Personvernerklæring Nok. Bergen

Personopplysninger er opplysninger som kan kobles til deg som person. Det kan være navn og kontaktopplysninger, eller annen informasjon som kan knyttes til deg mer indirekte. Du skal vite hva slags personopplysninger vi behandler, slik at du kan ivareta dine rettigheter etter personvernlovgivningen.

Nok. Bergen, ved daglig leder, er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Der det daglige ansvaret er delegert, kommer det fram under hvert enkelt punkt. Delegeringen omfatter kun oppgavene og ikke ansvaret. Erklæringen inneholder opplysninger du har krav på når det samles inn opplysninger fra nettstedet vårt (personopplysningsloven § 19) og generell informasjon om hvordan vi behandler personopplysninger (personopplysningsloven § 18 1. ledd).

Nok. Bergen fører ikke journal og har ikke arkiveringsplikt, så det skal bare lagres et minimum av personopplysninger for alle grupper. Brukere skal i prinsippet kunne være anonyme, og informasjon til Bufdir, statistikk og årsrapport skal anonymiseres.

Rett til retting og sletting av personopplysninger

Ansatte kan ved henvendelse til daglig leder be om retting og sletting av sine personopplysninger. Daglig leder vurderer dette i henhold til gjeldende lovverk, ved tvil drøftes dette med styreleder.

Brukere kan ved henvendelse via faglig veileder eller direkte til daglig leder be om sletting av personopplysninger, og dette skal imøtekommes umiddelbart. Anonymiserte personopplysninger vil bli slettet når disse ikke lenger er nødvendige for rapportering til Bufdir og statistikk.

Referanser
Personvernforordningen Artikkel 17, pkt 1 – Rett til sletting («rett til å bli glemt»)
Personvernforordningen Artikkel 32 – Sikkerhet ved behandling

Registrering og rapportering av avvik

Personopplysninger kan komme på avveie dersom disse ikke oppbevares forsvarlig i låst arkivskap/safe med tilgangskontroll, på passord beskyttet PC eller mobiltelefon eller ved tyveri/innbrudd. Ved mistanke om at personopplysninger er kommet på avveie skal daglig leder/stedfortreder utføre:

• Kartlegge avviket, involverte aktører, vurdere risikograd og føre avviksskjema
• Registrere avviket til datatilsynet i henhold til GDPR-krav innen 72 timer etter avdekking
• Ved sterk risiko for avvik skal brukere som er berørte varsles om dette innen 72 timer

Referanser
GDPR forordningens artikkel 33 og 34

Behandling av personopplysninger på www.nokbergen.no

Webredaktøren har det daglige ansvaret for Nok. Bergens behandlinger av personopplysninger på www.nokbergen.no med mindre annet er oppgitt under. Det er frivillig for de som besøker nettsidene å oppgi personopplysninger i forbindelse med tjenester, for eksempel hvis de ønsker å motta nyhetsbrev. Behandlingsgrunnlaget er samtykke fra den enkelte, med mindre annet er spesifisert.

Nok. Bergen er selv databehandler og leverandør for utvikling og vedlikehold av nettstedet. a2hosting.com er vår driftsleverandør for nokbergen.no. Alle data på nokbergen.no er lagret på servere som ligger fysisk innenfor EU.

Nettstatistikk

Nok. Bergen samler inn opplysninger om besøkende på nokbergen.no. Formålet med denne statistikken (tilgangslogger på webserveren) er først og fremst sikkerhet, f.eks. for å kunne spore hva som har skjedd ved uønskede forsøk på tilgang (hacking). Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.

Vi bruker analyseverktøyet Google Analytics på vårt nettsted for å få svar på hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes. Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Vi samler inn hele IP-adressen, men IP-adressen avidentifiseres slik at bare de tre første gruppene i adressen brukes til å generere statistikk. Det vil si at dersom IP-adressen består av numrene 195.159.103.82, brukes bare 195.159.103.xx. I tillegg behandles IP-adressene på aggregert nivå, det vil si at all data slås sammen til en gruppe og ikke behandles individuelt.

Informasjon fra dette verktøyet utleveres ikke fra Nok. Bergen til andre aktører.

