Integritet & säkerhet
Att skydda din eventdata och dina deltagares integritet är vår högsta prioritet. Därför använder de mest säkerhetsmedvetna organisationerna i världen Lyyti för alla sina event.
Lyyti är helt kompatibelt med GDPR och uppfyller eller överträffar alla krav som ställs av dataskyddsförordningen (GDPR).
Din eventdata och dina deltagares integritet är vår högsta prioritet
Den 25 maj 2018 trädde Europeiska unionens allmänna dataskyddsförordning (GDPR) i kraft, och är en av de viktigaste internationella lagstiftningsförändringarna inom dataskydd på årtionden. Syftet med förordningen är att öka individens rättigheter att hantera och behandla sina personuppgifter samt att harmonisera lagstiftningen inom EU.
Lyyti är fast åtagen att följa dataskyddsförordningen. Förutom att själva uppfylla förordningen är det viktigt för oss att även hjälpa våra kunder efterfölja GDPR. Detta mål uppnås genom utbildning, information och teknisk utveckling av vår programvara.
Lyyti erbjuder verktyg och funktioner
för GDPR-säker eventhantering
Lyyti är ett SaaS-bolag specialiserat på hantering av deltagardata. Vi hanterar årligen miljontals registreringar och över 100 000 event. Alla event, mer eller mindre, innebär att personligt identifierbar information och känslig personlig information samlas in. Vi sätter en hög standard för dataskydd inom eventhantering och vill vara ledande inom detta område.
Baserat på hundratals kundintervjuer har vi kommit fram till att organisationer runt om i Europa brottas med i stort sett samma utmaningar när det gäller GDPR. Den här sidan är en sammanfattning av de vanligaste dataskyddsutmaningar, där vi också presenterar de verktyg och funktioner som Lyyti erbjuder för att hantera dessa frågor.
Alla våra kunder har tillgång till de grundläggande säkerhetsverktygen i deras Lyyti-licens, men våra kunder skiljer sig åt och har olika behov. Därför har vi paketerat de mer avancerade verktygen i Compliance Center (ingår i Lyyti-licenser som köpts eller uppdaterats efter den 1 januari 2017) eller i licensen Enterprise.
Informationssäkerhet
En hög nivå av informationssäkerhet är av största vikt för oss.
Att upprätthålla en hög nivå av informationssäkerhet är vår högsta prioritet. När du anförtror din eventdata till Lyyti kan du vara säker på att den är trygg. Vi är till 100 % engagerade i att upprätthålla strikta säkerhetsstandarder genom flera skyddslager.
Med Lyyti har du alla verktyg som behövs för att hantera din deltagardata på ett säkert sätt.
Lyytis informationssäkerhetssystem (ISMS) har utformats i enlighet med ISO/IEC 27001-standarder och omfattar ett brett spektrum av säkerhetsåtgärder. Dessa åtgärder inkluderar kontroller, policys, riktlinjer, planer och procedurer, alla utformade för att skydda varje aspekt av vår verksamhet.
- Lyyti behandlar endast data inom EU:s gränser, i enlighet med GDPR (2016/679).
- Alla Lyytis lokaler är anpassade och utrustade för att uppfylla mycket strikta säkerhetsbestämmelser.
- Lyytis system övervakas dygnet runt av vårt driftsteam, varje dag året runt. Detta för att snabbt kunna identifiera och åtgärda potentiella sårbarheter.
- Alla våra underleverantörer är noggrant utvalda för att kunna matcha våra höga säkerhetsstandarder. Varje underleverantör granskas årligen för att säkerställa efterlevnad. Du hittar alla våra underleverantörer här.
- Lyytis säkerhetskopieringssystem täcker fyra olika operativa nivåer som är geografiskt åtskilda, för att öka säkerheten.
- Vårt säkerhetsprogram för all personal kräver att alla anställda genomgår årlig utbildning i datasäkerhet och dataskydd, vilket säkerställer att vårt team är väl insatt i att upprätthålla de högsta standarderna för informationssäkerhet.
Lyytis
Säkerhetsprogram
Företagssäkerhet omfattar alla aspekter av företagets verksamhet. Vårt säkerhetsprogram hjälper oss att skydda Lyytis kärnvärden, inklusive människor, data, rykte, egendom, tillgångar och miljön. En av säkerhetsprogramets främsta uppgifter är att stärka företagets konkurrenskraft genom att säkerställa konfidentialitet, integritet och tillgänglighet för all behandlad information. Våra anställda genomgår därför årligen utbildningar inom datasäkerhet och dataskydd.
