PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Detta Personuppgiftsbiträdesavtal ("Biträdesavtalet") har ingåtts på Avtalsdagen mellan Kunden och Kwick Expense AB (”Kwick”), vilka benämns nedan var och en för sig ”Part” eller gemensamt "Parterna".
1. Bakgrund
Kunden och Kwick har ingått ett avtal ("Avtalet") avseende en utläggshanteringstjänst i form av en mobilapp och webbadministration ("Tjänsten") enligt vilken Xxxxxx får tillgång till och användning av Tjänsten. Xxxxx kommer vid fullgörandet av Avtalet att behandla personuppgifter för Kundens räkning och därmed vara personuppgiftsbiträde. Detta Biträdesavtal med tillhörande specifikation är en bilaga och tilläggsavtal till Avtalet och kompletterar Avtalet vad avser behandling av personuppgifter och utgör sådant avtal mellan personuppgiftsansvarig och personuppgiftsbiträde som regleras i Tillämplig Dataskyddslagstiftning (enligt definition nedan), vilket reglerar ändamålet och på vilket sätt Personuppgiftsbiträdet har rätt behandla sådana personuppgifter i sådana fall.
Vad som anges i detta Biträdesavtal ska äga företräde framför Avtalet och dess bilagor om inget annat uttryckligen framgår nedan. Biträdesavtalet ersätter eventuella tidigare personuppgiftsbiträdesavtal eller andra överenskommelser om behandling av personuppgifter mellan Parterna inom ramen för Tjänsten.
2. Definitioner
Definitioner som används i Avtalet ska gälla i detta Biträdesavtal, om inte annat anges häri. Termer med stor begynnelsebokstav i detta Biträdesavtal ska ha den betydelse som anges nedan. Om inget annat anges häri, eller om det tydligt framgår av det sammanhang i vilket det förekommer, ska termen "inklusive" betyda "inklusive utan begränsning".
Begrepp som legaldefinierats i Tillämplig Dataskyddslagstiftning, såsom exempelvis ”personuppgift”, ”behandling” och ”registrerad”, ska tolkas och tillämpas i enlighet med Tillämplig Dataskyddslagstiftning när de anges med gemen begynnelsebokstav.
"Tillämplig dataskyddslagstiftning" avser integritets- och personuppgiftslagstiftningen, inklusive men inte begränsat till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG ("GDPR"), tillämplig på Kwick i samband med Kwicks behandling av personuppgifter som personuppgiftsbiträde för att tillhandahålla Tjänsten till Personuppgiftsansvarig;
”Standardavtalsvillkor” avser villkor för skydd av personuppgifter överförda till tredje land i enlighet med Europeiska kommissionens beslut 2021/914 av den 4 juni 2021 eller motsvarande villkor som ersätter dessa;
“Instruktionen” avser bilaga A, eller enligt senare justerad bilaga A, till detta Biträdesavtal, i vilken Xxxxxx behandling av personuppgifter på uppdrag av Personuppgiftsansvarig närmare beskrivs;
“Biträdeskoncern” avser Kwick och varje bolag som kontrollerar, kontrolleras av eller som star under gemensam kontroll med Kwick;
“Underbiträde” avser sådant personuppgiftsbiträde, inklusive bolag från Biträdeskoncernen, som anlitas av Kwick och som behandlar personuppgifter för Personuppgiftsansvariges räkning i enlighet med Instruktionen.
3. Roller och ägarskap av Kunddata
Kunden ska betraktas som personuppgiftsansvarig för alla personuppgifter som behandlas för Kundens räkning i enlighet med dess instruktioner. Kwick ska betraktas som personuppgiftsbiträde för de personuppgifter som behandlas för Kundens räkning. Kwick får endast behandla Kundens personuppgifter för det ändamål och i den utsträckning det är nödvändigt för att uppfylla Kwicks skyldigheter enligt detta Biträdesavtal eller Avtalet.
