Detta Personuppgiftsbiträdesavtal version GDPR-PDA-1.0-SE (”Avtalet”) har ingåtts det datum som angivits i Beställningsformuläret mellan Worklife Barometer AB (Org.nr 559026–3678), Drottning Kristinas väg 53, 114 28 Stockholm (härefter ”Personuppgiftsbiträde”) och ”Kunden” som angivits i Beställningsformuläret (härefter ”Personuppgiftsansvarig”) (var för sig en ”Part” eller ”Parter” och tillsammans ”Parterna")
Avtalet | Menas med det relevanta Kundavtalet, som ligger till grund för ingåendet av detta Personuppgiftsbiträdesavtal. |
Dataskyddslagstiftningen | Menas med i) Europaparlamentets och rådets direktiv 95/46/EG, personuppgiftslagen (lag 1998:204 med senare revideringar) och ii) efter 25 maj 2018 förordning (EU) 2016/679 samt framtida lagstiftning som reglerar behandlingen av personuppgifter. |
Personuppgiftsbiträdesavtalet | Menas med detta personuppgiftsbiträdesavtal, inklusive bilagor. |
1.1. Detta avtal har som ändamål att säkra att Dataskyddslagstiftningen efterföljs. Ändamålet med att Personuppgiftsbiträde behandlar persondata på vägnar av Personuppgiftsansvarig är angivet i Appendix 1.
1.2. Om det finns någon motsägelse mellan detta Personuppgiftsbiträdesavtal och Avtalet, har detta Personuppgiftsbiträdesavtal företräde, om inget annat anges i Avtalet. Vidare upphävs och ersätts Personuppgiftsbiträdesavtalet i) tidigare ingått personuppgiftsbiträdesavtal mellan Parterna och/eller ii) bestämmelser i andra avtal mellan parterna som reglerar samma databehandlingsvillkor som detta avtal.
1.3. Om det finns villkor i Personuppgiftsbiträdesavtalet och tillhörande föreskrifter, vilket senare blir känt som ogiltigt eller visar sig vara i strid med Dataskyddslagstiftningen, kan Parterna inte, oavsett punkt 1.1, åberopa sig detta. Personuppgiftsbiträdesavtalet skall i övrigt bestå, och Parterna inleder, om nödvändigt, förhandling med hänsyn till förtydligande, komplettering eller revidering på de förekommande villkoren.
2.1. Personuppgiftsansvarig är personuppgiftsansvarig för de personuppgifter som Personuppgiftsbiträden behandlar på dennes vägnar.
2.2. Personuppgiftsansvarig har ansvaret för att Personuppgiftsbiträden får behandla personuppgifterna på vägnar av Personuppgiftsansvarig, så länge som behandlingen följer lagen. Personuppgiftsansvarig har de rättigheter och skyldigheter som är tilldelat en personuppgiftsansvarig i enlighet med Dataskyddslagstiftningen.
3.1. Personuppgiftsbiträden behandlar endast persondata på Personuppgiftsansvarigs vägnar, på de villkor angivna i Personuppgiftsbiträdesavtalet eller om det föreligger en dokumenterad föreskrift från Personuppgiftsansvarig, jfr klausul 5.
3.2. Personuppgiftsbiträden skall föra en skriftlig (kan utföras elektroniskt) förteckning över samtliga kategorier av behandlingar som utförs på Personuppgiftsansvarigs vägnar. Denna skall som minimum innehålla:
Namn på, samt kontaktuppgifter för Personuppgiftsbiträden, eventuella underpersonuppgiftsbiträde (underleverantörer), vem som är Personuppgiftsansvarig, dataskyddsombud samt Personuppgiftsbiträdens eventuella representant.
Kategorierna av de behandlingar som Personuppgiftsbiträden eller dennes underpersonuppgiftsbiträde (underleverantörer) utförs på vägnar av Personuppgiftsansvarig.
Om det sker överföring av personuppgifter till ett eller flera tredjeländer eller internationella organisationer, ett angivande om grunden till detta.
En beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som åtgärdas i förbindelse med behandlingen av personuppgifter.
3.3. Personuppgiftsbiträden skall kostnadsfritt, närsomhelst sätta de, efter 3.2, förda förteckningar till förfogande för Personuppgiftsansvarig eller Datainspektionen.
