IRM | Lyra - Säkerhet och integritet

Lyra - Integritet och säkerhet

I vår roll som personuppgiftsbiträde har vi ansvar för organisatoriska och tekniska säkerhetsåtgärder kopplat till tjänsten Lyra. Det betyder att vi är ansvariga för att det ska finnas behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter. Om det inte finns funktioner i tjänsten för att hantera personuppgifter så har vi interna rutiner för detta.

Autentisering och kryptering

För att få tillgång till tjänsten krävs inloggning med något av våra tillåtna inloggningssätt. All inloggning och alla annan kommunikation med tjänsten sker krypterat med SSL (Secure Socket Layer, den vanligaste standarden för krypterad kommunikation över Internet). Krypteringen är 256-bitars SSL kryptering med 2048-bitars nycklar.

Vi rekommenderar att användarna använder någon form av extern inloggning (t.ex. med Facebook, Twitter, Microsoft- eller Google-konton alternativt inloggning via en inloggningstjänst hos er) eftersom det innebär att användaren behöver hantera färre lösenord. Det är viktigt att förstå att vi inte använder någon annan information från de externa inloggningstjänsterna än den unika identiteten som vi får från dem och som dessutom inte är den samma för någon annan tjänst som använder samma inloggningssätt. De stora aktörerna har helt andra möjligheter att övervaka och upptäcka avvikelser i inloggningar och annat säkerhetsarbete, vilket sammantaget gör extern inloggning till det säkraste inloggningssättet.

Lyra har också stöd för lokal inloggning, dvs att användaren väljer att skapa ett lokalt lösenord i tjänsten Lyra. Detta lösenord lagrar vi i ett envägskrypterat format. Det innebär att lösenordet inte kan läsas av någon hos oss eller att det går att skicka lösenordet till en användare som glömt bort det. Istället tillåter vi att man nollställer sitt lösenord om det har glömts bort.

När en användare har använt Lyra klart, rekommenderar vi att man aktivt loggar ut och även stänger sitt webbläsarfönster för att säkerställa att ingen obehörig kan komma åt tjänsten. Detta är extra viktigt att göra när en offentlig dator (t.ex. på ett bibliotek eller flygplats) används.

Lagring och drift

Tjänsten Lyra driftas i Microsofts moln Azure, på datacenter som ligger inom EU. Det innebär att vi drar fördel av all den utveckling som Microsoft gör kontinuerligt för att säkerställa en hög och stabil tillgänglighet med säkerhet i toppklass. Du kan läsa mer om Microsoft Azure här.

Organisatorisk säkerhet

Det är bara ett fåtal personer som har förståelse och vetskap om hur säkerheten för tjänsten är uppbyggd. Vi har organisatoriska begränsningar för vilka som kan ha tillgång till er information och hur information ska hanteras. Vidare är alla anställda bundna av ett sekretessavtal som förhindrar spridning av information i allmänhet och personuppgifter i synnerhet.

Incidenthantering

Enligt GDPR måste ni och vi ha rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter. Vissa typer av personuppgiftsincidenter måste vara anmälda till tillsynsmyndighet (Datainspektionen) inom 72 timmar av dig som Personuppgiftsansvarig.

Om det finns problem i logiken för hur Lyra hanterar personuppgifter (t.ex. om Lyra genererar felaktig eller saknad data) eller om det inträffar en säkerhetsincident där det finns risk för obehörig åtkomst till personuppgifter räknas detta som en personuppgiftsincident. Beroende på incidentens karaktär kan det finnas skyldighet att rapportera den till tillsynsmyndighet (Datainspektionen). Vi har valt att här tydliggöra hur vi hanterar personuppgiftsincidenter.

Vid upptäckt av att en incident har inträffat börjar vi med att beskriva incidenten på ett sätt som gör att det går att förklara vad som skett. I detta ingår att tydliggöra vad det är för typ av incident och en första analys av orsaken till incidenten. Utifrån beskrivningen görs sedan en bedömning av hur incidenten behöver hanteras. I den här delprocessen ingår att vi tar kontakt med Personuppgiftsansvarig och att vi gemensamt beslutar hur incidenten ska hanteras. Utifrån fattade beslut kommer incidenten att åtgärdas och den exakta åtgärden beror naturligtvis mycket på incidentens karaktär. I vår process för att åtgärda en incident ingår även att göra en djupare analys av orsaker till varför incidenten kunde inträffa och vilka åtgärder vi behöver vidta för att förhindra att nya incidenter kan inträffa pga samma orsaker med hänsyn tagen till risker och konsekvenser. Incidenten kan också komma behöva kommuniceras till berörda personer och/eller tillsynsmyndigheten enligt de lagliga krav som finns. Denna kommunikation sker som en del av de beslutade åtgärderna.