Om Kwick bryter mot Tillämplig Dataskyddslagstiftning genom att ensamt fastställa ändamålen och medlen för behandlingen (t.ex. genom att behandla personuppgifterna i strid med Instruktionen), kommer Kwick att betraktas som personuppgiftsansvarig för den behandlingen. Det bör noteras att Kwick, under ovan nämnda omständigheter, kommer att vara fullt ansvarig som personuppgiftsansvarig för sådan behandling enligt Tillämplig Dataskyddslagstiftning, inklusive i förhållande till eventuella sanktioner enligt nämnda bestämmelser.
All Kunddata som behandlas enligt villkoren i detta Biträdesavtal och Avtalet förbli Xxxxxxx egendom, oavsett om Xxxxxx anses vara personuppgiftsansvarig för personuppgifterna eller inte.
4. Parternas åtaganden
Xxxxx åtar sig att:
a) Endast behandla personuppgifter i enlighet med Tillämplig Dataskyddslagstiftning och i enlighet med Kundens Instruktioner, inbegripen överföring av personuppgifter till tredje land eller internationell organisation, såvida det inte krävs enligt Tillämplig Dataskyddslagstiftning; i ett sådant fall ska Kwick informera kunden om det rättsliga kravet innan personuppgifterna behandlas, såvida inte sådan information är förbjuden enligt Tillämplig Dataskyddslagstiftning på grund av viktiga skäl av allmänt intresse;
b) Tillse att endast de anställda (hos Kwick eller dess underbiträden) som måste ha tillgång till personuppgifterna för att uppfylla Kwicks skyldigheter enligt detta Biträdesavtal ska ha tillgång till de personuppgifter som behandlas för Kundens räkning, och att sådana anställda har fått lämplig utbildning och instruktioner om behandling av personuppgifter samt åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt;
c) Vidta lämpliga tekniska och organisatoriska åtgärder som krävs för att säkerställa ett tillräckligt skydd för de personuppgifter som Kwick behandlar och som Kunden överför i enlighet med Avtalet samt åstadkomma en säkerhetsnivå som är lämplig i enlighet med kraven i Tillämplig Dataskyddslagstiftning, med minimum av de säkerhetsåtgärder som beskrivits i Instruktionen;
d) I den mån så är möjligt bistå Kunden med att uppfylla sina skyldigheter gentemot de registrerade med beaktande av de rättigheter dessa har enligt Tillämplig Dataskyddslagstiftning. Om Kwick mottar en begäran från en registrerad person direkt från en registrerad, ska den, såvida det inte är förbjudet enligt lag, hänvisa den registrerade till Kunden (i den utsträckning Kwick kan associera den registrerade med Kunden);
e) I den mån så är möjligt bistå Kunden med alla åtgärder som enligt Xxxxxx är nödvändiga för fullgörande av de skyldigheter som framgår av artikel 32 till 36 i GDPR;
f) Göra all information som krävs för att visa efterlevnad av de skyldigheter som fastställs i detta Biträdesavtal tillgänglig för Kunden och möjliggöra och bidra till revisioner som utförs av Xxxxxx eller annan tredje part som bemyndigats av Xxxxxx, i enlighet med avsnitt 6; och
g) I övrigt efterleva Tillämplig Dataskyddslagstiftning i sin dagliga verksamhet.
Om Kunden ger nya eller ändrade instruktioner under avtalsperioden och sådana instruktioner leder till extra kostnader för Kwick, ska Xxxxxx ersätta Kwick för varje sådan kostnad.
Kunden åtar sig som personuppgiftsansvarig att fullgöra sina skyldigheter enligt Tillämplig Dataskyddslagstiftning. Kunden förbinder sig att inte uppsåtligen ge instruktioner som skulle utgöra en överträdelse av Tillämplig
Dataskyddslagstiftning. Kwick ska omedelbart informera Xxxxxx om den anser att en kundinstruktion bryter mot Tillämplig Dataskyddslagstiftning. I sådana fall har Kwick rätt att vägra behandling av personuppgifter som Kwick anser strida mot någon lag eller förordning.
