Dataskydd

Lyyti uppfyller eller överträffar alla GDPR-krav.

I korthet

EU:s nya dataskyddsförordning, som träder i kraft den 25 maj 2018, är en av de mest betydelsefulla internationella lagförändringar som skett inom dataskydd på årtionden. Meningen med förordningen är att öka individens rättigheter att förvalta sina egna personuppgifter samt att likrikta olika nationella lagstiftningar inom den Europeiska Unionen.   

Vi är mycket engagerade i dataskyddsreformen och ända sedan förordningen fastställdes har vi bekantat oss med dess innehåll och påverkan. Det är särskilt viktigt för oss att, förutom att följa förordningen, även hjälpa våra kunder att följa den. Detta  förverkligar vi genom utbildning och vägledning samt teknisk utveckling av vår tjänst.

Vilka skyldigheter har jag som kund?

Lyytis kunder fungerar oftast som registeransvariga för de register och den deltagarinformation som de hanterar i Lyyti. Den registeransvarige (kunden) ansvarar för att definiera registrets syfte och ändamål, medan registerhanteraren (Lyyti) ansvarar för att hjälpa kunden med hantering av data i enlighet med det avsedda syftet. Med andra ord betyder detta att kunden använder Lyyti för sitt planerade ändamål och Lyyti hjälper kunden med förverkligandet av det.

Det är den registeransvariges (kundens) skyldighet att se till att informationen som tillhör de registrerade (t.ex. deltagare) behandlas enligt förordningens krav, både tekniskt och administrativt sett. Förordningen medför betydande förändringar gällande bl.a. på vilka grunder register får upprätthållas. Dessutom bör den registeransvarige se till att verksamheten är transparent för de registrerade, att informationen är korrekt och att personuppgifternas användning begränsas. Det är besynnerligt viktigt att radera all irrelevant information och att säkerställa att den registrerades rättigheter uppfylls. I samband med den nya förordningen har de registrerade rätt att be om sina registrerade uppgifter, uppdatera dem och under vissa förutsättningar även be om att informationen raderas.

Ifall du är registeransvarig rekommenderar vi att du bekantar dig med den nya förordningens innehåll. Utmärkta hjälpmedel för detta är bl.a. dataombudsmannens anvisningar och Datainspektionens utbildningar.

Dessutom rekommenderar vi att du går igenom din egen/din organisations situation tillsammans med en jurist som är insatt i din bransch. Då får du garanterat organisationsspecifika råd och anvisningar som är riktade till just din organisation och bransch.

Hur kommer jag igång?

  1. Börja med att bekanta dig med dataskyddsreformen som helhet - Datainspektionen har omfattande resursmaterial här
  2. Undersök hurudana register du upprätthåller och kontrollera att de är kompatibla med de krav som ställs i den nya förordningen.
  3. Skapa en ny registerbeskrivning eller integritetspolicy enligt förordningen. Klicka här för att se ett exempel. Du kan använda den som grund för din egen integritetspolicy.
  4. Undersök hur dina programvaror, tjänster, principer och processer är kompatibla med förordningen. Gör vederbörliga dataskyddsavtal (DPA) med alla de som hanterar ditt register. Här finns ett exempel på en dataskyddsbilaga, som du kan ha som grund för din.


Hur har Lyyti förberetts inför dataskyddsreformen?

Förtroende, expertis och resurser

Vi har lagt mycket tid och möda på att lära oss allt om förordningens krav och hur de kan tillämpas till den tjänst vi erbjuder. Som en del av detta arbete har vi utbildat vår personal till experter inom dataskydd. Företagets ledning och vår utnämnde dataskyddsansvarige (DPO), som ansvarar för verksamheten som en del av ledningsgruppen, har ansvarsbelagts med Lyytis dataskyddsverksamhet.

En särskild dataskyddsarbetsgrupp har grundats och dess uppgift är att implementera dataskyddsprocesserna och förändringarna i vår tjänst och i all vår verksamhet.

Avtal om uppgiftshantering

Vi har djup förståelse för vår viktiga roll som hanterare av värdefulla och konfidentiella personuppgifter och vi förhåller oss med allvar till det ansvar som våra kunder ger oss. Tillsammans med våra kunder har vi, i enlighet med dataskyddsförordningen, sammanställt en dataskyddsbilaga till vårt leveransavtal, som specificerar hanteringsinstruktioner för våra kunders register. Dessa instruktioner lägger grunden för all vår datahanteringsverksamhet.

Vi kräver att alla våra kunder skriver under dataskyddsbilagan, så att vi kan försäkra oss om trygg och laglig hantering av allas personuppgifter även efter den 25:e maj. De personuppgifter som matas in i Lyyti kommer vi att hantera endast i enlighet med dessa instruktioner.

Lyytis personal förbinder sig till att delta i årliga dataskydds- och informationshanteringsutbildningar, för att garantera att dina uppgifter hanteras på ett tillförlitligt vis. Alla våra anställda har även förbundit sig till sträng sekretess gällande våra kunders uppgifter.

