Introduktion och tillämpning

Denna dataskyddspolicy förklarar hur ITSL Solutions AB behandlar personuppgifter i samband med tjänsten ITSL HubS och relaterade supporttjänster. Policyn riktar sig till kunder och användare av HubS samt besökare av vår webbplats. Vi beskriver här hur vi samlar in, använder, lagrar och skyddar personuppgifter, liksom dina rättigheter enligt dataskyddsförordningen (GDPR).

ITSL Solutions AB (organisationsnummer 559261-9265, med adress Universitetsallén 32, 852 30 Sundsvall) är personuppgiftsbiträde för de personuppgifter som behandlas i HubS på uppdrag av våra kunder. Våra kunder – t.ex. kommuner, myndigheter eller företag som använder HubS – är personuppgiftsansvariga för användarnas personuppgifter i plattformen. ITSL åtar sig att behandla dessa uppgifter endast enligt kundens instruktioner och denna policy. För personuppgifter som behandlas på vår egen webbplats eller i vår marknadsföring är ITSL själva personuppgiftsansvarig – men notera att vi för närvarande inte använder några omfattande marknadsföringsverktyg som skulle samla in personuppgifter (vår webbplats använder minimalt med cookies, se nedan).

Den fullständiga policyn är uppdelad i följande avsnitt:

• Roller och ansvar (Personuppgiftsansvarig vs. -biträde)
• Personuppgiftsbiträdesavtal och ändamål med behandling
• Underbiträden (våra leverantörer)
• Kategorier av personuppgifter och ändamål
• Rättslig grund för behandling & samtycke
• Lagring, lagringsplatser och rutiner för radering
• Tekniska och organisatoriska säkerhetsåtgärder
• Hantering av personuppgifter vid supportärenden
• Cookies och tredjepartsdelning
• Registrerades rättigheter
• Kontaktinformation och ändringar

Roller och ansvarsfördelning

Personuppgiftsansvarig (PuA) är den kund (organisation) som använder HubS och bestämmer ändamålen med behandlingen av personuppgifter i plattformen. Personuppgiftsbiträde (PuB) är ITSL Solutions AB, som behandlar personuppgifter endast på dokumenterade instruktioner från kunden. ITSL agerar aldrig självständigt med personuppgifter i HubS; vi behandlar dem uteslutande för att leverera tjänsten enligt avtalet med kunden. Detta förhållande regleras av ett personuppgiftsbiträdesavtal mellan ITSL och kunden, i enlighet med GDPR art. 28.

Som personuppgiftsbiträde säkerställer ITSL att personuppgifterna inte behandlas för några andra ändamål än de som kunden gett instruktion omtietoevry.com. Vi tar heller inte del av innehåll i t.ex. chattar eller filer mer än nödvändigt för drift/support, och i så fall endast av behörig personal under sekretess. Kunden är ansvarig för att ha laglig grund för de personuppgifter som läggs in i HubS, samt för att informera användarna om behandlingen. ITSL bistår kunden att uppfylla sina skyldigheter gentemot registrerade, t.ex. genom att underlätta för registerutdrag, radering etc (se avsnitt om rättigheter).

Personuppgiftsbiträdesavtal och ändamål med behandling

Med varje kund tecknar ITSL ett Personuppgiftsbiträdesavtal (PuB-avtal). Detta avtal reglerar hur vi som biträde får behandla personuppgifter för kundens räkning, i enlighet med GDPR. I PuB-avtalet klargörs bland annat:

• Ändamålen: ITSL får endast behandla personuppgifter för det uttryckliga ändamålet att tillhandahålla HubS-tjänsten (inklusive support och säker drift) åt kunden. Användarnas personuppgifter i HubS används alltså för att möjliggöra deras kommunikation och samarbete, inte för något annat. Vi får inte använda eller föra vidare uppgifterna för egna syften (t.ex. sälja, analysera eller marknadsföra)tietoevry.com.
• Instruktioner: Kunden har rätt att ge dokumenterade instruktioner om hur behandlingen ska ske. ITSL är skyldigt att följa dessa instruktioner. HubS är en flexibel plattform och kan anpassas efter olika dataskyddskrav – vi dokumenterar därför i avtalet eller bilagor vilka typer av data som kommer behandlas och hur (t.ex. om videomöten ska spelas in eller ej, hur länge data ska sparas, etc).
• Sekretess: ITSL garanterar att all personal som hanterar kundens personuppgifter omfattas av lagstadgad sekretess eller har undertecknat konfidentialitetsavtal. Vi förbinder oss att hålla personuppgifterna strängt konfidentiellatietoevry.com.
• Säkerhet: Vi åtar oss att vidta alla tekniska och organisatoriska säkerhetsåtgärder som krävs enligt GDPR art. 32 och andra tillämpliga lagarinera.se. (Detaljer om säkerhetsåtgärder beskrivs nedan.)
• Underbiträden: Alla eventuella underbiträden (underleverantörer) som ITSL anlitar för att behandla personuppgifter åt kunden anges i avtalet (se nästa avsnitt). Vi använder inte nya underbiträden utan att först inhämta kundens godkännande. Underbiträden åläggs samma skyldigheter för dataskydd som ITSL har gentemot kunden.
• Hjälp med tillgång för registrerade: ITSL hjälper kunden att besvara eventuella begäranden från registrerade (användare) gällande deras rättigheter. Om t.ex. en användare begär registerutdrag eller radering, bistår vi med att ta fram eller radera data inom rimlig tid.
• Incidentrapportering: Skulle en personuppgiftsincident inträffa (t.ex. säkerhetsbrott som leder till att obehöriga fått åtkomst till data) informerar ITSL omgående kunden och tillhandahåller all information som krävs för att kunden ska kunna uppfylla eventuella anmälningsskyldigheter.

PuB-avtalet baseras på standardklausuler enligt GDPR och eventuella branschmallar. För våra offentliga kunder kan vi använda anpassade PuB-avtal som uppfyller offentlighets- och sekretesslagstiftningens krav (t.ex. SKR/SKL Kommentus standardavtal som Inera tagit fram för kommunerinera.se). Syftet är att ge kunden full kontroll och trygghet i att deras data hanteras lagenligt och säkert.

Underbiträden (leverantörer och deras roll)

ITSL anlitar ett fåtal underleverantörer (underbiträden) för att drifta och leverera delar av HubS-tjänsten. Samtliga underbiträden uppfyller våra höga säkerhetskrav, och personuppgifter delas med dem endast i den mån det är nödvändigt för drift av tjänstentietoevry.com. Våra huvudsakliga underbiträden är:

• Safespring AB – Molninfrastrukturleverantör: Safespring driver de primära servermiljöer där HubS-plattformens data lagras och bearbetas. Safespring är en svensk leverantör med datacenter i Sverige (och sekundärt Norge) och garanterar att all data hanteras enligt europeisk lag, utan beroende av utländska molnaktörersecuremeeting.eu. De tillhandahåller svenskdriftad molninfrastruktur med hög säkerhet och full GDPR-efterlevnadsecuremeeting.eu. ITSL har valt Safespring för att säkerställa datasuveränitet, prestanda och pålitlighet i molnmiljön. Safespring agerar underbiträde enbart i form av drift/infrastruktur – de kommer inte åt kundernas innehåll i annat fall än eventuellt för teknisk felsökning på uppdrag av ITSL, och då under sekretess.
• Secuvas AB – Videotjänstleverantör: Secuvas tillhandahåller den säkra videotjänst som integreras i HubS (för videokonferenser och möten). Videoströmmar och relaterade data hanteras via Secuvas infrastruktur, som är lokaliserad i Sverige. Secuvas är specialiserade på säker videokommunikation, och fungerar som underbiträde genom att möjliggöra krypterad överföring och lagring av videomöten vid behov. Precis som med Safespring begränsas Secuvas åtkomst till persondata – de behandlar uppgifterna endast tekniskt för att leverera videofunktionen och lagrar inga mötesinspelningar permanent utan uppdrag.
• Ida Infront AB – Accesspunktsleverantör (Säker Digital Kommunikation): ITSL HubS innehåller en modul för att ansluta till det nationella meddelandenätverket SDK (Säker Digital Kommunikation), som används för säker meddelandeutväxling mellan myndigheter, kommuner och andra aktörer. För att möjliggöra detta använder vi Ida Infronts accesspunkt (AP) – en programvara som fungerar som nav för att skicka och ta emot meddelanden i SDK-federationen. Ida Infront AP är dock inte att betrakta som ett underbiträde för personuppgiftsbehandling i traditionell mening, eftersom AP:n inte lagrar eller aktivt behandlar personuppgifterna – den vidareförmedlar dem endast krypterat mellan parterna. Ingen personlig information ur meddelandena lagras permanent i AP:n. All behandling som sker via AP görs på ITSL/kundens egen infrastruktur och lyder under våra säkerhetsåtgärder. (Ida Infront kan betraktas som leverantör av programvara/tjänst, men har ingen självständig åtkomst till persondata i meddelandena.)
• Övriga: ITSL strävar efter att minimera användningen av underbiträden. I dagsläget hanterar vi t.ex. supportärenden internt, men om vi skulle använda ett externt ärendehanteringssystem eller liknande kommer vi att informera om detta och säkerställa PuB-avtal även där. Alla underbiträden listas i PuB-avtalet med kunder, inklusive information om var datan behandlas (alla nuvarande underbiträden behandlar data inom Sverige).