5. Underbiträden
Kunden ger härmed Kwick allmänt förhandstillstånd enligt artikel 28.2 GDPR att för Personuppgiftsansvarigs räkning anlita underleverantörer för behandling av personuppgifter enligt vad som framgår på xxxxx://xxxxx.xx/xxx-xxxxxxxxxx, förutsatt att dessa:
i) åtar sig att endast agera enligt Xxxxxx instruktioner vid behandling av personuppgifterna, vilka instruktioner ska överensstämma med Instruktionen; och
ii) åtar sig att skydda personuppgifterna enligt en standard som är förenlig med kraven i detta Biträdesavtal, inklusive att genomföra och upprätthålla lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som de behandlar i enlighet med de säkerhetsstandarder som beskrivs i Bilaga B till detta Biträdesavtal.
Xxxxx ska förbli ansvarigt gentemot Xxxxxx för den behandling som utförs av något av dess underbiträden enligt detta Biträdesavtal. Kwick ska också förbli kundens enda kontaktpunkt.
Xxxxx ska informera Xxxxxx om eventuella planer på att anlita nya underbiträden och vid byte av underbiträde. Informationen ska lämnas senast 30 dagar före det nya underbiträdet påbörjar behandlingen av personuppgifter via Användarkontot eller Xxxxxxx kontaktperson. Personuppgiftsansvarig har rätt att göra invändningar mot sådana förändringar. Om invändning inte mottagits senast 10 dagar efter sådan information lämnats av Personuppgiftsbiträdet ska underbiträdet anses godkänt. Om Xxxxxx invänder ska parterna i god tro förhandla fram en lösning på Kundens
invändning. Om parterna inte kan nå en lösning inom tjugo (20) dagar efter det att Kwick har mottagit Kundens invändning, kommer Kwick antingen att (a) instruera underbiträdet att inte behandla kundens personuppgifter, i vilket fall detta Biträdesavtal ska fortsätta opåverkat, eller (b) tillåta Kunden att säga upp detta Biträdesavtal och alla relaterade tjänsteavtal med Kwick omedelbart och ge det en proportionell återbetalning av eventuella belopp som betalats i förskott för tjänster som ska tillhandahållas, men som ännu inte mottagits av Kunden vid uppsägningens ikraftträdandedatum.
6. Revision
Kunden ska ha rätt att utföra revisioner av Kwicks behandling av kundens personuppgifter (inklusive sådan behandling som kan utföras av Kwicks underbiträden, om sådana finns) för att verifiera Kwicks och eventuella underbiträdens efterlevnad av detta Biträdesavtal. Rätten att utföra revisioner och inspektioner ska också innefatta en rätt att få relevant information på begäran och utan att kundens personal är fysiskt närvarande på Kwicks anläggning.
Kunden kan på begäran genomföra en revision i enlighet med Tillämplig Dataskyddslagstiftning. Begäran om sådan revision ska lämnas skriftligen minst trettio (30) dagar i förväg till xxxxxxx@xxxxx.xx. En sådan revision får inte utföras mer än en gång under en tolvmånadersperiod och ska utföras under normal kontorstid med rimlig varaktighet och får inte störa Kwicks verksamhet.
Kwick ska ge kundens personal eller dess anlitade konsulter, dess interna eller externa revisorer, inspektörer och tillsynsmyndigheter rimlig tillgång till de delar av anläggningar där Kwick utför behandlingar, till personal och till data och register (inklusive verktyg och procedurer) som rör behandlingen. Kundens revisorer och andra representanter ska följa Kwicks arbetsregler, säkerhetskrav och standarder när de genomför besök på plats. Ingen revision ska innebära tillgång till några uppgifter som rör någon annan Kwick-kund eller till system eller anläggningar som inte är involverade i behandlingen av personuppgifter för kunden och under inga omständigheter ska en revision leda till att Xxxxx bryter mot sina sekretessförpliktelser gentemot någon tredje part.
Xxxxxx ska stå för alla kostnader och utgifter i samband med en revision som utförs enligt detta avsnitt 6, inklusive för all tid som Xxxxx lägger ner på en sådan revision till Xxxxxx vid var tid gällande priser. Alla rapporter som genereras i samband med en sådan revision ska betraktas som Xxxxxx konfidentiella information och ska omedelbart lämnas till Kwick.
