Personuppgiftsbiträdesavtal
1. Allmänt
1.1 Kunden är personuppgiftsansvarig för all personupp- giftsbehandling som sker med hjälp av Tjänsten om inte annat anges i detta Avtal. Leverantören kommer inom ramen för Tjänsten behandla personuppgifter på uppdrag av Kunden i egenskap av personuppgiftsbiträde. Föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade som berörs av behandlingen beskrivs närmare i Bilaga - Beskrivning av behandlingen av personuppgifter i Tjänsten. Kunden ansvarar för att all sådan personuppgiftsbehandling äger rum i enlighet med från tid till annan tillämplig personuppgiftslagstiftning, inbegripet dataskyddsförordningen (EU 2016/679) ("Tillämplig Lagstiftning").
2. Leverantörens allmänna skyldigheter
2.1 Leverantören ska i egenskap av personuppgiftsbiträde bara behandla personuppgifter i enlighet med Kundens skriftliga instruktioner enligt detta Avtal, samt de ytterligare dokumenterade instruktioner som Kunden från tid till annan ger. Ytterligare instruktioner kan lämnas till Leverantören via e-post eller på särskild blankett. Instruktionen bör innehålla motsvarande information som framgår av bilagan till detta personuppgiftsbiträdesavtal.
2.2 Om Leverantören saknar instruktioner som Leverantören bedömer vara nödvändiga för att genomföra sitt uppdrag ska Leverantören utan dröjsmål informera Xxxxxx och invänta ytterligare instruktioner. För det fall Leverantören finner att en instruktion strider mot Xxxxxxxxxx Lagstiftning ska Leverantören informera Xxxxxx om detta utan oskäligt dröjsmål. Om Kunden i sådant fall underlåter att lämna ytterligare instruktioner till Leverantören ska Leverantören bortse från instruktionen och meddela detta till Kunden. För det fall Xxxxxx vidhåller den lagstridiga instruktionen har Leverantören rätt att säga upp Avtalet i förtid enligt vad som framgår av de Allmänna Villkoren.
2.3 Oaktat vad som anges i punkt 2.1 ovan har Leverantören rätt att behandla personuppgifter i den utsträckning som det krävs för att Leverantören ska kunna uppfylla skyldigheter som åvilar Leverantören enligt från tid till annan Tillämplig lagstiftning, såsom exempelvis att efterkomma föreläg- ganden från myndigheter. Det ankommer dock på Leverantören att innan sådan behandling genomförs informera Xxxxxx om den rättsliga skyldigheten, såvida inte tvingande lagstiftning förhindrar Leverantören från att lämna sådan information.
2.4 Om någon begär information från Leverantören som rör Kundens behandling av personuppgifter ska Leverantören hänvisa till Xxxxxx genom att underrätta Kundens Avtalsansvarig via e-post. Leverantören får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan skriftlig instruktion från Kunden. Leverantören har inte rätt att företräda Xxxxxx eller agera för Kundens räkning gentemot någon tredje part, inklusive tillsynsmyndigheten.
3. Tekniska och organisatoriska åtgärder
3.1 Leverantören ska vidta de tekniska och organisatoriska åtgärder som krävs enligt Tillämplig Lagstiftning för att skydda de personuppgifter som behandlas i Tjänsten och åtminstone de tekniska och organisatoriska åtgärder som framgår av säkerhetsbilagan till detta Avtal. Kundens på förhand lämnande godkännande krävs för det fall Leverantören vill genomföra förändringar såvitt avser de tekniska och organisatoriska åtgärder som vidtas och som skulle innebära att säkerhetsnivån försämras. Parterna är överens att de tekniska och organisatoriska åtgärder som vidtas ska vara föremål för regelbunden uppföljning för att säkerställa att åtgärderna är lämpliga med hänsyn till riskerna med behandlingen av personuppgifter.
3.2 Leverantören ska på Kundens begäran bistå Xxxxxx med nödvändig information som Leverantören har att tillgå för att Kunden, i förekommande fall, ska kunna uppfylla sina skyldigheter att genomföra konsekvensbedömning och för- handssamråd med berörda tillsynsmyndigheter avseende den behandling som Leverantören utför för Kundens räk- ning inom ramen för Tjänsten. Leverantören har upprättat en konsekvensbedömning avseende behandlingen av per- sonuppgifter som Leverantören utför på Kundens uppdrag som Kunden kan få del av på begäran.
