Den nye personvernforordningen (GDPR)
Her har vi samlet informasjon om Visma som leverandør og våre produkter, relatert til den nye Personvernforordningen (GDPR) som trådte i kraft 20.juli 2018.
General Data Protection Regulation (GDPR)
Den nye personvernloven, også omtalt som GDPR (General Data Protection Regulation) gjør at mange bedrifter må bedre sin internkontroll og ha et mer bevisst forhold til hvordan de behandler persondata. Det berører data om egne ansatte, privatkunder, og ansatte hos kunder og leverandører. I Visma sine økonomi, lønn og CRM systemer lagrer våre kunder persondata og også sensitive persondata, og du som kunde må ha oversikt over hva du lagrer, og hvor du lagrer det.
Den nye personvernloven gjør at mange kunder henvender seg til Visma for å få svar på en rekke spørsmål relatert til den nye personvernloven. Spørsmålene vi får kan deles inn i to hovedkategorier. Den ene kategorien er Visma som bedrift, og hvilke data vi lagrer om deg som kunde, relatert til vårt kontraktsforhold.
Den andre kategorien er knyttet til vår leveranse til deg som kunde. Det vil si de produkter og tjenester vi leverer. For produkter som er beregnet på lokal installasjon på dine egne servere, eventuelt hos en driftspartner, dreier det seg først og fremt om funksjonelle spørsmål relatert til brukertilgang, sletting av data og logging. For skytjenester dreier det seg om det samme, men i tillegg spørsmål om sikkerhet og innsyn. For alle våre skytjenester vil Visma også ha en rolle som Databehandler på vegne av kunden.
Ofte stilte spørsmål & svar
Har Visma en personvernerklæring?
Ja! Visma har lenge jobbet med tilpasning av vår organisasjon og våre produkter til den nye personvernloven. En beskrivelse av denne prosessen på engelsk inkludert Visma sin personvernerklæring finner du her. Personvernerklæring på norsk finner du her.
Hvor finner jeg detaljert informasjon om Visma sitt arbeide med datasikkerhet?
Vi tilbyr forskjellige nivåer av informasjon om hvordan vi arbeider med datasikkerhet, og hvilke teknologier vi benytter i våre produkter og tjenester. Visma har et omfattende program for sikkerhet, helt fra utviklingen av vår programvare til selve driftingen av den. Alle utviklingsteam forholder seg til samme rammeverk, og hvert enkelt utviklingsteam har en egen sikkerhetsingeniør. Vi gjør fortløpende tester av vår kildekode, vår kompilerte kode, 3 part komponenter og infrastruktur. I tillegg bruker vi eksterne firmaer til å kvalitetssikre vår programvare og infrastruktur.. Dette involverer teknikker som CAST, DAST, DAST + PenTests, test mot SQLi, XSS and CSRF, session hijacking og lignende basert på OWASP top 10. På infrastruktur siden gjør vi testing mot Dos og DDos, samtidig som våre driftspartnere har et svært omfattende regime for testing av egen infrastruktur. Som en del av dette gjøres også jevnlig risiko analyse og gjennomgang av “Disaster recovery” og lignende.
Du finner en mer detaljert beskrivelse av dette på Visma Trust Center:
Her kan du lese om de forskjellige nivåene av informasjonsdeling vi har i Visma
Her kan du lese om våre interne prosesser
Her kan du lese om vårt operasjonelle arbeid
Samler Visma inn brukerdata om meg?
Som kunde på våre tjenester vil vi naturlig nok få informasjon om deg som bruker, og om hvordan du benytter våre løsninger. Dette har vi et svært bevisst forhold til. Hvordan vi behandler og beskytter disse dataene er beskrevet i vårt Visma Trust Center.Er Visma sine skytjenester kryptert?
Alle Visma sine løsninger har kryptering i kommunikasjonen mellom brukerens enhet og våre tjenester med HTTPS: Flere av våre løsninger har også krypterte databaser i våre driftssentre. Les mer om dette i vårt Trust Centre her.Hva er en databehandleravtale?
Når du som bedrift benytter en skytjeneste fra Visma er våre forpliktelser og dine rettigheter beskrevet i vår bruksrettavtale/terms of service omtalt som TOS. Visma har en rolle som Databehandler på vegne av deg som kunde, som er Databehandlingsansvarlig. Visma har integrert en standard Databehandlingsavtale som en del av våre bruksvilkår. Les mer i avsnitt 3 her.