Oaktat det ovan angivna ska tillsynsmyndigheten alltid ha direkt och obegränsad tillgång till Kwicks lokaler, databehandlingsutrustning och dokumentation för att undersöka att Kwicks behandling av personuppgifterna utförs i enlighet med Tillämplig Dataskyddslagstiftning. I händelse av en konflikt mellan revisionsvillkoren i detta avsnitt 6 och revisionsvillkoren i Standardavtalsvillkoren ska revisionsvillkoren i Standardavtalsvillkoren gälla. Ingenting i detta avsnitt 6 ändrar eller påverkar någon tillsynsmyndighets rättigheter enligt Standardavtalsvillkoren.
7. International personal data transfers
Kwick får förflytta, förvara, överföra eller på annat sätt behandla personuppgifter utanför EU/EES för Kundens räkning under förutsättning att Kwick, innan överföring till tredje land påbörjas, uppfyller de krav och åtgärder som följer av Tillämplig Dataskyddslagstiftning vad avser tredjelandsöverföringar. Kwick förbinder sig således till att, i förekommande fall, ingå Standardavtalsvillkor eller motsvarande överföringsmekanism med underbiträden som har sin verksamhet utanför EU/EES.
Standardavtalsvillkoren
Om Kwick behandlar personuppgifter i ett land som inte har fått ett beslut om adekvat skyddsnivå från EU-kommissionen, införlivar parterna härmed Standardavtalsvillkoren genom hänvisning. Parterna är medvetna om att en export av personuppgifter utanför EU/EES, utöver ingående av Standardavtalsvillkoren, kan kräva att Kwick måste tillhandahålla kompletterande åtgärder som är nödvändiga för att bringa skyddsnivån för personuppgifterna i mottagarlandet till EU:s standard för väsentlig likvärdighet och ge kunden vissa garantier för efterlevnad avseende sådan export utanför EU/EES.
Om EU:s standardavtalsklausuler är tillämpliga anses de vara kompletta enligt följande:
i) Modul 1 (personuppgiftsansvarig till personuppgiftsansvarig) gäller när kunden är personuppgiftsansvarig för kunddata och Kwick är personuppgiftsansvarig för kunddata. Modul 2 och modul 4 (personuppgiftsansvarig till personuppgiftsbiträde och personuppgiftsbiträde till personuppgiftsansvarig) gäller när kunden är personuppgiftsansvarig för kunddata och Kwick är personuppgiftsbiträde för kunddata;
ii) I klausul 7 gäller inte den frivilliga dockningsklausulen;
iii) i klausul 9(a) kommer alternativ 2 "Allmänt skriftligt tillstånd" att gälla, och tidsperioden för förhandsmeddelande om ändringar av underbiträden ska vara den som anges i avsnitt 5 i detta Biträdesavtal;
iv) i klasul 10 ska modul 4 inte tillämpas;
v) i klausul 11 gäller inte det frivilliga;
vi) i klausul 17 kommer Standardavtalsvillkoren att regleras av de lagar som anges i Avtalet;
vii) i klausul 18 ska tvister avgöras vid den domstol som anges i Avtalet;
viii) Bilagorna I.A, I.B och II till EU:s konventionsavtal ska anses vara ifyllda med den information som anges i bilagorna A och B till detta Biträdesavtal. Bilaga III till EU:s SCC ska anses vara kompletterad med den information som anges i xxxxx://xxxxx.xx/xxx-xxxxxxxxxx.
Ingenting i tolkningarna i detta avsnitt 7 är avsett att strida mot någon av parternas rättigheter eller skyldigheter enligt Standardavtalsvillkor och, i händelse av en sådan konflikt, ska Standardavtalsvillkoren ha företräde.
8. Ersättning
Ersättningen för Kwicks åtaganden enligt detta Biträdesavtal ska, om inte annat anges i detta Biträdesavtal, ingå i den ersättning som betalas av Kunden enligt Xxxxxxx. Således, om inte annat anges häri, ska Kwick inte ha rätt till ytterligare ersättning baserat på detta Biträdesavtal.
