Säker datahantering
Lyyti - En trygg och pålitlig partner
Vi tar datasäkerhet på största allvar. När du anförtror Lyyti med din event- och deltagardata, kan du lita på att den är i säkert förvar. Lyyti är 100% dedikerade till att följa EU:s dataskyddsförordning (GDPR) och vi erbjuder alla våra kunder och användare möjligheten att vara minst lika engagerade som vi och hantera all sin eventdata säkert.
- Lyytis system övervakas 24/7 av vårt driftsteam, varje dag året runt.
- Lyytis säkerhetsstandarder och dokumention har utformats i enlighet med KATAKRI auditeringsverktygs kriterier och ISO-27001-standard. KATAKRI är de säkerhetsrevisionskriterier som används av finska statliga organ och myndigheter, och ISO-27001 utgör en säker grund för administrativ säkerhet och riskhantering.
- Lyytis säkerhetskopieringssystem täcker fyra olika operativa nivåer som är geografiskt åtskilda.
- Alla Lyytis anställda genomför årligen obligatoriska utbildningar i dataskydd och datasäkerhet.
- Alla Lyytis lokaler är anpassade och utrustade för att uppfylla mycket strikta säkerhetsbestämmelser (VAHTI ST IV).
- Lyyti behandlar endast data inom EU:s gränser (GDPR 2016/679).
- Alla våra underleverantörer är noggrant utvalda för att kunna matcha våra höga säkerhetsstandarder. Se alla våra underleverantörer här.
Datasäkerhet
Lyyti är GDPR-kompatibelt. Vi uppfyller eller överträffar alla krav som fastställts av den allmänna dataskyddsförordningen (GDPR).
I korthet
Den 25 maj 2018 trädde Europeiska unionens allmänna dataskyddsförordning (GDPR) i kraft, och är en av de viktigaste internationella lagstiftningsförändringarna inom dataskydd på årtionden. Syftet med förordningen är att öka individens rättigheter att hantera och behandla sina personuppgifter samt att harmonisera lagstiftningen inom EU.
Lyyti är fast åtagen att följa dataskyddsförordningen. Förutom att själva uppfylla förordningen är det viktigt för oss att även hjälpa våra kunder efterfölja GDPR. Detta mål uppnås genom utbildning, information och teknisk utveckling av vår programvara.
Lyyti erbjuder verktyg och funktioner för GDPR-säker eventhantering
Lyyti är ett SaaS-bolag specialiserat på hantering av deltagardata. Vi hanterar årligen miljontals registreringar och över 100 000 event. Alla event, mer eller mindre, innebär personligt identifierbar information och känslig personlig information. Vi vill sätta en hög standard för dataskydd inom eventhantering och stå i fronten inom detta område.
Lyyti erbjuder alla kunder de verktyg som behövs för att skapa och hantera event som uppfyller GDPR och säker hantering av person- och eventdata.
Baserat på hundratals kundintervjuer har vi kommit fram till att organisationer runt om i Europa brottas med i stort sett samma utmaningar när det gäller GDPR. Den här sidan är en sammanfattning av de vanligaste dataskyddsutmaningar, där vi också presenterar de verktyg och funktioner som Lyyti erbjuder för att hantera dessa frågor.
Alla våra kunder har tillgång till de grundläggande säkerhetsverktygen i deras Lyyti-licens. Men våra kunder skiljer sig åt och har olika behov. Därför har vi paketerat de mer avancerade verktygen antingen i Compliance Center (ingår i Lyyti-licenser som köpts eller uppdaterats efter den 1 januari 2017) eller i licensen Enterprise.
Spridda register, det vill säga deltagarlistor som sparats här och där, kan orsaka problem. Problemet uppstår lätt vid event, när det finns ett behov av att dela specifik deltagarinformation med tredje parter som catering- eller boenderepresentanter.
Lyyti erbjuder en centraliserad deltagardatabas för säker lagring av personligt identifierbar information. Data kan delas säkert via online-rapporter, som regleras noggrant av den som delar den: rapporten kan skyddas med lösenord, åtkomsten kan begränsas, och rapporten kan tidsbegränsas. Tack vare online-rapporter behöver mottagaren aldrig spara någon personlig data på sin egen enhet.
Online-rapportering ingår i alla Lyytis licenser.
