Instruktion för Riksidrottsförbundets personuppgiftsbehandling i IdrottOnline och Integrationstjänster

Bilaga till Avtal om nyttjande IdrottOnline samt Licensavtal Integrationstjänster, 2024-05-20

Instruktion för Riksidrottsförbundets personuppgiftsbehandling i IdrottOnline och Integrationstjänster

Utöver vad som framgår av RF:s villkor IdrottOnline eller RF:s villkor Integrationstjänster är Riksidrottsförbundets (RF) skyldig att i tillämpliga delar följa denna instruktion.

1. Syfte och ändamål med behandlingen hos den personuppgiftsansvariga / personuppgiftsbiträdet

• Hålla uppdaterat medlemsregister med personer eller organisationer.

• Hantera tävlings- och/eller idrottslicensadministration.

• Aktivitetshantering.

• Intern och extern kommunikation.

• Handlägga ansökningar till olika former av ekonomiskt stöd.

• Främja den personuppgiftsansvarigas verksamhet och idrottsrörelsen.

• Antidopingarbete och -kontroll.

• Statistik och uppföljning.

• Utbildningsadministration.

• Uppgifter om utbildning som underlag för fördelning av stöd.

• Folkbildningsadministration.

• Uppgifter som folkbildning som underlag för fördelning av stöd.

2. Syfte och ändamål med behandlingen inom ramen för

RF:s tillhandahållande av licensen/licenserna

RF lagrar, visar, vidaresänder och tar emot personuppgifter på den personuppgiftsansvarigas eller av denne utsett personuppgiftsbiträdes uppdrag. RF hanterar även personuppgifter inom ramen för den support som RF tillhandahåller till Licenstagare på den personuppgiftsansvarigas eller av denne utsett personuppgiftsbiträdes uppdrag.

3. Behandlingen kan komma att omfatta följande kategorier av registrerade

• Medlemmar i förening.

• Prova på-medlem.

• Anhöriga till medlemmar i förening.

• Personer med ett uppdrag inom förening eller förbund t.ex. förtroendevalda, funktionärer, anställda, utbildare, ledare.

• Utbildningsdeltagare.

• Personer med annan anknytning till den personuppgiftsansvariga, såsom leverantörer.

4. Behandlingen kan komma att omfatta följande typer av personuppgifter

• Namn.

• Kontaktuppgifter (adresser, telefonnummer, e-postadresser).

• Personnummer (extra skyddsvärda personuppgifter).

• Kön.

• Utländsk medborgare.

• Organisationstillhörighet.

• Förekomst av funktionsvariation (känslig personuppgift).

• Roll.

• Utbildning/folkbildning.

• Aktivitet/närvaro (var och när).

• Resultat/Meriter.

• IP-adress.

• Användarnamn och Xxxxxxx-ID.

5. Särskilda tekniska och organisatoriska säkerhetsåtgärder för behandlingen av personuppgifterna vid tillhandahållandet av licensen/licenserna

Organisatoriska åtgärder

• RF ska byta ut/uppgradera produkter/tjänster/komponenter innan de är uttjänta. Support ska finnas att tillgå.

• Det ska finnas en funktion för att hämta korrigeringar för kända sårbarheter i mjukvara och hårdvara fram till slutdatum för tjänstens livscykel.

• RF ska ha fastslagna rutiner för förändringshantering och uppdateringar.

• RF ska ha förvaltningsplan som inkluderar en produktavvecklingsplan för att hantera uttjänta produkter och när support inte längre ges av underleverantör eller när systemet av andra skäl ska avvecklas.

• RF ska ha en funktion för att informera berörda om upptäckta sårbarheter, mjukvaru- och hårdvaruuppdateringar, rättelser samt metoder för att ta hantera incidenter.

• RF ska ha metoder för identifiering och rapportering av personuppgiftsincidenter.

• RF ska ha en process för analys och hantering av säkerhetsincidenter. För varje händelse finns det svar på:

o arten och omfattningen av händelsen,

o hur RF ska ta kontroll över situationen,

o hur RF ska kommunicera med användare/registrerade, och

o hur RF säkerställer en snabb och effektiv hantering av informationssäkerhetsincidenter.

• RF ska ha en process för interna sårbarhetsrapporter.

• RF ska ha regelbundna utbildningsaktiviteter för personalen som ska dokumenteras och följas upp.

• RF personalrutiner ska främja dataskydd integritet och säkerhet. Personal som arbetar med systemet ska utbildas i dataskydd och säkerhetspraxis för säker användning av systemen, och ska förstå att teknisk kompetens inte nödvändigtvis motsvarar säkerhetskompetens.

• It-säkerhetsroller och ansvar för personal ska finnas.

• Data som behandlas åt RF av andra regleras av personuppgiftsbiträdesavtal eller liknande med tredjepartsleverantören.

• RF:s personuppgiftsbiträden ska ha liknande policyer som RF, inklusive att hålla personuppgifterna konfidentiella och vara skyldiga att anmäla personuppgiftsincidenter.

• RF ansvarar för att RF:s personuppgiftsbiträden ska genomföra regelbundna granskningar och översyner av säkerheten och efterlevnad av krav för att säkerställa efterlevnad av avtal och villkor.

