Öryggis- og persónuverndarstefna

Síðast uppfært: 5. apríl, 2023

Persónuverndarstefna þessi gildir frá 2. janúar 2019. Stefnan sætir reglulegri endurskoðun og kann því að taka breytingum. Breytingar á stefnunni öðlast gildi við birtingu á heimasíðu Vergo.

MEÐFERÐ PERSÓNUUPPLÝSINGA

Vergo sérhæfir sig í heildarlausn fyrir lögmenn, önnur fyrirtæki og stofnanir. Fyrirtækið Vergo einsetur sér að fylgja gildandi persónuverndarlöggjöf hverju sinni. Samkvæmt gildandi lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, kemur Vergo fram sem vinnsluaðili í meðferð sinni á persónuupplýsingum og veitir viðskiptavinum sínum, ábyrgðaraðilum, aðgang að kerfi sínu. Gagnvart eigin starfsmönnum og umsækjendum um störf kemur Vergo þó fram sem ábyrgðaraðili. Á grundvelli laganna hefur Vergo sett sér eftirfarandi persónuverndarstefnu.

Með hugtakinu persónuupplýsingar er hér átt við hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem hægt er að rekja beint eða óbeint til ákveðins einstaklings. Gögn sem eru ópersónugreinanleg teljast ekki persónuupplýsingar. Um aðrar skilgreiningar vísast til framangreindra laga, framvegis nefnd persónuverndarlög.

Vinnsla Vergo á persónuupplýsingum snýr að öllum þeim upplýsingum sem viðskiptavinir Vergo kjósa að setja í verkefna- og skjalakerfið. Þær upplýsingar sem um ræðir eru fyrst og fremst upplýsingar um umbjóðendur, gagnaðila og viðskiptavini sem ábyrgðaraðili skráir í kerfið eða koma fram í málum og málsgögnum, notendaupplýsingar starfsmanna ábyrgðaraðila sem og upplýsingar sem fram koma á verkefna-, tíma- og kostnaðarskráningar ábyrgðaraðila.

Vergo skuldbindur sig til þess að varðveita persónugreinanlegar upplýsingar sem kerfið hýsir á öruggan og tryggan hátt. Upplýsingar eru aðeins notaðar í þeim tilgangi sem þeim er safnað í. Ef nýta á upplýsingar í öðrum tilgangi þarf skýrt samþykki eiganda upplýsinganna. Upplýsingum er ekki miðlað til þriðja aðila án samþykkis, nema í kjölfar dómsúrskurðar.

Þær upplýsingar sem Vergo gerir kröfu um frá viðskiptavinum sínum eru tengiliðaupplýsingar, nöfn og aðgangsorð sem starfsmenn viðskiptavina velja sér. Vergo gerir aldrei kröfu um afhendingu viðkvæmra persónuupplýsinga frá viðskiptavinum en þeir geta þó kosið að setja slíkar upplýsingar í kerfið.

Tilgangur vinnslu persónuupplýsinga hjá Vergo er að geta boðið viðskiptavinum upp á örugga hýsingu. Vergo einsetur sér að varðveita ekki persónuupplýsingar lengur en málefnalegt getur talist.

Á grundvelli persónuverndarlaga eiga einstaklingar rétt á upplýsingum um hvort aðili vinni persónuupplýsingar um þá og í slíkum tilvikum eiga þeir rétt á frekari upplýsingum um vinnsluna og aðgangi að viðkomandi gögnum. Einstaklingar geta óskað eyðingar og leiðréttingar á tilteknum persónuupplýsingum. Þá eiga einstaklingar rétt á að flytja upplýsingar um sig til annars aðila, sé slíkt tæknilega framkvæmanlegt. Fái Vergo slíka beiðnir eru þær áframsendar til þess aðila sem telst vera ábyrgðaraðili vinnslunnar.

Fyrirspurnir varðandi persónuverndarmál má senda á netfangið vergo@vergo.is. Telji einstaklingur vinnslu persónuupplýsinga ekki samræmast persónuverndarlögum getur hann kvartað til Persónuverndar, www.personuvernd.is.

GAGNAÖRYGGI

Til að auka öryggi þeirra upplýsinga sem Vergo býr yfir leitast Vergo við að lágmarka öll fýsísk gögn og sendingar tölvupósta með persónuupplýsingum.