9. Personuppgiftsincidenter
Om Kwick får kännedom om olaglig åtkomst till kunddata som lagras på Kwicks utrustning eller i Kwicks anläggningar, eller obehörig åtkomst till sådan utrustning eller anläggningar som resulterar i förlust, avslöjande eller ändring av kunddata ("Personuppgiftsincident"), ska Kwick omgående och senast 72 timmar från kännedom om Personuppgiftsincidenten: (a) meddela kunden om Personuppgiftsincidenten; (b) utreda Personuppgiftsincidenten och förse kunden med information om Personuppgiftsincidenten; och (c) i samarbete med kunden vidta rimliga åtgärder för att mildra effekterna och minimera eventuella skador till följd av Personuppgiftsincidenten. Xxxxxx skyldighet att rapportera eller svara på en Personuppgiftsincidenten enligt detta avsnitt 9 är inte och kommer inte att tolkas som ett erkännande från Kwick av något fel eller ansvar med avseende på Personuppgiftsincidenten.
Meddelanden om Personuppgiftsincidenter, om några, kommer att levereras till en eller flera av kundens tekniska eller administrativa kontakter på det sätt som Kwick väljer, inklusive via e-post. Det är kundens eget ansvar att se till att den alltid har lämnat korrekta kontaktuppgifter till Kwick.
10. Återlämnande och förstörelse av Kunddata
Kunden kan exportera eller ladda ner sina kunddata innan Xxxxxxx åtkomst till tjänsten avslutas. På kundens skriftliga begäran kommer Xxxxx att göra det möjligt för kunden att exportera eller ladda ner sina kunddata efter uppsägning av avtalet eller ett användarkonto i enlighet med de villkor som anges i avtalet. Vid avslutat Avtal kommer Kwick att radera kundens kunddata från Kwicks servrar inom tre (3) månader efter uppsägning av avtalet eller uppsägning av ett användarkonto.
11. Ansvarsbegränsning
Vardera Part ska hålla den andra Parten skadeslös i händelse av skada som är hänförlig till att den förstnämnda Part behandlar, eller lämnat Instruktion, av personuppgifter i strid med Biträdesavtalet eller Tillämplig Dataskyddslagstiftning.
Kunden bekräftar och samtycker till att Xxxxxx totala ansvar för alla anspråk från Kunden som uppstår till följd av eller i samband med detta Biträdesavtal ska gälla sammantaget för alla anspråk enligt detta Biträdesavtal. Kwicks sammanlagda ansvar för den ersättning som anges i detta avsnitt 11 ska under inga omständigheter överstiga ett belopp som motsvarar 100 % av de avgifter som Kunden betalat för tjänsterna under de tolv (12) månader som föregick den händelse som gav upphov till anspråket.
Xxxxxx det ansvar som anges i detta avsnitt 11 ska ingen av Parterna vara ansvarig för indirekta skador eller följdskador som åsamkas den andra parten, såsom (men inte begränsat till) förlust av intäkter, förlust av vinst, förlust av möjligheter, förlust av goodwill. För att undvika missförstånd påförs den part som inte fullgör sina skyldigheter administrativa sanktionsavgifter, vilket innebär att ingen av parterna kommer att bära den andra partens administrativa sanktionsavgifter.
Detta avsnitt 11 ska inte tolkas som en begränsning av någondera partens ansvar med avseende på anspråk från registrerade, där artikel 82 GDPR ska tillämpas, eller enligt Standardavtalsvillkorens klausul 12.
12. Avtalstid och upphörande
Detta Biträdesavtal utgör en bilaga till Avtalet och träder i kraft i samband därmed, i enlighet med vad som anges i Bilaga 1
– Villkor för Kwick Expense. Såvida det inte sägs upp tidigare (i) på grund av ett väsentligt brott mot villkoren i detta Biträdesavtal, eller (ii) i enlighet med avsnitt 5, ska detta Biträdesavtal fortsätta att gälla till dess att Avtalet sägs upp eller löper ut, varefter det ska upphöra automatiskt utan ytterligare åtgärder.
