DPA(Data Processing Agreement)

1 Inledning till DPA

1.1

Detta avtal om databehandling fastställer de rättigheter och skyldigheter som avtalats mellan kunden och leverantören. Whistlesecure är i detta fall leverantör och det betalande företaget / organisationen är kunden. Whistlesecure hädan hädanefter kallad: Whistlesecure, Leverantör eller Personuppgiftsbiträde. Kunden hädanefter kallad: Kunden, köparen, Personuppgiftsansvarig. Detta är en bilaga, härefter kallat “DPA”, till avtalet som gäller för “tjänsten”, härefter kallat “huvudavtalet”. Vid godkänt huvudavtal godkänns denna DPA med dess bilagor.

1.2

Denna DPA har tagits fram för att garantera att följa Europaparlamentets förordning 2016/697. Specifikt artikel 28, punkt 3.

1.3

Leverantören är Personuppgiftsbiträde och Kunden är Personuppgiftsansvarig och detta avtal om hur datan får behandlas och hur den behandlas ska regleras när Tjänsten från whistlesecure till Kunden levereras, detta specificeras i köpeavtalet, här efter “Huvudavtalet”.

1.4

För att säga upp detta avtal (DPA) måste huvudavtalet sägas upp. Däremot kan Whistlesecure ersätta detta avtal med ett annat giltigt databehandlings avtal.

1.5

Detta avtal (DPA) har företräde för andra avtal och bestämmelser mellan kunden och Whistlesecure, denna punkt gäller även för huvudavtalet samt allmänna villkor.

1.6

Till denna DPA följer bilagor.

Bilaga A : Detaljer om vilken behandling whistlesecure står för, syfte samt typ av personuppgifter och elektroniska tjänster som Whistlesecure använder som rör de personuppgifter som Kunden ansvarar över.

Bilaga B : Andra detaljer om Whistlesecures villkor som gäller för kunden samt information om de underleverantörerna som Whistlesecure får och har rätt att använda sig av inom sin verksamhet.

Bilaga C : Detaljer om behandling som Whistlesecure ska utföra på uppdrag av kunden samt information om säkerhetsåtgärder samt krav som Whistlesecure och underleverantörer ska utföra eller uppfylla.

1.7

DPA:n ska bevaras av både kund och av Whistlesecure.

1.8

Denna DPA befriar varken kunden eller Whistlesecure från de lagstadgade skyldigheterna som vardera part måste uppfylla enligt GDPR.

2. Whistlesecures åtaganden, rättigheter samt skyldigheter

2.1

Kunden är personuppgiftsansvarig för hur personuppgifterna hanteras och lagras, detta är lagstadgat enligt GDPR.

2.2

Det är således upp till personuppgiftsansvarige att se till att behandling av personuppgifterna som gäller deras verksamhet sker enligt lag.

2.3

Det åligger kunden att säkerhetsställa att Whistlesecure behandlar dess uppgifter på ett lagligt och korrekt vis, med denna DPA vill Whistlesecure visa på transparens och laglighet, därför är detta en giltig handling till huvudavtal.

3. Whistlesecure följer följande

3.1

Whistlesecure behandlar data på kundens begäran. Whistlesecure får endast behandla personuppgifter enligt följande instruktioner från kunden som är ansvarig för personuppgifterna.

3.2

Whistlesecure ska utan dröjsmål ta kontakt samt informera personuppgiftsansvarig om någon behandling strider mot GDPR. Whistlesecure ska inte hållas ansvarig om kunden (personuppgiftsansvarig) behandlar personuppgifter olagligt eller i strid mot GDPR eller annan lag.

3.3

I de fall Whistlesecure informerat kunden om att en eventuell brist kan eventuellt vara olaglig, ska Whistlesecure inte hållas ansvarig i de fall som kunden som mottagit informationen inte gjort de nödvändiga anpassningarna som krävts.