Informasjonskapsler

Nok. Bergens websider bruker såkalte cookies  ("informasjonskapsler" på norsk) for å tilby besøkende tilpassede nettjenester og sikre best mulig brukeropplevelse. Informasjonskapsler kan ha mange ulike oppgaver, for eksempel å lagre valg du gjør underveis (typisk eksempel: Når du legger varer i en handlekurv i en nettbutikk) samt spore bruksmønster for statistiske formål. Noen informasjonskapsler lar nettsiden ”huske” hvem du er i løpet av den tiden du befinner deg på den (såkalt sesjonsavhengig informasjonskapsel), mens andre også vil kjenne deg igjen neste gang du kommer til nettstedet (fast informasjonskapsel). Dette er standard internett-teknologi som de aller fleste nettsteder benytter.

Google Analytics

For å få et best mulig inntrykk av hva du er opptatt av og hvordan du bruker nettsidene våre bruker vi verktøyet Google Analytics, som ved hjelp av anonymiserte data forteller oss hvor mange som besøker hvilke sider. Det sendes ikke data som kan identifisere deg som person til Google.

Google Analytics-verktøyet hjelper oss til å bestemme hva som skal prioriteres på nettsidene våre. 

Følgende informasjonskapsler settes av Google Analytics m.fl. på våre websider:

_ga og _gid
Statistikk: Skiller brukere via en anonym identifikator

_gat
Brukes for å begrense trafikken til Google Analytics

APISID, HSID, NID og SID
Brukes av Google Maps til å lagre besøkendes preferanser ift. kartene som viser på websidene våre

SIDCC
Sikkerhets-informasjonskapsel fra Google som beskytter websidene mot ikke-autorisert tilgang.

Hva hvis du ikke vil tillate cookies?

Dersom du ikke ønsker å tillate Nok. Bergens bruk av informasjonskapsler, kan du trekke tilbake ditt samtykke ved å endre innstillingene i nettleseren din. Det er for eksempel mulig å be nettleseren gi beskjed hver gang informasjonskapsler blir sendt fra nettstedet du besøker. Du kan også velge å stoppe alle informasjonskapsler som sendes til nettleseren din. Mer informasjon om fremgangsmåten bør være tilgjengelig i Hjelp-funksjonen i din nettleser.

NB! Vi gjør oppmerksom på at endring av innstillingene for cookies kan medføre at websidene våre (og andres) ikke vil fungere optimalt.

• Slik kan du trekke tilbake ditt samtykke til bruk av informasjonskapsler/cookies
• Les mer om hvordan du sletter informasjonskapsler i nettleseren din

Nyhetsbrev

Via epost sender Nok. Bergen ut et allment nyhetsbrev cirka 2-4 ganger per måned og et nyhetsbrev for samarbeidspartnere 4-8 ganger per år. For at vi skal kunne sende epost må interesserte mottakere registrere en epostadresse selv via våre websider. Nok. Bergen er selv databehandler for nyhetsbrevene. Epostadressen lagres i en egen database. Den deles med Sendgrid som leverer epost-servere for selve utsendelsene, men deles ikke med andre og slettes når du sier opp abonnementet. Epostadressen slettes også om vi får tilbakemelding om at den ikke er aktiv eller feiler mottak av andre grunner. 

Spørreundersøkelser

Nok. Bergen bruker Google Forms til å gjennomføre undersøkelser. Vi vil alltid informere om formålet med spørreundersøkelsen, og hvorvidt den er anonym eller ikke. Nok. Bergen vil ikke dele opplysningene med andre eller bruke opplysningene til andre formål enn det som er angitt.

Anonyme undersøkelser
Dersom undersøkelsen er anonym, vil ikke Nok. Bergen samle inn noe informasjon som kan kobles til en person.

Identifiserbare undersøkelser
Dersom undersøkelsen ikke er anonym, kan Nok. Bergen identifisere personen som har besvart undersøkelsen. 

Saksbehandling, dokumenter og databaser

Nok. Bergen bruker produktivitetsprogrammet Google Workplace fra Google for elektronisk oppretting og lagring av informasjon og dokumenter. Alle data lagres på servere som ligger i EU.

Avhengig av sammenheng, registreres det ulike typer personopplysninger i produktivitetsprogrammet. Dette er opplysninger som navn, adresse, telefonnummer, epostadresser og annen relevant informasjon som vil være nødvendig for å utføre oppgaver og besvare henvendelser fra brukere og samarbeidspartnere. Sensitive personopplysninger registreres ikke, og Nok. Bergen fører ikke journal over sin kontakt med brukere.

