Charge & Drive og GDPR

EUs nye personvernpolitikk og endringer i vårt nye system, fører til endringer i våre avtalevilkår fra 25. mai 2018.

EUs nye personvernpolitikk, og endringer i vårt nye system, fører også til noen oppdateringer i våre avtalevilkår. Fortum Charge & Drive tar datasikkerhet og personvern på alvor, og det er viktig for oss å ivareta våre kunders data på en god måte.

Den nye personvernpolitikken, General Data Protection Regulation (GDPR), som trer i kraft 25. mai 2018, gjør at måten personvernopplysninger behandles i de ulike EU og EØS-landene harmoneres. Det blir lettere for deg som kunde å få innsyn i all informasjon et selskap har lagret om deg.

Med de nye reglene skal ikke personinformasjon som ikke er absolutt nødvendig for en tjeneste, lagres eller bearbeides.

Les hele EUs personvernforordning her. Du kan også lese Wikipedia-artikkelen om emnet.

Oppdatering av personvern

Personvernerklæring er blitt skilt fra Vilkår for bruk for å gi brukerne full åpenhet om hvordan personopplysningene blir samlet inn, behandlet og for hvilket formål. Vilkår for bruk har blitt oppdatert for å gjenspeile hvordan det nye systemet fungerer. Her kan du lese Fortum Charge & Drives nye personvernerklæring

Under kan du allerede nå lese om de grepene vi har tatt for å sikre at vi følger den nye personvernpolitikken (GDPR).

Hva de nye reglene for personvern har å si for Charge & Drive-kunder

Innsamling av personopplysninger

På den nye IT-plattformen samler Fortum Charge & Drive kun inn personopplysninger som er nødvendig for å levere brukeren tjenesten på en effektiv og kundevennlig måte. Antall datapunkter samlet ved registrering er minimert.

Data samles kun inn hvis brukeren bruker en spesifikk funksjon som krever spesiell datainnsamling. Eksempler inkluderer betalingskortdetaljer for å tillate betalinger, adresseinformasjon for å sende ut ladebrikke eller sende faktura og lignende.

Endringer i underdatabehandleravtalen

For å levere tjenesten til sluttbrukere, er Fortum Charge & Drive avhengig av en rekke eksterne systemer, levert av såkalte deldatabehandlere. Eksempler inkluderer AWS (Amazon Web Services) og Stripe (for betaling).

Vi har gått langt for å sikre at våre underdatabehandlere behandler personlige data som tilhører Fortum Charge & Drive-brukere på en trygg måte. For å sikre dette har vi endret alle avtaler med deldatabehandlere for å inkludere en databehandlingsavtale som spesifiserer hvilke data som kan behandles på vegne av Fortum Charge & Drive, og for hvilket formål.

Deldatabehandlere inkluderer alle systemleverandører hvis systemer brukes til å yte vår service, samt eksterne parter som kan få tilgang til Fortum Charge & Drives systemer. Denne sistnevnte kategorien inkluderer støttepartnere og konsulenter.

Alle deldatabehandlere som brukes av Fortum Charge & Drive, blir grundig overvåket. Bare deldatabehandlere som passerer våre bakgrunnskontroller, og som har evnen til å overholde vår DPA (data processing agreement eller databehandlingsavtale) aksepteres.

Sletting av personlige data

I samsvar med GDPR bør det være enkelt for en bruker å be om å bli «glemt». Det vil si at personopplysningene skal slettes eller anonymiseres.

Fortum Charge & Drive har implementert både tekniske verktøy og prosesser for å håndtere disse forespørsler på en effektiv og rettidig måte. En sluttbruker må bare kontakte kundesupport med sin registrerte e-post, og snart vil dataene bli fjernet fra Fortum Charge & Drive-systemene.

Fortum Charge & Drive vil imidlertid lagre ladetransaksjonsdetaljer for å oppfylle lovkrav, men disse dataene blir anonymisert.

Personlig dataportabilitet

GDPR tillater brukeren å be om å få dataene hentet ut slik at de kan endre tjenesteleverandøren på en enkel måte.

Fortum Charge & Drive har implementert verktøy og prosesser for å møte disse forespørslene på en effektiv og rettidig måte.

I likhet med slettingsprosessen kan brukeren når som helst kontakte kundesupport med sin registrerte e-postadresse og be om å få dataene hentet ut.

Fortum Charge & Drive vil behandle forespørselen og levere dataene til kunden i en .csv-fil. Brukeren kan da be en ny tjenesteleverandør å importere disse dataene.

Tilgangsstyring

En annen viktig del av GDPR er å sikre at ingen ulovlig tilgang til personopplysninger finner sted. Det gjelder både interne ansatte som arbeider hos Fortum Charge & Drive, eller eksterne parter som har tilgang til systemet. Personlig tilgang til data er begrenset til et sett med spesifikke brukerroller i systemet, noe som gjør at Fortum Charge & Drive kan minimere antall ansatte som har tilgang til personlige data.

Hvis en ekstern part får tilgang til personlige data, for eksempel til støtteformål, anses denne parten for å være en deldatabehandler som er underlagt DPA (data processing agreement eller databehandlingsavtale). Hver systembruker, uansett om de har tilgang til personlige data eller ikke, er også underlagt vilkår og betingelser som styrer hvordan brukeren kan bruke systemet.

Videre har Fortum Charge & Drive implementert en streng prosess for å håndtere tilgang til IT-plattformen, særlig når det gjelder kontoer med tilgang til personlige data. Hver gang slik tilgang er gitt, blir den logget og underlagt verifisering av ansattes leder. Brukerkontoer med disse rettighetene er begrenset til en liten gruppe mennesker, der hver enkelt har et klart og nødvendig tilgangspunkt

Brudd og hendelseshåndtering

Fortum Charge & Drive har implementert prosesser som sikrer at nødvendige tiltak trer i kraft ved brudd på datasikkerhet.

Eskaleringsbaner er på plass, og Fortum må informere både brukere og relevante myndigheter om et potensielt brudd innen 72 timer etter bruddet ble oppdaget.

Dette gjelder også for mulige hendelser hos underdatabehandlere.

Personlig datakryptering

Personlige data er kryptert og lagret på en trygg måte, for å muliggjøre effektiv behandling av forespørsler fra registrerte kunder. Dette reduserer risikoen for brudd på datasikkerhet.

Den nye plattformen er basert på nyeste autentiseringsteknologi, som muliggjør sikker autentisering, registrering og innlogging.

Personlig lagring

Alle personopplysninger har nå en klart definert retensjonsperiode i systemet. Hvis en bruker ikke har vært aktiv i en viss tidsperiode, vurderer systemet automatisk at brukerens konto er inaktiv. Brukeren vil bli varslet om denne endringen av status.

Hvis kontoen ikke blir aktivert av brukeren, enten ved å logge inn i appen eller ved hjelp av en annen identifikator for å få tilgang til en av Fortum Charge & Drives ladere, blir brukerkontoen automatisk avsluttet. Brukeren blir glemt, og alle dataene blir slettet eller anonymisert. Dette gjøres for å sikre at brukere som har registrert seg, og glemt at de gjorde det, ikke er pålagt å gjøre noe for å få kontoen slettet om den forblir inaktiv i en tilstrekkelig periode.