3.4

Skulle Whistlesecure uppmärksamma att kunden bryter mot lagar, är en säkerhetsbrist eller riskerar att förstöra Whistlesecures rykte så har Whistlesecure rätt att med omedelbarhet avsluta samtliga avtal. Om kunden å andra sidan informerat whistlesecure om en potentiell brist där whistlesecure agerat ska inte heller Whistlesecure hållas ansvarig, varesig direkt eller indirekt, i någon form.

4. Sekretess och tystnadsplikt

4.1

Whistlesecure säkerhetsställer att endast behörig personal kan få tillgång till eventuella personuppgifter om ett eventuellt ärende eller arbete kräver att whistlesecures personal kan ta del av personuppgifter, på uppdrag av kunden. Möjlig åtkomst ska inte vara möjlig efter att huvudavtalet sagts upp. Vid uppsägning av huvudavtalet samt DPA och andra avtal kommer whistlesecure arbeta manuellt för att säkerhetsställa att all information är raderad.

4.2

Den personalen som ska kunna ha tillgång i särskilda fall till personuppgifter är de personer som krävs för att uppfylla huvudavtalets krav.

4.3

Whistlesecure ska säkerhetsställa att personalen som kan komma att behandla personuppgifter har signerat ett avtal om tystnadsplikt.

4.4

Kunden kan när som helst kontrollera att punkt 4-4.3 efterlevs.

5. Säkerhet vid behandling

5.1

Whistlesecure ska enligt detta avtal (DPA) följa samt säkerhetsställa att det som krävs enligt artikel 32 i GDPR uppfylls. Whistlesecure ska även dela upp data för att minimera effekterna vid en eventuell läcka samt vidta nödvändiga säkerhetsåtgärder, både tekniska samt organisatoriska i förhållande till eventuell risk. Denna punkt är omedelbar och whistlesecure arbetar idag på så vis att kraven enligt artikel 32 uppfylls.

5.2

Med punkt 5-5.1. Menar åtar sig Whistlesecure att följa denna skyldighet samt utföra riskutvärdering löpande i syfte att värna alla registrerade, oavsett om de är en kund eller en anonym eller personlig visselblåsare som använder tjänsten. Whistlesecure arbetar enligt artikel 32. Inom GDPR med följande:

pseudonymisering och kryptering av personuppgifter,

förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,

förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

5.3

Whistlesecure redovisar transparent hur de följer och säkerhetsställer efterlevnad efter artikel 32 enligt GDPR i bilaga nedan.

5.4

Whistlesecure är inte direkt skyldig att arbeta med redovisning för data utöver de bilagor som tillhandahålls Kunden. Vid önskemål om separat arbete tillkommer kostnad om manuellt arbete som återges i allmänna villkor från whistlesecure.

6. Underleverantörer

6.1

Whistlesecure ska se till att följa artikel 28, punkt 2-4.

6.2

Whistlesecure ska inte anlita en underleverantör utan att informera eller inhämta skriftligt godkännande från kunden.

6.3

Om Whistlesecure behöver anlita underleverantörer för utveckling av sin tjänst som whistlesecure enligt egen säkerhetsbedömning inte anser, antingen dela några uppgifter eller bryta mot sekretess, då får whistlesecure alita en underleverantör. Whistlesecure ska alltid informera kunden skriftligen om en underleverantör tas in.

6.4

Om whistlesecure anlitar en underleverantör ska de följa de föreskrifter som anges i denna DPA och bilaga nedan.

6.5

Om önskad underleverantör uppfyller de skrivelser enligt detta avtal som kunden genom huvudavtal godkänt får whistlesecure utan förfrågan anlita underleverantör. Se bilaga nedan.

6.6

Om whistlesecure vill anlita en underleverantör så ska whistlesecure se till att underleverantören följer de krav om som whistlesecure själva har genom denna DPA gentemot kunden (personuppgiftsansvarig).

6.7

Om kunden vill kontrollera vem en underleverantör är och hur ett avtal eller samarbete mellan whistlesecure och underleverantören är ska whistlesecure transparent redovisa detta samt redogöra för hur whistlesecure följt de åtaganden som de gentemot kunden har.

