Håndtering af datastrøm og opbevaring af persondata

I 2018 trådte en ny lovgivning om GDPR (persondataloven) i kraft. Det gjorde, at man nu skulle tage stilling til sine data i langt højere grad end førhen. I et godt stykke tid har cloud-løsninger været i vækst, og efterhånden som der kommer mere fokus på datahåndtering, stiller det store krav til CleverCall.ai´s håndtering af data. I 2022 kom afgørelsen af schrems-II, som stillede store krav til cloud- løsninger. For at imødekomme Datatilsynets krav stiller CleverCall.ai flere muligheder til rådighed, når det kommer til hosting af data. Som udgangspunkt hoster CleverCall.ai kun selskaber ejet i EU af hensyn til datasikkerheden.

CleverCall.ai har ikke behov for at optage samtalerne, men transskriberer samtalen. Som udgangspunkt bliver alle personoplysninger gemt, men der er mulighed for at sætte filtre op, og når der er tale om følsomme personoplysninger (race og etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data med henblik på entydig identifikation, helbredsoplysninger, seksuelle forhold eller seksuel orientering), anonymiseres disse øjeblikkeligt. Generelt har man mulighed for selv at sætte en tidsbestemt proces op for, hvornår data skal anonymiseres.

Opbevaring af persondata 

Data in motion: Her krypteres datastrøm via certifikat.

Data at rest: Data bliver udelukkende gemt og behandlet hos Scannet i Danmark.

At rest: Persondata gemmes udelukkende i EU. De anvendte cloud-leverandørers/underdatabehandleres moderselskab er europæiske selskaber.

In motion: De anvendte cloud-leverandører med services i EU krypterer datastrøm med et certifikat. Krypteret datastrøm foregår udelukkende på datacentre i EU.

Den nyeste vejledning fra Datatilsynet om Cloud stiller yderligere krav til den dataansvarlige om at sikre, at der ikke sker overførsel til usikre tredjelande på trods af, at der udelukkende anvendes datacentre beliggende i EU/EØS. Leverandører med moderselskab i usikre tredjelande, heriblandt USA, er underlagt lovgivning, der betyder, at leverandøren skal udlevere den dataansvarliges persondata på forlangende.

Beskrivelse og håndtering af data

Supplerende forklaring til ISAE3000, risikovurdering samt databehandleraftale:

Lyd inddeles i 4 overordnede kategorier:

Indgående:

1. Generel tale, som ej indeholder følsomme persondata i tale.

2. Persondata, heriblandt navn, e-mail, telefonnummer samt evt. følsomme persondata.

Udgående:

3. Statiske prædefinerede data (Svar). Eksempelvis åbningstider, priser på pas, officielle retningslinjer mm.

4. Dynamiske data, som kan indeholde statiske data og persondata.

Log af data samt anonymisering kan sættes op på to forskellige måder:

1. Bortset fra telefonnummer, gemmer vi ikke persondata. Her er det kun telefonnummeret, der gemmes og bruges i forbindelse med dokumentation for fakturering, og det slettes efterfølgende. Ingen persondata gemmes.

2. Data gemmes og anonymiseres i det interval, I ønsker. Her bestemmer I selv, hvor længe persondata skal opbevares. Der er ”Glem mig”- funktion, hvor det er muligt at slette specifikke persondata.

Opbevaring af persondata (data in motion, data at rest):

Data in motion: Her krypteres datastrøm via certifikat.

Data at rest: Data bliver udelukkende gemt og behandlet i IT-system (Telekom) i Tyskland og Scannet i Danmark.

Opsummering

På baggrund af ovenstående beskrivelse kan vi konkludere, at vi overholder de gældende og beskrevne vejledninger.

At rest: Persondata gemmes udelukkende i EU. De anvendte cloud-leverandørers/underdatabehandleres moderselskab er europæiske selskaber.

In motion: De anvendte cloud-leverandører med services i EU krypterer datastrøm med et certifikat. Krypteret datastrøm foregår udelukkende på datacentre i EU.