Kontaktregister

Nok. Bergen har et eget elektronisk kontaktregister hvor brukere av senteret registreres med følgende informasjon:

• Kontaktinformasjon
  Navn, adresse, epost-adresse, telefonnummer
• Dato
  Dato for når bruker begynte å bruke senteret (innmeldingsdato)
• Kjønn
• Kontaktpunkt
  Hvordan bruker fikk høre om senteret. (Venner/familie/hjelpeapparat/internett/brosjyre/annet).
• Signert taushetserklæring
  Avkrysningsfelt og signering. Bekrefter at senterets taushetserklæring er lest og signert.
• Fødselsdato
• Nyhetsbrev på epost
  Avkrysningsfelt. Krysser av for dette dersom de ønsker Nok. Bergens nyhetsbrev tilsendt på epost.

Denne informasjonen innhentes ved første kontakt med bruker og lagres i digitalt kontaktregister. Kun ansatte med begrunnet behov har tilgang til disse opplysningene. Opplysningene oppbevares til bruker blir slettet automatisk eller til brukeren selv ber om det. Regelen for automatisk sletting er at all informasjon om en bruker fjernes etter 3 år uten at vedkommende har hatt kontakt med sin faglige veileder.

Det er etablert særlige sikkerhetstiltak og rutiner for informasjonen i kontaktregisteret.

Formålet med å innhente disse opplysningene er at de er nødvendige for driften av senteret og for å kunne gi et best mulig tilbud til brukere av senteret. Kontaktinformasjon er nødvendig for avtaleplanlegging ifbm. samtaler med faglige veiledere, påmelding til aktiviteter o.l. Videre er innmeldingsdato viktig for de som på et senere tidspunkt ønsker en bekreftelse fra Nok. Bergen på at de har vært brukere av senteret. 

I likhet med elektronisk informasjon opprettet i Google Workplace er det Google som er databehandler også for databasene som informasjon fra kontaktregisteret ligger i. Nok. Bergen har signert egne databehandleravtaler med Google. 

Venteliste

Nok. Bergen har en venteliste hvor nye brukere av senteret registreres. Hensikten med denne er å opprettholde god kvalitet på tilbudet til nye brukere, samt gjøre det mer effektivt å fordele brukere blant faglige veiledere. Følgende informasjon registreres:

• Kontaktinformasjon
  Navn, epost-adresse, telefonnummer
• Mottatt dato
• Kjønn
• Ny bruker?
  Om brukeren har brukt senteret tidligere
• Selv opplevd overgrep eller pårørende?
• Fødselsdato
• Type overgrep
  Enkeltstående eller komplekse?
• Er brukeren i kontakt med øvrig hjelpeapparat?

Ventelisten har ingen kontakt med andre systemer og alle brukere slettes automatisk fra ventelisten 30 dager etter at faglig veileder er tildelt brukeren.

Sikkerhet og risikovurdering

Vi etterstreber kontinuerlig innebygget personvern og å ha den mest personvernvennlige innstillingen som standard i alle våre løsninger. Vi tar selv ansvar for å vurdere risiko i forhold til personvern. Det er viktig for oss at informasjonen vi har, blir behandlet etter loven og på ingen måte lekker ut til andre parter eller personer som ikke skal håndtere disse dataene.

Tilgang til Google Workplace og andre digitale systemer i Nok. Bergen er styrt av tjenstlig behov og sikret gjennom 2-faktorautentisering, automatiske utlogginger, mulighet til fjernsletting av pc’er og mobiltelefoner m.m.

Personinformasjon på papir lagres i låste skap og er tilgjengelig kun for ansatte.

Anonymitet og taushetsplikt

Brukere av Nok. Bergen har rett til å være anonyme. Dette gjelder kontakt brukere har med senteret via telefon og epost. Telefonløsningen til Nok. Bergen er satt opp slik at vi ikke kan se innringers nummer, men anonymitet via epost må sikres av bruker selv gjennom bruk av ikke-identifiserbar epost-adresse og innstillinger i brukers epostklient. 

Anonymitet kan ikke opprettholdes ved fysisk oppmøte på senteret da alle er pålagt å signere taushetserklæring for å kunne benytte senterets tilbud. En taushetserklæring er bare juridisk bindende hvis identiteten til den det gjelder klart fremgår. Videre må alle som skal benytte senterets tilbud som innebærer fysisk oppmøte registrere seg med nok informasjon til at vedkommende er mulig å unikt identifisere og å kontakte. Et slikt minimum kan f.eks. være navn, samt telefonnummer og/eller epost-adresse. Dette er informasjon Nok. Bergen trenger for å opprette avtaler med brukere, gi beskjeder ved sykdom o.l.

