GDPR Säkerhetsrutiner hos Direktkonsult

Direktkonsult har implementerat såväl organisatoriska och tekniska säkerhetsåtgärder för hanteringen av personuppgifter. All personal har erforderlig utbildning för att personuppgifter hanteras på ett korrekt och säkert sätt. För biträden, underbiträden och andra samarbetspartners tecknas avtal som garanterar att Direktkonsults säkerhetsåtgärder gäller även för dessa parter.

Dataskyddsombud

Direktkonsult har inte tillsatt ett dataskyddsombud då företaget inte har som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer och vi behandlar inte heller känsliga personuppgifter eller uppgifter om brott i stor omfattning.

Vår kontaktperson avseende GDPR är Agneta Eriksson, agneta.eriksson@direktkonsult.se, tel 031-93 97 09

Fysisk åtkomstkontroll

Alla lokaler är ständigt låsta och endast behörig personal ges tillgång till dessa. Besökare vistas aldrig i dessa lokaler utan att behörig personal är med.

Åtkomstkontroll avseende system

Endast de personer som behöver det för att kunna fullgöra sitt uppdrag gentemot kunden ges tillgång till utrustning och access/inloggning i systemet.

Åtkomstkontroll avseende personuppgifter

I systemet ges via användarbehörighet endast tillgång till de personuppgifter som krävs för att personen ska kunna utföra uppdraget.

Åtkomstkontroll vid överföringar

Vid dataöverföringar är all data krypterad för att säkerställa att personuppgifter inte obehörigen kan läsas, kopieras, ändras eller raderas vid elektronisk överföring eller vid överföring eller lagring på lagringsenheter.

Lagringsregler

Personuppgifter kan gallras såväl under som efter avtalstiden när användningen inte längre är nödvändig för det ursprungliga ändamålet. Kunden ansvarar själv för att meddela Direktkonsult då gallring önskas.

Under avtalstiden: Så snart som möjligt från det att kunden begärde att personuppgifterna skulle raderas.

Efter att avtalstiden har upphört, gäller bestämmelserna i vårt biträdesavtal med kunden för vad och när uppgifterna ska gallras eller raderas.

Personuppgiftsincident

I händelse av en personuppgiftsincident, dvs att personuppgifter kan ha förstörts, förlorats, ändrats eller spridits till någon obehörig – oavsiktligt eller olagligt kommer Direktkonsult att underrätta kunden (PuA) utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

Underrättelsen beskriver:

  • Incidentens art och omfattning
  • Sannolika konsekvenser
  • Vidtagna åtgärder

Kunden ansvarar därefter själv för att informera den registrerade om incidenten.

Vid eventuell incident gäller följande rutiner:

  • Upptäckt incident hanteras av utsedd person/grupp
  • Utredning av incidenten görs: art och omfattning, konsekvenser, etc
  • Åtgärdsbehov bedöms och åtgärder planeras/genomförs
  • Informationsbehov bedöms (kunden/personuppgiftsansvarige meddelas alltid, ev även Datainspektionen, ev även den registrerade)
  • Anmälan till Datainspektionen i de fall detta ska göras (dock ej för incidenter för vilka Direktkonsult AB endast är personuppgiftsbiträde, ansvaret ligger då hos den personuppgiftsansvarige att göra anmälan).
  • Dokumentation av incidenten och genomförda åtgärder (oavsett om anmälan har gjorts eller ej)