• Penetrationstest ska genomföras årligen samt vid större förändringar i arkitekturen.

• Regelbunden övervakning ska göras för att verifiera tjänstens beteende, upptäcka skadlig kod och upptäcka integritetsfel.

Tekniska åtgärder

• RF:s it-arkitektur där licensen utövas ska vara segmenterad och kunna isolera element i händelse av attack.

• Personuppgiftsbiträden ska kunna implementera testplaner för att verifiera att RF:s tjänster fungerar som förväntat.

• RF ska ha separata miljöer för utveckling, testning och produktion så att den operativa verksamhetsprocessen och produktionsdata inte påverkas vid fel i utvecklings- och testprocessen.

• RF ska ha realtidsskydd och exekveringsövervakning för att säkerställa att skadliga attacker inte påverkar personuppgifterna.

• Installation av programvara i system i drift får endast utföras av behörig personal.

• Endast betrodda utgivare och testad programvara får installeras i de system som är beroende av licensen.

• Om ett driftavbrott inträffar, eller om en uppgradering inte lyckas, ska det finns en funktion för att återställa systemet till ett tillstånd som är känt för att vara säkert.

• Alla tillämpliga säkerhetsfunktioner ska vara aktiverade utifrån gällande behov och vedertagna standarder.

• Alla eventuella oanvända tjänster och protokoll ska vara inaktiverade som standard.

• RF ska kryptera lagring av lösenord och rutiner som gör det svårt att knäcka individuella lösenord.

• Säkerhetsuppdateringar ska först installeras i en testmiljö och installation i produktionsmiljön får ske först när så är lämpligt.

• Automatiska uppdateringar av fast programvara (firmware) ska inte vara aktiverade som standard.

• Automatiska uppdateringar av fast programvara (firmware) får inte ändra nätverksprotokollens gränssnitt på ett sätt som är oförenligt med tidigare versioner.

• Kommunikationen ska skyddas via SSL-protokoll för transportsäkerhet.

• Kommunikationen ska skyddas via WAF för skydd mot intrångsförsök (gäller ej IdrottOnline).

• Kommunikationen ska skyddas via DMZ för skydd mot intrångsförsök.

• RF ska validera och verifiera data på ett säkert sätt vid inmatning (validering) och utmatning (filtrering) av data.

6. Särskilda krav på loggning vid behandling av personuppgifter vid utförandet av Tjänsten och vilka som ska ha tillgång till dem

• RF ska ha rutiner för logghantering.

• RF ska kunna läsa och analysera loggar centralt.

• RF:s loggar ska vara konfigurerade så att de skickas centralt och analyseras.

• RF ska använda behörighetsstyrning för att ta del av innehållet i loggar.

• RF:s loggar ska vara skyddade mot obehörig förändring.

• RF:s loggar sparas.

• RF:s loggar ska upprättas i ett standardiserat format så att de kan läsas av tredje parts logganalysverktyg.

• Loggar får, utöver vad som anges i RF:s särskilda bestämmelser vid behandling av personuppgifter, behandlas av driftspersonal och behöriga medarbetare och godkända underbiträden i RF:s incidentprocess.

7. Lokalisering och överföring av personuppgifter till tredje land

Överföringar till tredje land får göras om det sker inom ramen för världsantidopingarbetet.

8. Andra särskilda instruktioner avseende den behandling som ska utföras av RF och/eller dess eventuella Underbiträden

RF ska säkerställa kvalitén på personuppgifterna i RF:s databas genom att kontrollera samt uppdatera aktuella personuppgifter mot folkbokföringsregistret. För det fall Personuppgiftsansvarig, i strid med 4.5 RF:s villkor IdrottOnline, behandlar uppgifter om personer med skyddad identitet i IdrottOnline eller RF:s databas får RF radera dessa uppgifter.

Den personuppgiftsansvariga har ett berättigat intresse av att dela personuppgifterna med Idrottsorganisationer för att främja idrottsrörelsen. När den personuppgiftsansvariga delar personuppgifter för dessa ändamål med RF får RF endast dela uppgifterna vidare till andra för samma ändamål, det vill säga med det berättigade intresset att främja idrottsrörelsen. RF ska kunna säkerställa att enskilda registrerade kan protestera/invända mot sådan delning och att upphöra med sådan delning av aktuella personuppgifter om den enskildas intresse av att uppgifterna inte delas väger tyngre än RF:s intresse av att dela uppgifterna vidare.

RF får lämna personuppgifter till andra Idrottsorganisationer i Sverige med stöd av avtal, om det sker för att främja idrottsrörelsen eller om det behövs för att Idrottsorganisationen ska kunna arrangera aktiviteter, utbildningar, administrera sin verksamhet eller om det i övrigt följer av RF:s stadgar.

RF ska lämna personuppgifter till myndigheter eller andra organisationer som begär uppgifter med stöd i lag.

9. Godkända Underbiträden

Aktuell lista över godkända Underbiträden för IdrottOnline och Integrationstjänster finns tillgänglig på RF:s hemsida.