Lyytis Informationssäkerhetssystem (ISMS)
Lyyti ISMS, som omfattar kontroller, policyer, riktlinjer, planer och instruktioner, är baserat på ISO/IEC 27001-standarden och utvecklat i enlighet med kriterierna för KATAKRI auditeringsverktyg. KATAKRI, som står för 'National Security Auditing Criteria' i Finland, är ett verktyg som används av finska myndigheter för att granska säkerhetsarrangemangen hos organisationer som hanterar nationell säkerhetsinformation.
Fysisk
Säkerhet
Lyytis kontor är utrustade med elektroniska lås, kameraövervakning och moderna inbrottslarmssystem samt övervakas dygnet runt av ett externt säkerhetsföretag. Varje anställd måste använda en personlig elektronisk nyckel för att få tillträde till kontoret. Alla åtkomsthändelser loggas, övervakas och kan granskas vid behov.
Driftleverantören för Lyytis produkter följer flera branschkända säkerhetsstandarder, såsom ISO 9001, SOC 1 Typ II, SOC 2 Typ II, ISO 27001, ISO 22301 och PCI-DSS. En omfattande lista över värdleverantörens certifieringar hittar du här.
Dataklassificering
Lyyti använder en dataklassificeringsmodell med tre nivåer. Kriterierna för att klassificera data till dessa nivåer, tillsammans med riktlinjer för hantering av varje klassificeringsnivå, beskrivs i vår policydokumentation. Anställda får regelbunden utbildning i dessa rutiner för att säkerställa korrekt datahantering.
Slutpunktssäkerhet
Alla enheter som får åtkomst till företagets data har genomgåtts av företaget och har säkrats på ett dokumenterat sätt. Dessa enheter skyddas mot olika typer av attacker med en XDR-lösning som övervakas dygnet runt. Lyyti använder en MDM-lösning för att kontrollera och uppdatera slutpunktspolicyer, vilket säkerställer att alla enheter hanteras och krypteras. Användare är skyldiga att rapportera eventuella avvikelser som uppstår vid användning av företagets enheter.
"Lyyti Acceptable Use Policy" beskriver godtagbar användning av företagets IT-resurser och företagsutgivna tillgångar och inkluderar processen för policyöverträdelser.
Säkerhetsutbildning
Alla nya medarbetare måste genomgå säkerhets- och sekretessutbildning samt klara ett slutprov sin första arbetsdag. Utbildningsinnehållet uppdateras regelbundet och all personal är skyldig att vara uppdaterade på det senaste och klara motsvarande prov inom angivna tidsramar, normalt minst en gång per år. Resultaten av dessa prov övervakas och registreras noggrant för ansvarighetsändamål.
Utvecklare utbildas årligen i praxis för säker programvaruutveckling.
Datakryptering
Alla företagsutgivna enheter är krypterade. Kunddata behandlas alltid i krypterad form, både när den lagras och under överföring.
Företagets
Säkerhetsroller
Alla säkerhetsrelaterade roller och tillfälliga ersättare finns angivna på Lyytis interna företagssidor. Företagets säkra kommunikationskanaler inkluderar kontaktuppgifter till innehavarna av säkerhetsroller.
Policybeskrivning
Företagets säkerhetsdokumentation består av flera kontrollerade policydokument och riktlinjer, som alla tilldelats en utsedd ägare med huvudansvar för granskningsprocessen. Dessa dokument genomgår en årlig granskning, eller vid någon betydande ändring av innehållet. Detta system säkerställer att policys och riktlinjer förblir aktuella och går i linje med organisationens mål, syften och lagkrav.
Säkerhetsincidenter
och Hantering
Lyyti upprätthåller dokumenterade processer och omfattande planer för incidenthantering, vilket säkerställer kontinuerlig övervakning av säkerhetsincidenter och lösningar. Alla anställda är skyldiga att omedelbart rapportera eventuella upptäckta eller misstänkta överträdelser av vår informationssäkerhetspolicy, intrångsförsök, dataintrång, stöld eller förlust av hårdvara samt andra säkerhetsrelaterade händelser och incidenter.
Vi granskar regelbundet vår dokumentation för incidenthantering och gör den tillgänglig för alla användare. Dokumentationen beskriver kommunikationsprotokoll som ska följas under incidenter och betonar vikten av snabba åtgärder för att skydda Lyytis tjänster och data.
