Cookies og personvern

Evidi personvernerklæring

1. Personopplysninger som behandles

   Evidi samler ikke inn personopplysninger som fødselsdato-og personnummer, eller opplysninger om personlige betalingskort.

2. Eksempler på informasjon som innhentes

   - Firmanavn
   - Kontaktperson
   - Firmaadresse/fakturaadresse
   - Telefonnummer og e-postadresse
   - Informasjon om din bruk av nettsiden, i form av blant annet hvilke undersider som besøkes, nettleserinstillinger og IP-adresse

3. Hvordan informasjon innhentes

   Evidi samler inn opplysninger gjennom skjemaer på våre nettsider. Det er frivillig å oppgi denne informasjonen. Hvis du velger å ikke oppgi personopplysningene, kan vi være forhindret fra å gi deg tilgang, komme i kontakt med deg eller gi deg den informasjonen du etterspør.

4. Eksempel på skjema

   - Kontaktskjema
   - Møtebooking
   - Skjema for nedlasting av whitepapers, e-bøker osv.
   - Påmelding til webinar, kurs og konferanser
   - Påmelding til å motta nyhetsbrev eller blogg på e-post

5. Formålet med informasjonen som innhentes

   - For å kunne sende relevant informasjon
   - For å kunne ta kontakt og tilby våre produkter og tjenester
   - For å yte god kundeservice

   Vi oppretter profiler på bakgrunnen av informasjonen som innhentes, for å kunne tilby deg de mest relevante produktene og yte god kundeservice. Profilene baseres kun på informasjon som du frivillig gir oss. Vi henter ikke inn informasjon for dette formålet fra tredjeparter.

6. Hvordan lagres informasjonen?

   Informasjon innhentet gjennom skjemaer på våre websider lagres i vårt CRM-system (Microsoft Dynamics 365).

7. Hvordan slettes opplysningene?

   Informasjon slettes på oppfordring ved å kontakte oss.

8. Utlevering av informasjon til tredjepart

   Personopplysningene deles ikke med utenforstående tredjeparter, men Evidi kan bruke underleverandører til å levere hele eller deler av nettsiden. Slike underleverandører kan behandle personopplysninger på vegne av Evidi.

9. Rettigheter

   Som bruker av nettsidene våre har du rett til å kreve innsyn i personopplysningene som vi behandler om deg og hvordan de behandles. Du kan også kreve retting, sletting og begrensninger i behandlingen av personopplysninger i henhold til personopplysningsloven.

   Hvor behandlingen av personopplysninger er basert på samtykke, kan du til enhver tid trekke samtykket tilbake.

   Dersom du mener at Evidi ikke har overholdt dine rettigheter i henhold til personopplysningsloven, har du rett til å klage til den aktuelle tilsynsmyndigheten. Dette gjøres ved å sende klage til Datatilsynet, kontaktinformasjon er tilgjengelig på www.datatilsynet.no

10. Webinarer og deling av opptak

    Evidi arrangerer webinarer via Teams, der noen utføres som nettseminarer. Ved å delta på våre webinarer samtykker du til at opptak deles på Evidis nettsider, samt at e-post med opptak kan sendes til webinarets deltakere. Avhengig av lengde, vil deltakernavnet vises delvis eller i sin helhet i opptaket. 

    Ønsker du at ditt navn ikke skal vises i opptaket som deles, bes du å ta kontakt med oss via vårt kontaktskjema.

11. Opptak og transkripsjon i Teams-møter

    Teams-møter kan tas opp og transkriberes. For Personvernerklæring knyttet til opptak og transkripsjon i et Teams-møte, se Microsoft sin Personvernerklæring/ Privacy Policy for Microsoft-produkter.

1. Forhold deg til personvernforordningen (GDPR)

   Når du tar i bruk verktøy for analyse og sporing på nettstedet, må du være forberedt på å følge reglene i personvernforordningen (GDPR). Dette gjelder selv om du ikke kjenner navnet eller identiteten til de som besøker nettstedet ditt. Analyseverktøyene samler nemlig inn mye informasjon om de besøkende som enten alene eller i kombinasjon kan utgjøre personopplysninger.

   En IP-adresse vil som regel i seg selv regnes som en personopplysning. Cookie-ID, lokasjonsdata eller detaljert informasjon om brukernes enheter kan også utgjøre personopplysninger. Ofte blir slik informasjon kombinert med informasjon om de besøkendes adferd på nettstedet, og da regnes også dette som personopplysninger.
   

   Les mer om personopplysninger hos Datatilsynet.

2. Minimer datainnsamlingen

   Det er ikke lov å samle inn flere personopplysninger enn du faktisk har behov for. Dersom du i dag har et analyseverktøy som samler inn opplysninger som du ikke bruker til noe, bryter du loven. Velg et analyseverktøy som bare gir deg den informasjonen du trenger og faktisk har nytte av.

   Det er heller ikke lov å lagre personopplysninger lenger enn nødvendig.

   Les mer om dataminimering, lagringsbegrensning og de andre personvernprinsippene hos Datatilsynet.

3. Ikke stol på at cookie-banneret redder deg

   Det er ulike regler for henholdsvis plassering av nettkapsler/cookies og behandling av personopplysninger. Et cookie-banner som bare oppfyller minimumskravene etter de norske cookie-regelverket, gir deg ikke lov til å bruke personopplysningene til de besøkende etter personvernforordningen. Du må da ha et såkalt behandlingsgrunnlag for å behandle personopplysninger. Det vil si at det ikke er fritt fram å behandle brukernes personopplysninger.

   Les mer om behandlingsgrunnlagene hos Datatilsynet.

