peruuta
Näytä tulokset kohteelle 
Hae sen sijaan kohdetta 
Tarkoititko: 
Highlighted

EU:n tietosuoja asetus (GDPR) Visma Fivaldi - kysymyksiä ja vastauksia

(updated by Jonna Isomaa VISMA ‎17-06-2019 13:45 )

EU:n tietosuoja-asetus (GDPR) ja kysymys-vastaus-pareja Visma Softwaren ja Visma Fivaldin osalta.

1VASTAUS1

Vastaus: EU:n tietosuoja asetus (GDPR) Visma Fivaldi - kysymyksiä ja vastauksia

(updated by Jonna Isomaa VISMA ‎25-05-2018 11:21 )

Pääseekö henkilöstönne käsittelemään (tarkastelemaan) asiakasyritystemme henkilötietoja esimerkiksi tietokannan huoltotöiden yhteydessä tai asiakaspalvelu/helpdesk-toiminnassa.

Sovellustuki ja tuotekehitys pystyy pyytämään asiakkaalta neuvontaoikeudet, joilla pääsee käsittelemään järjestelmässä olevia tietoja, mukaanlukien henkilötietoja.

Fivaldin ylläpidossa on rajattu määrä nimettyjä käyttäjiä, joilla on pääsy tuotantoympäristön tietokantaan mm. huoltotöitä varten.

 

Käytättekö palkanlaskentajärjestelmän tarjoamisessa alihankkijoita, joiden henkilöstöllä tai yhteistyökumppaneilla on mahdollisuus päästä käsittelemään (tarkastelemaan) asiakasyritystemme työntekijöiden henkilötietoja? Nimeäisittekö alihankkijat sekä heidän roolinsa palveluntuotannossa?


Varsinaiseen palvelutuotantoon ei käytetä alihankkijoita, vaan ylläpidämme itse kaikkia palvelun keskeisiä komponentteja. Riippuen asiakkaan käyttämistä palveluista, saattaa joissain kohdissa olla alihankintana tuotettuja palveluita (mm. sähköpostien lähetys DNA:n sähköpostipalvelimen kautta tai tekstiviestien lähetys Link Mobilityn SMS gatewayn kautta).

 

Miten on varmistettu, että ulkopuolinen taho ei pääse käsiksi tietoihin esimerkiksi tietoverkon kautta?

Fivaldin palvelimet sijaitsevat tietoturvallisessa palvelinsalissa ja kaikki tietoliikenne verkon yli on suojattu salasanoin ja salausavaimin. Visman tuotekehitysprosesseissa huomioidaan tietoturva mm teknisten ja manuaalisten tietoturvatestausten kautta.

 

Miten henkilötietojen siirrot on salattu (tietokantojen ja tiedostojen siirto Internetissä)?

Kaikki tietoliikenne julkisessa verkossa on salattua luotetuilla salausprotokollilla käyttäjän työaseman ja palvelinympäristön välillä.

 

Miten on varmistettu, että vain tietyt nimetyt yrityksenne henkilöt pääsevät käsittelemään henkilötietoja?

Pääsyt tietojärjestelmiin on rajattu roolipohjaisesti vain niille henkilöille, jotka tarvitsevat pääsyä työtehtäviensä hoitamiseen.

 

Miten on varmistettu, että henkilötietojen käsittelystä (tarkastelu) jää talteen lokitiedot tarkastelijasta ja tarkastelun kohteesta?

Neuvontaoikeuksien käytöstä jää lokimerkinnät kuka käyttänyt, koska ja mitä tietokokonaisuutta. Esim. palkansaajakohtaista jälkeä ei jää, vaan että palkansaajia on katseltu. Sovellus jolla tietoja katsellaan tai pääsy tietoihin avataan tekee merkinnän, eikä katselija voi vaikuttaa tähän. Samanlainen logimerkintä jää myös asiakkaan omista käyttäjistä.