Dataskyddspolicy

Vi på IRM värnar om våra kunder, vilket innebär att vi samlar in personlig information ansvarsfullt och med hänsyn till din integritet. Det är viktigt att vi är transparenta med vilken information vi samlar in om dig samt hur vi gör det.

Parter

IRM Solution AB, ORGNR, Garvargatan 9C, 112 21 Stockholm (i fortsättningen IRM), är leverantör av tjänsten Lyra (i fortsättningen Tjänsten). IRM är personuppgiftsansvarig för personuppgifter som du delar med oss när du:

beställer Tjänsten.
får inloggningsuppgifter och blir användare av Tjänsten.
har en fråga och/eller kontaktar oss.

IRM är personuppgiftsbiträde för behandling av de personuppgifter som du lämnar till Tjänsten och är då ansvarig för organisatoriska och tekniska säkerhetsåtgärder för att skydda dina personuppgifter. Personuppgiftsansvarig för de lämnade personuppgifterna är det bolaget som har tecknat Tjänsten (i fortsättningen Kunden).

Vilka personuppgifter behandlar vi om dig?

När du beställer Tjänsten samlar vi in dina kontaktuppgifter och företagsuppgifter. Företagsuppgifterna är personuppgifter om ditt företag är en enskild firma. Vidare finns det kontaktuppgifter och inloggningsuppgifter för varje användare av Tjänsten för att det ska vara möjligt att använda Tjänsten. Om du kontaktar oss med en fråga eller i något annat ärende kan mängden personuppgifter variera beroende på hur du kontaktar oss och vilken information som väljer att dela med oss. Nedan finns en detaljerad lista över vilka personuppgifter som vi hanterar och med vilken laglig grund som vi gör det.

Syfte med behandlingen	Personuppgifter	Laglig grund
Beställning av Tjänsten	Företagsuppgifter (organisationsnummer, namn, adress) som är personuppgifter om du driver en enskild firma. Kontaktuppgifter (Förnamn, Efternamn, E-post och telefon)	Utföra våra kontraktuella åtaganden mot dig
Användare av Tjänsten	Kontaktuppgifter (Förnamn, Efternamn, E-post och telefon) Inloggningsuppgifter	Utföra våra kontraktuella åtaganden mot dig
För vår interna verksamhet som felsökning, dataanalys, testning och forskning	Användarnamn/E-post Teknisk information (Svarstider, IP-adress, Webbläsare, Operativsystem, Plattform och Skärmupplösning)	Utföra våra kontraktuella åtaganden mot dig och andra berättigade intressen
Kontakt via e-post	Kontaktuppgifter (E-post) Meddelandet i löptext som kan innehålla de personuppgifter som du väljer att dela med oss	Utföra våra kontraktuella åtaganden mot dig

Utöver användare av Tjänsten kan du registrera andra personer i din verksamhet i Tjänsten för att kunna koppla dem mot olika beställningar. Varje ärende/beställning har också en kontaktperson som från början är den person som vill få en åtgärd utförd och det finns även information om lägenhetsinnehavaren om en beställning gäller ett uthyrt objekt. För dessa personuppgifter är IRM personuppgiftsbiträde och Kunden är personuppgiftsansvarig. Som en hjälp har vi nedan detaljerat vilka personuppgifter som hanteras i Tjänsten och med vilken laglig grund som vi anser att ni har för att göra det.

Syfte med behandlingen	Personuppgifter	Laglig grund
Kontakta dig rörande en beställning	Kontaktuppgifter (Förnamn, Efternamn, E-post och telefon)	Utföra kontraktuella åtaganden
Hitta till rätt hyresobjekt (lägenhet)	Kontaktuppgifter (Förnamn, Efternamn) Adress (Gatuadress, Postnummer, Ort, Lägenhetsnummer)	Utföra kontraktuella åtaganden
Kundnöjdhetsundersökning	Kontaktuppgifter (E-post)	Andra berättigade intressen

Om du inte anser att ni har någon laglig grund för att utföra kundnöjdhetsundersökningar (eller inte vill) så är detta en funktion i Tjänsten som är frivillig del som du själv kan stänga av/slå på.