3.3 Leverantören ska, i den mån det är möjligt, bistå Xxxxxx genom att vidta lämpliga tekniska och organisatoriska åt- gärder för att Xxxxxx ska kunna fullgöra sin skyldighet att svara på en begäran om utövande av en registrerads rättighet som tillkommer den registrerade enligt Tillämplig Lagstiftning. Tjänsten innehåller viss funktionalitet för att underlätta för Xxxxxx att tillmötesgå en begäran från registrerade om utövande av sina rättigheter enligt Xxxxxxxxxx Lagstiftning.
3.4 Leverantören ska säkerställa att tillgången till personuppgifter är begränsad till endast personal hos Leverantören som behöver tillgång för att Leverantören ska kunna uppfylla sina åtaganden gentemot Kunden. Vidare ska Leverantören tillse att sådan behörig personal iakttar sekretess motsvarande den sekretess som följer av punkt 8 nedan genom enskilda sekretessavtal.
4. Personuppgiftsincidenter
4.1 För det fall en personuppgiftsincident (såsom definierat i Tillämplig Lagstiftning) inträffar ska Leverantören skriftligen meddela Xxxxxx genom Kundens Avtalsansvarig utan oskäligt dröjsmål från att Leverantören fått kännedom om incidenten och senast inom tjugofyra (24) timmar i enlighet med Leverantörens från tid till annan gällande rutiner. Meddelandet ska innehålla information om incidentens art, kategorier av och antal registrerade och person- uppgiftsposter som berörs, de sannolika konsekvenserna av incidenten, samt en beskrivning av vilka åtgärder Leverantören (i förekommande fall) vidtagit för att begränsa incidentens eventuella negativa effekter för att göra det möjligt för Xxxxxx att uppfylla sin eventuella skyldighet att anmäla personuppgiftsincidenten till berörd till- synsmyndighet. Om det inte är möjligt behöver inte all information lämnas vid ett och samma tillfälle, utan
Leverantören ska då lämna informationen till Xxxxxx så snart den blir tillgänglig för Leverantören.
4.2 Om det är sannolikt att en personuppgiftsincident medför
risk för de registrerades personliga integritet ska Leverantören, i den mån det är möjligt, omedelbart efter att personuppgiftsincidenten kommit till Leverantörens kännedom vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa personuppgiftsincidentens eventuella negativa effekter.
5. Tillgång till information m.m.
5.1 Leverantören dokumenterar löpande vilka åtgärder Leverantören vidtagit för att uppfylla sina skyldigheter enligt detta personuppgiftsbiträdesavtal. Xxxxxx har på begäran rätt att få del av den senaste versionen av sådan doku- mentation. För information om behandlingen av per- sonuppgifter som sker inom ramen för Tjänsten, se bilagan till detta personuppgiftsbiträdesavtal.
5.2 Vidare ska Leverantören möjliggöra och bidra till att Kunden, eller av Kunden utsedd tredje part, genomför en granskning, inbegripet inspektion, av de tekniska och organisatoriska åtgärder som Leverantören vidtar för att uppfylla sina skyldigheter enligt detta personuppgiftsbiträ- desavtal. Leverantören ska skriftligen meddelas om en sådan granskning minst trettio (30) dagar i förväg. Samtliga kostnader för granskningen ska bäras av Kunden, inklusive Leverantörens eventuella kostnader för medverkan i granskningen. Kunden ska säkerställa att eventuell tredje part som genomför granskningen för Kundens räkning ska iaktta sekretess som inte är mindre restriktiv än vad som följer av punkt 8 nedan. Motsvarande bestämmelser gäller vid Kunds begäran om granskning av ett Underbiträde som Leverantören anlitat i samband med Tjänsten, se punkten 6 nedan.
6. Anlitande av underbiträden
6.1 Kunden godkänner härmed att de av Leverantören anlitade underleverantörerna som framgår på av Leverantören från tid till annan angiven webbsida får behandla personuppgif- ter för Kundens räkning i samband med Tjänsten ("Un- derbiträden"). De underbiträden som Leverantören anlitar vid tidpunkten för detta Avtals ingående framgår även av bi- lagan till detta personuppgiftsbiträdesavtal. Kunden lämnar vidare ett allmänt förhandsgodkännande till Leverantören för anlitande av nya Underbiträden under förutsättning att Leverantören säkerställer att Underbiträdet lämnar tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen uppfyller kraven i Tillämplig Lagstiftning.
