GDPR-arbeidet hos Wolters Kluwer Scandinavia

Den 25. mai 2018 erstattes personopplysningsloven (popplyl.) av General Data Protection Regulation (GDPR). Her forklarer vi hvordan vi i Wolters Kluwer arbeider for å oppfylle de nye retningslinjene for vår virksomhet i Skandinavia, både der vi er behandlingsansvarlige og der vi er databehandlere. Men også der vi ikke har et strikt GDPR-ansvar.

GDPR innebærer strengere krav ved håndtering av personopplysninger. Som tidligere kan man bare samle inn og lagre personopplysninger som er nødvendige, og bare lagre disse så lenge de behøves. En stor forskjell er et strengere informasjonskrav om formålet, samt at det skal bli lettere å få sine opplysninger korrigert, overflyttet eller slettet.

Her forklarer vi hvordan vi i Wolters Kluwer arbeider for å oppfylle de nye retningslinjene for vår virksomhet i Skandinavia, både der vi er behandlingsansvarlige og der vi er databehandlere. Men også der vi ikke har et strengt GDPR-ansvar.

Våre GDPR-roller

I Wolters Kluwer håndterer vi alle GDPR-krav i våre ulike applikasjoner, systemer og andre prosesser. Et svært omfattende arbeid ble påbegynt i konsernet allerede høsten 2016, og siden våren 2017 har vår skandinaviske forretningsenhet hatt et aktivt GDPR-prosjekt med en dedikert prosjektleder. Arbeidet er blitt drevet sammen med konsernets eksperter på området, bl.a. vårt personvernombud i Nederland, samt med fokus på den databehandlingen som utføres i vår lokale skandinaviske virksomhet.

Prosjektet har gjort en omfattende inventering av all berørt databehandling samt hvilke tiltak som må treffes for at disse skal være forenlige med GDPR. Slike tiltak omfatter situasjoner der:

  • Wolters Kluwer er behandlingsansvarlig
    Gjelder databehandling i våre interne systemer der vi har kontakt med våre kunder for markedsføring, salg, ordrer og support.
  • Wolters Kluwer er databehandler
    Gjelder våre skybaserte produkter og programvare der vi lagrer data for våre kunder, dvs. Capego, RevisorHosting, ReviSky, RegnskabSky, ProHosting, Penneo og Företagsplatsen/BusinessPoint/Arena.
  • Wolters Kluwer er leverandør uten formelt GDPR-ansvar
    For produkter der vi ikke lagrer data for våre kunders regning, dvs. de aller fleste, er Wolters Kluwer leverandør og har strengt tatt ikke et GDPR-ansvar i form av å være behandlingsansvarlig eller databehandler. Les mer under overskriften Øvrige produkter.


GDPR i våre produkter

Skybaserte produkter og programvare der vi lagrer data for våre kunder

I tilfeller der Wolters Kluwer er databehandler i programvaren, pågår det et arbeid med å oppdatere de allmenne vilkårene slik at vi får en tydelig enighet om GDPR-spørsmål mellom oss og våre kunder. Ved å inkludere de GDPR-standardene som finnes for denne avtalen i våre allmenne vilkår, behøver vi ikke å tegne spesielle behandleravtaler. Vår intensjon er at dette også skal omfatte våre partnerprodukter Penneo og Företagsplatsen/BusinessPoint/Arena. Som kunde får du altså en behandleravtale gjennom våre allmenne vilkår. Vi kommer tilbake med mer spesifikk informasjon til berørte kunder senere.

Wolters Kluwer kommer til å gjøre det mulig for våre kunder å respektere de registrertes rettigheter i henhold til GDPR overfor sine egne kunder (sletting, korrigering, begrensning, innvendinger, portabilitet og åpenhet), ved hjelp av ny, forbedret funksjonalitet og anvisninger.

Wolters Kluwer kommer til å anvende strengere policyer for lagring av personopplysninger slik at opplysningene slettes når de ikke lenger behøves.

Wolters Kluwer kommer til å anvende kryptering, anonymisering og pseudonymisering der det er relevant for å redusere informasjonssikkerhetsrisikoene i forbindelse med behandling av personopplysninger på oppdrag fra våre kunder.

Øvrige produkter

I tilfeller der vi er leverandør og dermed ikke har et formelt GDPR-ansvar, dvs. i produkter der vi ikke lagrer data for våre kunders regning, pågår det et arbeid for å fastslå hvordan vi kan gjøre det enklere for våre kunder å følge GDPR. Eksempler på slike produkter er Årsavslutning, Skatt, Revisjon og Byrå.

Felles for all programvare er bruk av det som kalles ”privacy by design” og ”privacy by default”. Dette er nye interne direktiver for vår videre produktutvikling, der vi bygger inn et vern for personopplysninger i vår programvare.

Wolters Kluwer kommer til å gjøre det mulig for våre kunder å respektere de registrertes rettigheter i henhold til GDPR overfor sine egne kunder (sletting, korrigering, begrensning, innvendinger, portabilitet og åpenhet), ved hjelp av anvisninger og, om nødvendig, utvidet funksjonalitet.

Wolters Kluwer kommer til å gi veiledning om informasjonssikkerhet og datalagring for personopplysninger som behandles med Wolters Kluwers programvareprodukter.

Vi kommer til å gjøre det mulig for våre kunder å overføre data til Wolters Kluwer på en sikker måte gjennom kryptering og anonymisering. Slik overføring kan f.eks. være nødvendig i forbindelse med support.

Brukerens ansvar

I de aller fleste tilfeller er det brukeren av vår programvare som bærer det store GDPR-ansvaret. Brukerens organisasjon må sikre at de har et rettslig grunnlag for sin databehandling, f.eks. gjennom oppdaterte avtalevilkår for kundene eller i sine oppdragsbrev.

 

GDPR i vår egen behandling

I Wolters Kluwer og i vår rolle som behandlingsansvarlig gjennomfører vi et omfattende arbeid for GDPR-tilpasning.

Arbeidet omfatter dedikerte ressurser på ulike nivåer i vår organisasjon samt eksterne juridiske rådgivere og domeneeksperter.

Dette er noen av de områdene vi arbeider med:

– Personopplysninger som vi lagrer i våre interne systemer for kontakt med våre kunder, salg, ordrer og support samt markedsføring osv., omfattes av vår integritetspolicy. Vi gjennomgår nå denne policyen og oppdaterer den med hensyn til GDPR.

– Konsekvensvurdering når det gjelder beskyttelse av data – Vurdering av effektene av hver behandling og hvordan den registrertes rettigheter påvirkes.

– Lagring av data – Spesifiserte lagringsperioder (for kundedata og interne data), instruksjoner og tiltak for å sikre at personopplysninger ikke beholdes lenger enn nødvendig.

– Den registrertes rettigheter – Prosesser og prosedyrer for å støtte den registrerte i å utøve sine rettigheter ifølge GDPR.

– Tredjeparts databehandlere – avtaler med tredjeparter som behandler personopplysninger for Wolters Kluwer Scandinavia.



Wolters Kluwer Norge AS

Besøksadresse:
Østensjøveien 27, 0661 Oslo

Postadresse:
PB 6238 Etterstad, 0603 Oslo

E-post: kontakt@wolterskluwer.no
Telefon: 22 34 60 00