För samtliga underbiträden gäller att de har ingått PuB-avtal med ITSL där de förbinder sig att uppfylla GDPR och vidta nödvändiga säkerhetsåtgärder. ITSL bär fullt ansvar gentemot kunden för underbiträdenas handlingar – om en underleverantör brister i skyddet av personuppgifter, ansvarar ITSL inför kunden precis som för egen deltietoevry.com.

Kategorier av personuppgifter och ändamål

Vilka personuppgifter behandlas i HubS? Det beror på hur kunden och användarna nyttjar tjänsten, men generellt kan följande kategorier förekomma:

• Kontouppgifter: För att logga in och använda HubS har användare ett konto kopplat till sin organisation. Typiska uppgifter är namn, e-postadress, eventuellt titel och organisationstillhörighet, samt inloggningsuppgifter (t.ex. användarnamn). Dessa uppgifter behövs för autentisering och för att andra deltagare i plattformen ska veta vem som deltar (t.ex. visas ditt namn när du chattar eller i möten).
• Kommunikationsinnehåll: Detta inkluderar text i chattmeddelanden, filer/dokument du delar samt video- och ljuddata från onlinemöten. HubS är en samarbetsplattform, så behandlingen av dessa uppgifter sker för att tillhandahålla samarbetsfunktionen – dvs. förmedla meddelanden mellan användare i realtid eller lagra dem så att deltagare kan läsa dem senare. Videoströmmar överförs krypterat mellan mötesdeltagare; om ingen inspelning görs sparas de inte på disk. Uppladdade filer lagras på servern för åtkomst av behöriga projektmedlemmar. Chattloggar lagras för kontinuitet så att medlemmar kan läsa historik i en kanal. Allt detta innehåll finns kvar så länge projektet/kanalen är aktiv och raderas enligt de lagringstider som överenskommits (se Lagringstider nedan).
• Mötesinspelningar och transkript: Som standard spelar inte HubS in möten. Om kunden aktiverar möjligheten att spela in video eller att få tal transkriberat till text, krävs som nämnt samtycke. En mötesinspelning kan innehålla personuppgifter i form av deltagarnas video- och ljud (där man kan identifiera personer). Transkription innebär att tal under mötet omvandlas till text, vilket också är personuppgifter om det går att koppla till en individ (t.ex. namn nämns i samtalet eller texten är kopplad till en talare). Dessa funktioner är valbara och hanteras restriktivt: transkription sparas bara för att tillhandahålla mötesanteckningar åt deltagarna och raderas så snart mötet/projektet är klart om inte kunden instruerar annat (och endast om samtycke fanns).
• Användningsloggar: Systemet kan generera loggar som innehåller personuppgifter, t.ex. inloggningstider kopplat till en viss användare, IP-adresser vid åtkomst, felmeddelanden som innehåller användarnamn etc. Syftet med dessa loggar är att upprätthålla IT-säkerhet och felsöka vid behov, samt att övervaka systemets hälsa (t.ex. för att upptäcka obehöriga försök till intrång). Loggar är åtkomliga endast för ITSL:s driftspersonal och används inte för att övervaka användarnas beteende utöver tekniska behov. Vi behåller loggar endast under begränsad tid (enligt lagringspolicy, normalt några månader) om de inte behövs längre.
• Supportärenden: Om en användare kontaktar ITSL support så kan vi behandla personuppgifter som namn, kontaktuppgifter (e-post, telefon) och de uppgifter användaren själv lämnar i sin fråga. Syftet är att lösa supportärendet och förbättra våra tjänster genom att dokumentera vanligt förekommande problem. Dessa uppgifter används inte utanför support/processförbättring.

Ändamål med behandlingen: Sammanfattningsvis behandlar ITSL personuppgifter för att leverera HubS-tjänsten (möjliggöra kommunikation, lagra och distribuera användargenererat innehåll, säkerställa behörig åtkomst) och för att tillhandahålla support till tjänsten. Alla behandlingar är kopplade till dessa ändamål. Vi behandlar inte personuppgifter i HubS för fristående ändamål som reklam, profilering eller försäljning av data.