13. Övrigt
Ingen Part äger rätt att helt eller delvis överlåta skyldigheter eller rättigheter enligt detta Biträdesavtal till tredje man. Tvist angående tolkning eller tillämpning av detta Biträdesavtal ska avgöras enligt Avtalets bestämmelser om tvistlösning.
Bilaga A – Instruktionen
Kontaktuppgifter | Titel: COO |
Behandlingens art och syfte, inklusive behandlingsaktiviteter | Kwick kommer att behandla personuppgifter i samband med tillhandahållandet av Tjänsten enligt Avtalet, vilket kan innefatta drift av en molnbaserad kundtjänstplattform, inklusive support och vägledning, uppdateringar och förbättringar av de avtalade tjänsterna, generera statistik och, i förekommande fall, för att uppfylla kundernas och Kwicks legala skyldigheter och åtaganden enligt Xxxxxxx eller Biträdesavtalet. Kwick kan också behandla personuppgifter för att upptäcka och förhindra missbruk för tjänstens, användarens eller kundens säkerhet och för att säkerställa teknisk funktionalitet och säkerhet. De personuppgifter som behandlas kommer att vara föremål för följande behandling: - Överföra, ta emot, organisera, lagra och administrera Kunddata, inklusive Transaktionsinformation och Berikad information som tillhandahålls av Kunden, Användaren eller en tredje part; - Aggregering och anonymisering av Kunddata, inklusive Transaktionsinformation och Berikad information; - Utlämnande och överföring till Kunden, Användaren eller annan tredje part enligt instruktioner från Kunden genom överföring, läsning och produktion samt lagring av Kunddata, inklusive Transaktionsinformation och Berikad information; - Utlämnande till kunden genom överföring av personuppgifter och aggregerade uppgifter; - Överföring till Kwick eller andra bolag i Biträdeskoncernen för behandling där Kwick eller dess dotterbolag är personuppgiftsansvariga eller på annat sätt fungerar som personuppgiftsbiträde för en tredje parts personuppgiftsansvarig. |
Kategorier av registrerade | Personuppgifter som behandlas under Tjänsten kan omfatta följande kategorier av registrerade: - Anställda (inklusive entreprenörer och tillfälligt anställda); - Användare - Anställda hos Kundernas tjänsteleverantörer; - Anställda hos kunders handlare; och - alla fysiska personer som godkänts av Kunden att använda Tjänsten. |
Personuppgifter | Personuppgifter som behandlas under Tjänsten kan omfatta följande kategorier: - Personuppgifter (t.ex. namn, personnummer) - Kontaktuppgifter (t.ex. telefonnummer, e-postadress, adress, arbetsplats) - Finansiell information (t.ex. kreditkortsinformation, finansiella transaktioner, köphistorik); - Innehåll (t.ex. foton, bilder eller PDF-filer, digitala kvitton, följesedlar, fakturor och miljörapporter – som alla kan innehålla känsliga uppgifter); - Enhetsinformation (IP-nummer, etc); - Aggregerade kund- eller användargenererade data (t.ex. sessionens varaktighet, antal transaktioner, lösenordsåterställningar) eller icke- aggregerade kund- eller användargenererade data (t.ex. innehåll och sammanhang i supportärenden, chattkonversationer, loggar över säkerhetsincidenter etc.); och - Kommunikation (t.ex. telefoninspelningar, röstbrevlåda). |
Särskilda kategorier av personuppgifter | Känsliga personuppgifter kan, från tid till annan, ingå i behandling via Tjänsten där Kunden eller dess Användare väljer att inkludera känsliga uppgifter inom Tjänsten (till exempel inom den Berikade Informationen). Kunden ansvarar för att lämpliga skyddsåtgärder finns på plats innan överföring eller behandling, eller innan Kundens Användare tillåts överföra eller behandla känsliga uppgifter via Tjänsten. |
Behandlingens varaktighet | Personuppgifter som ingår i Kunddata kommer att behandlas löpande under Avtalets och Biträdesavtalets löptid och kommer att raderas inom tre (3) månader efter Avtalets eller Biträdesavtalets upphörande, eller uppsägning av ett enskilt Användarkonto. Personuppgifter som behandlas för att uppfylla kundernas och Kwicks rättsliga skyldigheter kommer att bevaras under den tid som krävs enligt tillämplig lag. |
Bilaga B – Säkerhetsstandarder
Beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som implementerats av Kwick:
1. Åtkomsträttigheter
▪ Åtkomsträttigheter till IT-system och data samt åtkomst till byggnader och rum beviljas endast på den nivå av åtkomst som behövs för att utföra sina aktiviteter (behov-att-veta-principen).
