Policies
Personuppgiftspolicy
Föreningen Sambruk är en ideell förening inom offentlig sektor. Vi värnar om personlig integritet och eftersträvar alltid en hög nivå av dataskydd för de personuppgifter som behandlas hos oss. Delar av vår verksamhet handlar om utveckling av dataskydd hos våra medlemmar, så vi är extra noga med detta.
Alla personuppgifter som inkommer till och/eller samlas in av oss via e-post, personliga kontakter eller webbformulär behandlas i våra system i enlighet med Dataskyddsförordningen.
Du skall alltid känna dig trygg i vår behandling av dina personuppgifter. Du är alltid välkommen att kontakta oss vid eventuella frågor. Kontaktuppgifter finns längst ner.
Denna personuppgiftspolicy gäller för alla Sambruks system, utom samverkanstjänster, dvs behandlingar där föreningen är personuppgiftsbiträde. Dessa har var och en har en egen policy och vi hänvisar till information på respektive tjänsts hemsida/inloggningssida alternativt samverkande medlemmars personuppgiftspolicys.
Personuppgiftsansvarig
Ideella Föreningen Sambruk, organisationsnummer 802428-2785, är personuppgiftsansvarig för behandlingen av personuppgifter på denna webbplats och för de behandlingar som genomförs inom Sambruks olika stödsystem för samverkansinitiativ.
Ändamål med Sambruks personuppgiftshantering
Sambruk behandlar personuppgifter för följande ändamål:
- Upprätthålla Sambruks medlemsregister/matrikel
- Nyhetsbrev och informationsutskick
- Administration av deltagagande vid evenemang och möten
- Ekonomihantering
- Upprätthålla webbplats
- Personaladministration
- Upprätthålla informationsdelning och interaktion med medlemmar
- Dela dokumentation runt samverkansinitiativ
- Ärendehantering och support för samverkansinitiativ
- Kontorsadministrativ behandling
- Ingående av avtal
- Behandlingar såsom personuppgiftsbiträde för medlemmarna (separat PuB-avtal för respektive tjänst)
Alla föreningens stödsystem finns för något av dessa ändamål.
Behandlade personuppgifter
Sambruk behandlar personuppgifter relaterat till hur du som person eller din organisation valt att interagera med föreningen. Exempelvis sker detta vid användande av e-post, vid deltagande på föreningens arrangemang, vid ansökningar om arbete eller frågor från medlemmar och allmänhet. Vi behandlar vidare personuppgifter i våra administrativa verktyg och system i enlighet med ovan nämnda behandlingar. Sambruk har också ett långtidsarkiv och för att kunna ha det måste vissa personuppgifter lagras och därmed behandlas i enlighet med arkivpolicy och med den legala grunden ”Allmänt intresse”.
För att hantera användare i något av föreningens medlemssystem sparas uppgifter om användarens namn, e-postadress (id), roll, organisation och telefonnummer. Uppgifterna används för att ge åtkomst till respektive system via inloggning men också för in/ut loggning av säkerhetsskäl. Varje förändring som gjort i något system sparas som regel med tidpunkt, id, namn och organisation.
För att hantera medlems- och företagsinformation, exempelvis för fakturering, sparas utöver organisationens uppgifter även information om kontaktperson och fakturareferens.
I vårt nyhetsbrev används e-postadresser dels från kontaktuppgifterna, dels från de som fristående anmält sig som mottagare av nyhetsbrevet. I varje utskick finns möjlighet att avregistrera sig från nyhetsbrevet.
Legal grund för behandlingar
Beroende på vilken typ av insamling och behandling av personuppgifter, så baseras vår behandling en eller flera av nedan angivna lagliga grunder:
- att behandlingen är nödvändig för att fullgöra ett avtal, eller motsvarande, i vilket du och/eller den organisation du representerar är part (tex medlemmar eller leverantörer)
- att behandlingen krävs för att föreningen skall uppfylla lagar och förordningar
- att du har lämnat samtycke till vår behandling
- att behandlingen är nödvändig för att skydda grundläggande intressen för personen eller tredje part
- att behandlingen är nödvändig för ändamål som rör Föreningen Sambruks berättigade intresse
Lagringstid
Lagringstiden för personuppgifter varierar beroende på vilken typ av insamling och behandling som utförs utifrån den legala grunden för bearbetningen. Personuppgifter lagras enligt följande principer:
- Personuppgifter lagras så länge som detta krävs för att uppfylla avtal eller så länge samtycke finns. Vid återkallande av samtycke raderas eller anonymiseras uppgifterna, om det inte finns annan laglig grund för fortsatt lagring.
- Lagring som sker mot berättigat intresse fortgår så länge intresset kan anses pågående och motiverat enligt intresseavvägning.