Sekretesspolicyn är dokumentet som förklarar för den registrerade personen varför och hur deras data lagras och hanteras. En organisation kan ha flera sekretesspolicys om de har flera olika register, till exempel en för marknadsföringsändamål och en annan för kunddata. Sekretesspolicyn måste alltid finnas tillgänglig för de registrerade personerna.
Alla våra kunder har möjlighet att skapa (på flera språk om det behövs) en sekretesspolicy för sina event i Lyyti. I praktiken är detta tillräckligt när det endast behöver finnas ett register.
Att skapa en egen sekretesspolicy ingår i alla Lyytis licenser.
Om ett företag arrangerar event som innebär att det behövs separata register (t.ex. klientevent relaterade till marknadsföringsregistret eller interna event relaterade till personalregistret), kan det finnas behov för flera olika sekretesspolicys.
En person kan läggas till i ett register i Lyyti när den gett samtycke, genom att bocka i en ruta vid registreringen. Registreringen kan också ske på andra villkor, som måste klargöras för personen när de anmäler sig. I det fallet krävs inget uttryckligt samtycke, så länge villkoren presenteras tydligt för den registrerade personen.
Separata register är ett särskilt användbart verktyg för eventbyråer. Det gör det möjligt för t.ex. eventbyrån att arrangera event för sin klient, men endast vara behandlingsansvarig och inte registreringssansvarig. En eventbyrå kan då skapa klient-specifika sekretesspolicys, hantera klient-specifika samtyckesfrågor och redigera eller ta bort data i klient-specifika register.
Flera separata register är tillgängligt i de licenser som inkluderar dataskyddspaketet. Dataskyddspaketet ingår i licenser som köpts eller uppdaterats efter den 1 januari 2017.
Om den registrerade lämnar samtycke till något (t.ex. motta nyhetsbrev), kan samtyckesinformationen lagras och hanteras i Lyyti. Funktionen för samtyckesfrågor är enkel att använda och transparent för både användaren och deltagaren. Om samtycke har getts i ett tidigare event, kommer Lyyti att känna igen detta baserat på e-postadressen, och på så vis undvika upprepande samtyckesfrågor.
Verktyget för samtycken ingår i alla Lyytis licenser.
När det finns behov av flera samtyckesfrågor (t.ex. för olika nyhetsbrev eller andra marknadsföringssamtycken) kan ett obegränsat antal frågor skapas i Lyyti. Användaren väljer själv vilka frågor som ska ställas för vilket event.
Verktyget för flera samtyckesfrågor är tillgänglig i de licenser som inkluderar Dataskyddspaketet. Dataskyddspaketet ingår i licenser som köpts eller uppdaterats efter den 1 januari 2017.
Enligt artikel 15 i Förordningen har den registrerade personen (i detta fall deltagaren) rätt att få tillgång till sina personuppgifter och information om hur deras personuppgifter behandlas, samt begära ändringar eller att uppgifterna raderas.
Lyyti lösning på detta är en sökfunktion som kan sammanställa all data om en deltagare i en PDF-fil eller maskinkod. Sökningen kan göras i en specifik användares event, eller i alla event som tillhör organisationen eller företaget.
Hämtning av deltagardata från en användares event, ingår i alla Lyytis licenser.
Hämtning av deltagardata från alla organisationens event och generering av PDF- eller maskinkodsfiler finns tillgänglig i de licenser som inkluderar Dataskyddspaketet. Dataskyddspaketet ingår i licenser som köpts eller uppdaterats efter den 1 januari 2017.
När en organisation eller företag hanterar flera register, kan sökningen av deltagardata göras i antingen ett register eller i alla befintliga register.
Hämtning av deltagardata från ett eller flera register är tillgänglig i licenser som inkluderar Dataskyddspaketet. Dataskyddspaketet ingår i licenser som köpts eller uppdaterats efter den 1 januari 2017.
För att persondata inte längre ska räknas som känslig, behöver all information som kan kopplas till en fysisk person raderas. Denna process kallas för anonymisering, och innebär att denna data inte längre omfattas av GDPR. Anonymiserad deltagarinformation kan användas för statistik osv. Behovet av anonymisering kan antingen uppstå på begäran av den registrerade personen eller när behovet av att behandla viss personlig information inte längre finns (t.ex. tillräckligt lång tid har gått sedan eventet).
