Ensolutions behandling av personuppgifter

Dataskyddsförordningen (även kallad GDPR – General Data Protection Regulation) reglerar hur företag och organisationer ska behandla personuppgifter. På Ensolution är vi måna om att leva upp till förordningens krav och ta vårt fulla ansvar.

För att åstadkomma detta och anpassa våra arbetsprocesser och IT-system till dataskyddsförordningen, fokuserar vi på nedanstående fem prioriterade områden och relaterade åtgärder.

5 prioriterade områden

  1. Upprätthålla en hög medvetenhet om GDPR inom Ensolution
  2. Ge tydlig information om hur vi behandlar våra kunders personuppgifter
  3. Upprätta personuppgiftsbiträdesavtal i projekt där vi hanterar personuppgifter
  4. Ha en säker process för hur vi skyddar personuppgifter i IT-system och projekt
  5. Ha effektiva rutiner för hantering av personuppgiftsincidenter
1. Upprätthålla en hög medvetenhet om GDPR inom Ensolution

Ensolution informerar och utbildar medarbetare, chefer och styrelse inom organisationen under övergångsfasen för att dessa ska vara medvetna om att personuppgiftslagen ersätts av dataskyddsförordningen, samt vilka effekter det får för företaget. Samtliga åtgärder som genomförs till följd av detta kommuniceras till alla berörda. Ensolution driver därefter kontinuerligt arbetet med att säkerställa att alla anställda är väl medvetna om hur personuppgifter ska behandlas enligt GDPR och vad som gäller när Ensolution är personuppgiftsbiträde.

2. Ge tydlig information om hur vi behandlar våra kunders personuppgifter

Ensolution informerar kontinuerligt samtliga nya kunder om att de sparas i företagets kunddatabas, samt ger dem möjlighet att radera sina uppgifter.

Anledningen till att vi sparar data om befintliga kunder är att vi ska kunna ge så bra support som möjligt och upprätthålla en god affärsmässig relation. Eftersom vi är ett tillväxtbolag som ständigt både breddar vårt erbjudande och utvecklar våra tjänster, vill vi hålla både befintliga och potentiella kunder informerade om nyheter som de kan vara intresserade av. För att kunden inte ska missa information från Ensolution, och för att vi skall kunna nå kunden med denna, behöver vi spara data såsom organisation, namn, titel, e-post och telefonnummer.

Personuppgifter som vi behöver spara på rättslig grund hanteras i lösenordsskyddade system med begränsad åtkomst. Personuppgifter som vi använder i marknadsföringssyfte hanteras i lösenordsskyddade system med begränsad åtkomst. Berörda system är Oneflow (digital avtalshantering), Pagero (e-faktura), Maconomy (ekonomisystem), Pipedrive (kunddatasystem) och MailChimp (mailutskicksystem).

3. Upprätta personuppgiftsbiträdesavtal i projekt där vi hanterar personuppgifter

Ensolution är personuppgiftsbiträde i flera av våra uppdrag. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning, t.ex. kommun eller landsting.

Dataskyddsförordningen ställer krav på att den personuppgiftsansvarige ska teckna ett personuppgiftsbiträdesavtal med den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ensolution tecknar personuppgiftsbiträdesavtal med samtliga kunder som är involverade i projekt där personuppgifter hanteras. Avtalet utgår från SKL:s standard och har granskats av fristående jurist.

I personuppgiftsbiträdesavtalet regleras vad ett registerutdrag kan innehålla. Aktuellt projekt avgör registerutdragens innehåll.

Ensolution tecknar särskilda avtal (underbiträdesavtal) med underleverantörer som hanterar personuppgifter för att säkerställa underleverantörernas korrekta behandling av data.

4. Ha en säker process för hur vi skyddar personuppgifter i IT-system och projekt

I dataskyddsförordningen finns en generell skyldighet för både personuppgiftsansvariga och personuppgiftsbiträden att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, samt för att i övrigt uppfylla kraven i förordningen – både när beslut fattas om hur behandlingen ska genomföras och under hela den fortsatta behandlingen (art. 32). Vilka åtgärder som behövs beror på uppgifternas art, omfattning och syfte med behandlingen, liksom vilka risker för enskildas rättigheter och friheter som behandlingen kan innebära.