- Gallring sker i enlighet med fastställda gallringsrutiner kopplade till respektive behandling ovan, och genomförs regelbundet för att säkerställa att endast nödvändiga uppgifter bevaras.
- Långtidslagring nyttjas enbart för uppgifter av allmänt intresse, historisk betydelse eller där det är nödvändigt enligt lagstadgade arkiveringskrav.
- När lagringstiden har löpt ut, eller när ändamålet med behandlingen är uppfyllt, raderas eller anonymiseras personuppgifterna på ett säkert sätt.
Vilka kan ta del av uppgifterna
Endast behöriga personer inom Sambruk som behöver tillgång till personuppgifterna för att kunna utföra sina arbetsuppgifter får hantera dessa uppgifter. Vi säkerställer att alla hanteringar sker i enlighet med svensk lag och tillämpliga dataskyddsförordningar. Vid behov kan uppgifter delas med externa parter, exempelvis samarbetspartners eller myndigheter, men endast i den utsträckning det är nödvändigt och i enlighet med lagstadgade krav samt personuppgiftsskyddsbestämmelser.
Dina rättigheter
Som registrerad har du rätt att veta hur vi behandlar dina personuppgifter samt att be om att få dem rättade, ändrade eller raderade. Du har också rätt att återkalla ditt samtycke samt att invända mot behandling. Om något av detta önskas, kontakta hjalp@sambruksupport.se.
Dataskyddsombud
Dataskyddsombud är föreningens VD.
Antikorruptionspolicy
Definition
Föreningen Sambruk definition av korruption som är ”missbruk av förtroende, makt eller position för otillbörlig vinning. Korruption innefattar bl.a. mutor, bestickning – inkluderande bestickning av tjänsteman – utpressning, jäv samt nepotism”.
Åtagande
Alla medarbetare, förtroendevalda och konsulter som verkar inom Föreningen Sambruk ska bedriva verksamhet på ett lagligt och etiskt sätt. Föreningen Sambruk får inte använda sig av olagliga betalningar, mutor, bestickningar eller andra tveksamma incitament för att påverka en affärstransaktion. Föreningen Sambruks medarbetare, förtroendevalda och konsulter ska, varken direkt eller indirekt, begära, ta emot eller acceptera kontanter eller andra saker av värde från en person eller ett företag om avsikten är att påverka ett beslut eller att erhålla en otillåten fördel.
Medarbetare, förtroendevalda och konsulter är skyldiga att agera vid misstänkta fall av korruption samt att informera Föreningen Sambruk i enlighet med denna policy.
Medarbetare, förtroendevalda och konsulter får inte delta i beslut eller förbereda beslut i fall då deras opartiskhet kan ifrågasättas.
Föreningen Sambruk har nolltolerans mot korruption.
Vid misstänkt korruption
Ansvaret för att utreda misstänkta fall av korruption, rapportera till styrelsen och, när så är tillämpligt, till bidragsgivare, ligger på verkställande tjänsteperson.
Beslut
Policyn antagen av Föreningen Sambruks styrelse den 2018-12-13 och gäller tills vidare.
Informationssäkerhetspolicy
Syfte
Syftet med denna informationssäkerhetspolicy är att säkerställa att föreningens informationstillgångar skyddas mot alla hot, interna som externa, avsiktliga som oavsiktliga. Policyn syftar till att uppfylla kraven i gällande regelverk och de specifika krav som ställs av våra medlemmar på leverantörer av digitala tjänster. Policyn ämnar att så långt möjlig leva upp till de krav som ställs i standarden ISO 27001:2022. Sambruk ämnar dock inte certifiera sig enligt standarden.
Omfattning
Denna policy gäller för alla anställda, konsulter, leverantörer och andra intressenter som har tillgång till bolagets informationstillgångar. Policyn omfattar alla informationssystem, nätverk och data som hanteras av bolaget. Från policyn antas, har Sambruk 6 månader på sig att säkerställa att alla system och processer följer policyn.
Ledningens engagemang
Ledningen är ytterst ansvarig för informationssäkerheten och ska säkerställa att tillräckliga resurser finns tillgängliga för att upprätthålla och förbättra informationssäkerhetssystemet (ISMS). Styrelsen ska regelbundet granska och godkänna informationssäkerhetspolicyn.
Medarbetare
Vid anställning av medarbetare ska dessa informeras om denna policy. En sekretessförbindelse ingår anställningskontraktet.
Alla anställda och intressenter ska få regelbunden utbildning och information om informationssäkerhetspolicyn och deras ansvar för att skydda föreningens informationstillgångar.
Det ska finnas en årlig utbildning i IT- och cybersäkerhet som alla medarbetare ska genomgå.
