Underbilaga 1: Beskrivning av behandlingen av personuppgiften

1. TJÄNSTEN
Administration och hantering av åtkomst till skyddade lokaler och utrustning, samt support på denna tjänst.

2. DE REGISTRERADE
Personuppgifterna som behandlas rör följande kategorier av registrerade:

Autentiseringsinnehavare så som anställda, konsulter, besökare, hyresgäster och leverantörer hos kunden

3. KATEGORIER AV PERSONUPPGIFTER
Personuppgifterna som behandlas rör följande kategorier av personuppgifter:
Kontaktuppgifter (Namn, telefonnummer, e-postadress), anställningsnummer, loggar från passersystem

4. ÄNDAMÅLET MED BEHANDLINGEN AV PERSONUPPGIFTER
För att kunna administrera och hantera individers åtkomst till skyddade lokaler och utrustning, samt för att kunna ge support på tjänsten.

5. BEHANDLINGAR
Personuppgifterna som omfattas av behandlingen kommer att bli föremål för följande grundläggande behandling:
Lagring, ändring, radering, läsning.

6. BEHANDLINGENS VARAKTIGHET
Personuppgifterna kommer att behandlas med följande varaktighet: Under avtalstiden och ytterligare period stipulerad i Tjänsteavtalet.

7. SÄKERHETSÅTGÄRDER
Säkerhetsåtgärder som är implementerade som minimum är:

7.1 Rutiner rörande personal
Endast personal som behöver tillgång till kundens personuppgifter skall ha åtkomst till uppgifterna. Rutiner skall finnas för att ta bort behörighet för personer som inte längre behöver tillgång till dem.

All personal skall använda personlig inloggning vid all behandling av personuppgifter. Lösenords- hanteringen skall åtminstone uppfylla Assa Abloys rutiner för lösenordskvalitet och regelbundet byte.

All behandling av kundernas personuppgifter skall loggas, med uppgift om vem som behandlat uppgifterna och när det gjorts.
Personuppgiftsbiträdet åtar sig att ha regelbundna genomgångar med all personal gällande rutiner för hantering av personuppgifter, utrustning och personliga konton, för att säkerställa att behandling av kundernas personuppgifter sker på ett korrekt sätt.

7.2 Skydd av utrustning och kommunikation
All stationär utrustning som lagrar personuppgifter, exempelvis servrar och stationära datorer, skall finnas i låsta utrymmen. Servrar skall förvaras i utrymmen utan fönster. Om bärbara datorer eller lagringsmedia används, skall dessa lagringsmedia vara krypterade.

Extern kommunikation skall vara krypterad med något öppet och säkert protokoll. Personuppgiftsansvarig ansvarar för inställningar gällande kryptering av egen utrustning. Personuppgiftsbiträdet skall tillse att det finns brandväggar och virusskydd med tillfredsställande funktion vid behandling av personuppgifter.

Personuppgiftsansvarig ansvarar för eventuell brandvägg till egen utrustning. Uppdatering av utrustning, med exempelvis säkerhetspatchar eller nyare versioner av operativsystem, virus-skydd och brand-väggar, ska ske löpande. Kritiska säkerhetspatchar skall appliceras skyndsamt.

7.3 Backup och övrig hantering av personuppgifter
Backuper tas dagligen, och raderas löpande när de inte längre behövs. Test av att backup-rutiner fungerar skall ske minst årligen, och skall säkerställa att en återställning med full funktion kan ske inom rimlig tid efter en incident. Backuper skall förvaras avskilt och väl skyddat.

Personuppgifter som inte längre behövs för att utföra en tjänst åt kunden skall raderas så snart uppdraget är slutfört, dock med möjlighet för kunden att först begära att få en kopia om de inte redan har personuppgifterna. Varje kunds personuppgifter skall hållas separerade från andra personuppgifter som personuppgiftsbiträdet behandlar.