▪ Åtkomsträttigheter beviljas enligt definierade rollbaserade behörighetsprofiler. De beviljade åtkomsträttigheterna granskas regelbundet. Rättigheter som inte längre behövs tas omedelbart bort.
▪ Separation av data säkerställs för kunddata baserat på programvarusystemhantering, t.ex. genom datalagring i separata mappar.
▪ Xxxxxxxx pseudonymiseras i den mån det är möjligt.
2. Fysisk Åtkomstkontroll
▪ Företaget har implementerat säkerhetsåtgärder för att säkerställa begränsad åtkomst till byggnaden och kontoret. Våra byggnader och kontor är låsta och inte öppna för allmänheten.
▪ Våra produkter körs på värdade servrar i datacenter som övervakas och bemannas dygnet runt.
▪ Datacenter är klimatkontrollerade och brandsäkra, och datacentrets elsystem är utformade för att vara helt redundanta och underhålls utan påverkan på verksamheten.
▪ Hostade miljöer med AWS följer AWS efterlevnad av GDPR, xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxx.
3. Kommunikationssäkerhet
▪ Konfigurering för säkerställande av datatrafik och kommunikationsanslutningar samt för övervakning och loggning av aktiviteter i nätverk har etablerats. Brandväggar och intrångsdetektering och -förebyggande system är på plats.
▪ Åtgärder inkluderar också användning av tjänster, när det är lämpligt, för att underlätta cybersäkerhet samt nätverks- och applikationssäkerhet.
▪ Miljön är skyddad mot DDoS-attacker.
▪ Reguljär skanning för skadlig kod i nätverket.
▪ All kommunikation till och från användare krypteras med TLS.
4. Säkerhetskopiering och Loggar
▪ All data lagras på tre olika platser i Sverige.
▪ Känsliga data som lagras i vila är krypterade.
▪ Data säkerhetskopieras en gång om dagen.
▪ Loggbevaring i Kwick är 24 månader.
▪ Uppladdade filer passerar genom en virus- och skadeprogramsskanner innan de vidarebearbetas.
5. Åtgärder för personal inkluderar att hantera skadeprogram, virus, phishing inkluderar utbildning, att upprätthålla god cyberhygien samt att skydda känslig data och säkerhetskopior.
6. Säkerhetsrevisioner kan utföras av oberoende tredjepartsrevisorer när nya ändringar genomförs. Intern revision kan inkludera krav på datasekretess, såsom:
▪ Anställda för att upprätthålla datasekretess, utbildning och utbildning.
▪ Dataprocessrutiner.
▪ Rutiner vid dataintrång.
▪ Vi har också utsett en roll (inofficiell dataskyddsansvarig) som har samma funktion som en dataskyddsansvarig (DPO), och vi utför intern revision av rutiner samt regelbunden granskning av tekniska framsteg.
7. Katastrofåterställning
Vår verksamhetskontinuitetsledning inkluderar:
▪ Inbädda informationssäkerhetskontinuitet i våra verksamhetskontinuitetsarrangemang.
▪ Säkerställa tillgängligheten av informationssystem.
Vi verifierar våra etablerade och implementerade kontroller för informationssäkerhetskontinuitet med jämna mellanrum för att säkerställa att de är giltiga och effektiva under ogynnsamma situationer, dvs. ambition att återupprätta verksamheten efter oförutsedda händelser.