GDPR

Hos Lessor sikrer vi, at GDPR overholdes

For de fleste organisationer var overholdelse af databeskyttelsesforordningen – eller i folkemunde "GDPR" – et uomtvisteligt fokusområde i tiden op til 25. maj 2018, hvor de nye regler trådte i kraft. Hos Lessor er en af vores mest betroede opgaver at behandle personoplysninger for vores kunder. Vi gør derfor meget ud af at følge reglerne og udviklingen på området og sikre, at kundens medarbejderes personoplysningerne behandles sikkert og korrekt. Du kan læse mere om vores arbejde her på siden.

Lessors arbejde med GDPR

Hos Lessor tager vi arbejdet med overholdelse af GDPR meget seriøst. Vi har både før og efter 25. maj 2018 allokeret en betragtelig mængde interne og eksterne ressourcer til at sikre, at behandlingen af vores kunders personoplysninger overholder de krav, der følger af GDPR.

Vi arbejder bredt med overholdelse af GDPR på tværs af hele organisationen. Alle vores medarbejdere – fra supportafdelingen til udviklere – har gennemført et specialdesignet e-learningkursus, så alle hos Lessor er skarpe på, hvornår der sker behandling af personoplysninger og er opmærksomme på de regler, der skal overholdes i den forbindelse.

Derudover arbejder vi struktureret med overholdelse af GDPR i vores interne koordinationsgruppe, hvor vi nøje følger med i den løbende udvikling af blandt andet praksis fra Datatilsynet og it-trusselsbilledet for virksomheder i Danmark.

 

Vores løsninger

Forud for den 25. maj 2018 foretog vi en kortlægning af alle de personoplysninger, der behandles i vores løsninger. Det var et led i, at vi gerne vil tilbyde vores kunder en databehandleraftale, der overholder GDPRs krav om en specifik instruks og beskrivelse af "behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede".

Kortlægningen kan for mange dataansvarlige være en lettere uoverskuelig opgave, men vi har ved vores tiltag gjort det nemt for vores kunder, da vi altid ved hvilke oplysninger, der behandles i vores systemer. Det anser vi som stor hjælp for mange af vores kunder.

Princippet om "dataminimering" gælder for alle dataansvarlige. Derfor har vi haft stort fokus på, at det skal være nemt for vores kunder som dataansvarlige at foretage sletning af personoplysninger i vores løsninger.

Vi gør det nemt for dig at overholde GDPR

Databehandleraftalen

I samarbejde med eksterne juridiske eksperter har vi udarbejdet en databehandleraftale, der indeholder alle vores juridiske forpligtelser over for vores kunder, en detaljeret instruks og beskrivelse af de personoplysninger, der behandles i vores løsninger samt de sikkerhedsforanstaltninger, som vi har iværksat for at passe på vores kunders personoplysninger. Hent vores databehandleraftale på dansk og engelsk.

Tilsyn med Lessor og vores underdatabehandlere

Alle dataansvarlige i Danmark er pålagt at føre tilsyn med, at deres databehandlere behandler personoplysningerne i henhold til databehandleraftalen og det sikkerhedsniveau, som den dataansvarlige og databehandleren i fællesskab har vurderet, at databehandleren skal gennemføre.

For at gøre det nemt for dig får vi hvert år udarbejdet to forskellige revisionserklæringer – en ISAE 3402-erklæring (it-sikkerhed) og en ISAE 3000-erklæring (vores aktiviteter som databehandler). Du kan til enhver tid hente en kopi af erklæringerne her på siden.

Det gør det nemt for dig - og det gør det nemt for os.

Vi fører desuden tilsyn med vores underdatabehandlere i slutningen af året.

Overholdelse af GDPR og persondataloven

Med ISAE 3000 erklæringen i hånden kan vi dokumentere, at vi overholder GDPR og den danske persondatalov. Det betyder, at du kan være sikker på, at dine medarbejderes data er i trygge hænder, når du vælger Lessor som leverandør af it-systemer inden for løn, HR, vagtplanlægning og tidsregistrering . 

Vi har brugt det statsautoriserede revisionspartnerselskab Grant Thornton til udarbejdelsen af ISAE 3000 erklæringen (engelsk).

Se ISAE 3000 erklæringen

Sikkerhed for opbevaring af data

Når du benytter Lessors hostede systemer, kan du være sikker på, at data opbevares forsvarligt. Dels ligger vores systemer i vores eget hosting-center i Danmark, og dels har vi ISAE 3402 erklæringen i hus, som dokumenterer ordentlige it-forhold og fungerer som bevis for, at Lessor lever op til lovkrav og god it-skik.

Vi har brugt det statsautoriserede revisionspartnerselskab Grant Thornton til udarbejdelse af ISAE 3402 erklæringen (engelsk).

Se ISAE 3402 erklæringen

Datacenter i Danmark og ingen overførsler til tredjelande

GDPR suppleres i Danmark af databeskyttelsesloven, der indeholder den såkaldte "krigsregel".

Formålet med krigsreglen er at sikre, at personoplysninger i visse it-systemer opbevares på servere i Danmark af hensyn til statens sikkerhed. Uanset at vores kunders medarbejderoplysninger ikke umiddelbart vedrører "statens sikkerhed", skal vores kunders personoplysninger have næsten samme beskyttelse som statshemmeligheder. Så kan du som kunde sove ekstra trygt om natten ved tanken om, at når du anvender en SaaS-løsning fra Lessor, opbevarer vi dine medarbejderes personoplysninger i Danmark. Hos Lessor kan vi nemlig godt lide at gøre det meste selv – vi udvikler også vores egne løsninger internt i huset.