7. Överföring av data utanför EU/EES

7.1

Whistlesecure ska behandla data och personuppgifter i enlighet med GDPR, även så när det gäller överföring utanför EU/EES till tredje land. Om en kund genom sin användning bryter mot GDPR enligt överföring till tredje land kan whistlesecure inte hållas ansvarig, vare sig direkt eller indirekt.

7.2

Whistlesecure får inte utan godkännande från kunden göra följande:

I : Dela personuppgifter till tredje land.

II : Sluta samarbete med en ny leverantör där personuppgifter överförs till tredje land.

III : Låta personuppgifter behandlas i tredje land.

7.3

Whistlesecure överför inga personuppgifter som rör visselblåsare, dessa personuppgifter är anonymiserad om visselblåsaren själv väljer att vara det. Om en kund med dess personal, eller en visselblåsare väljer att inte vara anonym, då kan överföring till tredje land ske, men i enlighet till kryptering samt säkerhetsställd skyddsnivå. Se bilaga i detta dokument.

8. Whistlesecures åtaganden gentemot kunden

8.1

Whistlesecure ska utefter förfrågans allvarlighet tillhandahålla information om behandling av personuppgifter gentemot kunden.

8.2

Enligt punkt 8.1 betyder det att whistlesecure ska hjälpa, utefter sin tillgängliga förmåga att tillhandahålla information gentemot kunden när de behöver se efterlevnad av:

I : Efterlevnad av hur personuppgiftsincidenter behandlas

II : Tillhandahålla information om kundens registrerade personer i fall de undrar om “de registrerades rättigheter”,

III : Informering kring profilering samt användandet av pixlar.

8.3

Whistlesecure ska arbeta för kunden i syfte att säkerhetsställa efterlevnad av kundens skyldigheter enligt artiklarna 32-36 i GDPR.

8.1

9. Avisering om personuppgiftsbrott

9.1

Whistlesecure ska utan dröjsmål och inom 72 timmar, vid händelse av en personuppgiftsincident som inträffat inom sin egna verksamhet, eller hos en underleverantör upprätta en amälan och skicka denna omedelbart till berörd myndighet. Whistlesecure är registrerade i Sverige och i detta fall åsyftar punkt 9.1 gentemot den svenska myndigheten förkortat IMY. Samtidigt som en anmälan upprättas ska berörd kund informeras.

9.2

Om en läcka skulle ske där läckt data gäller kunden är kunden i detta fall personuppgiftsansvarig där whistlesecure åtar sig ansvar över ev. Läcka. Vid en eventuell händelse där kundens information skulle läcka ska whistlesecure enligt artikel 33 bistå kunden hjälp enligt punkterna nedan:

I : Gå igenom allvarlighetsgraden av incidenten samt försöka redogöra för hur många ev. Berörda personer som ingår i incidenten.

II : Utvärdera ev. Konsekvenser.

III : Gå igenom vilka förebyggande processer som tillämpats eller igångsatts för att förebygga eller begränsa eventuell skada.

10. Utrensning av data

10.1

När kunden eller whistlesecure avslutar huvudavtalet ska whistlesecure radera allt befintligt material som kunden har i sitt låsta system, såvida annan lag inte kräver att informationen lagras enligt annan tidsfrist. För manuellt arbete tillkommer kostnad enligt informationen om manuellt arbete som återges i allmänna villkor.

11. Inspektion och granskning

11.1

Whistlesecure ska på kundens begäran tillhandahålla nödvändig information som påvisar att whistlesecure följer gällande lagar samt godkända avtals krav. Kunden har rätt att upprätta en revision och en sådan ska senast 2 veckor i förtid anmälas genom en revisionsförfrågan gentemot kontaktuppgifter nedan.

11.2

Kunden har endast rätt att göra en revision om whistlesecure direkt, efter myndighetsbeslut brutit mot en lag som rör GDPR.

11.3

Whistlesecure är skyldig att tillhandahålla information till Svenska myndigheten för dataskydd, förkortat IMY.

