GDPR-överensstämmelse

Bakgrund

Den allmänna dataskyddsförordningen (GDPR) kommer, när den träder i kraft den 25 maj 2018, att ersätta det europeiska dataskyddsdirektivet och befintlig relevant nationell lagstiftning. GDPR syftar till att stärka individens rättigheter, säkra deras personuppgifter och skydda deras integritet. Införandet av GDPR kommer att ge registrerade ökade rättigheter till öppenhet och enklare möjlighet att få uppgifter korrigerade, flyttade och/eller helt raderade.

Basefarm som personuppgiftsansvarig

Basefarm är personuppgiftsansvarig för data som samlas in och bearbetas av interna funktioner och processer. Detta inkluderar uppgifter om aktieägare och anställda samt insamlade uppgifter om potentiella och befintliga kunder. Det omfattar även uppgifter om tillverkares anställda, samarbetspartners anställda, anlitade entreprenörer och andra personer som har varit eller står i kontakt med Basefarm via digitala kanaler.
Med hänsyn tagen till den senaste tekniken, kostnaderna för genomförandet och typen, omfattningen, sammanhanget och syftet med bearbetningen och riskerna, tillämpar Basefarm passande och rimliga organisatoriska och tekniska säkerhetsåtgärder för att skydda dessa data.

Basefarm som personuppgiftsbiträde eller assisterande personuppgiftsbiträde

Basefarm är personuppgiftsbiträde vid hantering av tjänster som lagrar, överför eller behandlar personuppgifter för våra kunders räkning, där kunden är personuppgiftsansvarig. Vissa kunder är själva personuppgiftsbiträde, i dessa fall har Basefarm rollen assisterande personuppgiftsbiträde.

Dataskyddsförordningen (GDPR) definierar ”personuppgifter” som all information som rör en identifierad eller identifierbar fysisk person, vilket innebär att nästan alla IT-system får anses innehålla personuppgifter.

Basefarm utför bearbetning av personuppgifterna endast utifrån dokumenterade instruktioner från den aktuella kunden. Basefarm kommer inte att anlita några assisterande personuppgiftsbiträden utan föregående skriftligt godkännande från den aktuella kunden.

Certifieringar och intygstjänster

Basefarms informationssäkerhetssystem (ISMS) är certifierat enligt ISO27001. Omfattningen inkluderar allt. Det gäller alltså för all verksamhet, alla datacentraler och alla kontor i Norge, Sverige och Nederländerna.
Basefarm erbjuder även prenumerationsbaserade intygstjänster för SOC2 och ISAE3402.

Fysisk säkerhet

Våra datacentralers anläggningar är alla utformade, byggda och drivs enligt principerna i TIER III. De fysiska säkerhetskontrollerna är flerskiktade, baserade på avvägda säkerhetsprinciper som utformats för att garantera passande fungerande åtgärd innan ett fysiskt intrång har lyckats. Åtkomst ges endast till utvalda anställda. Den fysiska säkerheten för våra datacentraler granskas årligen inom ramen för våra inspektioner enligt ISO 27001.

Personalsäkerhet

Basefarm utför relevant granskning av de anställda utifrån deras uppgifter och ansvar, och inom begränsningarna i den lokala lagstiftningen. Alla anställda är skyldiga att underteckna sekretessavtal innan de får tillgång till IT-systemen. Vidare är alla anställda skyldiga att läsa och följa relevanta delar av Basefarms säkerhetspolicyer och genomgår utbildning i säkerhetsmedvetande minst en gång per år.

Teknisk säkerhet

I egenskap av personuppgiftsbiträde eller assisterande personuppgiftsbiträde tillhandahåller Basefarm tjänster med en säkerhet, vars standardnivå för många kunder och databearbetningsåtgärder är tillräcklig för att uppfylla kraven i GDPR. De personuppgiftsansvariga måste dock bedöma de risker databehandlingen innebär och avgöra eventuellt behov av ytterligare tekniska eller organisatoriska säkerhetsåtgärder. Basefarm erbjuder en rad säkerhetstjänster som kan höja dataskyddet, eller säkerställa förmåga till snabbare upptäckt och förbättrad reaktion i händelse av säkerhetsincidenter eller dataintrång. I slutändan är det kunden som beslutar om vilka eventuella ytterligare säkerhetsåtgärder som behövs.

Processer och styrning

Basfarms verksamhet styrs av väldefinierade och stabila processer, baserade på ITIL och ISO9001.

Dataskyddsombud

Basefarm har utsett ett dataskyddsombud (DPO). Dataskyddsombudet övervakar Basefarms engagemang för och genomförandet av de åtgärder som krävs för efterlevnad av GDPR. Dataskyddsombudet arbetar även externt med leverantörer, samarbetspartner och kunder som rådgivare för att säkerställa att parterna förser registrerade med nödvändigt allmänt dataskydd och datasekretess och att tjänsteavtal hålls uppdaterade så att rollerna och ansvaret för varje part är definierade. Dataskyddsombudet är också den huvudsakliga kontaktpersonen mellan Basefarm och nationella dataskyddsmyndigheter.

Dataskyddsombudet kan nås via DPO@basefarm.com.

Genomförande av GDPR

Basefarm använder avtal om databehandling för att dokumentera de specifika åtaganden och ansvar vi påtar oss avseende behandling av personuppgifter för våra kunders räkning. Avtalen om databehandling läggs till tjänsteavtalen och ersätter alla befintliga avtal som reglerar behandling av personuppgifter.

På samma sätt tecknar Basefarm avtal om databehandling med underleverantörer och samarbetspartner i de fall tjänsterna de tillhandahåller inkluderar tillgång till eller bearbetning av personuppgifter.