3.4. Personuppgiftsbiträden hjälper samt bistår Personuppgiftsansvarig, på dennes begäran, att tillhandahålla relevant information och dokumentation med hänsyn till att Personuppgiftsansvarig kan dokumentera i överensstämmelse av Personuppgiftsansvarigs lagstiftande förpliktelser, även inkluderat t.ex. insynsrätt, konsekvensanalyser etc. För genom förandet av sådant bistånd till Personuppgiftsansvarig, samt för ändringar och/eller tillägg av föreskriften, kan Personuppgiftsbiträden kräva vederlag efter medförande tid samt för sina ökade omkostnader. Timpriset för detta framgår av Personuppgiftsbiträdens prislista, som Personuppgiftsansvarig blivit varse om.
3.5. Om en registrerad kontaktar Personuppgiftsbiträden med syftet att hävda sina rättigheter efter Dataskyddslagstiftningen över Personuppgiftsansvarig sänder Personuppgiftsbiträden en sådan förfrågan, utan onödigt uppehåll, vidare till Personuppgiftsansvarig och dennes expedition. Personuppgiftsbiträden bistår Personuppgiftsansvarig i enlighet med klausul 3.4.
4.1. Personuppgiftsbiträden använder underpersonuppgiftsbiträde (underleverantörer) med ändamålet att leverera tjänster utefter Personuppgiftsbiträdesavtalet. Personuppgiftsansvarig har vid undertecknande av detta avtal godkänt att de, Appendix 2, angivna underpersonuppgiftsbiträde (underleverantörer) används.
4.2. Personuppgiftsansvarig ger Personuppgiftsbiträden ett generellt godkännande till att använda underpersonuppgiftsbiträde (underleverantörer) så länge följande villkor uppfylls:
Personuppgiftsbiträden underrättar alltid Personuppgiftsansvarig om eventuell planlagd utökning eller ersättning av underpersonuppgiftsbiträde (underleverantörer), samt ger Personuppgiftsansvarig möjligheten till, inom rimlig frist, att göra invändningar mot sådana ändringar. Underrättning skall ledsagas av en beskrivning enligt de uppgifterna som ingår i Appendix 2 för redan godkända underpersonuppgiftsbiträde (underleverantörer), som ger den Personuppgiftsansvarige en grund till att utvärdera förhållandena.
Användning av underpersonuppgiftsbiträde (underleverantörer) sker på basis av ett skriftligt avtal som ingåtts mellan Personuppgiftsbiträden och underpersonuppgiftsbiträde (underleverantörer), som innebär i huvudsak samma förpliktelser, som vilar på Personuppgiftsbiträden i enlighet med Personuppgiftsbiträdesavtalet, samt Dataskyddslagstiftningen, således att den registrerades rättigheter säkras. Personuppgiftsbiträden ser aktivt över och säkrar att underpersonuppgiftsbiträden (underleverantören) håller sådana förpliktelser.
Personuppgiftsansvarig kan närsomhelst begära dokumentation för underpersonuppgiftsbiträdesavtalets (underleverantörsavtalet) existens och innehåll, med undantag för det som är av konfidentiell och kommersiell karaktär mellan Personuppgiftsbiträden och underpersonuppgiftsbiträden (underleverantören).
4.3. Personuppgiftsbiträden överför Personuppgiftsansvarigs personuppgifter till länder utanför EU/EES. Personuppgiftsbiträden säkrar att det föreligger en grundval för överföring. Som hänvisas till bilaga 2. Användning av underleverantörer i osäkert tredjeland skall ske i enlighet med Dataskyddslagstiftningens grundval för överföring.
5.1. Personuppgiftsbiträden behandlar ensam endast de personuppgifter, i enlighet och i överenskommelse med Personuppgiftsansvarig nuvarande gällande föreskrifter. Personuppgiftsansvariges föreskrifter omfattar all behandling, som är nödvändig för Personuppgiftsbiträdes leverans av tjänsterna till Personuppgiftsansvarig. Föreskrifter från Personuppgiftsansvarig som påverkar eller ändrar innehållet av den avtalade servicen, hanteras enligt Kundavtalets bestämmelser.
5.2. Personuppgiftsbiträden underrättar Personuppgiftsansvarig om en föreskrift, efter Personuppgiftsbiträdens uppfattning, strider mot Dataskyddslagstiftningen.
5.3. Det är inte tillåtet för Personuppgiftsbiträden att vägra följa Personuppgiftsansvarig föreskrifter till följd av att betalning av Personuppgiftsbiträdens räkningar inte betalats etc., och Personuppgiftsbiträden har på ingen tidpunkt rätt till tillbaka hållande eller liknande över Personuppgiftsansvariges persondata.