Vergo gætir öryggis þeirra upplýsinga sem kerfið hýsir með viðeigandi tæknilegum og skipulegum ráðstöfunum. Vergo leggur mikið upp úr aðgangsstýringu auk þess sem allar þær upplýsingar sem viðskiptavinir Vergo setja í kerfið birtast starfsmönnum Vergo í dulkóðuðu formi. Vinnsla starfsmanna snýr því eingöngu að uppfærslum á kerfinu og afgreiðslu verkbeiðna án allrar aðkomu að raungögnum. Starfsmenn Vergo eru upplýstir um trúnaðarskyldur sínar og ber að þiggja fræðslu um öryggis- og persónuverndarmál með reglubundnum hætti.

Við heimsóknir á vefsíður okkar verða til ýmsar upplýsingar. Þessum upplýsingum er fyrst og fremst safnað í tölfræðilegum tilgangi s.s. fylgjast með þjónustustigi, fjölda heimsókna á hverja vefsíðu o.s.frv.

Í þeim tilfellum þar sem persónulegar upplýsingar eru skráðar, þar sem þú þarft að skrá nafn þitt, heimilisfang, tölvupóstfang eða aðrar persónutengdar upplýsingar, skuldbindur Vergo sig til þess að varðveita framangreindar upplýsingar á öruggan og tryggan hátt og mun ekki miðla þeim á nokkurn til þriðja aðila án samþykkis viðkomandi aðila eða í kjölfar dómsúrskurðar.

Við heimsóknir á vefsíður okkar verða til ýmsar upplýsingar. Þessum upplýsingum er fyrst og fremst safnað í tölfræðilegum tilgangi s.s. fylgjast með þjónustustigi, fjölda heimsókna á hverja vefsíðu o.s.frv.

Um aðra þætti sem snúa að gagnaöryggi Vergo má nefna eftirfarandi:

  • Gagnagrunnar Vergo eru dulkóðaðir.
  • Öll gagnasamskipti í kerfinu eru dulkóðuð með SSL skilríki sem er vottað af Microsoft Azure.
  • Sjálfgefið er að notendur séu með tveggja þrepa auðkenningu, þ.e. þeir auðkenna sig aukalega í kjölfar innskráningar með einnota lykilorði sem sent er í sms skilaboði eða tölvupósti.
  • Öll hýsing Vergo, bæði kerfið sjálft og gögn þess er hjá Microsoft Azure sem er eitt virtasta tölvuský í heimi. Microsoft Azure hefur hlotið alþjóðlegar vottanir á borð við ISO/IEC 27001 og ISO/IEC 27018. Einnig tryggja þeir að uppitími (e. uptime) sé a.m.k. 99,99%.
  • Gerð er krafa um sterk lykilorð.
  • Lykilorð geymd á öruggu og óafturkræfu formi (e. hashed passwords).
  • Takmarkaður aðgangur að stjórnunaraðgangi raunumhverfis.
  • Starfsemi Vergo er grundvölluð á ákvæðum staðalsins ISO/IEC 27001 um upplýsingaöryggi.
  • Vergo tryggir trúnað, áreiðanleika, tiltækileika og álagsþol þeirra kerfa sem notuð eru og þeirrar þjónustu sem boðið er upp á.
  • Vergo heldur raunhæfum möguleikum á að endurvekja tiltækileika og aðgang að gögnum innan viðeigandi tímamarka í kjölfar fráviks, hvort sem það er raunlægs eða tæknilegs eðlis.
  • Vergo tryggir að afritunartaka fari fram á öllum gögnum kerfisins.
  • Tryggjum að allir starfsmenn Vergo skrifa undir trúnaðaryfirlýsingu svo trúnaður helst þótt látið sé að störfum.
  • Allar vinnustöðvar Vergo eru dulkóðaðar.
  • Vergo tryggir sjálfvirka læsingu vinnustöðva þegar þær eru ekki í notkun.
  • Fýsísk gögn sem innihalda trúnaðarupplýsingar eru geymd í lokuðum hirslum
  • Tryggð er fullnægjandi eyðing skjala og stafrænna gagna. Leitast er við að halda fýsískum gögnum í lágmarki.
  • Persónuupplýsingar eru ekki fluttar utan Evrópska efnahagssvæðisins nema á grundvelli fyrirmæla ábyrgðaraðila þar um.