6.2 Leverantören ska ingå ett personuppgiftsbiträdesavtal med Underbiträdet. Ett sådant personuppgiftsbiträdesavtal ska innehålla bestämmelser som motsvarar vad som följer av detta personuppgiftsbiträdesavtal och Tillämplig Lagstiftning.
6.3 För det fall Leverantören avser att anlita ett nytt Underbiträde ska Leverantören informera Xxxxxx om detta genom e-post till Kundens Avtalsansvarig. Leverantören ska därvid lämna information om Underbiträdets identitet (inbegripet fullständig firma, organisationsnummer och adress), på vilken plats (geografiskt) Underbiträdet kommer att behandla personuppgifter, vilken typ av tjänst som Underbiträdet utför, samt vilka skyddsåtgärder som
kommer att vidtas av Underbiträdet för att skydda de personuppgifter som behandlas. Kunden har rätt att inom en (1) vecka räknat från meddelandet invända mot att Leverantören anlitar Underbiträdet för att behandla person- uppgifter på uppdrag av Xxxxxx, varvid Leverantören och Kunden gemensamt ska söka en samförståndslösning och i annat fall kan Avtalet sägas upp i förtid enligt vad som framgår av de Allmänna Villkoren.
7. Överföring till och behandling av personuppgifter utanför EU/EES- området
7.1 Kunden lämnar härmed sitt godkännande till att Leverantören i förekommande fall för över Kundens personuppgifter utanför EU/EES-området. Sådan överföring får dock endast ske om (i) landet har adekvat skyddsnivå för personuppgifter enligt beslut meddelat av EU-kommissionen som omfattar behandlingen av person- uppgifter, (ii) om Leverantören säkerställer att det finns lämpliga skyddsåtgärder på plats, såsom standardiserade dataskyddsbestämmelser, som antagits av EU- kommissionen, i ljuset av mottagarlandets lagstiftning eller
(iii) om något annat undantag i Tillgänglig Lagstiftning möjliggör överföringen.
7.2 För det fall Leverantören överför personuppgifter utanför
EU/EES med stöd av standardiserade dataskyddsbe- stämmelser ger Kunden härmed fullmakt till Leverantören att ingå sådana standardavtalsklausuler för den personupp- giftsansvariges räkning.
8. Sekretess
8.1 Utan att det påverkar sekretessåtagandet i Xxxxxxx ska även följande gälla.
8.2 Leverantören ska hålla personuppgifter som behandlas för Kundens räkning strikt konfidentiella. Leverantören ska således inte, direkt eller indirekt, utlämna några personupp- gifter till tredje part om inte Kunden skriftligen godkänt detta, såvida inte Leverantören är skyldigt enligt lag att lämna ut personuppgifter eller om det är nödvändigt för full- görandet av Xxxxxxx. Leverantören accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att Xxxxxxx har upphört.
8.3 Kunden förbinder sig att hålla all information som Kunden erhåller avseende Leverantörens säkerhetsåtgärder, ruti- ner, IT-system eller som annars är av konfidentiell karaktär, strikt konfidentiell och förbinder sig vidare att inte till någon utomstående röja konfidentiell information som härrör från Leverantören eller dess Underbiträden. Kunden har dock rätt att röja sådan information som Xxxxxx är skyldig att röja enligt lag eller enligt Xxxxxxx. Xxxxxx accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att Xxxxxxx har upphört.
9. Ansvar
9.1 Kunden ska i händelse av att Leverantören åsamkas skada eller erhåller krav som en följd av Leverantörens behandling av personuppgifter i enlighet med Kundens instruktioner hålla Leverantören skadeslöst för den skada som uppkommer som en följd därav. Leverantören ansvarar
dock för utförandet av Underbiträdens skyldigheter gentemot Kunden om Underbiträdet inte uppfyller sina skyldigheter. Någon ansvarsbegränsning enligt detta Avtal ska inte tillämpas i förhållande till Xxxxxxx ansvar enligt detta personuppgiftsbiträdesavtal.