12. Parternas överenskommelse om andra villkor

12.1

Till huvudavtalet följer bilagor och andra villkor, såsom detta avtal om databehandling (DPA).

12.2

Reglering av andra villkor mellan Parterna ska specificeras i huvudavtal eller bilagor.

13. Allmänna villkor

13.1

Kunden och Whistlesecure får inte avslöja någon information och all information som skapas i samband innan, under och efter ett avtal är att betrakta som hemlig.

14. Start och upphörande

14.1

Avtalet om databehandling (DPA) gäller från att kunden och Whistlesecure antagit huvudavtalet för tjänsten.

14.2

Både Whistlesecure och kunden har rätt att förfråga om omformulering av detta avtal. I de fall att ett nytt avtal om databehandling beträffats och antagits upphör detta avtal att gälla.

14.3

Om en part utför arbete eller köper externa tjänster som rör tjänsten kan den betalande parten inte hålla sin motpart ansvarig över dessa kostnader.

14.4

Avtal om behandling av data (DPA) kan endast sägas upp när huvudavtalet sägs upp, eller om något annat överenskommer skriftligen emellan kunden och Whistlesecure.

14.5

Avtalet om databehandling gäller så länge som material lagras hos Whistlesecure på kundens begäran.

15. Kontakt

All kontakt gällande detta avtal ska ske skriftligen.

15.1

Kontaktuppgifter : Joacim@whistlesecure.com

Bilagor

Bilaga A

Nedan finner ni information om vilka digitala funktioner som vi använder, vilken personlig information som vi behandlar och hur denna information flödar.

Hosting - Google Firebase

Vår hosting, databas och infrastruktur är certifierad enligt ISO 27001, ISO 27017, ISO 27018 samt SOC 1, SOC 2 & SOC 3 standarder

Hosting (server) är inom EU/EES, mer specifikt i Belgien.

Dataöverföring till och från våra servrar är transit-krypterade för att främja säker & trygg kommunikation.

All data på våra servrar är rest-krypterade, vilket ger extra skydd vid intrång och läckor.

Databas

Som vår hosting är även vår cloud databas och serverar inom EU/EES, Belgien.

Dataöverföring till och från våra databas-servrar är transit-krypterade för att främja säker & trygg kommunikation.

All data på våra servrar är rest-krypterade, vilket ger extra skydd vid intrång och läckor.

Backup sker regelbundet.

Cloud funktioner

Våra cloud-funktioner följer samma standard som databas och hosting.

Dataöverföring till och från våra databas-servrar är transit-krypterade för att främja säker & trygg kommunikation.

All data på våra servrar är rest-krypterade, vilket ger extra skydd vid intrång och läckor.

Auth/Användarautentisering

Användarautentisering är krypterad under transit & rest för att skydda känslig information.

Användarnamn & lösenord är skyddade med hashing & salting (nycklar), genom scrypt kryptering. Detta för att främja trygg och säker inlogg. Enbart du som användare har tillgång till ditt lösenord.

När du som visselblåsare loggar in så anger du inga personuppgifter och ditt IP-nummer är även krypterat & anonymiserat. På så vis delas inga personuppgifter med tredje part utanför EU/EES. För att ge dig ett skyddande filter så genererar vår tjänst (“visselblåsarkanal”) ett unikt användarnamn som håller en hög säkerhetsstandard, detta bör aldrig ändras.

Vid användarautentisering så kan denna krypterade data lämna EU under verifieringsprocessen. Denna process följer EU/ESS Privacy Data Framework.

Personuppgifter företag

Vi samlar in och bearbetar följande personuppgifter vid registrering av ett företags användare:

Namn: Ditt namn lagras och bearbetas för att göra din upplevelse mer personlig.

E-post: Din e-post lagras och bearbetas för kommunikation och inloggnings-relaterad funktionalitet.

Telefonnummer: Vid aktivering av tvåvägs-verifiering(MFA) så kopplas angivet telefonnummer till ditt konto, för ett extra lager av säkerhet.

