Data breach policy

1. Syfte

Syftet med denna policy är att fastställa rutiner och ansvar vid en misstänkt eller bekräftad personuppgiftsincident (”data breach”) inom ramen för den tjänst som tillhandahålls av Ellions AB (”Tjänsten”). Policyn tydliggör ansvarsfördelningen mellan Ellions AB (Personuppgiftsbiträde) och Kunden (Personuppgiftsansvarig) i enlighet med Dataskyddsförordningen (GDPR).

2. Roller och Ansvar

  • Kunden agerar som Personuppgiftsansvarig och bär det fulla ansvaret för att säkerställa att personuppgifter behandlas i enlighet med tillämplig lagstiftning.
  • Ellions AB agerar som Personuppgiftsbiträde och behandlar personuppgifter enbart enligt de instruktioner som ges av Kunden samt enligt Personuppgiftsbiträdesavtalet (PUB-avtalet).

Kunden ansvarar för:

  • Användarhantering, behörigheter och interna säkerhetsrutiner.
  • Säkerheten för all åtkomst till Tjänsten, inklusive hantering av användarkonton, lösenord, API-nycklar och annan autentisering.
  • Eventuella incidenter som uppstår genom bristande hantering av inloggningsuppgifter eller annan otillbörlig användning av Tjänsten.

Ellions AB ansvarar för:

  • Att upprätthålla en säker och stabil driftmiljö i enlighet med avtalade tekniska och organisatoriska säkerhetsåtgärder.
  • Att utan onödigt dröjsmål informera Kunden vid misstanke om, eller upptäckt av, en personuppgiftsincident relaterad till vår infrastruktur.

3. Definition av Personuppgiftsincident

En personuppgiftsincident definieras enligt GDPR som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifter.

Exempel:

  • Obörlig åtkomst via användarkonto på grund av svaga lösenord eller bristande interna rutiner hos Kunden.
  • Felaktig delning av data genom API eller manuella exporter.
  • Säkerhetsbrister i Kundens egna system, nätverk eller enheter som används för att komma åt Tjänsten.

4. Rutiner vid Misstänkt eller Bekräftad Incident

4.1 Identifiering och Anmälan

  • Om Ellions AB upptäcker en potentiell incident kopplad till Tjänsten kommer vi att meddela Kunden utan onödigt dröjsmål, inklusive tillgänglig information om incidentens art, omfattning och potentiell påverkan.
  • Kunden ska omedelbart meddela Ellions AB vid misstanke om incident som rör Tjänsten, särskilt vid misstanke om att åtkomstuppgifter kan ha komprometterats.

4.2 Initial Bedömning

  • Ellions AB genomför en teknisk analys för att fastställa om incidenten är relaterad till vår infrastruktur eller om den härrör från Kundens egen hantering, exempelvis via användarbeteenden eller felaktiga konfigurationer.
  • I majoriteten av fall där incidenter uppstår kan dessa spåras till hanteringen av autentiseringsuppgifter eller brister i interna rutiner hos Kunden.

4.3 Åtgärder

  • Vid incident relaterad till Ellions AB:s infrastruktur:
    • Omedelbara åtgärder vidtas för att begränsa och åtgärda incidenten.
    • Fullständig rapport lämnas till Kunden.
  • Vid incident orsakad av Kundens hantering:
    • Ellions AB bistår med teknisk information och loggar för att underlätta Kundens utredning.
    • Det är Kundens ansvar att vidta nödvändiga åtgärder, inklusive anmälan till tillsynsmyndighet och berörda registrerade om så krävs enligt GDPR.

5. Kommunikation och Rapportering

  • Ellions AB tillhandahåller en första incidentrapport inom 48 timmar från det att vi blivit varse om en incident.
  • Slutrapport levereras efter avslutad utredning.
  • Kunden ansvarar för all extern kommunikation, inklusive kontakt med Datainspektionen (IMY) och berörda individer.

6. Förebyggande Säkerhetsåtgärder

För att minimera risken för personuppgiftsincidenter rekommenderar Ellions AB att Kunden:

  • Implementerar starka lösenordspolicys och tvåfaktorsautentisering (2FA).
  • Regelbundet ser över användarbehörigheter.
  • Utbildar sin personal i datasäkerhet och GDPR-efterlevnad.
  • Säkerställer att API-nycklar och andra integrationspunkter hanteras på ett säkert sätt.
  • Använder kryptering vid överföring och lagring av känsliga data utanför Tjänsten.

7. Ansvarsbegränsning

Ellions AB ansvarar inte för personuppgiftsincidenter som uppstår till följd av:

  • Bristande hantering av åtkomstuppgifter av Kunden eller dess användare.
  • Felaktiga inställningar eller användning av Tjänsten.
  • Säkerhetsbrister i system, nätverk eller utrustning som kontrolleras av Kunden.
  • Tredjepartsintegrationer som initierats och kontrollerats av Kunden.

8. Kontakt

Vid misstänkt incident, kontakta omedelbart:

Ellions AB – Security Team

E-post: [email protected]