Personvern
På FirstAgenda tar vi IT- og datasikkerhet på største alvor. På denne siden kan du lese mer om hvordan vi ivaretar IT-sikkerhet og datahåndtering og sørger for at opplysningene dine ikke misbrukes av tredjeparter. FirstAgenda overholder derfor gjeldende personvernlovgivning.
Overholdelse av GDPR
På FirstAgenda innhenter vi årlig en ISAE3000-erklæring.
Uttalelsen er utarbeidet av en uavhengig tredjepart om FirstAgendas overholdelse av personvernforordningen, databeskyttelsesbestemmelser i annen EU- eller medlemsstatslovgivning og innholdet i databehandleravtalen.
Historiske erklæringer
Last ned ISAE3000-erklæring juni 2020/2021 (Prepare)
Live Management Publication Last ned ISAE3402-erklæring juni 2020/2021 ( , , , )
Gjelder for AWS-infrastruktur:
Last ned ISAE3000-erklæring juni 2021/2022 (Prepare)
Gjelder for Bineros infrastruktur:
Last ned ISAE3000-erklæring juni 2021/2022 (hele møtesuiten)
Gjelder for både Binero- og AWS-infrastruktur:
Last ned ISAE3000-erklæring juni 2022/2023 (hele møtesuiten)
Last ned avvik fra redegjørelsen (22/23)
Overholdelse av GDPR
Avtale om databehandling
I ethvert kundeforhold behandler vi personopplysninger på vegne av kundene våre. I dette forholdet er kundene våre behandlingsansvarlige og vi er databehandlere.
Det betyr at både vi og kundene våre er forpliktet til å inngå en databehandleravtale, hvis innhold må oppfylle kravene i personvernforordningen.
FirstAgenda bruker Datatilsynets standardkontraktsbestemmelser som databehandleravtale. Dette har den fordelen at vi oppfyller vår felles forpliktelse til å inngå en gyldig databehandleravtale.
Databehandleravtale - AWS
Du kan få tilgang til våre databehandleravtaler her
MERK: Du signerer ikke automatisk databehandleravtalen når du åpner den.
Avtale om databehandling
Du kan få tilgang til våre databehandleravtaler her
MERK: Du signerer ikke automatisk databehandleravtalen når du åpner den.
Avtale om databehandling
Du kan få tilgang til våre databehandleravtaler her
MERK: Du signerer ikke automatisk databehandleravtalen når du åpner den.
Avtale om databehandling
Du kan få tilgang til våre databehandleravtaler her
MERK: Du signerer ikke automatisk databehandleravtalen når du åpner den.
Databehandleravtale - Binero
Du kan få tilgang til våre databehandleravtaler her
MERK: Du signerer ikke automatisk databehandleravtalen når du åpner den.
Du kan lese vår underdatabehandleravtale her
Strømming
Aventia Media AS leverer streaming som er integrert med FirstAgenda Live å støtte digitale møteplattformer med høykvalitets sanntidsstrømming. Aventias strømmetjeneste sikrer en stabil og sikker overføring av lyd og video til møtedeltakere, noe som muliggjør en problemfri og brukervennlig opplevelse.
Behandlingen skjer i EU/EØS, der databehandlerens løsning er hostet i henhold til en separat underdatabehandleravtale.
Merk : Aventia AS er et aktivt alternativ som underdatabehandler dersom du ønsker å bruke strømming via FirstAgenda .
Underdatabehandleravtale
Sikkerhetstiltak
Leverandører
Bruke anerkjente leverandører som er ISO 27001:2013, 27017:2015, 27018:2014 og ISO 9001:2015-sertifisert for plattformhosting innenfor leverandørens EU/EØS-dataregioner.
Sikkerhetskopiering og anti-malware
Daglig sikkerhetskopiering og oppdatert anti-malware og anti-virus på systemer og enheter.
Bruke innlogging med mulitfaktorautentisering
Multifaktorautentisering som påloggingsalternativ for plattformen og produksjonsmiljøet.
Fysisk sikre lokasjoner med individuelle nøkkelbrikker og koder, og overvåke anleggene.
Fysisk sikring av anlegg
Prosedyrer
Prosedyrer for tilgang til produksjonsmiljøet og tilgang til kundedata.
Maskinvare
Gjenbruk av maskinvare gjøres kun ved å gjenopprette fabrikkinnstillingene, og ødeleggelse av maskinvare gjøres i henhold til markedsstandarder, slik at det ikke er mulig å gjenopprette data.
Full TLS- og HTTPS-kryptering av data i transitt.
Kryptering
Segmentert og kryptert nettverk og tilkobling til Security Operation Centre (SOC) via hostingleverandør.
Nettverk
Full redundans hos hovedleverandøren av hosting og drift for å sikre tilgang og kontinuerlig drift av plattformen.
Redundans
Logging
Logging av tilgang og handlinger i plattformen og systemene.
Bakgrunnssjekk
Bakgrunnssjekk av ansatte.
Kontinuerlige kontroller av plattformen
Full redundans hos hovedleverandøren av hosting og drift for å sikre tilgang til
og kontinuerlig drift av plattformen.
VANLIGE SPØRSMÅL
Her finner du svar på noen av de vanligste spørsmålene vi får om GDPR.
-
En databehandleravtale er et juridisk bindende dokument som regulerer databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige. FirstAgenda er databehandler i forbindelse med levering av sine løsninger, og dere som kunder er behandlingsansvarlige.