   Dersom du baserer analyse og sporing på samtykke, må du huske at personvernforordningen setter mange krav for at et samtykke skal være gyldig. For eksempel kreves det en aktiv handling (slik som å trykke på en knapp eller lignende). Det må være like lett å takke nei som å takke ja, og brukere som ikke samtykker, må ikke bli utsatt for negative konsekvenser. Brukerne må forstå hva de eventuelt samtykker til, og det må være mulig å trekke tilbake samtykket. Hvis nettstedet skal bruke personopplysninger til flere formål, skal det også være mulig å samtykke til hvert formål separat.

   Les mer om samtykke hos Datatilsynet.

4. Unngå at andre kan bruke personopplysninger fra nettstedet

   Ofte må du lese tjenestevilkårene nøye for å forstå hva slags verktøy du har med å gjøre. Noen verktøy behandler bare personopplysninger på virksomhetens vegne og slik eieren av nettstedet bestemmer. Andre verktøy tar forbehold om at de selv kan bestemme over personopplysningene eller kan bruke dem for sine egne formål. 

   Det krever nøye vurderinger for at bruk av verktøy i den sistnevnte situasjonen blir lovlig. Med andre ord er det stor fare for å trå feil hvis du ikke vet hva du holder på med. Vår anbefaling er derfor å velge verktøy som lover å bare behandle personopplysninger på dine vegne og slik du bestemmer.

5. Noen nettsider krever mer forsiktighet enn andre

   Noen personopplysninger har særlig beskyttelse etter personvernforordningen. Det kan være opplysninger om noens helse, legning, seksuelle forhold, religion, etnisitet, politiske oppfatning eller filosofiske overbevisning. Dette kaller vi «særlige kategorier personopplysninger». Det skal mer til for å kunne behandle denne typen opplysninger lovlig nettopp fordi de er sensitive.

   På noen nettsteder kan de besøkendes adferd i seg selv avsløre særlige kategorier personopplysninger. Det kan for eksempel være nettsteder som tilbyr tjenester innen psykisk helsehjelp, som selger medisiner eller som er rettet mot visse minoriteter. Vår klare anbefaling er at slike nettsteder unngår sporings- og analyseverktøy som behandler personopplysninger, siden det skal lite til for å bryte loven i slike tilfeller.

   Datatilsynet er også bekymret over bruk av sporingsverktøy på offentlige nettsteder. En undersøkelse gjennomført av Teknologirådet (teknologiradet.no) viste at mange offentlige nettsider bruker sporingsverktøy som er inngripende og/eller som kan tillate tredjeparter å bruke personopplysningene til egne formål. Undersøkelsen tyder på at flere offentlige organer ikke følger loven i dag. Det offentlige bør imidlertid gå foran som et godt eksempel. Dessuten er det i samfunnets interesse at alle tør å oppsøke viktig informasjon fra offentlige organer, uten frykt for overvåking og sporing.

6. Unngå at personopplysninger flyter til utrygge land

   Mange verktøy har kontor eller underleverandører i land utenfor EU/EØS. Dette må du undersøke før du tar i bruk verktøyet. I utgangspunktet er det nemlig ikke lov å overføre personopplysninger ut av EU/EØS. Fjerntilgang fra et land utenfor EU/EØS regnes som en overføring.

   Sjekk tjenestevilkårene og se etter følgende:
   - Kan data sendes til eller behandles i et land utenfor EU/EØS?
   - Tilbyr verktøyet fjernsupport fra et land utenfor EU/EØS?
   - Tar verktøyet forbehold om at det kan utlevere data til myndighetene i et land utenfor EU/EØS?

   Hvis ja: Dersom det aktuelle landet står på lista over land og områder med et tilstrekkelig beskyttelsesnivå, er det OK å bruke verktøyet. Se oversikten her. Dersom landet det er snakk om er USA, sjekk om virksomheten står på lista over godkjente virksomheter.

   Dersom det aktuelle landet derimot ikke står på lista over land og områder med tilstrekkelig beskyttelsesnivå, er situasjonen adskillig mer komplisert. Det krever grundige vurderinger og eventuelt tekniske tiltak for å bruke løsningen lovlig i slike tilfeller. Dersom du ønsker å begi deg ut på dette arbeidet, har Datatilsynet laget en veileder som forklarer hva reglene krever. Hvis ikke, bør du se deg om etter et annet verktøy.

7. Vær åpen

   De besøkende har rett til informasjon om hvordan du behandler personopplysningene deres. Pass på at du gir ærlig og enkelt forståelig informasjon om dette. Hvis du synes det er ubehagelig å fortelle hva du faktisk gjør med de besøkendes data, er det et tegn på at du kanskje burde endre praksis.

   Les mer om hva du må gi informasjon om.

8. Respekter de besøkendes rettigheter

   Når du behandler de besøkendes personopplysninger, har de en rekke rettigheter. For eksempel har de rett til innsyn i egne data, og de kan noen ganger også be om sletting. Du må være i stand til å behandle slike forespørsler innen én måned. Det kan være at de registrerte må oppgi tilleggsinformasjon for at du skal være i stand til å finne igjen dataene deres i verktøyet.

   Les mer om plikten din til å legge til rette for at de besøkende skal kunne ivareta rettighetene sine.

   Vi har også laget en oversiktsside med enkeltpersonenes rettigheter.

9. Les deg opp – og ikke vær redd for å spørre om hjelp

   Det finnes flere plikter i personvernforordningen som ikke er nevnt her – for eksempel når det gjelder hvilke formål du kan bruke personopplysninger til eller informasjonssikkerhet og avvikshåndtering. 

   Vi har laget en samleside med alle virksomhetens plikter etter GDPR som kan være til hjelp i arbeidet. 

   Dersom du synes det er vanskelig å forstå veiledningene, kan du eventuelt ringe Datatilsynets veiledningstjeneste.