Rättslig grund och samtycke vid inspelning

Rättslig grund: Eftersom ITSL är personuppgiftsbiträde i huvuddelen av HubS-behandlingen, vilar den rättsliga grunden huvudsakligen på vår kund (personuppgiftsansvariges) bedömning. Typiskt sett stöds behandlingen på avtal och berättigat intresse: Kunden har ett avtal med ITSL att leverera en samarbetsplattform till sina användare, och för att fullgöra det avtalet behandlas nödvändiga uppgifter (t.ex. kontoinformation, meddelanden). Även berättigat intresse kan åberopas för intern kommunikation i en organisation eller liknande – det ligger i alla parters intresse att tjänsten fungerar och att medarbetare kan utbyta information. ITSL stödjer kunden i att uppfylla principerna i GDPR (laglighet, korrekthet, transparens m.m.)tietoevry.com.

I vissa fall kan samtycke vara aktuellt: framför allt vid inspelning eller transkribering av möten. Då inhämtar antingen kunden eller systemet direkt ett uttryckligt samtycke från användaren. Exempel: Om en mötesorganisatör vill spela in ett videomöte kommer HubS be alla deltagare att bekräfta samtycke innan inspelningen startar. Deltar man inte eller avslår, spelas man inte in. Samtycke kan när som helst återkallas, och då avbryts inspelningen/transkriberingen och det insamlade materialet raderas omgående.

För supportärenden är den rättsliga grunden ITSL:s berättigade intresse att lösa kundens problem och förbättra tjänsten. När du frivilligt kontaktar oss för support, anser vi att vi har ett legitimt intresse att spara den kommunikationen en tid för uppföljning, vilket också gagnar dig som användare i form av bättre service.

ITSL behandlar inte känsliga personuppgifter (såsom hälsodata, politiska åsikter etc) i något annat fall än om användarna själva skulle lägga sådan information i systemet. HubS är en generell samarbetsplattform; om känsliga uppgifter måste hanteras bör kunden instruera oss särskilt så att extra skyddsåtgärder och eventuellt särskild rättslig grund (t.ex. uttryckligt samtycke) hanteras korrekt. I normalfallet förekommer inte systematisk hantering av känsliga uppgifter.

Lagring, datalokalisation och radering

Var lagras dina personuppgifter? Alla HubS-data lagras på servrar inom Sverige (med vissa redundanslösningar inom EU). Som nämnt ovan använder vi svenska leverantörer (Safespring, Secuvas) med datacenter i Stockholm och andra orter i Sverige. Ingen dataöverföring sker utanför EU/EES. Detta är en medveten strategi för att garantera integritet och undvika juridiska osäkerheter kring tredjeland (t.ex. efter Schrems II-domen). Vår plattform har genomgått formell granskning av Myndigheten för digital förvaltning (DIGG) och är godkänd för anslutning till nationella SDK-nätverket, vilket ställer höga krav på säkerhet och dataskydd.

Kryptering och säker lagring: Alla personuppgifter lagras i krypterade databaser eller filsystem. Data som transporteras över nätverk (t.ex. när du chattar eller deltar i video) är krypterad end-to-end eller via stark transportkryptering (TLS). Lagrade filer krypteras på serversidan. Säkerhetskopior (backuper) tas regelbundet och lagras krypterade, även de inom Sverige. Backuper behövs för att kunna återskapa data vid tekniska fel; de omfattas av strikta åtkomstkontroller och rensas enligt vår backup-policy.

Lagringstider: ITSL tillämpar olika lagringstider för olika typer av personuppgifter, anpassade efter branschstandard och kundens önskemål:

• Löpande kommunikation (chatt, dokument, gruppinnehåll): Dessa uppgifter sparas så länge det behövs för det pågående projektet eller samarbetet. I praktiken innebär det att så länge en arbetsyta, chattkanal eller projekt i HubS är aktiv och används, finns historiken kvar så att användarna kan se tidigare konversationer och filer. Efter avslutat projekt eller om en chattkanal arkiveras, kan datat gallras bort efter t.ex. 6 månader, om inte kunden önskar omedelbar radering. Vi kan också på kundens begäran anonymisera eller exportera data till kunden för arkivering innan radering. (Notera att kunder inom offentlig sektor kan ha arkivkrav att själva bevara data enligt arkivlag; i sådana fall agerar vi enligt deras instruktioner.)
• Mötestranskriberingar och inspelningar: Dessa tas bort direkt efter att de fyllt sitt syfte. Om en transkription togs fram för att skriva mötesanteckningar, raderas transkriptet strax därefter (t.ex. när projektet avslutas eller när anteckningarna är godkända). Inspelade videomöten, om sådana förekommer, sparas normalt sett utanför HubS (t.ex. levereras till kunden separat) och raderas från våra system så fort de är överförda. Default är att inga inspelningar lagras på våra servrar längre än nödvändigt för överföring.
• Kontouppgifter: Användarkonton i HubS hanteras ofta via kundens katalog (Single Sign-On). Om ett konto inaktiveras eller en person slutar, tas åtkomsten bort omedelbart. Själva kontodata (namn, e-post etc) kan finnas kvar i historik/loggar så länge motsvarande kommunikationsdata finns (för att meddelanden ska visa avsändarens namn), men vi kan pseudonymisera eller anonymisera på begäran. Generellt rensas inaktiva konton och tillhörande personuppgifter regelbundet – t.ex. efter 6–12 månaders inaktivitet – om inte kunden har andra riktlinjer.
• Supportärenden: Supportloggar och ärendeinformation behålls i upp till 24 månader efter att ärendet stängts. Detta för att vi ska kunna se historik vid återkommande problem och lära oss av tidigare fall (affärsmässig och teknisk förbättring). Efter 24 månader raderas eller anonymiseras ärendedata, såvida inte särskilda skäl finns att behålla dem längre (t.ex. ett pågående tvistärende eller garantiärende relaterat till supporten).
• System- och säkerhetsloggar: Tekniska loggar (inloggningar, fel, transaktionsspårning) har ofta kortare bevarandeperiod. Vi strävar efter att inte lagra personidentifierbara loggar längre än 6–12 månader. Vissa säkerhetsloggar med endast pseudonym information (t.ex. hashade id:n) kan lagras upp till 2 år för trendanalys av säkerhetshändelser, men utan att kopplas till konkreta individer.

Ovanstående tider är generella riktlinjer – vi anpassar lagringspolicy efter kundens behov och gällande lagkrav. Om t.ex. en kundorganisation kräver kortare lagringstid för vissa data, följer vi det. All radering genomförs på ett säkert sätt (vi utför verifierad radering/skrubbning av data ur databaser, och ser till att även data i backup inte ligger kvar längre än nödvändigt). Kunden har också möjlighet att själv radera visst innehåll via HubS-gränssnittet (t.ex. ta bort en fil eller rensa en chatt); sådana raderade objekt tas då bort ur den aktiva databasen omedelbart och tas sedan bort från backup vid nästa cykel.

Tekniska och organisatoriska säkerhetsåtgärder

ITSL upprätthåller en hög säkerhetsnivå för att skydda personuppgifter mot obehörig åtkomst, förlust eller annan otillåten behandlinginera.se. Våra viktigaste säkerhetsåtgärder inkluderar:

• Åtkomstkontroll och behörighet: Endast ett mycket begränsat antal ITSL-medarbetare har administrativ åtkomst till HubS-servrarna där personuppgifter finns, och då enbart för driftändamål (t.ex. uppdatering, felsökning). Principen om ”need to know” tillämpas strikttietoevry.com: personal får bara komma åt de uppgifter som krävs för deras arbetsuppgift. Alla medarbetare med sådan behörighet omfattas av sekretessavtal. Åtkomst loggas och övervakas. Känsliga administrativa åtgärder kräver multifaktorautentisering.
• Kryptering: Som nämnt används kryptering i alla led. Webbtrafik och API-anrop skyddas med TLS/SSL. Videoströmmar i möten krypteras. Lagrade data (databaser, filsystem, backupmedia) är krypterade med starka algoritmer. Även våra interna kommunikationskanaler och åtkomst till servrar sker via VPN och krypterade protokoll.
• Nätverkssäkerhet: Driftmiljön är skyddad bakom brandväggar. Vi har segmenterade nätverk, vilket isolerar HubS-data från externa system. Vår driftspartner har robusta DDoS-skydd och övervakningredpill-linpro.com. Alla externa anslutningar begränsas och övervakas.
• Övervakning och revision: Vi genomför regelbundna säkerhetskontroller. Automatiska skanningar och intrångsdetekteringssystem används för att identifiera sårbarheter eller obehöriga försökredpill-linpro.com. Vi loggar relevanta händelser och granskar loggarna för att upptäcka avvikelser. Dessutom låter vi tredje part utföra penetrationstester på plattformen med jämna mellanrum. Interna revisioner av efterlevnaden mot GDPR och säkerhetspolicy görs minst årligen.
• Certifieringar och standarder: ITSL följer erkända standardramverk för informationssäkerhet. Vår driftpartner Safespring är certifierad enligt ISO 27001 (ledningssystem för informationssäkerhet)redpill-linpro.com. ITSL:s interna processer följer även ISO 27002-riktlinjerna och vi strävar efter att själva uppnå certifiering. Vi följer ITIL-bästpraxis för incidenthantering och förändringshantering i drift. Som leverantör till offentlig sektor beaktar vi också krav enligt NIS2-direktivet och har rutiner för kontinuitet och krishantering.
• Säker utveckling & testning: HubS-plattformens programvara uppdateras kontinuerligt med säkerhetsförbättringar. Vi utvecklar anpassningar med ”Privacy by Design” i åtanke – d.v.s. integritet och dataskydd beaktas från början. I testmiljöer används anonymiserade eller syntetiska data när möjligt för att undvika spridning av produktionspersonuppgifter.
• Utbildning och policy: Alla ITSL-anställda får löpande GDPR-utbildning och säkerhetsmedvetandeutbildning. Vi har en intern dataskyddspolicy och säkerhetspolicy som alla måste följa. Dataskyddsincidenter övas och vi har en utpekad dataskyddsansvarig internt som övervakar efterlevnaden (kontaktuppgifter nedan).

Sammantaget är vår säkerhetsnivå hög för att motsvara de känsliga behov som finns hos många av våra kunder (t.ex. kommuner, vårdsektorn). Våra datacenter är i säkerhetsklassade lokaler med 24/7 bevakning, redundanta system och klimatkontroll. Genom att hålla all data inom Sverige minimeras risker kopplade till främmande makts lagstiftning, och vi följer givetvis Cloud Act-problematiken noga – med vår nuvarande lösning finns ingen exponering mot leverantörer under US-jurisdiktion.

Hantering av personuppgifter vid supportkontakt

Förutom plattformstjänsten i sig behandlar ITSL personuppgifter när du eller kundens representanter interagerar med oss för support eller kundtjänst. Detta avsnitt klargör hur vi hanterar sådana uppgifter:

• Insamling vid support: När du kontaktar oss via e-post, telefon eller chatt registrerar vi de uppgifter du själv lämnar. Typiskt är detta namn, kontaktuppgift (som e-postadress eller telefonnummer), organisation samt en beskrivning av ditt problem eller fråga. Ibland kan det inkludera skärmdumpar eller loggar som du delar, vilka i sin tur kan innehålla personuppgifter (t.ex. ditt användarnamn, eventuellt andra individers uppgifter om problemet rör meddelanden i HubS).
• Användning: Dessa uppgifter används uteslutande för att hjälpa dig med support. Vår supportpersonal kan behöva gå in och titta på viss data i HubS (med kundens godkännande) för att felsöka, men de gör då detta under samma sekretess och åtkomstkontroll som beskrivits ovan. Informationen från ditt supportärende används även för intern kunskapshantering – t.ex. vi för statistik över vanliga frågor för att förbättra dokumentation eller utbildning. Om du rapporterar ett fel i systemet kan detaljer ur ärendet delas internt med våra utvecklare, men alltid under sekretess.
• Lagring av supportdata: Vi loggar supportärenden i vårt ärendehanteringssystem. Varje ärende får ett ID och kopplas till den kund det gäller. Konversationer i ärendet sparas där. Som nämnts sparar vi dessa loggar i upp till ca 2 år efter avslut, sedan tas de bort eller anonymiseras. Endast behöriga inom support och drift har åtkomst till ärendesystemet. Uppgifter i ärendet delas inte utanför ITSL utan kundens samtycke. (Om ett ärende kräver eskalering till t.ex. en underleverantörs tekniska support, inhämtar vi medgivande från kunden först och ser till att minimera vilka personuppgifter som delas vidare.)
• Support via fjärrstyrning: Ibland kan det vara aktuellt med fjärrsupport där vi ansluter till en kunds miljö eller delar skärm. Även då gäller att eventuella personuppgifter som vi får se behandlas konfidentiellt och endast för felsökningsändamålet. Inga sådana data lagras hos oss utöver vad som eventuellt hamnar i supportloggen (t.ex. en felbeskrivning).
• Kommunikationskanaler: E-post som skickas till oss lagras på våra säkra mailservrar. Vi använder ingen extern helpdeskleverantör som skulle få tillgång till korrespondensen (allt hanteras av ITSL internt). Chattar med oss (t.ex. om vi erbjuder live-chatt support) loggas på samma sätt.
• Rättslig grund: Som tidigare nämnt är behandlingen av personuppgifter i supportärenden baserad på berättigat intresse – både vårt och kundens – att lösa problem och förbättra tjänsten. Vi bedömer att denna hantering inte kränker den registrerades rättigheter då uppgifterna lämnas frivilligt i samband med sökt support och används på ett förväntat sätt.