5.4. Personuppgiftsbiträden kan ensam behandla personuppgifter utanför föreskriften, där det krävs av EU- eller nationell lagstiftning som Personuppgiftsbiträden lyder under. Personuppgiftsbiträden underrättar den Personuppgiftsansvariges om orsaken till detta, såvida inte en sådan underrättning strider mot EU- eller nationell lagstiftning.
6.1. Personuppgiftsbiträden skall, med hänsyn till den aktuella tekniska nivån, implementeringsomkostnaden och karaktären av den rådande behandling, omfång, sammanhang och ändamål liksom riskerna av varierande sannolikheter och allvar för fysiska personers fri- och rättigheter, genomföra lämpliga tekniska och organisatoriska åtgärder för att bl.a. förhindra:
Oavsiktlig eller olaglig förstörelse, förlust, ändringar;
Obehörig röjande, åtkomst eller missbruk;
Annan olovlig behandling, jfr. säkerhetsbilaga bifogat som Appendix 3.
6.2. Personuppgiftsbiträden skall kunna påvisa för Personuppgiftsansvarig att Personuppgiftsbiträden har de nödvändiga tekniska och organisatoriska säkerhetsåtgärder. Parterna är eniga om att de angivna garantierna som angivits i appendix 3 är vid tidpunkten tillräckliga för att ingå detta Personuppgiftsbiträdesavtal.
6.3. Snarast möjligt och senast 24 timmar efter att Personuppgiftsbiträden blir varse om någon säkerhetsbrist, underrättar Personuppgiftsbiträden skriftligt Personuppgiftsansvarig. Denna redogörelse innehåller som minimum, och i den utsträckning som är möjligt i ljuset av händelsens karaktär, följande: 1) uppgifter kring arten av den konstaterade säkerhetsbristen, 2) vilka kategorier av de registrerade som omfattas, 3) ungefärligt antal registrerade som drabbats, inklusive kategorier av omfattande personuppgifter och antal, samt vilka eliminerande och/eller avhjälpande åtgärder Personuppgiftsbiträden har tagit i anledning av det konstaterade säkerhetsbristen.
7.1. Om personuppgifter överförs till en EU-medlemsstat, är det Personuppgiftsbiträdens ansvar att de nuvarande och gällande bestämmelserna kring säkerhetsåtgärder, som är fastsatt i lagstiftningen i den gällande medlemsstaten, upprätthålls.
7.2. Personuppgiftsbiträden är i övrigt berättigad till att utföra överföringar enligt klausul 4.3 fastställda krav.
8.1. Behandling av personuppgifter sker under fullständig konfidentialitet mellan Personuppgiftsbiträden och Personuppgiftsansvarig. Anställda hos Personuppgiftsbiträden, tredje parter (t.ex. reparatörer) samt underpersonuppgiftsbiträde (underleverantörer) som är kopplade till behandling av personuppgifter under detta Personuppgiftsbiträdesavtal, skall vara undergivna sekretess. Enskilda anställda hos Personuppgiftsbiträden som auktoriseras här, får ha åtkomst till de personuppgifter som behandlas under Personuppgiftsbiträdesavtalet. Personuppgiftsbiträden skall säkra att medarbetare som behandlar personuppgifter för Personuppgiftsbiträden, har förpliktat sig till sekretess eller är under en lämplig och lagbestämd tystnadsplikt.
8.2. Oavsett punkt 13, gäller bestämmelserna kring sekretess och konfidentialitet utan tidsbegränsning.
9.1. Personuppgiftsbiträden skall, på Personuppgiftsansvarigs begäran, ge Personuppgiftsansvarig ”alla nödvändiga uppgifter” för att kunna ser över att Personuppgiftsbiträden håller sina förpliktelser kopplade till Personuppgiftsbiträdesavtalet, inklusive att de nödvändiga tekniska och organisatoriska säkerhetsåtgärder är träffat.
9.2. Vid "alla nödvändiga uppgifter" innehåller som minimum en beskrivning av de träffade, tekniska och organisatoriska åtgärder, samt dokumentation som gör att Personuppgiftsansvarig ska kunna få en begrundad överbevisning om att dessa tekniska och organisatoriska åtgärder har fungerat konsekvent och som avtalat under hela den berörda perioden, som Personuppgiftsansvarig efterfrågar.
