FotoArkivet Light/Pro og GDPR

FotoArkivet Light og GDPR

GDPR direktivet innføres i EU/EØS 25. mai 2018. Dette påvirker egentlig hele verden for firmaer som jobber globalt. For oss i Norge gjelder det også, siden vi er med i EØS.

Oppdatert 2018-03-21 kl. 16:20

Jeg skal lage et fyldig skriv her, men starter med noen enkle fakta.

  • For de som er på server; Serveren står i London.
    Forbindelsen bruker HTTPS – kryptert forbindelse.
  • Sletting av data; FotoArkivet er basert på FileMaker. Når man sletter en post i FotoArkivet, så er den ikke mulig å gjenopprette. Dette er likt for de som har systemet lokalt, eller på server/Cloud. Slettede kunder skal ha krav på å også være slettet i backups – har jeg forstått. Derfor må “gamle” backups slettes.
  • Backup lokalt på egen maskin; Dere må innføre rutine på å slette gamle backup. Backup må lagres på et sted som ikke er tilgjengelig. Minnepinner som kan bli “vekk” må unngås. Cloud-tjenester med passord er det beste. (Som et eksempel.)
  • Backup på server; Serverene i London tar backup lokalt i London og kopi til Dropbox hos meg/Dropbox. Gamle backups har tidligere ikke blitt slettet, men dette må innføres. Jeg antar at det blir en funksjon for det på server i London.
  • Kryptering av data; FotoArkivet krever logg-inn både lokalt på deres maskiner og på server. FileMaker-filen er ikke en åpen standard, men man får adgang ved å knekke passordet, og bruke en FileMaker Pro klient. I tillegg kan selve filen krypteres med et passord. Dette bør være et langt og vanskelig passord. Da har man dobbel sikkerhet. Ønsker man det, må man oppgradere til Server/Cloud. Krypteringen blir med til backup-filen.
  • FotoArkivet i Cloud; Cloud basert hosting er nytt, og ikke det samme som Server. Det er foreløpig kun Amazon som tilbyr det. Litt høyere pris enn vi er vant med, men en vesentlig ytelsesforbedring. Kjører på Linux server i Frankfurt.
    Her bestemmer man hvor ofte det skal kjøres backup. Gjerne hver time på dagtid. Det blir da bare tatt backup av endrede data – ikke hele systemet. Full backup minst hver natt. Automatisk sletting av gamle backup. Automatisk omstart av server hver natt. Forbindelsen bruker HTTPS – kryptert forbindelse. Også selve filen er kryptert. Maksimum sikkerhet.
  • Hva har du lagret om kunden?; For de som er på server kan jeg lage en knapp som lager en eksport av informasjonen om kunden (kundekortet) og legger det inn i en epost. Jeg antar at det skal holde.
  • Versjon av FotoArkivet; Det blir ikke gjort flere oppdateringer på versjon 1,8 eller eldre av FotoArkivet. Dette fordi FileMaker 11 ikke kjører på dagens operativsystemer. Den filen du har kan konverteres til nyeste filformat, og lastes opp på Server/Cloud. Du trenger da en klient, som må kjøpes/oppgraderes. De som går for Cloud, får klienter med i abonnementet.

Jeg forventer at det kommer mer informasjon fra FileMaker.com. Eventuelt oppdateringer av programmet. Denne siden vil bli oppdatert, når det dukker opp ny informasjon.

Jeg har testet Cloud hos Amazon, men måtte avbryte da det ble for dyrt – bare til testing. €650,- for 4 uker. Men det var overraskende hurtig. Dette er fremtiden.

Jeg vil etablere Cloud hos Amazon på nytt, – når det er flere som går for det. Utgiftene må fordeles på flere av dere. De som går for Cloud, får klienter med i abonnementet.

Priser på de nye tjeneste finner du HER. Diskuter dette emnet i FORUMET.

Her er hva kunden har krav på:

GDPR inkluderer følgende rettigheter for enkeltpersoner:

  • Retten til å bli informertRegistreringen foretas over telefon eller ved besøk i studio. Burde derfor være i orden. Kom evnt. med motforestillinger.
  • Retten til tilgangKan løses ved online-formular med passord. Kunden kan se hva som er registret. Kan også løses med utskrift til papir eller PDF som sendes kunden.
  • Rett til rettelseKunden kan rette i det formularet som ovenfor. Litt risikabelt. Her må innloggingen/endringen evnt. loggføres.
  • Retten til å sletteDere burde ha retten til å beholde kunde-informasjon på de dere har fotografert. Få det inn i kontrakten med kunden. Evnt at de kan slette mobil og epost.
  • Retten til å begrense behandlingen
  • Retten til dataportabilitet
  • Rett til å motsette segSamme som med retten til å slette. Få det inn i kontrakten, at så lenge dere har fotografert, så kan dere ha registrert minimum navn.
  • Retten til ikke å bli underlagt automatisert beslutningsprosess, inkludert profilering.Her er det avkryssingsfelt for dette allerede i systemet. Men dere må respektere avkryssingen.

[Oversatt på Google] Du er ikke pålagt å automatisk “reparere” eller oppdatere alle eksisterende DPA samtykker i forberedelsene til GDPR. Men hvis du stoler på enkeltpersoner’s samtykke til å behandle dataene deres, sørg for at de oppfyller GDPR-standarden på å være spesifikk, granulær, klar, fremtredende, opt-in, riktig dokumentert og lett trukket tilbake. Hvis ikke, endre samtykkemekanismer og søk Fersk GDPR-samtykke, eller finn et alternativ til samtykke.

Det vil si at gamle data er trygge som de er. Nye data må/bør signeres eller verifiseres på en eller annen måte.

  • Signering på iPad på kundekort.
  • Sende epost med verifisering av data – og samtidig godkjenning av kontrakt/betingelser på web.