Riskhantering
Riskhantering är en integrerad del av Lyytis strategiska process. Det hjälper oss att uppnå våra mål genom att säkerställa att riskerna är proportionerliga till riskkapaciteten.
Vi har identifierat och dokumenterat olika risker i ett register. Riskerna har klassificerats och analyserats, och åtgärdsplaner upprättas årligen för att minska riskerna. Vår CTO tillsammans med VD och Compliance-teamet, är ansvariga för att formulera riskhanteringspolicyn och riskbedömningen. Ledningsgruppen godkänner riskhanteringspolicyn och granskar processen årligen.
Business Continuity Plan (BCP)
och Disaster Recovery Plan (DRP)
Lyyti har en Business Continuity Plan som stöds av en omfattande Disaster Recovery Plan. Detta säkerställer att alla kritiska affärsfunktioner kan fortsätta både under och efter en katastrof. Huvudmålet med Disaster Recovery Plan är att minimera systemavbrott och dataförluster. Dessa dokument granskas regelbundet för att säkerställa deras effektivitet.
Sårbarhetsskanningar och
Övervakning
Hela Lyytis infrastruktur genomgår operativ övervakning dygnet runt, inklusive molninfrastruktur, nätverk, slutpunkter och kontorsfastigheter. Eventuella avvikelser som upptäcks klassificeras, dokumenteras och hanteras enligt policyer och riktlinjer. Alla miljöer skannas även efter sårbarheter: online, dagligen eller veckovis, beroende på systemet.
Penetrationstestning
Ett oberoende externt företag genomför penetrationstestning minst en gång per år. Alla möjliga upptäckter dokumenteras i de elektroniska systemen och hanteras på ett lämpligt sätt.
En sammanfattning från det senaste penetrationstestet, utfört av Fraktal Oy i mars 2024, hittar du nedan.
Patchhanteringsprocess
Lyytis drifthårdvara och programvara övervakas kontinuerligt för potentiella sårbarheter. Sårbarheter som klassificeras som "Kritiska" eller "Höga" enligt CVSS v3.0 Severity Rating system patchas omedelbart, medan de som klassificeras som "Medelhöga" eller lägre patchas inom en månad efter att patchen släppts.
Säkerhetsrutiner för
Anställda och Leverantörer
Lyyti är dedikerade till att upprätthålla de högsta säkerhetsnivåerna, med start i anställnings- och introduktionsprocesserna för både anställda och leverantörer. Företaget anställer endast individer som är pålitliga och varje anställningsavtal innehåller dessutom en sekretessklausul för att skydda känslig information.
För att säkerställa hög säkerhet genomgår personal och leverantörer utbildning och måste klara slutprov innan de får tillgång till systemen. Åtkomst är strikt reglerad baserat på arbetsroller, vilket endast tillåter nödvändig åtkomst till känslig data.
Dessutom är alla medarbetare, som en del av deras anställnings- eller kontraktsavtal, skyldiga att följa företagets säkerhetspolicyer. Denna strikta dedikation till säkerhetsrutiner och policyer hjälper Lyyti att skydda sina tillgångar, data och kundernas integritet.
Offboarding
för Anställda
När en anställd lämnar företaget har vi en detaljerad steg-för-steg-process för offboarding. Detta inkluderar bland annat att användarkontot till alla system som används omedelbart inaktiveras eller raderas samt att de använda enheterna rensas. Alla enheter som företaget lämnat ut är listade i tillgångsregistren och samlas in samt hanteras enligt dokumenterade rutiner.
Datalagring och
Underbehandling av Data
All data som behandlas av Lyyti, inklusive underbehandling, hanteras inom EU-regionen. En lista över underleverantörer som används av Lyyti finns tillgänglig här. Alla underleverantörer granskas årligen.
Dataskyddsfunktioner i Lyyti
Spridda register, det vill säga deltagarlistor som sparats här och där, kan orsaka problem. Problemet uppstår lätt vid event, när det finns ett behov av att dela specifik deltagarinformation med tredje parter som catering- eller boenderepresentanter.
Lyyti erbjuder en centraliserad deltagardatabas för säker lagring av personligt identifierbar information. Data kan delas säkert via online-rapporter, som regleras noggrant av den som delar den: rapporten kan skyddas med lösenord, åtkomsten kan begränsas och rapporten kan tidsbegränsas. Tack vare online-rapporter behöver mottagaren aldrig spara någon personlig data på sin egen enhet.