9.3. Uppgifterna skall levereras inom fyra veckor från det att Personuppgiftsansvarig har begärt detta.
9.4. Personuppgiftsansvarig är berättigad till detta en gång per år, eller om det skulle uppstå en händelse som t.ex. säkerhetsbrister som kan ge skäl till en förnyad förfrågan. Därutöver kan Personuppgiftsbiträden kräva vederlag för tidsåtgång och omkostnader i samband med detta. Timpriset för detta framgår av Personuppgiftsbiträdens prislista, som Personuppgiftsansvarig blivit varse om.
9.5. Därutöver har Personuppgiftsansvarig rätt till, för egen räkning, att utpeka en oberoende expert som skall ha tillgång till Databehandlaens fysiska faciliteter för behandling av personuppgifter samt mottaga den nödvändiga informationen för att kunna utföra undersökningen kring hur Personuppgiftsbiträden uppfyller sina förpliktelser gentemot Personuppgiftsbiträdesavtalet. Det ges ingen fjärråtkomst till sådana inspektioner och tillgång till eventuella underpersonuppgiftsbiträde (underleverantörer) kan enskilt ges med de begränsningar som följer av Personuppgiftsbiträdens avtal med samma kring åtkomst till inspektioner. Undersökningen kan aldrig beröra IT- och säkerhetsmiljöer, inklusive t.ex. disaster recovery och/eller business continuity plans (”BCP”) utöver Personuppgiftsbiträdens bekräftelse av existensen av detta. Experten skall på Personuppgiftsbiträdens begäran, underteckna en sedvanlig sekretesspolicy och behandla all information som är inhämtat från eller mottaget direkt från Personuppgiftsbiträden konfidentiellt, och får själva dela informationen med Personuppgiftsansvarig. Om varken Deloitte, PwC, EY eller KPMG utpekas som oberoende expert, skall valet av den oberoende experten godkännas av Personuppgiftsbiträden innan. Personuppgiftsansvarig är närsomhelst berättigad till att genomföra ytterligare kontrollåtgärder, inklusive t.ex. att begränsa Personuppgiftsbiträdens åtkomstmöjligheter till den Personuppgiftsansvariges nätverk och data. Personuppgiftsbiträden är berättigad till vederlag för tidsförbrukning och omkostnader i förbindelse med detta. Timpriset för detta framgår av Personuppgiftsbiträdens prislista, som Personuppgiftsansvarig blivit varse om.
10.1. Om lagstiftningsändring eller praxisändring ger anledning till ändringar av Personuppgiftsbiträdesavtalet, är Personuppgiftsbiträden berättigad till att utföra dessa ändringar kostnadsfritt.
10.2. Om ändringarna istället beror på Personuppgiftsansvariges initiativ, inklusive Personuppgiftsansvariges önskan om en persondataskyddsnivå som överstiger det lagstadgande och/eller den säkerhetsmässiga, relevanta nivå, kan Personuppgiftsbiträden kräva vederlag utefter nerlagd arbetstid samt för sina ökade omkostnader.
10.3. Personuppgiftsbiträden skall säkra att underpersonuppgiftsbiträde (underleverantörer), i den mån det krävs utföra ändringar som är i enlighet med klausul 10.1 och 10.2, jfr. klausul 4.2
11.1. När avtalet löper ut eller upphör, upphör samtidigt detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträden raderar härefter anonymiseringen av samtliga personuppgifter, som är behandlade på vägnar av Personuppgiftsansvarig. Personuppgiftsbiträden avlägsnar dessutom samtliga kopior av uppgifter från back-up, i överenskommelse med Personuppgiftsbiträdens planlagda och systematiska avlägsnande av back-up.
11.2. Personuppgiftsansvarig är för egen räkning berättigad till, med bistånd från oavhängig tredje part, att bevaka avlägsnande, som beskrevs ovan, och att detta sker utefter det som angetts från Personuppgiftsbiträden. Personuppgiftsbiträden är berättigad till vederlag för tidsförbrukning och omkostnader i samband med detta. Timpriset för detta framgår av Personuppgiftsbiträdens prislista, som Personuppgiftsansvarig blivit varse om.
11.3. Oavsett 11.1 är Personuppgiftsbiträden berättigad till, i det omfång som är nödvändigt för att kunna dokumentera leverans av tjänster efter Avtalet eller försvara sig mot rättsliga krav, att lagra en kopia av Personuppgiftsansvarigs personuppgifter. Personuppgiftsansvarigs personuppgifter kommer i sådana fall uteslutande behandlas till det angivna ändamål, samt upphöra när dessa inte längre består.