IP-adress: Vid registrering och användning av tjänsten så lagras och bearbetas ditt IP-nummer för att förhindra intrång, motarbeta spam-attacker och annan systemfunktionalitet. Ditt IP-nummer är anonymiserat och enbart vår hosting provider har tillgång till detta.

Personuppgifter visselblåsare

För visselblåsare så är er anonymitet och säkerhet av högsta prioritet. Vid användande av tjänsten registreras följande:

Namn & e-post: Både namn och e-post är anonymiserade för er trygghet.

Geo-location: Vi lagrar ingen geo-location information.

Metadata: Ingen övrig metadata registreras.

IP-adress: Som med vanliga användare så registreras anonymiserade IP-adresser av säkerhets-anledningar. IP-adresser & loggar raderas löpande för att upprätthålla er integritet.

Borttagning av uppgifter & konto

Du har alltid rätt till din data och kan begära radering & nedtagning. Kontakta info(a)whistlesecure.com för detta

Bearbetning av IP-nummer

Hosting: IP-nummer som lagras för hosting raderas på en månadsvis basis.

Användarautentisering: IP-nummer som lagras för användarautentisering raderas veckovis.

Filuppladdning

Vanlig metadata som raderas vid filuppladdning omfattar bland annat:

Titel

Beskrivning

Albumnamn

Författare

Geo-location

Tid för skapande

Med mera...

Riktlinjer & uppmaningar

Vi arbetar kontinuerligt för att upprätthålla en god integritet och säkerhet gentemot våra användare. Även om vi implementerat och arbetar mot god säkerhet så kan vi inte garantera fullständig säkerhet. Vi uppmuntrar våra användare till anonymitet genom att alltid vara försiktiga.

Använding av VPN & andra tjänster som döljer IP-nummer

Använd aldrig samma lösenord för flera olika tjänster.

Använd inte namn, platser eller kända föremål/ting i lösenord.

Dela inte personlig information så som namn, e-post eller telefonnummer.

Dela inte andra personuppgifter som kan avslöja din eller andras identitet.

Spara inte inloggningsuppgifter på publika datorer.

Önskar du läsa mer om hur vår data bearbetas, och hur vår hosting, lagring m.m. går till, vänligen läs mer på Firebase Privacy Support & läs deras Data Processing Agreement.

Bilaga B

Detaljer om whistlesecures villkor som gäller för kunden samt information om de underleverantörerna som whistlesecure får och har rätt att använda sig av inom sin verksamhet.

De externa lösningar som vi använder ska uppfylla de föreskrifter som följer i enlighet med GDPR.

Exempelvis ska de uppfylla krav om adekvat skyddsnivå, kryptering samt certifiering.

Alla våra leverantörer är certifierade enligt ISO27001 i någon form.

Bilaga C

Detaljer om behandling som whistlesecure ska utföra på uppdrag av kunden samt information om säkerhetsåtgärder samt krav som whistlesecure och underleverantörer ska utföra eller uppfylla.

Whistlesecure ska till kunden tillhandahålla ett system för visselblåsning med hög nivå om säkerhet. Alla inloggningar trackas för att upptäcka, förhindra och avbryta ett intrång.

Därför använder Whistlesecure funktioner enligt bilaga A (ovan) för att dra nytta utav några av världens mest beprövade digitala mekanismer. Exempelvis beräknas firebase-auth användas av cirka 33% av alla appar i världen.

Whistlesecure får behandla uppgifter på kundens begäran när :

-Någon loggar in.

-När en representant till Kunden behöver hjälp, support eller rådgivning.

-När Whistlesecures godkända personal arbetar med systemet, utveckling och drift.

-När Whistlesecure i samråd med kunden bedömer att det är nödvändigt att Whistlesecure behandlar uppgifter.

Säkerhet i bilaga C.

Whistlesecure följer de föreskrifter som finns enligt GDPR.

Alla leverantörer till Whistlesecure som tillhandahåller någon digital funktion ska alltid vara certifierade enligt ISO27001.

Alla leverantörer som tillhandahåller en digital funktion ska följa GDPRs föreskrifter om adekvat skyddsnivå.