Minun alueeni
Apu

EU:n tietosuoja-asetus (GDPR) ja usein kysytyt kysymykset

tekijä Antti Aalto

Visma Fivaldissa on huomioitu 25.5. voimaan astuva EU:n tietosuoja-asetus. Keräsimme alle usein kysyttyjä kysymyksiä aiheesta vastauksineen.

 

 

Pääseekö henkilöstönne käsittelemään(tarkastelemaan) asiakasyritystemme henkilötietoja esimerkiksi tietokannan huoltotöiden yhteydessä tai asiakaspalvelu/helpdesk-toiminnassa?
Sovellustuki ja tuotekehitys voivat pyytää asiakkaalta neuvontaoikeudet, joilla pääsee käsittelemään järjestelmässä olevia tietoja, mukaan lukien henkilötietoja.

Visma Fivaldin ylläpidossa on rajattu määrä nimettyjä käyttäjiä, joilla on pääsy tuotantoympäristön tietokantaan mm. huoltotöitä varten.

Käytättekö palkanlaskentajärjestelmän tarjoamisessa alihankkijoita, joiden henkilöstöllä tai yhteistyökumppaneilla on mahdollisuus päästä käsittelemään (tarkastelemaan) asiakasyritystemme työntekijöiden henkilötietoja?

Varsinaiseen palvelutuotantoon ei käytetä alihankkijoita, vaan ylläpidämme itse kaikkia palvelun keskeisiä komponentteja. Riippuen asiakkaan käyttämistä palveluista, saattaa joissain kohdissa olla alihankintana tuotettuja palveluita (mm. sähköpostien lähetys DNA:n sähköpostipalvelimen kautta tai tekstiviestien lähetys Link Mobilityn SMS gatewayn kautta).

 

Miten on varmistettu, että ulkopuolinen taho ei pääse käsiksi tietoihin esimerkiksi tietoverkon kautta?
Visma Fivaldin palvelimet sijaitsevat tietoturvallisessa palvelinsalissa ja kaikki tietoliikenne verkon yli on suojattu salasanoin ja salausavaimin. Visman tuotekehitysprosesseissa huomioidaan tietoturva mm teknisten ja manuaalisten tietoturvatestausten kautta.

 

Miten henkilötietojen siirrot on salattu (tietokantojen ja tiedostojen siirto Internetissä)?

Kaikki tietoliikenne julkisessa verkossa on salattua luotetuilla salausprotokollilla käyttäjän työaseman ja palvelinympäristön välillä.

 

Miten on varmistettu, että vain tietyt nimetyt yrityksenne henkilöt pääsevät käsittelemään henkilötietoja?
Pääsyt tietojärjestelmiin on rajattu roolipohjaisesti vain niille henkilöille, jotka tarvitsevat pääsyä työtehtäviensä hoitamiseen.

 

Miten on varmistettu, että henkilötietojen käsittelystä (tarkastelu) jää talteen lokitiedot tarkastelijasta ja tarkastelun kohteesta?
Neuvontaoikeuksien käytöstä jää lokimerkinnät kuka käyttänyt, koska ja mitä tietokokonaisuutta. Visma Fivaldi sovellus jolla tietoja katsellaan tekee automaattisesti lokimerkinnän.

 

Onko henkilöstönne allekirjoittanut salassapitosopimuksen, joka kattaa asiakkaiden työntekijöiden henkilötiedot?
Kyllä on.

 

Miten henkilöstönne on koulutettu Tietosuoja-asetuksen vaatimuksiin?
Koko Visman henkilöstö on roolista riippumatta koulutettu Tietosuoja-asetuksen asettamiin vaatimuksiin ja kaikki ovat suorittaneet osaamista osoittavan sertifioinnin.

 

Onko teiltä tulossa tietosuoja-asetuksen vuoksi esimerkiksi sopimusehtojen muutoksia tai ohjelmistopäivityksiä?
Visma päivittää ja yhtenäistää yleiset käyttöehdot. Visma Fivaldiin on tulossa uusia toiminnallisuuksia, joilla asiakkaamme voivat täyttää tietosuoja-asetuksen edellyttämät toimenpiteet (henkilötietojen haku ja poisto järjestelmästä).

 

Onko järjestelmästänne mahdollisuus saada tarvittaessa henkilötiedot rakenteisessa tiedostomuodossa?
Kyllä, pääkäyttäjän määrittelemien käyttöoikeuksien mukaisesti. Tiedostot saa tarvittaessa Visma Fivaldin raportoinnista PDF-, CSV-, RTF- ja HTML-muodoissa.

 

Ovatko tietokannoissa olevat keskeiset luottamuksellisuutta edellyttävät henkilötiedot salattu tai toteutatteko tietojen salauksen ennen asetuksen voimaantuloa?
Tietokannan sisältöä ei ole salattu. Pääsy tietokannan sisältämiin henkilötietoihin on rajattu erittäin tarkasti käyttöoikeuksien mukaan.

 

Jos asiakkaamme lopettaa asiakassuhteen, tulisi yrityksen palkanlaskennan tiedot pystyä poistamaan palvelimiltanne. Samaten yksittäisen työntekijän henkilötiedot on pystyttävä anonymisoimaan tai poistamaan, kun niitä ei enää tarvita. Onko ohjelmistossanne valmiudet tähän tai toteutatteko ne asetuksen voimaantuloajankohtaan mennessä?
Fivaldiin toteutetaan tarvittavat toiminnot järjestelmän sisältämien henkilötietojen anonymisointiin/poistamiseen siinä vaiheessa kun niiden säilyttämiseen ei ole enää perustetta.

 

Sinulla ei ole yhtään suosikkia valittuna.