Inom ramen för projekt som genomförs hos kunder kan det förekomma personuppgifter i databearbetningen. I dessa fall hanterar Ensolution enbart pseudonymiserade uppgifter, vilket medför att uppgifterna inte går att koppla till en enskild person utan ytterligare information. Den kompletterande informationen förvaras tekniskt och organisatoriskt avskild så att personuppgifterna inte kan hänföras till en person. Ensolution sparar inga personnummer på våra arbetsstationer, servrar, externa diskar eller lagringsutrymmen.

Eventuell behandling av personnummer sker alltid i kundens system, inte via e-post. Behandling av personuppgifter i e-post får enbart innehålla pseudonymiserade personuppgifter.

Ensolution hanterar ej känsliga eller extra skyddsvärda personuppgifter via e-post, till exempel uppgifter om någons hälsa, religiösa åskådning eller politiska åsikter.

En av de grundläggande principerna i dataskyddsförordningen är principen om lagringsminimering, det vill säga att samla in så få personuppgifter som möjligt. Ensolution samlar enbart in de uppgifter som behövs för att kunna utföra arbetet.

När behandling av personuppgifter inom ramen för aktuellt uppdrag upphör arkiveras eller gallras uppgifterna, dvs. uppgifterna antingen raderas från våra system eller avidentifieras så att de inte går att spåra till en enskild person. Rutinen för detta finns dokumenterad i vårt ledningssystem i processen för informationshantering- och arkivering.

I vissa projekt ingår systemstöd för att kunderna skall få tillgång till färdigbearbetat projektresultat. Inloggning till dessa system regleras via enskilda användarnamn och kan spåras via loggar från systemet. Loggarna sparas enligt riktlinjerna i GDPR.

Ensolution har internt utsedda systemägare som är ansvariga för att systemen uppfyller säkerhetskraven enligt dataskyddsförordningen. Ensolution anlitar även en extern datafirma, Squad AB, för att uppnå maximal säkerhet kring våra system och lagringsrutiner.

5. Ha effektiva rutiner för hantering av personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade, eller på annat sätt kommit i orätta händer.

En personuppgiftsincident ska anmälas till Datainspektionen inom 72 timmar efter att den har upptäckts. Ensolution har tydliga instruktioner för vad som är en personuppgiftsincident och rapporterar eventuella personuppgiftsincidenter till personuppgiftsansvarig enligt en dokumenterad process. Regionchefen är ansvarig för att rapporteringen sker inom rätt tidsrymd.

Kort om förordningen

  • All personuppgiftsbehandling måste ha rättslig grund. Det kan exempelvis vara avtal (anställningsavtal, avtal med kund), allmänt intresse (forskning, statistik, arkiv) eller rättsliga förpliktelser (till exempel bokföringsskyldighet). Ensolution arbetar även i flera uppdrag där vi agerar s.k. personuppgiftsbiträde.
  • Rättigheterna stärks för enskilda personer. Det ställs strängare krav på att vi ska informera om hur vi hanterar kunder och potentiella kunders personuppgifter.
  • Kraven på IT-system som hanterar personuppgifter stärks. Personuppgifter ska exempelvis skyddas så att bara de som är behöriga kan se eller arbeta med uppgifterna. Uppgifterna måste även skyddas så att de inte förstörs, kommer bort, eller hamnar i orätta händer genom olyckshändelse.
  • Ändamålet måste vara tydligt vid insamlingen av uppgifter. Vi får inte samla in fler personuppgifter än nödvändigt, till exempel för att ”det kan vara bra att ha”.
  • En sanktionsavgift kan utdömas vid brott mot förordningen. Det är Integritetsskyddsmyndigheten (tidigare Datainspektionen) som är tillsynsmyndighet.
  • Vid brott mot dataskyddsförordningen eller datalagen kan även den eller de drabbade begära skadestånd/ersättning.

Ladda ner lista på företag med underbiträdesavtal

Vi finns i Halmstad, Göteborg & Stockholm

Få information om Ensolution direkt till dina kanaler

Nyheter från oss via mail, eller följ oss via RSS och våra sociala kanaler.

Få nyheter du är intresserad av

Följ oss via RSS eller sociala kanaler