 355) er vår leverandør for utvikling og vedlikehold av Bjørnsons web. Opplysninger som samles inn i forbindelse med drift av nettstedet, lagres på egne servere som driftes av Destino. Det er kun Bjørnson og Destino som har tilgang til opplysningene som samles inn.
Bjørnson har vurdert om personvernforordningen krever at Bjørnson skal ha personvernombud. Vi har svært få fysiske personer som kunder. Vi driver ikke regelmessig og systematisk monitorering i stor skala av registrerte. For de fleste kategorier av registrerte behandler vi stort sett alminnelige personopplysninger som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l. I forbindelse med leveranser av konflikthåndtering, psykologsamtaler, individ- og miljøkartlegginger både kvalitative og kvantitative behandler vi sensitive opplysninger om ansatte hos kunder. I sum har vi konkludert med at Bjørnson ikke er underlagt krav om å ha personvernombud, men vi har likevel valgt å ha personvernombud. Det er faglig leder i Bjørnson som er personvernombud. Hovedoppgavene til personvernombudet er å være en faglig ressurs innenfor personvern, stå til tjeneste med informasjon og rettledning og følge med på at regelverk og interne retningslinjer for behandling av personopplysninger blir etterlevd. Personvernombudet er et bindeledd mellom Bjørnson som behandlingsansvarlig og Datatilsynets tilsynsmyndighet. Personvernombudet svarer også på spørsmål fra personer som får/kan få personopplysningene sine behandlet av Bjørnson. Kontaktinformasjon finner du til slutt i dette dokumentet.
Bjørnson risikovurderer på jevnlig basis vår behandling av personopplysninger. Vurderingen skal gjøre at vi er i stand til å identifisere og definere hvilke sikkerhetstiltak vi skal gjennomføre.
Vurderingene inkluderer sannsynlighet og alvorlighetsgrad (risiko) for personers "rettigheter og friheter", som fysisk skade, skade på ting eller formue og medisinsk skade. Eksempler på skader er diskriminering, identitetstyveri, omdømmeskade, tap av sosial aktelse, at konfidensielle opplysninger blir kjent for uvedkommende og uakseptable inngrep i privatlivets fred.
Behandlingsprotokollen (kartleggingsskjemaet over personopplysninger) viser at vi:
I stor grad behandler alminnelige kontaktopplysninger, som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l.
Psykologsamtaler som inneholder sensitive personopplysninger behandles av helsepersonell – psykologer - innenfor et eget journalsystem som har høy IT sikkerhet som prioritet.
I fbm leveranse av konflikthåndtering, personkartlegginger og kvalitative arbeidsmiljøkartlegginger som inneholder personopplysninger har vi etablert rutiner som skal sikre at personopplysninger ikke blir kjent for uvedkommende.
Behandler opplysninger om ansatte som er vanlige for å administrere personalforhold, herunder etterlevelse av lovpålagte forpliktelser.
Har få privatkunder
Ikke behandler opplysninger om barn
Behandler opplysninger som er en del av det å drive alminnelig næringsvirksomhet
Basert på denne risikovurderingen mener vi at konsekvensene ved regelbrudd vil være spesielt alvorlig for personopplysninger samlet inn i fbm psykologsamtaler. Bjørnson er behandlingsansvarlig for psykologsamtaler.
Samfunnsutviklingen tatt i betraktning tar vi høyde for at det er sannsynlig at vi vil bli utsatt for flere og hyppigere forsøk på datainnbrudd. Vi skal løpende risikovurdere vår IT driftsmodell, og endringer som kan påvirke informasjonssikkerheten, for eksempel når vi kjøper nye IT-tjenester og evaluerer leverandører. Resultatene av risikovurderinger skal godkjennes av den som har det daglige behandlingsansvaret i Bjørnson, daglig leder.
Vi har etablert databehandleravtaler med alle IT-leverandører som behandler personopplysninger.Vi har etablert egne rutiner for behandling av sensitive personopplysninger, herunder begrensning av tilgang.Vi har etablert rutiner for å ivareta IT-sikkerhet på alle nivå og områder i Bjørnson.
Vi skal etter loven treffe passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som svarer til risikoen knyttet til vår behandling av personopplysninger. Vi skal da ta hensyn til teknikkens stand, gjennomføringskostnadene og behandlingens karakter, omfang og formål, samt sammenhengen den utføres i. Risikoene våre er vurdert overordnet i punktet ovenfor.