Leverantörer
Vid upphandling av externa leverantörer av serverdrift, lagring, teknisk systemförvaltning och utveckling ska det ställas krav om:
- att företaget har en stabil och god ekonomi, att samtliga relevanta lagar (t.ex. registreringsskyldigheter, betalning av skatter och avgifter) uppfylls av leverantören samt att leverantören, eller dess företrädare, inte är dömd för något brott som kan komma att äventyra ett framtida avtal och utförande av uppdraget
- ett eget systematiskt riskanalysarbete
- att alla behörigheter som ges till medarbetare loggförs
”Security by design” ska ställas som krav vid utveckling av befintliga och nya system.
Vid byte av leverantör ska en riskbedömning alltid genomföras.
Riskhantering
Föreningen ska genomföra regelbundna riskbedömningar för att identifiera, analysera och hantera informationssäkerhetsrisker. Detta ska ske både på övergripande nivå och för varje tjänst. Riskbedömningarna ska dokumenteras och åtgärder ska vidtas för att minska identifierade risker till en acceptabel nivå.
Sårbarhetsscanningar ska genomföras regelbundet för alla tjänster.
Informationsklassificering
Alla informationstillgångar i Sambruks interna system ska klassificeras baserat på deras känslighet och betydelse. Klassificeringen ska användas för att bestämma lämpliga skyddsåtgärder för att säkerställa konfidentialitet, integritet och tillgänglighet. För den enskilde tjänst som erbjuds medlemmarna, kan det sättas restriktioner på vad slags information som får förekomma, så det överensstämmer med de skyddsåtgärder som har vidtagits.
Åtkomstkontroll
Åtkomst till information och informationssystem ska vara begränsad till behöriga användare baserat på deras arbetsuppgifter och ansvar. Åtkomstkontroller ska implementeras och regelbundet granskas för att säkerställa att obehörig åtkomst förhindras.
Kryptografiska kontroller
Datakommunikation till och från Sambruks informationssystem ska vara krypterad enligt uppdaterade säkerhetsstandarder. Standarden ska vara enligt senaste versionen eller inom 1 år från fastställande av ny version, dess näst senaste version. Om systemet exponerar API’er, ska API’er skyddas med vedertagna metoder för identifiering och behörighetskontroll, minst API-nyckel. TLS eller motsvarande ska alltid användas. Vid tjänst som exponerar API ska leverantören kontinuerligt utveckla tjänsten med hänsyn till OWASP Top 10 API Security Risks, https://owasp.org/API-Security/
Fysisk säkerhet
Där Sambruk ansvarar för lagring och överföring av information, ska det ställas krav på fysisk säkerhet enligt standarden SS-EN 50600 eller likvärdig. Säkerhetsåtgärderna ska ge skydd mot obehörigt inträde, naturkatastrofer, brand och översvämning.
Skydd av kod
Sambruk ska se till att det finns skydd mot att införa skadlig kod i programvaran. Det ska alltid finnas rutiner för säkerhetskopiering av både kod och innehåll.
Spårbarhet
Sambruks informationssystem och relaterad infrastruktur ska generera automatisk loggning av både användaraktiviteter och driftshändelser. Loggningsverktyg och logginformation ska skyddas mot manipulation och obehörig åtkomst. Den enskilde tjänsten ska på anmodan kunna producera loggdata för den enskilde användningspart.
Incidenthantering
Föreningen ska ha etablerade processer för att identifiera, rapportera och hantera informationssäkerhetsincidenter. Processerna ska anpassas det enskilde tjänsten. Incidenter ska dokumenteras och analyseras för att förhindra framtida incidenter och förbättra informationssäkerheten.
Kontinuitetsplanering
Den enskilde tjänst ska ha en kontinuitetsplan som säkerställer att kritiska tjänster och funktioner kan upprätthållas vid störningar eller avbrott. Planen ska regelbundet testas och uppdateras. Planen ska spegla hur verksamhetskritisk en tjänst är för användarna av tjänsten.
Efterlevnad
Föreningen ska säkerställa att alla informationssäkerhetsåtgärder följer gällande lagar, förordningar och avtal. Regelbundna revisioner ska genomföras för att säkerställa efterlevnad och identifiera förbättringsområden.
Kontinuerlig förbättring
Informationssäkerhetssystemet ska regelbundet granskas och förbättras för att säkerställa att det är effektivt och anpassat till förändrade hot och affärsbehov.
Ansvar
VD är ytterst ansvarig för informationssäkerheten. Det operativa ansvaret är delegerat till föreningens samverkansledare som ansvarar för att implementera och underhålla informationssäkerheten för den enskilde tjänst de ansvarar för.