11.4. Personuppgiftsbiträden skall även säkra att eventuella underpersonuppgiftsbiträde (underleverantörer) inte behandlar persondata efter upphörandet av Avtalet, så vida inte klausul 11.2 är gällande.
12.1. Avtalets bestämmelser om försummelse och ansvar gäller även för Personuppgiftsbiträdesavtalet.
13.1. Detta Personuppgiftsbiträdesavtal träder i kraft vid båda parters fysiska eller elektroniska underskrift och fortlöper till dess att Avtalet upphör.
13.2. Oavsett 13.1 kvarstår detta Personuppgiftsbiträdesavtal inträde, så länge som Personuppgiftsbiträden är i besittning av något kring Personuppgiftsansvarigs persondata.
14.1. Personuppgiftsbiträdesavtalet regleras och lyder under svensk lag.
14.2. Det är avtalat att samtliga krav och uppkomna tvister, som härrör Personuppgiftsbiträdesavtalet, skall avgöras i svensk domstol.
15.1. Detta Personuppgiftsbiträdesavtal ingås från det datum undertecknande av Beställningsformuläret sker, som undertecknas av Personuppgiftsansvarig. Personuppgiftsbiträdet bekräftar härmed sitt godkännande av detta avtal.
The Personal Data the Data processor is processing on behalf of the Data responsible affects the categories of Personal Data that is transferred to the Data processor in an agreed way.
Föremålet för behandling |
Personuppgiftsansvarigs medarbetare erbjuds tillgång till Howdy-plattformen, där åtkomst ges till modulerna, som Personuppgiftsansvarig köpt åtkomst till. |
Varaktighet av behandling |
Databehandlingen påbörjas när Personuppgiftsansvarig levererar uppgifter till Personuppgiftsbiträden. Databehandlingen upphör, när:
|
Behandlingens art |
Personuppgiftsbiträden mottager, använder och lagrar personuppgifter från Personuppgiftsansvarig. Behandlingen används till att erbjuda Personuppgiftsansvarigs medarbetare att använda Howdy-plattformen. Som en del i denna behandling, mottager medarbetarna en inbjudan till att använda tjänsten, på den angivna e-mailen. |
Behandlingens ändamål |
Ändamålet med behandlingen är att erbjuda Howdy-plattformen till Registeransvariges medarbetare. |
Typ av personuppgifter |
Som Personuppgiftsbiträde lagrar man endast den data som Personuppgiftsansvarig gör tillgängligt. Detta är vanligtvis: Personuppgifter:
Organisatoriska:
* markerar uppgifter som är obligatoriska vid upprättning. |
Kategorierna av de registrerade | Medarbetare hos Personuppgiftsansvarig |
Denna sida listar de respektive Personuppgiftsbiträde och Underpersonuppgiftsbiträde (underleverantörer), som Worklife Barometer använder i förbindelse med leverans av Howdy-lösningen.
Denna sida listar de respektive Personuppgiftsbiträde och Underpersonuppgiftsbiträde (underleverantörer), som Worklife Barometer använder i förbindelse med leverans av Howdy-lösningen.
För var och en av (nedan) personuppgiftsansvariga anges följande:
Följande personuppgiftsbiträde/underpersonuppgiftsbiträde (underleverantörer) används till att leverera Howdy lösningen:
Behandlingens ändamål och behandlingsaktiviteter:
Microsoft Azure leverer PaaS (Plattformen, dvs. databas, webbserver, etc..).
Data som utväxlas:
All data som används och registreras i förbindelse med Howdy-lösningen lagras i Microsoft Azure hosting- miljö.
Fysisk placering:
I Microsofts datacenter inom Europa (Holland och Irland)
Överföringsgrundval:
N/A. Data behandlas inom EU.
Säkerhet:
Läs mer om säkerhet, audit av Microsoft och se audit rapporter:
https://www.microsoft.com/en-us/trustcenter/compliance/soc
Microsoft Ireland Operations Limited är Microsofts dataskyddsombud inom EU och kan kontaktas på följande adress:
Microsoft Ireland Operations, Ltd.
