GDPR står för General Data Protection Regulation och är en dataskyddsförordning från EU som är en lag i Sverige för att skydda individers integritet. Du som kund har ett flertal saker som du behöver tänka på gällande behandling av personuppgifter. Du är som kund personuppgiftsansvarig för personuppgifterna i Företagets program. Företaget är personuppgiftsbiträde för dessa uppgifter.

All behandling av personuppgifter om dig som kund eller användare är vi personuppgiftsansvariga över när du beställer IDI:s tjänster eller kontaktar oss. Vad vi gör, eller inte gör, med dina personuppgifter har vi beskrivit i fliken Personuppgifter.

IDI som personuppgiftsbiträde eller personuppgiftsansvarig har ansvaret för de tekniska och organisatoriska säkerhetsåtgärderna i och kring IDI:s tjänster. Det innebär att vi ska se till att det finns den säkerhet som behövs exempelvis krypterad lagring, behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter. När det inte finns funktioner för att hantera personuppgifterna har vi interna rutiner för detta. De åtgärder som IDI vidtar beskrivs närmare nedan.

Autentisering och kryptering
All datakommunikation i vår webbplats sker med Secure Sockets Layer (SSL). IDI använder krypterad kommunikation i form av 256-bitars SSL-kryptering och 2048-bitars publika nycklar. All datakommunikation till och från Användarens datorer krypteras med SSL, den mest använda Internetstandarden för krypterad kommunikation.

Lagring och backuper
IDI:s sköter drift av tjänsterna på servrar i datahallar som övervakas dygnet runt och det finns alltid personal tillgänglig. Lagringen av data finns på två geografiskt separerade platser med full redundans och backuper tas dagligen.

Kunskaps- och informationsskydd
Endast ett fåtal nyckelpersoner känner till hur säkerhetssystemet är uppbyggt. All personal är bunden av ett sekretessavtal som förhindrar spridning av data, information, samt kundens eller användarens personuppgifter. Endast behörig personal har tillgång till uppgifterna och behörigheten styrs av IDI IT-personal.

Om en programrelaterad incident inträffar kan det innebär att det blir en personuppgiftsincident. Ett problem i IDI:s program som genererar felaktig data eller saknad data kategoriseras som en programrelaterad incident. Skulle denna data innehålla personuppgifter blir det även en personuppgiftsincident. Det kan också bli en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.

Incidentprocess
IDI har ett incidentteam som sköter nödvändig samordning, kommunikation och ansvar för att bedöma, reagera på och lära sig av incidenter för att minska risken att det sker igen. Beroende på incidentens karaktär och påverkan involveras de personer som krävs för att hantera incidenten. Processen för hanteringen är grunden för flödet som med kompletterande rutiner tydliggör vem som gör vad och hur situationen ska hanteras. Processen är indelad i delprocesserna identifiering av incident, konsekvensanalys, åtgärdsprocess, kommunikation och Root Cause Analysis (RCA).

Vid identifieringen av incident sker en identifiering av vilken typ av incident det är frågan om. I delprocessen Konsekvensanalys sker en analys över omfattningen vilka kunder och användare som påverkas av incidenten och vad konsekvenserna blir. I Åtgärdsprocessen sker bedömning och prioritering av problemet för att säkerhetsställa åtgärdsplan samt verkställandet av åtgärden. Vid en personuppgiftsincident är sammanställning av rapport en aktivitet, där vi utgår ifrån Integritetsskyddsmyndighetens mall som beskriver att vi ska ha med information om:

• Vilken typ av incident det är fråga om
• Vilka kategorier av personer som kan komma att beröras
• Hur många personer det berör
• Vilka konsekvenser incidenten kan få
• Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser.

Incident och åtgärder kommuniceras ut till berörda som drabbats. Vid personuppgiftsincident finns anmälan till Integritetsskyddsmyndigheten som en aktivitet i denna delprocess. Efter att åtgärder är genomförda och berörda har blivit informerade genomförs en Root Cause Analysis i syfte att förhindra att problemet uppstår igen.

IDI sparar personuppgifter om dig som kund så länge det finns en kundrelation eller är nödvändigt för att uppnå de ändamål som beskrivs i denna policy. Vid avtalets upphörande kommer IDI radera alternativt anonymisera dina uppgifter inom en rimlig tid efter uppsägning, om inte annan svensk eller europeisk lag, domstol eller myndighet säger något annat. Dina uppgifter kan sparas baserat på intresseavvägning om det finns säkerhets- eller ekonomiska skäl. Hur länge dina personuppgifter som användare lagras hos oss varierar beroende på syftet till att de samlats in. Uppgifter som samlas in när du kontaktar oss lagras så länge du är kund hos oss för att fullgöra vårt åtagande. Vid avslutad kundrelation kan vi lagra det baserat på intresseavvägning som bevismaterial ifall det skulle uppstå problem. Lagringen begränsas då till ett system och med kontrollerad behörighetsstyrning.

• Deltagare
  Generellt sparar vi personuppgifter från personer “Deltagare” som lämnar uppgifter för att göra IDI-profiler i vårt system i tre (3) år.
• Respondenter
  De mejladresser som “Deltagare” registrerar i vårt system för att bjuda in respondenter sparas i sex (6) månader efter att profilen levererats.

Den 16 juli 2020 meddelade EU-domstolen dom i det så kallade Schrems II-målet. Domstolen slog fast att Privacy Shield-avtalet mellan EU och USA inte gav ett tillräckligt skydd för personuppgifter när dessa förs över till USA.

Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.

Drift av IDI sker på servrar i Sverige och ingen kunddata förs över till andra länder.