I tillegg til allerede implementerte sikkerhetstiltak er følgende tiltak gjennomført:
Personvernombudet er utpekt med særlig oppgave å påse sikkerheten
Ansatte skal gis relevant opplæring i behandling av personopplysninger
Innleide konsulenter skal gis tilpasset opplæring i behandling av personopplysninger
Årlig risikovurdering er inkludert som aktivitet i internkontrollarbeidet
I fbm etableringen av personvernerklæringen har Bjørnson implementert og korrigert selskapets rutiner for behandling av personopplysninger slik at vi følger reglene i personopplysningsloven og rutinene i erklæringen. Sentralt i arbeidet har vært «behandlingsprotokollen» hvor vi har kartlagt Bjørnsons behandling av personopplysninger og avvik fra behandlingsrutinene for hver kategori av registrerte. Avvikene er avviksbehandlet eller er i avviksbehandling.
Fremover skal vi sikre etterlevelse av personopplysningsloven ved at vi på årlig basis kartlegger og evaluerer vår behandling av personopplysninger. Vi skal dokumentere både hvilke avvik vi har funnet, og hva vi har gjort for å rette dem opp. Avvik skal registreres i Bjørnsons avvikssystem som del av kvalitetssystemet. Avvikene skal behandles i tråd med avviksbehandling for behandling av personopplysninger.
Et avvik, eller sikkerhetsbrudd, defineres som et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet
Ved avvik skal Datatilsynet varsles innen 72 timer etter at Bjørnson, som behandlingsansvarlig, har fått kunnskap om avviket. De berørte parter (den registrerte, kunden) skal gis et varsel med følgende innhold:
Beskrivelse av avviket
Kontaktinformasjon til personvernombudet eller annet kontaktpunkt i Bjørnson
Beskrivelse av mulige konsekvenser av avviket
Beskrivelse av tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene
I følgende tilfeller kan Bjørnson la være å varsle de berørte:
Dersom det er iverksatt beskyttelsestiltak for personopplysningene som er omfattet av sikkerhetsbruddet, særlig dersom tiltakene gjør opplysningene uleselige for uvedkommende, for eksempel ved kryptering.
Dersom det er iverksatt etterfølgende tiltak som gjør at risikoen sannsynligvis ikke lenger er reell.
Hvis det er uforholdsmessig vanskelig å varsle hver enkelt av de berørte. I slike tilfeller skal informasjonen i stedet offentliggjøres eller deles på annen måte, slik at de berørte likevel underrettes på en effektiv måte.
Om nødvendig skal avvik på behandling av personopplysninger varsles til Datatilsynet.
Denne personvernerklæring oppdateres og revideres løpende. Bakgrunnen er blant annet at reglene i lov og forskrift kan bli endret, vår behandling av personopplysninger kan bli endret eller erfaringer kan tilsi at vi bør endre rutinene våre. Av de samme grunnene skal vi også jevnlig gjennomgå og oppdatere behandlingsprotokoll (kartleggingsskjema) for behandling av personopplysninger. Det er daglig leder som har ansvar for at behov for endringer og revisjoner blir identifisert og innarbeidet i dokumentet og i behandlingsprotokollen.Evalueringen bør omfatte for eksempel følgende spørsmål:
Har vi siden forrige revisjon endret (nye, endrede eller avsluttede) behandlinger av personopplysninger som ikke er behandlet i dokumentet eller i kartleggingsskjemaet?
Tilsier de seks grunnkravene til behandling av personopplysninger at vi bør endre rutiner eller praksis?
Har det siden forrige revisjon trådt i kraft nye regler i lov eller forskrift som tilsier endringer?
Har virksomheten siden forrige revisjon oppdaget andre områder for forbedring av dokumentet eller kartleggingsskjemaet?
Har det kommet ny teknologi som gjør at personopplysninger kan sikres på en bedre måte?
Behandlingsansvarlig i Bjørnson: Ingrid Ottesen, Daglig leder
Personvernombud i Bjørnson: Ane Johnsen Lien, Faglig leder
firma@bjornson.no | +47 4000 23 43 | Stokkamyrveien 13, N- 4313 SANDNES