Attn: Data Protection
One Microsoft Place
South County Business Park
Leopardstown
Dublin 18
D18 P521
Behandlingens ändamål och behandlingsaktiviteter:
E-mail tjänster som Howdy använder till email-kommunikation (inbjudningar, påminnelser, återställa/återsända lösenord, samt andra motsvarande tjänster)
Data som utväxlas:
E-mailadress, Förnamn, Efternamn, Företag, Partner, Transaktionstyp, Meddelandeinnehåll, pdf-filer (trivselrapporter)
Fysisk placering:
1526 DeKalb Ave NE, Atlanta, GA 30307, USA
Överföringsgrundval:
EU-U.S. PRIVACY SHIELD FRAMEWORK
https://www.privacyshield.gov/participant?id=a2zt0000000TO6hAAG&status=Active
Säkerhet:
Läs mer om säkerhet här: https://mailchimp.com/about/security
Behandlingens ändamål och behandlingsaktiviteter:
Företaget Twilio levererar en teletjänst (SMS, röst m.m.), som Howdy använder till telekommunikation (inbjudningar, påminnelser, återställa/återsända lösenord, samt andra motsvarande tjänster)
Data som utväxlas:
Mobiltelefonnummer, Transaktionstyp, Meddelandeinnehåll
Fysisk placering:
375 Beale Street, Suite 300 | San Francisco, CA 94105
Överföringsgrundval:
EU-U.S. Privacy Shield
https://www.privacyshield.gov/participant?id=a2zt0000000TNLbAAO&status=Active
Säkerhet:
Läs mer om säkerhet här: https://www.twilio.com/security
Behandlingens ändamål och behandlingsaktiviteter:
Företaget Widgix, LLC levererar ett frågeformulärsverktyg online, som WLB använder vid utsändning av användarundersökningar.
Vänligen observera att SurveyGizmo inte är en integrerad funktion i Howdy-lösningen och används endast vid överenskommelse med kunden.
Data som utväxlas:
Förnamn, emailadress samt lagring av svar
Fysisk placering:
4888 Pearl East Cir. Suite 100, Boulder, CO 80301 USA
Överföringsgrundval:
EU-U.S. Privacy Shield
https://www.privacyshield.gov/participant?id=a2zt0000000L0kSAAS&status=Active
Säkerhet:
Läs mer om säkerhet här: https://help.surveygizmo.com/help/surveygizmo-security-faq
Behandlingens ändamål och behandlingsaktiviteter:
Företaget ZenDesk levererar ett supportverktyg online, som WLB använder till att säkra en välfungerande support till slutanvändaren.
Observera vänligen att ZenDesk inte är ett integrerat verktyg i Howdy-lösningen.
Data som utväxlas:
Information som slutanvändaren sänder per email samt WLBs ärendehantering och efterföljande mailkorrespondens.
Fysisk placering:
1019 Market St, San Francisco, CA 94103
Överföringsgrundval:
EU-U.S. Privacy Shield
https://www.privacyshield.gov/participant?id=a2zt0000000TOjeAAG&status=Active
Säkerhet:
Läs mer om säkerhet här: https://www.zendesk.com/product/zendesk-security
Behandlingens ändamål och behandlingsaktiviteter:
Loggning av felmeddelanden m.m.
Data som utväxlas:
IP-adress, unika ID (till identifikation) och allt innehåll i webbserver kommunikationen. Data avlägsnas efter 60 dagar
Fysisk placering:
USA
Överföringsgrundval:
The European Commission’s standard contract
Säkerhet:
Läs mer om säkerhet här: https://raygun.com/security
Behandlingens ändamål och behandlingsaktiviteter:
Amazon Web Services levererar PaaS (Plattformen, d.v.s. databas, webbserver etc.).
Data som utväxlas:
All data som används och registreras i förbindelse med Howdy-lösningen kan lagras i Amazon Web Services hosting-miljö.
Fysisk placering:
I Amazons datacenter inom Europa (för tillfället Tyskland, Irland, England, Frankrike). Läs mer här: https://aws.amazon.com/about-aws/global-infrastructure
Överföringsgrundval:
N/A. Data behandlas inom EU.
Säkerhet:
Läs mer om säkerhet här: https://aws.amazon.com/security
Denne sida beskriver Worklife Barometers informationssäkerhetspolicy, där den interna ”Handboken om Informationssäkerhetspolicy för Worklife Barometer” beskriver riktlinjer för Worklife Barometers medarbetare, samt hur säkerhetspolicyn blir implementerad.
Denne sida beskriver Worklife Barometers informationssäkerhetspolicy, där den interna ”Handboken om Informationssäkerhetspolicy för Worklife Barometer” beskriver riktlinjer för Worklife Barometers medarbetare, samt hur säkerhetspolicyn blir implementerad.