Online-rapporter ingår i alla Lyytis licenser.
Sekretesspolicyn är dokumentet som förklarar för personen som ska registrera sig varför och hur deras data lagras och hanteras. En organisation kan ha flera sekretesspolicys om de har flera olika register, till exempel en för marknadsföringsändamål och en annan för kunddata. Sekretesspolicyn måste alltid finnas tillgänglig för de registrerade personerna.
Alla våra kunder har möjlighet att skapa (på flera språk om det behövs) en sekretesspolicy för sina event i Lyyti. I praktiken är detta tillräckligt när det endast behöver finnas ett register.
Att skapa en egen sekretesspolicy ingår i alla Lyytis licenser.
Om ett företag arrangerar event som innebär att det behövs separata register (t.ex. kundevent relaterade till marknadsföringsregistret eller interna event relaterade till personalregistret), kan det finnas behov för flera olika sekretesspolicys.
En person kan läggas till i ett register i Lyyti när den gett samtycke, genom att bocka i en ruta vid registreringen. Registreringen kan också ske på andra villkor, som måste klargöras för personen när de anmäler sig. I det fallet krävs inget uttryckligt samtycke, så länge villkoren presenteras tydligt för den registrerade personen.
Separata register är ett särskilt användbart verktyg för eventbyråer. Det gör det möjligt för t.ex. eventbyrån att arrangera event för sin klient, men endast vara behandlingsansvarig och inte registreringssansvarig. En eventbyrå kan då skapa kundspecifika sekretesspolicys, hantera kundspecifika samtyckesfrågor och redigera eller ta bort data i kundspecifika register.
Flera separata register är tillgängligt i de licenser som inkluderar dataskyddspaketet. Dataskyddspaketet ingår i licenser som köpts eller uppdaterats efter den 1 januari 2017.
Om den registrerade lämnar samtycke till något (t.ex. ta emot nyhetsbrev), kan samtyckesinformationen lagras och hanteras i Lyyti. Funktionen för samtyckesfrågor är enkel att använda och transparent för både användaren och deltagaren. Om samtycke har getts i ett tidigare event, kommer Lyyti att känna igen detta baserat på e-postadressen, och på så vis undvika upprepande samtyckesfrågor.
Verktyget för samtycken ingår i alla Lyytis licenser.
När det finns behov för flera samtyckesfrågor (t.ex. för olika nyhetsbrev eller andra marknadsföringssamtycken) kan ett obegränsat antal frågor skapas i Lyyti. Användaren väljer själv vilka frågor som ska ställas för vilket event.
Verktyget för flera samtyckesfrågor är tillgänglig i de licenser som inkluderar Dataskyddspaketet. Dataskyddspaketet ingår i licenser som köpts eller uppdaterats efter den 1 januari 2017.
Enligt artikel 15 i Förordningen har den registrerade personen (i detta fall deltagaren) rätt att få tillgång till sina personuppgifter och information om hur deras personuppgifter behandlas, samt begära ändringar eller att uppgifterna raderas.
Lyyti lösning på detta är en sökfunktion som kan sammanställa all data om en deltagare i en PDF-fil eller maskinkod. Sökningen kan göras i en specifik användares event, eller i alla event som tillhör organisationen eller företaget.
Hämtning av deltagardata från en användares event ingår i alla Lyytis licenser.
Hämtning av deltagardata från alla organisationens event och generering av PDF- eller maskinkodsfiler finns tillgänglig i de licenser som inkluderar Dataskyddspaketet. Dataskyddspaketet ingår i licenser som köpts eller uppdaterats efter den 1 januari 2017.
När en organisation eller företag hanterar flera register, kan sökningen av deltagardata göras i antingen ett register eller i alla befintliga register.
Hämtning av deltagardata från ett eller flera register är tillgänglig i licenser som inkluderar Dataskyddspaketet. Dataskyddspaketet ingår i licenser som köpts eller uppdaterats efter den 1 januari 2017.
För att persondata inte längre ska räknas som känslig, behöver all information som kan kopplas till en fysisk person raderas. Denna process kallas för anonymisering, och innebär att denna data inte längre omfattas av GDPR. Anonymiserad deltagarinformation kan användas för statistik osv. Behovet av anonymisering kan antingen uppstå på begäran av den registrerade personen eller när behovet av att behandla viss personlig information inte längre finns (t.ex. tillräckligt lång tid har gått sedan eventet).