Besøkende som ikke skal være brukere av senteret må også signere en egen taushetsplikt. Dette kan være samarbeidspartnere, følgepersoner, håndverkere m.m.

Avtaler

Avtaler med brukere og samarbeidspartnere m.fl. føres i digitalt kalendersystem som er en del av Google Workplace. Personopplysninger som typisk føres på en avtale kan være navn, telefonnumer og epost. Sensitiv informasjon føres ikke inn på avtaler.

Personopplysninger om mindreårige

Når Nok. Bergen behandler personopplysinger om barn under 16 år skjer det etter samtykke fra omsorgsgivere. Videre oppbevares disse etter samme sikkerhetsgrad som beskrevet for andre systemer i dette dokumentet.

Epost, telefon og SMS

Nok. Bergens medarbeidere benytter epost i alminnelig dialog med brukere og interne og eksterne kontakter. Nok. Bergen sender ikke sensitive personopplysninger med epost, og alle som har kontakt med senteret via epost oppfordres til å ikke sende oss sensitiv informasjon. Dette skjer bl.a. ved at det er en fast tekst i epost-signaturen til alle ansatte. Ved fratreden slettes ansattes epostkontoer.

Innkommende telefoner til Nok. Bergen er anonymisert slik at nummeret til innringer ikke viser. Når det ringes ut fra Nok. Bergen vil heller ikke nummeret vårt vises på telefonen til den vi ringer. Meldinger til vår SMS-tjeneste slettes automatisk etter 30 dager uten aktivitet.

Telefonsamtaler, epost, tekstmeldinger, besøk og andre henvendelser telles og statistikkføres i anonym form.

Besøk i Nok. Bergens lokaler og deltakelse på arrangement i vår regi

Deltakerlister

Når du melder deg på en aktivitet ved Nok. Bergen lagres personinformasjon til bruk for administrering og oppfølging av deltakere. Disse listene makuleres når aktiviteten er gjennomført.

Liste over besøkende

Besøkende til Nok. Bergens lokaler fører seg selv opp på en liste ved ankomst. Dette er anonyme registreringer som brukes dels til å rapportere inn statistikk til Bufdir, dels for å holde kontroll på antall personer til stede mtp. brannsikkerhet. Disse listene makuleres når statistikken er innrapportert.

Personvernombud

Vi har opprettet vårt eget personvernombud som skal påse at vi følger gjeldende lover. Personvernombudet er bindeleddet mellom ledelsen, de som er registrert hos oss og Datatilsynet. Personvernombudet er ansatt i Nok. Bergen og kan kontaktes på personvernombud@nokbergen.no.

Opplysninger om ansatte

Nok. Bergen behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar. Rettslig grunnlag følger av personopplysningsloven § 8, første ledd og § 8 a), b) eller f) samt § 9 a), b) og f). Det er daglig leder som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. 

Alle stillingssøknader blir makulert etter ansettelse av ny medarbeider.

Unntak:

• Alle tidligere og nåværende ansatte har en personalmappe i vårt arkivsystem.

Her blir blant annet stillingssøknaden arkivert/oppbevart. Personalmapper skal bevares (dvs. at stillingssøknaden ikke blir slettet eller makulert). Personalmapper blir ryddet ved utløp av arbeidsforholdet. Tilgangen til personalmapper er begrenset til tjenstlig behov.

Annen relevant lovgivning

I tillegg til personopplysningsloven har blant annet arkivloven betydning for Nok. Bergens behandling av personopplysninger.

Arkivloven gir regler om hvordan arkivskaper skal behandle og oppbevare saksdokumenter, samt avlevering til arkivinstitusjon.

Rettigheter - Innsyn og endring

Alle som spør har rett på grunnleggende informasjon om behandlinger av personopplysninger i en virksomhet etter personopplysningslovens § 18, 1. ledd. Nok. Bergen har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler. De som er registrert i en av Nok. Bergens systemer har rett på innsyn i egne opplysninger. Vedkommende har også rett til å be om at uriktige, ufullstendige eller opplysninger Nok. Bergen ikke har adgang til å behandle blir rettet, slettet eller supplert. Krav fra den registrerte skal besvares kostnadsfritt og senest innen 30 dager.

Kontakt oss

epost: post@nokbergen.no

Personvernombud: personvernombud@nokbergen.no

Telefon: +47 55 90 49 90

Besøks- og postadresse: St. Jakobsplass 9, 5008 Bergen (3. etg)