9.2 Om Kundens ytterligare dokumenterade instruktioner
avseende behandlingen av personuppgifter inte stöds av Tjänsten eller följer av Leverantörens åtaganden enligt Xxxxxxx i övrigt och som Leverantören inte skäligen har bort räkna med och dessa krav medför att Leverantören åsamkas extra kostnader, har Leverantören rätt att välja mellan att säga upp avtalet till omedelbart upphörande alternativt få ersättning från Kunden för dessa kostnader.
10. Avtalets upphörande
10.1 Efter det att Avtalet upphört ska Leverantören enligt Xxxxxxx val antingen återlämna eller på ett säkert sätt radera samtliga personuppgifter som Leverantören har behandlat för Kundens räkning. Om Xxxxxx inte inkommer med någon sådan begäran inom fjorton (14) dagar räknat från uppsägning ska Leverantören på ett säkert sätt radera personuppgifterna de personuppgifter som Leverantören behandlar för Kundens räkning.
Bilaga - Beskrivning av behandlingen av personuppgifter i Tjänsten
Denna bilaga ska anses utgöra en integrerad del av personuppgiftsbiträdesavtalet.
1. Ändamål med behandlingen
Personuppgifterna behandlas för följande ändamål:
• För att tillhandahålla Tjänsten och support av Tjänsten; samt
• För att fullgöra Xxxxxxx eventuella ytterligare från tid till annan lämnade dokumenterade instruktioner
2. Platser där personuppgifter kommer att behandlas
Personuppgifterna behandlas av Leverantören i Sverige. För information om vilka Underbiträden som Leverantören anlitat och var de behandlar Kundens personuppgifter se av Leverantören från tid till annan anvisad webbsida. Se även punkten 4 avseende de Underbiträden som Leverantören anlitar för att tillhandahålla Tjänsten vid tidpunkten för Avtalets ingående.
3. Bevarande av personuppgifter
Om Avtalet upphör bevaras uppgifterna till dess att Leverantören i enlighet med bestämmelserna i personuppgiftsbiträdesavtalet återlämnat eller raderat Kundens personuppgifter. Se även nedan i punkten 5 för närmare information om hur länge personuppgifter bevaras inom ramen för varje deltjänst.
4. Anlitade Underbiträden
Följande Underbiträden anlitas av Leverantören för att tillhandahålla Tjänsterna vid tidpunkten för Avtalets ingående.
Identitet | Adress | Plats för behandling | Tjänst |
Amazon Web Services | 38 Xxxx X. KennedyL- 1855 Luxembourg | EU/US | Hosting/infrastruktur |
Komstrim OOD | 11 Prof. Xxxxxxxxxx Xxxxx str. Mladost 4 Distr., Fl. 4, Office 14 Sofia, 1715 Bulgaria | EU | Intern utveckling och kvalitetssäkring |
Mixpanel Inc | 0 Xxxxx Xx., Xxxxx 0000, Xxx Xxxxxxxxx, XX 00000 | US | Produktanalys |
Branchmetrics Inc | 0000 Xxxxxxx Xxxx, Xxxxxxxx X, 0xx Xxxxx, Xxxxxxx Xxxx, XX 00000 | US | Länk distribution |
OneSignal Inc | 0000 Xxxxxxxxx Xxxxxx Xxxxx Xxxxx, XX 00000 Xxxxxx Xxxxxx | US | Pushnotis-distribution |
StartDeliver AB | Xxxxxxxxxx 00, 000 00 Xxxxxxxxx, Xxxxxx | SE | Underhåll av konton |
Freshworks GmbH | Neue Xxxxxxxxxx 00, 00000 Xxxxxx, Xxxxxxx | XX | Xxxxxxxxxxx |
Wootric Inc | 000 00xx Xx, Xxx Xxxxxxxxx, Xxxxxxxxxx, | XX | NPS-enkäter |
94131, United States |
5. Närmare beskrivning av behandlingen av personuppgifter i Tjänsten i förhållande till respektive deltjänst
Nedan beskrivs den behandling av personuppgifter som förekommer i Tjänsten i förhållande till respektive deltjänst.