Syftet med säkerhetspolicyn är att förmedla till samtliga medarbetare och externa samarbetspartners, att användning av information och informationssystem hanteras utefter standarder och riktlinjer. Det ska bemärkas att Worklife Barometers kärnprodukt, Howdy, arbetar utefter de fastställda krav från Datainspektionen, då data kring känsliga personuppgifter behandlas.
Worklife Barometer önskar därför att upprätthålla och att löpande bygga upp en IT-säkerhetsnivå som överensstämmer med gällande lagstiftning, samt de direktiv som ges av Datainspektionen (fram till 25 maj, 2018) samt regleras av Dataskyddsförordningen efter 25 maj, 2018 (GDPR). För att säkra detta, anlitar Worklife Barometer, tillsammans med verksamhetens juridiska rådgivare, för tillfället Advokatbyrån Lundgrens.
Upprätthållande och utbyggnaden av en hög säkerhetsnivå är en väsentlig förutsättning för att Worklife Barometer ska framstå som trovärdiga.
För att upprätthålla Worklife Barometers trovärdighet skall det säkras att information behandlas med nödvändig sekretess och att det sker fullständigt, exakt och i tiden rätt behandling av godkända transaktioner.
IT-system betraktas som Worklife Barometers mest kritiska resurs. Det läggs därför stor vikt på drift, säkerhet, kvalitet, överensstämmande med lagstadgande krav samt att systemen är användarvänliga, d.v.s. utan onödiga och besvärande säkerhetsåtgärder.
Det skall skapas ett effektivt skydd mot IT-säkerhetsmässiga hot, så att Worklife Barometers image, medarbetarnas trygghet och arbetsvillkor säkerhetsställs. Skyddet ska täcka både naturliga skäl, som tekniska och människoskapta hot. Alla personer betraktas kunna vara en möjlig orsak till brott mot säkerheten; d.v.s. att ingen persongrupp skall ha möjlighet at kringgå säkerhetsbestämmelserna.
Målen är därför, att:
Samtliga av Worklife Barometers medarbetare har blivit informerade och uppmärksammade på Worklife Barometers Informationssäkerhetspolicy och samtliga personuppgiftsbiträden (som inte personuppgiftsbehandlar IT-tjänster) till Worklife Barometer är upplysta om verksamhetens informationssäkerhetspolicy via Personuppgiftsbiträdesavtalet samt Service Level Agreements (SLAs) (vid behov).
Bestämmelser och riktlinjer från informationssäkerhetspolicyn blir löpande införlivade i de relevanta och gällande bestämmelserna på personalpolicyns område.
Säkerhetskonceptet omfattar följande:
Policyn gäller samtliga av Worklife Barometers informationsrelaterade aktiviteter, oavsett om de utförs av anställda hos Worklife Barometer eller av Personuppgiftsbiträden till Worklife Barometer.
Det delegerade och säkerhetsrelaterade ansvar samt den tillhörande myndighet är generiskt beskriven/rollfördelad i ”Handboken om Informationssäkerhetspolicy för Worklife Barometer” till denna policy.
Katastrofer försöks undvikas genom en välorganiserad övervakning av den gällande användningen av IT-tjänsten. Omfånget av dessa åtgärder beslutas utifrån en riskbedömning mot säkerhetskostnader och användarvänlighet.
Worklife Barometers beredskapsplan innehåller följande områden:
Beredskapsplanerna ska ajourföras och testas kontinuerligt – och minimum en gång om året.
Medarbetare som bryter mot gällande informationssäkerhetsbestämmelser inom Worklife Barometer kan bli föremål för disciplinära åtgärder. Närmare bestämmelser kring detta fastställs i överenskommelse med den gällande personalpolicyn.
This technical fact sheet addresses the most common security and data protection questions as well as compliance standard, backup procedures and data accessibility.
This technical fact sheet addresses the most common security and data protection questions as well as compliance standard, backup procedures and data accessibility.
Data at Worklife Barometer is protected at many levels – From ensuring people cannot gain physical access to our servers to data encryption at your mobile device. We build on top of the best-in-class security practices of the Microsoft Azure Platform. Key words are:
For more information see: http://azure.microsoft.com/en-us/support/trust-center/security/
Our data center complies with a wide set of international recognized standards including:
For more information see: http://azure.microsoft.com/en-us/support/trust-center/compliance/
Data at Worklife Barometer is always replicated at minimum two other servers in our data centers, this ensures that in the event of a hardware failure the system will automatically be able to continue on new hardware without any data loss nor downtime for the system.