Verktyget för anonymisering av deltagardata ingår i alla Lyytis licenser.
När en organisation hanterar flera register kan det finnas ett behov av att hitta och anonymisera en registrerad person, i flera olika register. Ett exempel på det är ett företag som kräver samtycke för att registrera en deltagare i sitt deltagarregister, men som sedan vill hålla sitt deltagarregister och marknadsföringsregister separerade.
Detta är en populär funktion bland eventbyråer och konferensarrangörer, eftersom olika kunders deltagarregister kan hanteras separat och deltagarsökningen kan enkelt göras i korrekt register.
Anonymisering som omfattar ett eller flera register är tillgänglig i de licenser som inkluderar Dataskyddspaketet. Dataskyddspaketet ingår i licenser som köpts eller uppdaterats efter den 1 januari 2017.
Anonymisering av ett helt event på endast ett klick, är en praktisk funktion för att bli av med personligt identifierbara data i t.ex. gamla, arkiverade event.
Anonymisering av ett helt event är tillgänglig i de licenser som inkluderar Dataskyddspaketet. Eftersom anonymisering inte kan ångras är denna funktion endast tillgänglig för administratören.
Automatisk anonymisering är ett verktyg för administratören, där hen kan ställa in vissa organisationsspecifika regler för anonymisering. Det kan till exempel handla om att data ska anonymiseras vid en viss tidpunkt, eller att ett visst fält eller fråga automatiskt ska anonymiseras.
Detta verktyg är särskilt användbart för stora organisationer och andra kunder som vill standardisera och centralisera datahantering och anonymiseringspraxis för hela organisationen.
Automatisk anonymisering är tillgänglig i Lyytis Enterprise licenser.
Att delta på ett event kan ofta ses som att deltagaren gett sitt samtycke, t.ex. när en deltagare anmäler sig till ett event och samtidigt godkänner att ta emot nyhetsbrev, enligt vad som anges i sekretesspolicyn för marknadsföringsregistret. I dessa fall måste samtyckesinformationen, tillsammans med deltagarinformationen, flyttas över till ett annat system (t.ex. en marknadsföringsplattform) där registret bearbetas vidare.
Exporting av samtyckesinformation via rapporter eller till Excel-filer är tillgänglig i alla Lyytis licenser.
Många organisationer och företag som använder Lyyti för sina event, använder vanligtvis även ett eller flera andra system såsom CRM-system, marknadsföringsplattformar, HR-system etc. För dessa användare är automatisk flöde av data, en uppskattad och tidsbesparande funktion. Med hjälp av Lyytis API kan du enkelt exportera och importera data mellan Lyyti och dina andra system.
Export och import av eventdata via API är tillgängligt i Lyytis Enterprise licenser.
Information om en persons hälsa, politisk aktivitet eller sexuella läggning är exempel på känsliga personuppgifter. Denna information bör endast behandlas och lagras när det är absolut nödvändigt, och tas bort när den inte längre behövs.
Lyyti erbjuder verktyg som gör att du kan markera vissa frågor som känslig data och därefter schemalägga borttagning av denna data. Administratören kan även sätta regler för hela organisationen när det kommer till känslig data, vilket säkerställer säker borttagning.
Verktyget för hantering av känslig persondata finns tillgängligt i Lyytis Enterprise licenser.
Glöm inte att själva eventet i sig inte innehåller personligt identifierbar information, och därmed inte behöver raderas.
När det gäller personuppgifter som finns i tidigare event är det bra att tänka på följande:
- Är arrangören skyldig enligt lag att behålla data, t.ex. för utbildningsbevis eller bokföringsändamål?
- Har arrangören en laglig grund och syfte för att spara sin eventdata, t.ex. i event riktade till kunder som redan finns i kundregistret?
- Har arrangören en anledning att lagra data i samband med legitim ekonomisk verksamhet eller för att uppfylla kontraktsliga åtaganden (t.ex. ett återkommande event där tidigare deltagande kan påverka framtida gästlistor)?
Om det inte finns något behov av att behålla personuppgifter från tidigare event kan det vara lämpligt att anonymisera event som är äldre än två år, istället för att ta bort dem helt. Vi rekommenderar att detta görs event för event, eftersom anonymisering inte kan ångras.