Underleverantörer

Lyyti strävar efter att erbjuda kunderna en så trygg och högklassig tjänst som möjligt. Likt många andra SaaS-tjänster använder även vi oss av underleverantörer och samarbetspartners för att tillhandahålla våra tjänster. Detta innebär att våra underleverantörer också i specifika fall deltar i hanteringen av personuppgifter. Alla våra underleverantörer genomgår en auditeringsprocess där vi försäkrar oss om att de uppfyller samma krävande kriterier gällande informationssäkerhet och dataskydd som även vi förbinder oss till.

Som en del av hanteringsavtalet bör våra kunder godkänna vår användning av underleverantörer i hanteringen av personuppgifter. Här upprätthåller vi en uppdaterad lista över våra underleverantörer.

Säkerhet

Kärnan i den nya dataskyddsförordningen är säkerhet och personuppgiftssekretess. Vi följer bästa praxis och standarder inom branschen för att säkerställa våra kunders känsliga data. Utöver det utvecklar vi kontinuerligt datasäkerhetsaspekter i vår verksamhet, både genom att öka vår egen beredskap och genom att hålla oss uppdaterade angående nya metoder och teknologi.

Vår tjänst är grundat på en stabil virtualplattform som fysiskt ligger i Helsingfors i Finland.  Våra serverhallar är KATAKRI och VAHTI auditerade, vilket innebär att de till sin säkerhetsnivå är anpassbara till statsförvaltningen och försvarsmaktens bruk. Vi tillämpar KATAKRI-auditeringskriterierna i vår egen verksamhet och de ligger som grund för vår säkerhetsmodell. Dessa modeller har beaktats i den säkerhetspolitik som definierar hela Lyytis säkerhetssystem, samt i de säkerhetsprogram som fastställer alla praktiska säkerhetsåtgärder gällande teknologi, fysiska utrymmen och personal.

Vår serverarkitektur är byggd på den feltoleranta N+1-principen, vilket innebär att vi kan erbjuda vår tjänst även ifall enskilda apparater eller servers drabbas av funktionsfel. Vi upprätthåller flera säkerhetskopior på skilda servers för att säkerställa att all information finns intakt ifall en problemsituation uppstår.

Säkerheten av vår tjänst granskas med jämna mellanrum på vårt eget initiativ under tekniska och organisatoriska auditeringar. Vi beställer även årligen auditeringar av tredje parter.

GDPR-beredskap inom Lyytitjänsten

Vårt produktutvecklingsteam har kämpat under det senaste året för att kunna erbjuda våra kunder de bästa möjliga verktygen. Dessa verktyg hjälper framför allt kunden att uppfylla kraven på transparens, men även samtliga andra krav utsatta av förordningen.

Nya dataskyddsrelaterade egenskaper i Lyyti:

1. Tillägg registerbeskrivningen automatiskt på alla anmälningssidor och i e-post
2. Samtyckesklausul för den registrerades rättigheter och registrets användningssyfte vid anmälningen
3. Uppföljning och övervakning av den registrerade deltagarens samtycke
4. Sökning, redigering och radering av deltagardata på begäran av en registrerad deltagare

Att söka och radera uppgifter

Lyyti ger sina kunder utmärkta verktyg för att söka upp och radera enskilda registrerade deltagares uppgifter. Ifall din kundrelation hos oss avslutas eller du av någon annan orsak vill ta fram eller radera alla personuppgifter, erbjuder vi dig de rätta verktygen för detta.

Evenemangs-, deltagar- och andra personuppgifter går att hämta via vårt gränssnitt. Mer information angående REST-API-gränssnittet hittar du på adressen https://lyyti.readme.io. Vid förfrågan kan vi, då din kundrelation avslutats, bekräfta att alla personuppgifter raderats från vår egen och våra underleverantörers datamassor. Ifall vi inte av lagligt skäl eller legitimt intresse är förpliktade att bevara datan, kommer vi att automatiskt radera dina uppgifter enligt utgiven deadline.

Vårt stöd till dig

Lyytis dataskyddsarbetsgrupp erbjuder hjälp och svarar på frågor gällande användningen av Lyyti och dataskyddsförordningen. Dessutom erbjuder våra kundansvarige och vår kundtjänst stöd och vägledning med användningen av Lyytis dataskyddsfunktioner.

Internationell dataöverföring

Lyyti kommer aldrig att överföra personuppgifter av de som ingått hanteringsavtal, eller de personuppgifter som våra kunder matat in i tjänsten, utanför den Europeiska Unionen eller det Europeiska ekonomiska samarbetsområdet. Vi ser även till att våra underleverantörer binder sig till denna princip.

Lyyti förbehåller sig rätten att utanför den Europeiska Unionen eller det Europeiska ekonomiska samarbetsområdet hantera de data som sparats i våra egna personregister, förutsatt att tillräcklig informationssäkerhet och dataskydd tagits hand om på ett sakligt vis. Vi försöker minimera den datamängd som hanteras utanför EU, men på grund av internets öppna natur kan vi inte begränsa hanteringen fullständigt.

Våra samarbetspartners i dataskyddsärenden: Lexperience / Elina Koivumäki och LRHTO / Kimmo Kajander.

Tusentals nöjda Lyyti-användare världen över - bli en av dem!

Boka en pratstund eller demo med en av våra experter, det är det bästa sättet att få reda på hur Lyyti passar in i just din vardag. Det kostar inget och förbinder dig inte heller till något. Vi ser fram emot ditt meddelande!