När du använder Tjänsten så samtycker du till vår användning av cookies. Vad cookies är och hur vi hanterar cookies finns beskrivet på sidan Lyras användning av cookies på hemsidan.

Vilka delar vi personuppgifter med?

Vi behandlar din information inom EU. De personuppgifter som finns kopplade till en beställning görs tillgängliga för både personer i beställarorganisationen och för de personer som hanterar beställningen hos leverantören som ska utföra beställningen.

Hur länge sparar vi dina personuppgifter?

Dina personuppgifter som finns kopplade till en beställning, sparas som längst i 24 månader efter att beställningen har skickats till en leverantör och därefter tas de bort från beställningen. Anledningen till att uppgifterna sparas i 24 månader är för att det ibland kommer klagomål på en beställning långt efter att den har utförts och då måste det vara möjligt att veta vilka som varit inblandade.

Dina rättigheter till tillgång, rättelse och radering

Du som har personuppgifter registrerade i Tjänsten har flera rättigheter som är bra att känna till.

Rätt att få tillgång till din information. En gång per år har du rätt att kostnadsfritt begära ut en kopia av de uppgifter som vi har om dig för att t.ex. kunna verifiera att de är korrekta.
Rätt till rättelse. Du har rätt att få dina personuppgifter korrigerade om de är felaktiga eller ofullständiga.
Rätt att bli raderad/bortglömd. Du har rätt att begära att dina personuppgifter blir raderade för de fall de inte längre krävs för att uppfylla det syfte som uppgifterna blev insamlade för. Det kan dock finnas legala skyldigheter som hindrar oss från att ta bort delar av din information. I så fall förhindrar vi användningen av informationen i andra syften än att uppfylla våra legala skyldigheter.

Du har också rätt att dra in ett samtycke, lämna klagomål om behandlingen till Datainspektionen, motsätta dig automatiskt beslutsfattande, profilering och invända direktmarknadsföring.

Kontakta oss

Du kan kontakta oss med dina frågor kring dataskydd och personuppgifter på info@lyraonline.se.

IRM Solution AB är personuppgiftsbiträde och personuppgiftsansvarig för behandlingen av dina personuppgifter enligt ovan. IRM Solution AB följer svensk dataskyddslagstiftning.

Lyras användning av cookies

För att våra tjänster ska fungera måste vi använda oss av cookies, precis som de flesta andra tjänster som du använder på Internet behöver göra. Här har vi beskrivit vad en cookie är och vad vi använder dem till för att du ska kunna ta ställning till vad du samtycker till när du använder våra tjänster.

Vad är cookies?

Cookies är små textfiler som innehåller bokstäver, siffror och andra tecken. Dessa skickas från Lyras webbservrar och sparas på din enhet enligt nedan. Vi använder oss av följande cookies:

Sessioncookies som är en tillfällig cookie som upphör när du stänger din webbläsare.
Varaktiga cookies är cookies som ligger kvar på din dator tills du tar bort dem eller till dess att de inte är giltiga längre (de har ett datum som avgör hur länge de ska sparas).

Vi använder inte några tredjepartscookies, dvs alla cookies är satta av den webbplats som du besöker.

Varför använder vi cookies?

Tjänsten Lyra behöver cookies för att fungera och i vissa fall skapar vi även cookies för att skapa en bättre användarupplevelse för dig. När du loggar in i Lyra skapas det en varaktig cookie som håller reda på just din inloggning och denna cookie är varaktig under dagen för att minska antalet tillfällen som du behöver logga in från samma enhet. Denna cookie tas bort när du aktivt väljer att logga ut. Vi skapar dessutom en varaktig cookie med ditt senaste användarnamn för att skapa en enklare användarupplevelse för dig när du ska logga in nästa dag.

Utöver detta har vi också sessioncookies i de olika delarna av tjänsten för att säkerställa funktionaliteten.

Hur kan du kontrollera vårt användande av cookies?

