2018-08-14

Information om GDPR

Vad är GDPR?

Dataskyddsförordningen, GDPR, ersätter den gamla personuppgiftslagen (PUL). Syftet med GDPR är att stärka rättigheter vad det gäller den enskilde individens personliga integritet. Den enskilde individen ska kunna få insyn i hur informationen används och även begära att företag raderar, överför eller lämnar ut information. För ett företag reglerar förordningen all form av behandling såsom insamling, överföring samt användning av personuppgifter tillhörande medborgare inom EU. Företag utanför EU som hanterar personuppgifter om EU-medborgare omfattas även av lagstiftningen.

Egreement och GDPR

Egreement uppfyller kraven i GDPR sedan den den 25:e maj 2018. Vi hjälper även er som kund att uppfylla GDPR inom ramen för tjänsten. Som kund hos Egreement kan ni anpassa tjänsten utifrån era behov. Nedan hittar ni en övergripande beskrivning av hur Egreements tjänst stödjer GDPR samt hur Egreement behandlar personuppgifter för våra kunders räkning.

Egreement hjälper er som kund att följa GDPR

Egreements tjänst är uppbyggd utifrån principerna om ”Privacy by design” och ”Privacy by default” (inbyggt dataskydd och dataskydd som standard) enligt GDPR. Detta innebär bl.a. att Egreements tjänst:

– Säkerställer att ni som kund kan följa de grundläggande principerna enligt GDPR. Detta innefattar bl.a. att ni inom tjänsten kan uppfylla krav på uppgiftsminimering, lagringsminimering och ändamålsbegränsning. Ni bestämmer själv vilka personuppgifter som ska registreras om vem som har ingått avtal. Dessutom kan ni bestämma i förväg när avtalet ska raderas eller välja att radera det manuellt efter en viss tid.

– Säkerställer åtkomstkontroll – d.v.s. att ni som kund kan styra vilka personer som ska ha åtkomst till vilka uppgifter. Ni kan själv skapa och ta bort användare och väljer dessutom vilka som ska få åtkomst till avtalen och när avtalen ska delas med flera personer.

– Säkerställer att ni som kund kan tillgodose den registrerades rättigheter, t.ex. rätt till rättelse, radering, begränsning och gallring av uppgifter i enlighet med de krav som GDPR ställer. Detta kan ni själv hantera inom ramen för tjänsten genom att rätta, ta bort och begränsa sina personuppgifter. Ni kan själv söka på personuppgifter och på så sätt ta reda på vilka personuppgifter som behandlas. Egreements tjänst stödjer även rätten till dataportabilitet.

– Säkerställer att ni som kund kan söka efter personuppgifter för att därefter kunna skapa ett registerutdrag.

– Säkerställer att ni som kund har möjlighet att uppfylla er anmälningsskyldighet vid en eventuell personuppgiftsincident. Egreement har processer för att vid en personuppgiftsincident, utan oskäligt dröjsmål underrätta er som personuppgiftsansvarig om incidenten från dess att Egreement får kännedom om att den har inträffat.

Säkerhetsnivå

Egreement säkerställer att systemet har en säkerhetsnivå som är lämplig i förhållande till risken i enlighet med de krav som GDPR kräver. Detta innebär bland annat:

– Pseudonymisering av personuppgifter.

– Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna.

– Förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident.

– Ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Egreement som personuppgiftsbiträde

Egreement behandlar endast personuppgifter för våra kunders (den personuppgiftsansvariges) räkning. Det innebär att Egreement är personuppgiftsbiträde för de personuppgifter som behandlas inom tjänsten. För att uppfylla kraven i GDPR har Egreement därför tagit fram ett personuppgiftsbiträdesavtal med standardinstruktioner som kan ingås mellan Egreement och er som kund.

Andra åtgärder kopplat till er som kund

Egreement för ett register över alla kategorier av behandlingar som utförs för våra kunders räkning. Egreement har även vidtagit lämpliga organisatoriska åtgärder för att säkerställa att en hög och lämplig organisatorisk säkerhet upprätthålls. All personal och i förekommande fall konsulter har undertecknat sekretessavtal och fått information om hur inloggningsuppgifter ska förvaras på ett säkert sätt för att säkerställa att ingen obehörig ges åtkomst till personuppgifter.

Egreement lagrar endast personuppgifter inom EU/EES. Vid anlitande av underleverantörer säkerställer Egreement att korrekta underbiträdesavtal ingås samt att underleverantörerna följer de instruktioner som ni som kund har vad gäller behandling av personuppgifter. Våra kunder ges även den insyn som krävs för att säkerställa att personuppgifter behandlas på ett korrekt sätt.

Även i övrigt bistår Egreement er som kund för att – i enlighet med vad som krävs av Egreement såsom personuppgiftsbiträde enligt GDPR - säkerställa att ni kan uppfylla de relevanta krav som ni har på er, t.ex. bistå vid risk- och sårbarhetsanalys.

Egreement har även antagit en intern personuppgiftpolicy som reglerar hur personuppgifter får hanteras samt ge sina anställda nödvändig utbildning och kunskap.

Mer information om hur Egreement behandlar personuppgifter för våra kunders räkning finns att läsa om här.