Vad är personlig information?
Personlig information är information eller bedömning som kan kopplas till dig som en individ, till exempel namn, adress, telefonnummer, e-postadress, bilnummer, foton etc.
Känslig personlig information är information om ras eller etnisk bakgrund, politisk, filosofisk eller religiös övertygelse, som en person har misstänkt, anklagats, åtalats eller dömts för en kriminell handling, hälsoförhållanden, sexuella relationer eller medlemskap i fackföreningar.
Vilken personlig information lagras i Didac?
Didac erbjuder funktionalitet för att kunna genomföra och följa upp kurser och utbildning i företag. För att kunna erbjuda detta behöver applikationen förmågan att lagra och hantera följande information som kan kopplas till en person:
- Namn, telefonnummer och e-post, alternativ profilbild, anställdens datum, beskrivning (fri text) och fakturadress.
- Information som är inloggad vid inloggning, t.ex. användaragent, tid och IP-adress.
- Information relaterad till implementering och godkännande av utbildning samt tillhörande resultat.
- Information relaterad till kommunikation med andra användare av systemet i samband med avslutad utbildning.
- Information relaterad till vilka delar av organisationen en person tillhör.
- Om kunden använder en inloggning i Didac lagras också ett lösenord. Lösenorden lagras i krypterad form (envägs "saltad" hash).
Informationen anses inte vara känslig enligt Dataskyddsförordningen, artikel 9.
Referens:
https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=celex%3A32016R0679#d1e1994-1-1
Vem har tillgång till den personliga informationen?
Den personliga informationen som lagras i Didac kan göras tillgänglig antingen direkt via applikationens gränssnitt eller indirekt via den operativa plattformen bakom den.
Åtkomst via applikationsgränssnittet regleras av kunden själv med hjälp av Didacs inbyggda åtkomstkontroll. Informationen kan göras tillgänglig via skärm eller via ett programmatiskt gränssnitt (API).
Tillgång till Didacs driftsplattform är reserverad för teknisk personal från Didac och från Didacs underleverantörer. Denna åtkomst är nödvändig för att säkerställa en stabil drift av lösningarna. I princip inkluderar underleverantörer endast teknisk personal från Orange Business AS (Basefarm). Om ytterligare tjänster har överenskommits, t.ex. integration med andra system, utveckling av support-APP: er för mobila plattformar, etc., kommer det att vara relevant att ge tillgång till andra leverantörer också. Hittills har denna typ av åtkomst endast beviljats Evidi/ Communicate AS i samband med utvecklingen av integrationslösningar.
Hur säkras tillgången till personuppgifter?
Tillgång till applikationens gränssnitt säkerställs av branschstandardteknologi för autentisering och godkännande i moderna webbapplikationer (Owin / OpenId). All trafik mellan klient och server är krypterad med https / SSL. Se separat dokumentation för detaljer.
Tillgång till driftsplattformen för teknisk personal säkerställs både genom fysiska begränsningar såsom åtkomstkontroll till operationssalar, arbetsplatser och tekniska begränsningar såsom VPN, IP-filtrering och liknande. Arbetsstationerna för teknisk personal säkras med automatisk skärmlås och lösenord som ändras med jämna mellanrum.
Säkerhet av databaser är bland annat begränsad. genom att lagra kunddata i separata databaser, en per kund. Där åtkomst krävs tillhandahålls detta också per kund, så att integrationsleverantörer endast har tillgång till data för kunden i fråga.
Produktionsdata lagras fragmenterat och fördelat över flera lagringsmedier, så att om någon skulle få fysisk tillgång till ett enskilt medium är det inte möjligt att hämta ut meningsfull information. Datacentret har en hög grad av fysisk säkerhet, och backup av produktionsdata lagras krypterad. Datafiler kan dessutom krypteras med hjälp av TDE (Transparent Data Encryption) på begäran.
Radering av personuppgifter i Didac
Om du vill ta bort personlig information från Didac används en kombination av anonymisering och radering. Detta görs för att kunna bevara statistik över avslutad utbildning.
När en användare anonymiseras skrivs värdet över i alla fält som kan användas för att identifiera användaren. Detta inkluderar namn, e-post, telefonnummer, beskrivningar, inloggningsnamn, referens-ID, anställdens datum och profilbild. Eventuella kommentarer skrivna av eller till användaren skrivs över. Alla meddelanden som skickas från användaren skrivs över.
Följande raderas:
- Medlemskap i eller ansvar för grupper
- Alla koordinatoruppdrag
- Alla filer som användaren har laddat upp
- Alla filer som administratören har laddat upp i anslutning till användaren
- Alla meddelanden som har skickats till användaren.
- Alla inloggningsförsök som kan kopplas till användaren
Observera att radering och/eller anonymisering av individuella användare i egen lösning åligger dig som kund, om inte annat avtalats.
Vid avtalets upphörande, raderas alla data och uppgifter kopplade till kundens installation, inklusive alla personuppgifter, vid den tidpunkt som avtalats med kunden. Avtalet säkerställer kundens rätt och möjlighet att exportera nödvändiga data före radering. Själva raderingen av kunddokument, -filer och -data genomförs automatiskt. Efter att raderingen har genomförts tar det ytterligare 30 dagar innan all data är raderad från backup.
Kommentarer
0 kommentarer
logga in för att lämna en kommentar.