Din webbläsare tillåter dig att göra olika inställningar som för hur cookies hanteras. I dessa inställningar kan du välja att helt blockera cookies, radera dem när du stänger webbläsaren, med mera. Tänk dock på att tjänsten Lyra endast fungerar om du tillåter cookies.

Allmänt om GDPR och vad du behöver tänka på

För att hjälpa dig har vi sammanställt viss information om GDPR och vad du behöver tänka på som kund och personuppgiftsansvarig.

GDPR står för General Data Protection Regulation och är en dataskyddsförordning från EU som är lag i alla EU-länder från den 18 maj 2018. GDPR ersätter den svenska Personuppiftslagen (PUL) och syftet är att modernisera och harmonisera skyddet av personuppgifter inom EU.

Vad är en personuppgift?

En personuppgift är varje data/upplysning som går att koppla till en enskild person, så som t.ex. ett namn, en e-postadress eller ett telefonnummer, men det kan också vara när flera uppgifter tillsammans gör att det går att identifiera personen. Tänk på att det innebär att uppgifter om enskilda firmor också är personuppgifter. Det finns också extra känsliga personuppgifter som t.ex. etniskt ursprung, politisk åskådning, sexuell läggning med flera, och dessa uppgifter är i allmänhet förbjudna att hantera. GDPR styr hur du får behandla personuppgifter och exempel på behandling är att du samlar in, strukturerar, lagrar och bearbetar uppgifterna.

Personuppgiftsansvarig och personuppgiftsbiträde

När du behandlar personuppgifter är du oftast Personuppgiftsansvarig (PuA), vilket innebär att du bär det yttersta ansvaret för att lagen följs. Det innebär att du måste avgöra att du har laglig grund för behandlingen av personuppgifterna, att du bara behandlar uppgifterna i enlighet med den lagliga grunden och att du informerar de personer vars personuppgifter du behandlar. Ett Personuppgiftsbiträde (PuB) behandlar personuppgifter för en personuppgiftsansvarigs räkning och är då ansvarig för tekniska och organisatoriska säkerhetsåtgärder. Personuppgiftsansvarig ska säkerställa att ett Personuppgiftsbiträdet efterlever lagen.

I tjänsten Lyra är IRM Personuppgiftsansvarig för personuppgifter om dig som kund, användare eller när du är i kontakt med oss för support eller utbildning. All annan behandling av personuppgifter i tjänsten är du Personuppgiftsansvarig för och IRM är Personuppgiftsbiträde. Som Personuppgiftsbiträde har IRM vidtagit de tekniska och organisatoriska säkerhetsåtgärder som krävs enligt lagen, så att du ska kunna känna dig trygg i att din hantering av personuppgifterna sker i enlighet med lagen.

Du kan läsa mer om hur vi hanterar säkerheten eller vår dataskyddspolicy för mer detaljer.

Rättslig grund

Du måste ha stöd i lagen för att få samla in personuppgifter, det kallas för att ha en rättslig grund. Det finns olika rättsliga grunder som t.ex. avtal, rättslig förpliktelse, intresseavvägning och samtycke. Varje personuppgift får enbart används i det syfte som de har samlats in för. För de personuppgifter som finns i Lyra är det troligt att ert avtal med hyresgästerna ger er rättslig grund för att behandla dem tillsammans med beställningar. Vi vill dock vara noggranna med att påpeka att det är du som Personuppgiftsansvarig som måste veta vilka uppgifter du har, varför du har dem och hur länge uppgifterna ska finnas kvar i Lyra. För att hjälpa er har vi sammanställt en lista över de Personuppgifter som är möjliga att lagra i Lyra:

Namn
Telefon
E-postadress
Adress (Gatuadress, Postnummer, Postort, Lägenhetsnummer)

Ostrukturerad information

PUL har tidigare haft undantag mot så kallad ostrukturerad information, dvs personuppgifter som finns i löptext och fritext i exempelvis dokument, e-post och anteckningsfält i system. I och med GDPR försvinner det här undantaget och du måste hantera personuppgifter i fritext på samma sätt som med strukturerad information. I Lyra finns det möjlighet att skicka meddelanden mellan beställaren och leverantören och där kan man skriva fritext. Det är viktigt att ni utbildar alla användare i hur de får behandla personuppgifter där det finns möjlighet till fritext.