Furthermore, every night a backup of the data is copied to a secondary data center located in another geographical region. This ensures that the system can resume service in the unlikely event of major natural disaster.
Whenever data travels – inside the data center or on the Internet – encryption is applied. We use standard TLS 4096-bit encryption between our edge-facing servers and end-user client (mobile apps and web browsers).
Strong security measures are in place to ensure no-one gains unauthorized access to the Worklife Barometer Portal.
Information is only available on a need-to-know basis e.g. agents in a Response Center will only have access a person’s journal once a new case is opened. When the case is resolved then all access to that person’s journal is revoked as well.
End users may register their personal data though mobile apps or through a mobile-enabled website. Both systems uses email and a personal 4-digit PIN-code as authentication mechanism.
Whenever a user opens the App or Mobile Website a login prompt shows. Upon successful validation of credentials, the server exchanges the provided credentials with a cryptographically signed token, which gives access to the granted resources for 60 minutes before it expires. After expiry the token becomes invalid and the client must login again in order to obtain a new token.
These systems have a lower authentication level than e.g. the portal. This is to ease the user adoption and participation of the system. For that very same reason the system are “entry-only” systems. Below is a list of data available on these systems:
No health information is stored directly on the mobile devices.
All communication between the systems is encrypted (SSL/TLS RSA 2048 bits) end to end.
The Worklife Barometer Administration Portal is used to gain access to the administrative tasks for company administrators as well as Response Team personnel for handling calls to end users.
Access to this portal is protected by a personal e-mail and password and either an OTP (One-Time Password sent over SMS) or a TOTP (Time-based One-time Password attached to a personal device).
Upon successful validation of credentials, the server exchanges the provided credentials with a cryptographically signed token, which gives access to the granted resources for 12 hours before it expires. After expiry the token becomes invalid and the client must login again in order to obtain a new token.
Some actions performed in the portal may require reentry of credentials in order to complete the intended action.
All communication between the browser and Portal APIs are encrypted (SSL/TLS RSA 4096 bits) end to end.
Cookie | Varaktighet | Beskrivning |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
elementor | never | The website's WordPress theme uses this cookie. It allows the website owner to implement or change the website's content in real-time. |
JSESSIONID | session | New Relic uses this cookie to store a session identifier so that New Relic can monitor session counts for an application. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wpEmojiSettingsSupports | session | WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly. |
Cookie | Varaktighet | Beskrivning |
---|---|---|
li_gc | 6 months | Linkedin set this cookie for storing visitor's consent regarding using cookies for non-essential purposes. |
lidc | 1 day | LinkedIn sets the lidc cookie to facilitate data center selection. |
UserMatchHistory | 1 month | LinkedIn sets this cookie for LinkedIn Ads ID syncing. |
Cookie | Varaktighet | Beskrivning |
---|---|---|
ac_enable_tracking | 1 month | This cookie is set by Active Campaign to denote that traffic is enabled for the website. |
Cookie | Varaktighet | Beskrivning |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_ga_* | 1 year 1 month 4 days | Google Analytics sets this cookie to store and count page views. |
_gcl_au | 3 months | Google Tag Manager sets the cookie to experiment advertisement efficiency of websites using their services. |
AnalyticsSyncHistory | 1 month | Linkedin set this cookie to store information about the time a sync took place with the lms_analytics cookie. |
prism_* | 1 month | Active Campaign sets this cookie to track and store interactions. |
vuid | 1 year 1 month 4 days | Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos on the website. |
Cookie | Varaktighet | Beskrivning |
---|---|---|
bcookie | 1 year | LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser IDs. |
bscookie | 1 year | LinkedIn sets this cookie to store performed actions on the website. |
fr | 3 months | Facebook sets this cookie to show relevant advertisements by tracking user behaviour across the web, on sites with Facebook pixel or Facebook social plugin. |
IDE | 1 year 24 days | Google DoubleClick IDE cookies store information about how the user uses the website to present them with relevant ads according to the user profile. |
li_sugr | 3 months | LinkedIn sets this cookie to collect user behaviour data to optimise the website and make advertisements on the website more relevant. |
test_cookie | past | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
Cookie | Varaktighet | Beskrivning |
---|---|---|
_cfuvid | session | Description is currently not available. |
cf_clearance | 1 year | Description is currently not available. |
hDUyHSOmLv | 1 day | Description is currently not available. |
PtvqjC_WfT | 1 day | Description is currently not available. |