Deltjänst | Exempel på behandlingar | Kategorier av registrerade | Kategorier av personuppgifter | Bevarandetid |
Hantera introduktioner | • Kommunicera inbjudan till Tjänsten • Registrering av uppgifter vid inskrivning • Sammanställning av uppgifter • Lagring av registrerade uppgifter | • Kundens anställda • Kundens inhyrda eller på annat sätt anlitad personal • Anhöriga till Kundens anställda och Kundens inhyrda eller på annat sätt anlitad personal | • Bild • Identitetsuppgifter • Kompetensuppgifter • Kontaktuppgifter • Organisatoriska uppgifter • Statusuppgifter • Uppgift om medborgarskap (i förekommande fall) | Personuppgifter bevaras under byggprojektet och för en tid om två (2) år efter det att byggprojektet avslutats för spårbarhet. Uppgift om anhöriga bevaras under motsvarande period. |
Hantera inspektioner | • Registrering av inspektioner • Schemaläggning av inspektioner • Registrera åtgärdsansvarig • Dokumentera inspektioner • Sammanställning av åtgärdspunkter | • Kundens anställda • Kundens inhyrda eller på annat sätt anlitad personal • Externa deltagare | • Identitetsuppgifter • Kontaktuppgifter • Organisatoriska uppgifter | Personuppgifter bevaras under byggprojektet och för en tid om två (2) år efter det att byggprojektet avslutats för spårbarhet. |
Genomföra löpande rapportering | • Registrering av rapporter av observationer, tillbud och olyckor • Framställning av översikt över rapporter | • Kundens anställda • Kundens inhyrda eller på annat sätt anlitad personal • Externa deltagare • Besökare | • Bild • Hälsouppgifter • Identitetsuppgifter • Kontaktuppgifter • Lokaliseringsuppgifter • Organisatoriska uppgifter | Personuppgifter registrerade för observationer och tillbud bevaras under byggprojektet och för en tid om två (2) år efter det att byggprojektet avslutats för spårbarhet. Personuppgifter registrerade för olyckor bevaras för en tid om tio (10) år efter det att olyckan rapporterats för samma syfte. |
Åtgärdshantering | • Tilldelning av avvikelser • Registrering av avvikelser • Kommunikation om avvikelser • Sammanställning av översikt över registrerade avvikelser | • Kundens anställda • Kundens inhyrda eller på annat sätt anlitad personal | • Identitetsuppgifter • Kontaktuppgifter • Organisatoriska uppgifter • Prestationsuppgifter | Personuppgifter bevaras under byggprojektet och för en tid om två (2) år efter det att byggprojektet avslutats för spårbarhet. |
Deltjänst | Exempel på behandlingar | Kategorier av registrerade | Kategorier av personuppgifter | Bevarandetid |
Incidenthantering | • Registrering av incidentinformation • Generering av underlag/rapporter | • Kundens anställda • Kundens inhyrda eller på annat sätt anlitad personal • Externa deltagare • Besökare | • Anställningsuppgifter • Bild • Hälsouppgifter • Identitetsuppgifter • Incidentuppgifter • Kontaktuppgifter • Organisatoriska uppgifter | Personuppgifter registrerade för observationer och tillbud bevaras under byggprojektet och för en tid om två (2) år efter det att byggprojektet avslutats för spårbarhet. Personuppgifter registrerade för olyckor bevaras för en tid om tio (10) år efter det att olyckan rapporterats för samma syfte. |
Insights | • Sammanställning av registrerade uppgifter på aggregerad nivå • Uppföljning och utvärdering av nyckeltal kopplat till avvikelsehantering, risker, tillbud och olyckor | • Kundens anställda • Kundens inhyrda eller på annat sätt anlitad personal • Externa deltagare • Besökare | • Identitetsuppgifter • Incidentuppgifter • Organisatoriska uppgifter • Prestationsuppgifter | Personuppgifter bevaras för samma period som för relevanta deltjänster ovan. Rapporter som inte innehåller personuppgifter och statistik sparas under den tid som Kunden använder Tjänsten eller till dess att de raderas. |
Administration av Tjänsten | • Registrering av användarkonton • Registrering av behörigheter/åtkomst | • Systemanvändare | • Identitetsuppgifter • Kontaktuppgifter • Lokaliseringsuppgifter • Tekniska uppgifter | Personuppgifter bevaras så länge som användarkontot är aktivt. Användarkontot är aktivt om inloggning har skett under de senaste två (2) åren eller om användarkontot är kopplat till ett förekommande byggprojekt. |