Cookies och tredjepartsdelning

Cookies: ITSL HubS-plattformen använder endast nödvändiga cookies. Dessa innefattar t.ex. sessionscookies som håller reda på att du är inloggad, dina inställningar (språkval, gränssnittspreferenser) och liknande funktionella syften. Inga cookies för marknadsföring eller oväsentlig spårning placeras. På vår publika webbplats (itsl.se) används inte Google Analytics eller liknande; vi förlitar oss enbart på grundläggande trafikloggar. Om vi i framtiden skulle använda någon analyscookie, kommer vi att be om samtycke i förväg.

Inbäddat innehåll & tredje parter: Varken HubS-tjänsten eller vår webb delar aktivt personuppgifter med tredjeparts reklamnätverk, sociala medieplattformar eller liknande. Vi har inga Facebook-pixlar, inga Google Ads-taggar etc. Den enda tredjepartskopplingen i HubS är som beskrivet integrationen med det statliga SDK-nätverket via Ida Infronts AP, men den skickar bara meddelanden till mottagarens system – ingen data skickas till utomstående företag.

Notera att om användare själva väljer att integrera en tredjepartstjänst i HubS (t.ex. en länk till en YouTube-video i chatten), kan det innebära att den tjänsten får viss data (t.ex. IP-adress vid uppspelning av videon). Sådant ligger dock utanför ITSL:s kontroll och vi uppmanar användare och kunder att göra egna bedömningar av tredjepartslänkar. Standardinställningen i HubS är att inte ladda in extern media automatiskt utan att användaren klickar.

Sammanfattning: Du kan använda HubS och besöka vår webbplats i trygg vetskap om att vi inte ägnar oss åt tracking för marknadsföring eller någon otillbörlig delning av dina personuppgifter. All behandling håller sig inom ramen för det som behövs för tjänsten. Detta ligger i linje med branschens bästa praxis och GDPR:s krav på uppgiftsminimering och ändamålsbegränsning.

Registrerades rättigheter enligt GDPR

ITSL respekterar fullt ut de rättigheter som tillkommer dig enligt GDPR. Eftersom vi oftast behandlar dina personuppgifter som biträde åt din organisation, samarbetar vi med dem för att möjliggöra utövandet av rättigheterna. Här är en översikt:

• Rätt till information & transparens: Via denna policy informerar vi tydligt om hur dina uppgifter behandlas. Din organisation (kunden) ansvarar också för att du får nödvändig integritetsinformation om sin användning av HubS. Har du frågor är du välkommen att kontakta oss eller din organisation.
• Rätt till tillgång (registerutdrag): Du har rätt att få veta vilka personuppgifter om dig som behandlas i HubS. Du kan vända dig till din organisation som kan begära utdrag från oss, eller direkt till oss så samordnar vi med kunden. Vi kommer att ge dig en sammanställning av dina uppgifter: t.ex. kontodata, konversationshistorik etc, inom den tidsfrist som lagen föreskriver (normalt inom 1 månad).
• Rätt till rättelse: Om du upptäcker att någon personuppgift om dig är felaktig eller inaktuell (t.ex. felstavat namn, gammal titel), kan du begära rättelse. Oftast kan din egen organisations administratörer korrigera basuppgifter (som namn) i användarkatalogen. För andra uppgifter (som innehåll i något inlägg) kan du själv kanske redigera eller annars be administratören eller oss att ändra/radera det felaktiga.
• Rätt till radering (“rätten att bli glömd”): I vissa fall kan du begära att dina personuppgifter raderas, t.ex. om de inte längre är nödvändiga eller om du återkallar samtycke för en specifik behandling (som en mötesinspelning). ITSL raderar personuppgifter på uppdrag av kunden. Notera att denna rättighet kan vara begränsad om kunden har laglig skyldighet att bevara visst material (t.ex. en myndighet som arkivplikt). Men i enlighet med GDPR ska vi alltid tillmötesgå en begäran om radering så långt det är möjligt – det kan t.ex. innebära att ditt konto tas bort och dina identiteter i systemet anonymiseras i historiska loggar.
• Rätt till begränsning av behandling: Du kan be oss (eller din organisation) att temporärt begränsa behandlingen av dina uppgifter – t.ex. om du anser att de är felaktiga och vi behöver tid att verifiera/korrigera, eller om du invänt mot behandlingen (se nedan) och väntar på beslut. Under tiden en begäran om begränsning hanteras kommer vi markera uppgifterna så att de inte behandlas utöver lagring.
• Rätt att invända: Om din personuppgifter behandlas med stöd av berättigat intresse, har du rätt att invända mot detta. I HubS-sammanhang är det sällan vi gör något baserat på t.ex. profilering eller direktmarknadsföring som du skulle invända mot, eftersom vi inte har sådana ändamål. Men om du av någon anledning skulle vilja invända mot att din data används inom ramen för tjänsten (kanske p.g.a. en specifik situation), utvärderar vi och kunden din begäran och försöker finna en lösning. Exempel: du kanske inte vill att din chattkonversation ska vara sökbar – då kan vi eventuellt ta bort den eller föreslå att du inte deltar i just den kanalen. Invändningsrätten är i praktiken mest relevant för behandling där laglig grund är “berättigat intresse” – för supportloggar t.ex. kan du invända om du anser att vårt intresse inte väger tyngre än din integritet, och då skulle vi i normalfallet radera dina supportuppgifter.
• Rätt till dataportabilitet: Du har rätt att få ut personuppgifter som du själv tillhandahållit oss, i ett strukturerat, allmänt använt format, för att kunna överföra dem till en annan tjänst. I fallet HubS kan detta t.ex. röra de meddelanden eller filer du själv laddat upp. Om du begär det, hjälper vi till att exportera dessa i lämpligt format (t.ex. textfiler, arkiv med dokument). Denna rättighet gäller när behandlingen grundar sig på samtycke eller avtal och sker automatiserat – mycket av HubS-behandlingen faller under avtalsuppfyllnad, så det är tillämpligt för sådana data.
• Automatiserat beslutsfattande: ITSL utför ingen automatiserad behandling som innebär beslut som rör dig med rättsliga följder eller liknande betydande påverkan, utan mänsklig inblandning. (Ingen profilering eller scoring av användare förekommer.)

För att utöva dina rättigheter, vänligen kontakta i första hand din organisation (t.ex. IT- eller dataskyddsansvarig där). Du kan även kontakta oss direkt (se nedan). Vi kommer då, om nödvändigt, samverka med kunden för att säkerställa en korrekt och snabb hantering. Alla sådana förfrågningar behandlas kostnadsfritt. Om någon begäran skulle vara uppenbart ogrundad eller orimlig (t.ex. upprepade onödiga förfrågningar) kan vi enligt GDPR ta ut en administrativ avgift eller vägra, men vårt mål är att alltid bistå dig som användare på bästa sätt.

Kontaktinformation för dataskyddsfrågor

ITSL Solutions AB har utsett ett dataskyddsombud/dataskyddsansvarig som övervakar att vi följer denna policy och GDPR. Om du har frågor om hur vi behandlar personuppgifter, eller vill framföra en begäran eller klagomål rörande dataskydd, är du välkommen att kontakta oss:

• E-post: info@itsl.se – ange att ärendet gäller dataskydd)
• Telefon: +46 (0)70 – 330 11 89
• Postadress: ITSL Solutions AB, Universitetsallén 32, 852 34 Sundsvall, Sverige.

Du kan även kontakta din egen organisations dataskyddsombud om det gäller behandlingen de är ansvariga för.

Om du inte är nöjd med hur en fråga hanteras har du rätt att lämna klagomål till tillsynsmyndigheten. I Sverige är detta Integritetsskyddsmyndigheten (IMY). Vi hoppas dock kunna lösa eventuella bekymmer i god dialog med dig.

Ändringar i denna policy

Denna dataskyddspolicy kan uppdateras vid behov, t.ex. om vår behandling ändras eller vid ny lagstiftning. Den senaste versionen finns alltid publicerad på vår webbplats. Vid väsentliga ändringar som påverkar dig kommer vi att informera kunderna och användarna (t.ex. via e-post eller notis i Hubs).

Version: 2025-12-15.