 

Onko henkilöstönne allekirjoittanut salassapitosopimuksen, joka kattaa asiakkaiden työntekijöiden henkilötiedot?

On. Salassapitosopimus kattaa laajasti kaiken sellaisen salaisen tiedon, joka ei ole laillisesti julkisesti saatavilla

 

Miten henkilöstönne on koulutettu Tietosuoja-asetuksen vaatimuksiin?


Koko Visman henkilöstö on roolista riippumatta koulutettu Tietosuoja-asetuksen asettamiin vaatimuksiin ja kaikki ovat suorittaneet osaamista osoittavan online-testin.

 

Onko teiltä tulossa tietosuoja-asetuksen vuoksi esimerkiksi sopimusehtojen muutoksia tai ohjelmistopäivityksiä?

Visma päivittää ja yhtenäistää yleiset käyttöehdot. Fivaldiin on tulossa uusia toiminnallisuuksia tietosuoja-asetuksen johdosta, mm toimintoja, joilla asiakkaamme voivat täyttää tietosuoja-asetuksen mukaisia pyyntöjä.

 

Onko järjestelmästänne mahdollisuus saada tarvittaessa henkilötiedot rakenteisessa tiedostomuodossa?

Pääosin henkilötietoja sisältävät tiedot ovat saatavissa ulos esimerkiksi CSV-raporttina. Kaikkia yksittäisiä tietokenttien sisältöä ei välttämättä ole mahdollista saada ulkoiseen tiedostomuotoon.

 

Ovatko tietokannoissa olevat keskeiset luottamuksellisuutta edellyttävät henkilötiedot salattu tai toteutetaanko tietojen salauksen ennen asetuksen voimaantuloa?

Tietokannan sisältöä ei ole salattu. Pääsy tietokannan sisältämiin henkilötietoihin on rajattu erittäin tarkasti käyttöoikeuksien mukaan.

 

Jos asiakkaamme lopettaa asiakassuhteen, tulisi yrityksen palkanlaskennan tiedot pystyä poistamaan palvelimiltanne. Samaten yksittäisen työntekijän henkilötiedot on pystyttävä anonymisoimaan tai poistamaan, kun niitä ei enää tarvita. Onko ohjelmistossanne valmiudet tähän tai toteutatteko ne asetuksen voimaantuloajankohtaan mennessä?

Fivaldiin toteutetaan tämän kevään aikana tarvittavat toiminnot järjestelmän sisältämien henkilötietojen anonymisointiin/poistamiseen siinä vaiheessa kun niiden säilyttämisesen ei ole enää tietosuojasäännöksen mukaista perustetta.

 

Ohessa vielä lisätietoa tietosuoja-asetuksesta Visma Softwaren ja Fivaldin osalta: https://community.visma.com/t5/Visma-Fivaldi-uutiset/EU-n-tietosuoja-asetus-GDPR-ja-Visma-Fivaldi/ba...

 

Hyödyllistä tietoa ja materiaaleja löydät seuraavilta sivuilta:

 

GDPR Haltuun - 113 päivää aikaa toimia -webinaarin tallenne 

 

Tukimateriaaleina tietoanalyysitaulukko ja tarkistuslista

 

Ajankohtaista tietoa löydät myös maksullisesta Talent-oppimisympäristöstä: Talent.visma.fi. Mikäli et vielä ole Talent-käyttäjä, tutustu ja tilaa oppimisympäristö tästä: https://ekauppa.visma.fi/collections/paketit

 

Lisätietoa Visman valmistautumisesta tietosuoja-asetukseen löydät seuraavilta sivuilta:

 

www.visma.com/gdpr/


www.visma.fi/yksityisyydensuoja/visma-tietojen-kasittelijana/

 

Visma Fivaldin tekniset dokumentit

 

https://community.visma.com/t5/Visma-Fivaldi-kayttovinkit/Visma-Fivaldin-Tekniset-vaatimukset-ja-sel...