Du finner også informasjon om dette på vårt Visma Trust Center, denne siden finnes kun på engelsk.
Trenger jeg en databehandleravtale med Visma?
Bruker du en våre skytjenester har du allerede en databehandleravtale som en del av vår avtale “Visma Software bruksvilkår” eller TOS - Terms of service som den kalles på engelsk. Denne finnes tilgjengelig på flere språk, og er obligatorisk for alle våre kunder som benytter disse tjenestene. Les mer om terms of service her.
Hvis du benytter Huldt & Lillevik Cloud benytter vi en separat Databehandleravtale. Denne ble sendt ut til alle våre kunder i mai 2018.
For våre Windows baserte løsninger så er du som kunde selv ansvarlig for driften og Visma er ikke databehandler.
Sporadisk support og konsulent arbeidet som Visma utfører for deg som kunde er ikke å betrakte som "databehandling" og krever ikke noen databehandleravtale. Denne type arbeid er regulert av taushetserklæringen som alle våre ansatte er omfattet av.
Kan jeg bruke min egen Databehandleravtale?
Nei. Visma Software leverer standard tjenester med standard avtaler. Siden vi er databehandler og leverandør av tjenestene, må våre avtaler benyttes.Hva er Visma Trust Center?
Visma Trust Center samler all offentlig informasjon fra Visma relatert til personvern, sikkerhet og drift. På grunn av mange faguttrykk er denne siden kun tilgjengelig på engelsk. Denne siden (visma.no/gdpr) fungerer som et norsk overbygg, som forklarer de viktigste temaene på norsk.Er Visma sine produkter GDPR Compliant?
Det finnes ingen slik offisiell betegnelse eller godkjenning. Visma har forøvrig en intern prosess hvor alle våre produkter og tjenester blir kvalitetssikret i henhold til den nye Personvernforordningen med tanke på både personvern og sikkerhet. De fleste versjoner av våre produkter som er oppdatert etter mai 2018, har vært igjennom denne prosessen. En komplett oversikt finner du her.Hvor lagres mine data?
De fleste av Visma sine skyprodukter driftes hos internasjonale aktører som Microsoft, Google og Amazon. Vi bruker utelukkende deres driftssentre i Europa. Dette er driftsleverandører i verdensklasse, med ekstreme krav til datasikkerhet på alle nivåer. Samtlige driftsentere har automatisk synkronisering mellom flere lokasjoner. I henhold til norsk regnskapslov oppbevares backup alltid i Norge, for de tjenestene hvor det er relevant.
Oppdatert oversikt over hvilke datasentre vi benytter finner du på Visma Trust Center.
Hvordan håndteres brukernavn og passord i Visma sine skytjenester?
Visma Connect er en felles brukerhåndterings tjeneste som benyttes i de fleste av Visma sine skytjenester. Visma Connect setter strenge krav til passord, og tilbyr også 2 faktor autentisering. Det vil snart lanseres mulighet for mer avansert funksjonalitet hvor kunden i enda større grad kan styre krav til passord, hyppighet for endring etc.Tilbyr Visma ADFS med sine skytjenester?
Med ADFS kan kunden knytte sitt Active Directory til Visma sin Connect tjeneste og styre alle brukernavn og passord fra AD. Visma jobber med utviklingen av ADFS, og vil mot slutten av året kunne tilby det til våre kunder.Kan jeg benytte Visma Connect brukerhåndtering i mine egne webløsninger?
Visma Connect støtter Open Connect/OAuth. Vi kjører nå pilotprosjekter med 3-parts leverandører, og vil tilby dette som en standard tjeneste i løpet av 2019.Mer generell informasjon om GDPR - Vi tilbyr Kurs!
Hvis du trenger mer generell informasjon om GDPR og personvern, både hva det er og hva det betyr for din bedrift, så tilbyr Visma dette som et online kurs. Les mer og meld deg på kurs her.
Har du spørsmål til GDPR?
Legg inn din informasjon under, så vil vi kontakte deg vedrørende din GDPR henvendelse innen 1 virkedag.