Hantera frågor och support | • Kommunikation i samband med fråga eller support • Felsökning och felhantering | • Kundens anställda • Kundens inhyrda eller på annat sätt anlitad personal • Systemanvändare | • Identitetsuppgifter • Kontaktuppgifter • Organisatoriska uppgifter Kommunikation • Tekniska uppgifter | Personuppgifter bevaras under den tid som Kunden använder Tjänsten, dock maximalt under en period om två (2) år räknat från tidpunkten från när ärendet avslutats. |
Deltjänst | Exempel på behandlingar | Kategorier av registrerade | Kategorier av personuppgifter | Bevarandetid |
Utveckla och förbättra Tjänsten | • Lagring av uppgifter i testmiljö • Användning av uppgifter för genomförande av test • Anonymisera uppgifter | • Kundens anställda • Kundens inhyrda eller på annat sätt anlitad personal • Anhöriga till Kundens anställda och Kundens inhyrda eller på annat sätt anlitad personal | • Tekniska uppgifter | Personuppgifter bevaras för den tid den det är nödvändigt att avidentifiera uppgifterna, testa funktionalitet och genomföra verifiering av rättningar, dock maximalt under en period om sex (6) månader räknat från tidpunkten för när åtgärden påbörjas. |
Säkerställa teknisk funktionalitet och säkerhet | • Säkerhetskopiering • Felsökning • Incidenthantering | Samtliga kategorier av registrerade som ingår i övriga behandlingar | Samtliga kategorier som ingår i övriga behandlingar Tekniska uppgifter | Personuppgifter bevaras under den tid som Kunden använder Tjänsten. Personuppgifter i loggar bevaras för felsökning och incidenthantering under en tid om tolv (12) månader räknat från tidpunkten för logghändelsen. Uppgifter i säkerhetskopior bevaras under en period om tolv (12) månader räknat från dagen för säkerhetskopian. |
I tabellen nedan anges närmare information om de kategorier av personuppgifter som Leverantören behandlar inom ramen för Tjänsten.
Kategori av personuppgift | Exempel på typ av uppgift |
Anställningsuppgifter | Anställningsform, uppgift om sista arbetsdag |
Bild | Bild på person |
Hälsouppgifter | Uppgift om hälsa |
Identitetsuppgifter | Namn, användarnamn, personnummer/identitetsnummer, passnummer |
Incidentuppgifter | Uppgift om typ av incident, beskrivning av incidenten, tidpunkt för incident, orsak till incident |
Kategori av personuppgift | Exempel på typ av uppgift |
Kommunikation | Innehåll i meddelanden |
Kompetensuppgifter | Uppgift om yrkesbevis och yrkesintyg av olika slag |
Kontaktuppgifter | E-postadress, telefonnummer |
Lokaliseringsuppgift | Uppgift om position från mobil enhet |
Organisatoriska uppgifter | Arbetsgivare/uppdragsgivare, titel, roll i projekt, ansvar |
Prestationsuppgifter | Uppgift om genomförda åtgärder, status på uppgift |
Statusuppgifter | Aktiv/inaktiv |
Tekniska uppgifter | IP-adress, UID, språkinställningar |
Uppgift om medborgarskap | Medborgarskap |
Infobric Field Personuppgiftsbiträdesavtal 2022-11-14
Tekniska och organisatoriska säkerhetsåtgärder
Följande tekniska och organisatoriska åtgärder vidtar Leverantören för att skydda de personuppgifter som omfattas av detta personuppgiftsbiträdesavtal.
Följande tekniska och organisatoriska åtgärder vidtar Leverantören för att skydda de Personuppgifter som omfattas av detta personuppgiftsbiträdesavtal:
• Åtgärder för åtkomstkontroll, t.ex. rutiner för lösenordshantering och autentisering, loggning, behörighetsstyrning för användare och tillgång till driftlokaler.
• Åtgärder för att säkerställa konfidentialitet, t.ex. kryptering vid överföring.
• Åtgärder för att säkerställa tillgänglighet, t.ex. säkerhetskopiering, brandväggar, antivirussystem, loggning och oavbruten strömförsörjning (UPS).
I övrigt har Personuppgiftsbiträdet rutiner för att hantera säkerhetsincidenter, personalen omfattas av sekretess och utbildas i dataskyddsfrågor som del av sin introduktionsutbildning.