Verktyget för anonymisering av deltagardata ingår i alla Lyytis licenser.
När en organisation hanterar flera register kan det finnas ett behov av att hitta och anonymisera en registrerad person, i flera olika register. Ett exempel på det är ett företag som kräver samtycke för att registrera en deltagare i sitt deltagarregister, men som sedan vill hålla sitt deltagarregister och marknadsföringsregister separerade.
Detta är en populär funktion bland eventbyråer och konferensarrangörer, eftersom olika kunders deltagarregister kan hanteras separat och deltagarsökningen kan enkelt göras i korrekt register.
Anonymisering som omfattar ett eller flera register är tillgänglig i de licenser som inkluderar Dataskyddspaketet. Dataskyddspaketet ingår i licenser som köpts eller uppdaterats efter den 1 januari 2017.
Anonymisering av ett helt event på endast ett klick, är en praktisk funktion för att bli av med personligt identifierbara data i t.ex. gamla, arkiverade event.
Anonymisering av ett helt event är tillgänglig i de licenser som inkluderar Dataskyddspaketet. Eftersom anonymisering inte kan ångras är denna funktion endast tillgänglig för administratören.
Automatisk anonymisering är ett verktyg för administratören, där hen kan ställa in vissa organisationsspecifika regler för anonymisering. Det kan till exempel handla om att data ska anonymiseras vid en viss tidpunkt, eller att ett visst fält eller fråga automatiskt ska anonymiseras.
Detta verktyg är särskilt användbart för stora organisationer och andra kunder som vill standardisera och centralisera datahantering och anonymiseringspraxis för hela organisationen.
Automatisk anonymisering är tillgänglig i Lyytis Enterprise licenser.
Att delta på ett event kan ofta ses som att deltagaren gett sitt samtycke, t.ex. när en deltagare anmäler sig till ett event och samtidigt godkänner att ta emot nyhetsbrev, enligt vad som anges i sekretesspolicyn för marknadsföringsregistret. I dessa fall måste samtyckesinformationen, tillsammans med deltagarinformationen, flyttas över till ett annat system (t.ex. en marknadsföringsplattform) där registret bearbetas vidare.
Exporting av samtyckesinformation via rapporter eller till Excel-filer är tillgänglig i alla Lyytis licenser.
Många organisationer och företag som använder Lyyti för sina event, använder vanligtvis även ett eller flera andra system såsom CRM-system, marknadsföringsplattformar, HR-system etc. För dessa användare är automatisk flöde av data, en uppskattad och tidsbesparande funktion. Med hjälp av Lyytis API kan du enkelt exportera och importera data mellan Lyyti och dina andra system.
Export och import av eventdata via API är tillgängligt i Lyytis Enterprise licenser.
Information om en persons hälsa, politisk aktivitet eller sexuella läggning är exempel på känsliga personuppgifter. Denna information bör endast behandlas och lagras när det är absolut nödvändigt, och tas bort när den inte längre behövs.
Lyyti erbjuder verktyg som gör att du kan markera vissa frågor som känslig data och därefter schemalägga borttagning av denna data. Administratören kan även sätta regler för hela organisationen när det kommer till känslig data, vilket säkerställer säker borttagning.
Verktyget för hantering av känslig persondata finns tillgängligt i Lyytis Enterprise licenser.
Glöm inte att själva eventet i sig inte innehåller personligt identifierbar information, och därmed inte behöver raderas.
När det gäller personuppgifter som finns i tidigare event är det bra att tänka på följande:
- Är arrangören skyldig enligt lag att behålla data, t.ex. för utbildningsbevis eller bokföringsändamål?
- Har arrangören en laglig grund och syfte för att spara sin eventdata, t.ex. i event riktade till kunder som redan finns i kundregistret?
- Har arrangören en anledning att lagra data i samband med legitim ekonomisk verksamhet eller för att uppfylla kontraktsliga åtaganden (t.ex. ett återkommande event där tidigare deltagande kan påverka framtida gästlistor)?
Om det inte finns något behov av att behålla personuppgifter från tidigare event kan det vara lämpligt att anonymisera event som är äldre än två år, istället för att ta bort dem helt. Vi rekommenderar att detta görs event för event, eftersom anonymisering inte kan ångras.
Lyyti i siffror
55+
Anställda runt om i Europa
2 100+
Kunder världen över
50+/98+
NPS/CSAT
22
Registreringsspråk
100 000+
Event skapade årligen