GDPR – Hantering av personuppgifter

Som leverantör av Expense ansvarar Dicom Expense för de tekniska samt organisatoriska skydd som behövs för att säkerställa att personuppgifter behandlas enligt lag. Dicom Expense säkerställer att den säkerhet som behövs för exempelvis lagring, behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter finns tillgänglig. All personal är bunden av ett sekretessavtal som förhindrar spridning av data, information, samt kundens personuppgifter finns tillgänglig. Endast behörig personal har tillgång till våra system. Du som kund är personuppgiftsansvarig för all behandling av personuppgifter i Expense. Som personuppgiftsbiträde vidtar Dicom Expense tekniska och organisatoriska åtgärder för att dina personuppgifter ska behandlas säkert enligt GDPR.

Hur förbereder sig Dicom Expense för implementeringen av GDPR 25 maj 2018?
Dicom Expense har enligt GDPR inventerat och dokumenterat hur vi behandlar personuppgifter i våra system. Vi har alltid haft som policy att inte behandla mer information än vad som är absolut nödvändigt.

Vilken information som lagras i Expense kommer påverkas av GDPR?
All data skapad av kund som exempelvis namn, medarbetarkod och kostnadsställe. Denna data kontrolleras och ägs av kunden, vilket ger kunden full kontroll över raderingsprocessen. Livslängden på loggar och backuper tar hänsyn till regelverket för GDPR.

Använder Dicom Expense några tredjeparts-leverantörer som är relevanta när det gäller GDPR?
Dicom Expense använder sig av ett systerbolag, Dicom Datautveckling, 556347-0540, för drift av Expense.

Data

Vilka har tillgång till information?
Förutom att kunden själv har tillgång till sin data har även Dicom Expense support och utveckling möjlighet att komma åt innehållet på kundens begäran.

Används data för andra ändamål än vad vi som kunder använder det för?
Nej.

Incidenthantering

Vår incidenthanteringsprocess grundar sig i fem steg:

  1. Registrering.
    Incidenter registreras i vårt incidenthanteringssystem när de upptäcks.
  2. Analys
    Incidenter som registrerats analyseras för att skapa en förståelse för incidentens natur vilket möjliggör prioritering och åtgärd.
  3. Prioritering
    Incidenter klassificeras och prioriteras för att kunna avsätta rätt resurser för åtgärd.
  4. Åtgärda och återrapportera
    Incident åtgärdas och återrapporteras skyndsamt till alla berörda.
  5. Uppföljning
    Incidenter följs upp för att skapa översikt och grund för förbättringsarbete med händelser och incidenter.

Säkerhet

Hur arbetar ni för att säkerställa Dicom Expense säkerhet?
Dicom Expense arbetar aktivt med mot att vara compliant med informationsäkerhetsstandarden ISO 27000. Detta sker i samband med säkerhetskonsulter.

Kryptering och Autentisering
Tjänsten Expense skyddas av 256-bitars SSL-kryptering, all information som skickas till och från våra servrar är krypterad. Verifiering av användare sker vid varje förfrågan till våra servrar där kontroll av den inloggades behörighet kontrolleras. Alla våra kunders lösenord är envägskrypterade vilket gör att inte ens vi kan utläsa några lösenord.

Lagring och Backuper
Våra tjänster driftas i en säkerhetsklassad serverhall i Stockholm som övervakas dygnet runt. Backuper lagras i en annan geografisk skild säkerhetsklassad serverhall i Stockholm. Vår driftpersonal har tillgång till serverhallarna dygnet runt.

Vår servermiljö och nätverk skyddas av brandväggar och övervakning. Data säkerhetskopieras flera gånger om dagen och lagras enligt vår Backup Management policy. Alla kunders data är separerade från varandra.