GDPR og databeskyttelse

Databehandling, gjort riktig

ProdSys behandler dataene dine som databehandler. Dette betyr at vi er forpliktet til å beskytte dem etter samme standarder som du selv har — og vi gir deg verktøyene for å overholde GDPR.

Vår rolle: databehandler

Når du bruker ProdSys for å lagre data om dine kunder, ansatte og leverandører, er du behandlingsansvarlig for disse opplysningene. Vi er databehandler — vi behandler dataene på dine vegne, etter dine instruksjoner, i tråd med vår avtale med deg.

Dette skillet er sentralt i GDPR. Det betyr at du har det øverste ansvaret for dine kunders og ansattes data, men vi har konkrete plikter overfor deg som hjelper deg å oppfylle ditt ansvar.

Databehandleravtale (DPA)

Alle ProdSys-kunder får automatisk en databehandleravtale (DPA) som en del av kundeavtalen. Den dekker blant annet:

  • Hvilke kategorier personopplysninger vi behandler
  • Formålet med behandlingen og varigheten
  • Tekniske og organisatoriske sikkerhetstiltak
  • Underleverandører og deres roller
  • Brudd-varsling og bistand
  • Sletting og retur av data ved opphør

Trenger du en signert kopi av DPA-en? Ta kontakt — vi sender den raskt.

EU-data, EU-rett

All kundedata lagres og behandles utelukkende i datasentre innenfor EU/EØS. Vi overfører ikke data til land utenfor EU/EØS uten:

  • Eksplisitt samtykke fra deg som behandlingsansvarlig
  • Tilstrekkelig beskyttelse via Standard Contractual Clauses (SCC) eller adekvansbeslutning
  • Dokumentert vurdering av risikoer (TIA — Transfer Impact Assessment)

Standardprinsippet vårt: kundedata forlater aldri EU/EØS.

Underleverandører

Vi bygger på etablerte europeiske tjenesteleverandører for å levere ProdSys. Disse underleverandørene er bundet av databehandleravtaler som speiler våre forpliktelser overfor deg:

  • Sky-infrastrukturleverandører (datasentre i EU)
  • Overvåkings- og varslings­tjenester
  • E-postlevering og supportverktøy
  • Backup og gjenopprettingsleverandører

Spesifikke leverandørnavn fremgår av databehandleravtalen vår. Kunder varsles i forkant av vesentlige endringer i underleverandører og har rett til å protestere.

Hjelp til dine forpliktelser

Som behandlingsansvarlig har du visse plikter etter GDPR. Vi gir deg verktøyene og bistanden du trenger for å oppfylle dem:

Innsynsforespørsler
ProdSys har innebygde rapporter for å hente ut alle data om en spesifikk person — kunde, ansatt eller leverandør. Standard GDPR-rapport.
Sletting og rettelse
Du kan slette eller endre personopplysninger direkte i ProdSys. Sletteloggene bevares for revisjon, men dataene fjernes.
Dataeksport
Eksporter alle dine data i åpne formater (CSV, JSON, XML) for porteringsformål.
Avviksvarsling
Vi varsler deg umiddelbart ved sikkerhetsbrudd som kan påvirke dine data, slik at du kan oppfylle 72-timers varslingskrav.
Sikkerhetsdokumentasjon
Vi gir deg tilgang til vår tekniske og organisatoriske sikkerhetsdokumentasjon for ditt risikoarbeid.
Audit-rettigheter
Som kunde har du rett til å revidere våre sikkerhetspraksiser, enten selv eller via uavhengig tredjepart.

Sletting ved opphør

Når kundeforholdet avsluttes:

  • Du får 30 dager til å eksportere dataene dine i åpne formater
  • Etter 30 dager slettes data permanent fra aktive systemer
  • Krypterte sikkerhetskopier roteres ut innen 90 dager
  • Sletteattest kan utstedes på forespørsel

Unntak: data vi er lovpålagt å beholde (fakturahistorikk, regnskap) lagres etter relevant lovkrav (typisk 10 år i Norge).

Kontakt om personvern

For ethvert GDPR-relatert spørsmål — rettighetsforespørsler, DPA-forespørsler, sikkerhetsspørreskjemaer eller generelle henvendelser om personvern — ta kontakt:

E-post
post@prodsys.com
Vi svarer innen 30 dager, oftest mye raskere.
Postadresse
PSIT Software AS, Att: Personvern
Ingvald Ystgaards veg 1
7047 Trondheim, Norge

Se også: Personvernerklæring · Sikkerhet · Vilkår