For å sikre at personvernforordningen overholdes, er det nødvendig å inngå en avtale som regulerer omfanget og varigheten av behandlingen. Vær oppmerksom på at du som behandlingsansvarlig har det overordnede ansvaret.
-
FirstAgenda gir løsningene Prepare, Publication, Live, Management og LetDialog.
Vær oppmerksom på at det er nødvendig at databehandleravtalen inngås på produktnivå, ettersom behandlingsaktiviteten varierer fra løsning til løsning.
Hvis organisasjonen din bruker flere løsninger, må du inngå et tilsvarende antall databehandleravtaler. Det vil for eksempel være nødvendig å inngå to databehandleravtaler hvis organisasjonen din bruker både Prepare og Publication.
-
Ved bruk av FirstAgenda Publication skjer det en behandling av personopplysninger som definert i GDPR art. 4. I denne behandlingen av personopplysninger må du som behandlingsansvarlig være klar over at behandlingsaktiviteten er forskjellig fra FirstAgenda Prepare , og derfor er vi som databehandler forpliktet i henhold til GDPR art. 28 til å motta instrukser og formål for å utøve disse behandlingsaktivitetene i vår levering av FirstAgenda Publication
-
Det finnes formaliserte prosedyrer for å sikre at FirstAgenda gjennomfører en risikovurdering for å oppnå tilstrekkelig sikkerhet. Risikovurderingen som er gjennomført er oppdatert og dekker den aktuelle behandlingen av personopplysninger. FirstAgenda har implementert tekniske tiltak for å sikre tilstrekkelig sikkerhet i samsvar med risikovurderingen.
Vi innhenter en årlig ISAE3000-erklæring fra en uavhengig revisor, som blant annet tester at risikovurderinger er gjennomført. Erklæringene gjøres tilgjengelig på nettstedet og fungerer som dokumentasjon på at vi overholder personvernforordningen og bestemmelsene i databehandleravtalen.
-
Opplysningene lagres i henhold til en databehandleravtale. Vi utfører løpende screening og kontroll av våre underdatabehandlere for å sikre tilstrekkelig behandlingssikkerhet.
Vi har iverksatt egnede organisatoriske og tekniske sikkerhetstiltak for å sikre at det ikke skjer utilsiktede overføringer til tredjeland, inkludert, men ikke begrenset til, krypteringstiltak i samsvar med EDPBs anbefalinger i denne forbindelse.
-
På FirstAgenda har vi kjøpt en tjeneste som AWS er forpliktet til å behandle data innenfor dataregionen EU-WEST (Irland), og dermed innenfor EU/EØS.
FirstAgenda har, i forlengelsen av det ovennevnte, truffet ytterligere tiltak for å sikre at personopplysningene er underlagt tilstrekkelig sikkerhet og derfor ikke kan nås av uautoriserte tredjeparter. Det er iverksatt krypteringstiltak i samsvar med EDPBs anbefalinger for dette formålet, og det er sikret at krypteringsnøkkelen lagres separat, slik at selv AWS ikke har mulighet til å dekryptere den.
FirstAgendas datasett. Av sikkerhetshensyn ønsker vi ikke å offentliggjøre nøyaktig hvor krypteringsnøkkelen er lagret, da dette kan utnyttes.
Vær oppmerksom på at EU-kommisjonen den 10. juli 2023 vedtok en beslutning om tilstrekkelig beskyttelsesnivå som åpner for overføring av personopplysninger til USA uten bruk av andre overføringsgrunnlag. Dette krever imidlertid at mottakeren er sertifisert i henhold til det nye EU-U.S. Data Privacy Framework av det amerikanske handelsdepartementet, noe AWS er. https://www.dataprivacyframework.gov/s/participant-search
-
Av sikkerhetshensyn ønsker vi ikke å offentliggjøre nøyaktig hvor krypteringsnøklene er lagret, da dette kan utnyttes med negative konsekvenser. Krypteringsnøklene lagres separat på steder som ikke engang AWS kjenner til.
-
Binero har hovedkontor i Sverige, og derfor foregår all hosting i Sverige. Med Binero får du et europeisk oppsett der du også er sikret et høyt sikkerhetsnivå, noe som gjenspeiles i deres sertifiseringer og erklæringer.
AWS er i henhold til sin standard underdatabehandleravtale forpliktet til å behandle data innenfor dataregionen EU-WEST (Irland). AWS har et topp moderne oppsett, noe som gjenspeiles i deres mange sertifiseringer og erklæringer.
-
Vi har opplyst om våre forbehold i vår siste ISAE3000-erklæring. Dette utdypes ytterligere nedenfor:
Avvik i ISAE3000-erklæringen
-
Som databehandler tilbyr vi løsninger for deg som behandlingsansvarlig. Det er den behandlingsansvarlige som må overholde GDPR artikkel 12, 13 og 14. I noen av løsningene våre tilbyr vi deg som behandlingsansvarlig å overholde opplysningsplikten, spesielt ved å støtte en underside der du har mulighet til å gi den lovpålagte informasjonen.
-
Som kunde må du være klar over hvem som må overholde hva i hvilken rolle. Det betyr at når du går inn på nettstedet/nettsidene FirstAgenda , har disse nettsidene ingenting med leveransen av løsningene å gjøre, og dermed er FirstAgenda behandlingsansvarlig for behandlingen av personopplysninger som skjer på nettsidene.
Det brukes ingen informasjonskapsler i selve løsningene.