Datasekretess och datasäkerhet

Som ett EU-baserat SaaS-företag har säkerheten för dina uppgifter högsta prioritet för oss. Nedan besvarar vi de vanligaste frågorna om våra skyddsåtgärder. Vi svarar gärna på ytterligare, mer djupgående frågor när som helst.

Ofta ställda frågor

Allmän information om dataskydd

Har Zavvy en dataskyddsombud?

För alla frågor om dataskydd samarbetar vi med experterna från Dataguard - en av de ledande leverantörerna inom området DSGVO-efterlevnad.

Vårt dataskyddsombud har följande adress:
DataCo GmbH
Dachauer Straße 65
80335 München
Tyskland
+49 89 7400 45840

www.dataguard.de

Hur säkerställer Zavvy annars att anställda som anförtrotts att behandla beställningar är bekanta med de rättsliga bestämmelserna om dataskydd?

Utbildning i dataskydd är en del av Zavvys obligatoriska introduktionsprocess.
Alla Zavvys anställda är skyldiga att upprätthålla sekretess eller följa dataskyddet och görs medvetna om konsekvenserna vid överträdelser.

Dessutom genomför företaget regelbunden utbildning och medvetandehöjande åtgärder om hanteringen av personuppgifter, GDPR och juridiska innovationer. 

Måste vi ingå en DPA med Zavvy?

Ja, både våra kunder som registeransvarig och vi som registerförare är skyldiga att ingå ett motsvarande avtal i enlighet med Art. 28 EU-DSGVO.

Båda parternas ingående av avtalet är en obligatorisk förutsättning för användningen av vår programvara. Vi skickar gärna vår mall till dig på begäran.

Vad händer när ett dataintrång inträffar?

I händelse av ett oväntat dataintrång där de personuppgifter som samlats in från webbplatsens kunder äventyras och intrånget sannolikt kommer att äventyra rättigheterna och friheterna för kundens anställda, kommer Zavvy att följa ett förfarande som fastställts av dataskyddsombudet, Dataguard.

Detta innebär att omedelbart meddela kunden om de avtalsenliga skyldigheterna så att kunden kan uppfylla sina rättsliga skyldigheter att meddela tillsynsmyndigheterna och de registrerade personerna.

Har applikationen utvecklats i enlighet med kraven för dataskydd genom teknisk design och har den förinställts på ett dataskyddsvänligt sätt?

Som europeiskt företag är dataskydd och efterlevnad av GDPR centrala komponenter i vår produktstrategi.

Därför tar vi redan vid utvecklingen av våra funktioner hänsyn till principer som dataekonomi och användning av toppmoderna åtgärder för att säkerställa en lämplig skyddsnivå.

Dessutom erbjuder vi våra kunder möjligheten att skapa anpassade rapportformat för att uppfylla deras individuella behov när det gäller anonymisering av enskilda komponenter.

För att säkerställa detta permanent har vi också definierat en process som kontinuerligt integrerar de rättsliga kraven i produktutvecklingsprocessen och granskar applikationen med jämna mellanrum.

Är applikationen GDPR-kompatibel?

Zavvy uppfyller kraven i EU:s allmänna dataskyddsförordning och är dataskyddskompatibel som organisation såväl som programvara enligt EU-DSGVO.

För detta ändamål har vi kontrollerat vår produkt från första början för de väsentliga rättsliga kraven såsom dataskydd genom teknisk design och genom dataskyddsvänliga standardinställningar (Art. 25 EU-DSGVO) eller också kundens stöd för att skydda registrerades rättigheter såsom rätten till radering, rätten till information eller rätten till dataportabilitet (kapitel 3 EU-DSGVO) och har gjort lämpliga justeringar.

Kryptering och pseudonymisering

Är överföringen av kunddata krypterad?

Ja - För all kommunikation mellan användare och våra servrar tillämpas HTTPS med SSL-certifikat som förnyas var tredje månad.

SSL (Secure Sockets Layer) är en standardiserad säkerhetsteknik för att upprätta en krypterad anslutning mellan en webbserver och en webbläsare.

Denna anslutning säkerställer att all data som överförs mellan webbservern och webbläsaren förblir konfidentiell och oföränderlig. SSL är en branschstandard och används av miljontals webbplatser för att skydda sina kunders online-transaktioner.

Konfidentialitet och integritet

Var lagrar Zavvy användarrelaterade data?

Zavvy förlitar sig på Amazon Web Services (AWS) tjänster i Frankfurt (https://aws.amazon.com/de/compliance/gdpr-center/) för hosting av programvaran.

De datacenter som används är ISO/IEC 27001 certifierade och uppfyller därmed våra höga krav på den fysiska säkerheten för våra kunders data.

Vid val av externa tjänsteleverantörer som är nödvändiga för driften av programvaran (t.ex. postutskick), är hosting av data inom EU ett obligatoriskt grundkriterium.

Vem har tillgång till kunddata på Zavvy?

Tilldelningen av åtkomsträttigheter loggas och baseras på principen "need-to-know".

På Zavvy-sidan har endast vårt ingenjörsteam (serversidan) samt våra produktchefer och de anställda i Customer Success eller Learning Experience Team (kundsystemssidan) åtkomst på ad hoc-basis.

Detta är nödvändigt för att stödja den inledande konfigurationen av kontot och behandlingen av serviceförfrågningar.

Hur sker autentiseringen av användaren?

Åtkomst sker uteslutande via personliga användarkonton som är unikt tilldelade en person. Inloggning sker med ett användarnamn och ett lösenord, som måste anges vid första inloggningen enligt den säkra lösenordspolicy som implementerats i applikationen.

Minimikrav för lösenord är:

- Minst 8 tecken långt
- Minst 1 siffra eller specialtecken
- Minst 1 gemen bokstav
- Minst 1 versal bokstav

Vem har tillgång till vilka data på kundens sida?

I princip är åtkomsträttigheterna utformade på ett sådant sätt att kraven i Art. 24 EU-DSGVO för dataskyddsvänliga standardinställningar uppfylls.

Detta innebär att nyanställda medarbetare "som standard" inte har några rättigheter utöver att redigera sin egen profil.

Du som kund kan dock tilldela rättigheter individuellt baserat på ditt eget behörighetskoncept.

Öronmärkning

Vem äger uppgifterna?

Kunden är "master of the data" både i avtalsförhållandet och i den mening som avses i dataskyddslagen. Han är den enda auktoriserade parten med avseende på befogenheten att förfoga över alla data som används av honom (data som matas in, data som behandlas, data som lagras, datautgång).

Detta innebär också, i synnerhet, att kunden är ansvarig för att skydda de registrerades rättigheter (kapitel 3 EU-DSGVO).Zavvy är en processor och behandlar därmed dina uppgifter uteslutande på dina instruktioner och för de ändamål som regleras i avtalet för uppdragsbehandling.

Detta innebär specifikt att Zavvy inte kommer att sälja eller dela data med tredje part under några omständigheter. Detta utesluter överföring av data till underleverantörer, vilket regleras i avtalet för orderbehandling med våra kunder. Dessutom förbehåller sig Zavvy rätten att använda helt anonymiserade uppgifter, t.ex. i syfte att testa eller vidareutveckla produkten.

Sådan anonymisering utförs uteslutande inom ramen för de rättsliga bestämmelserna och tar hänsyn till den senaste tekniken samt rekommendationerna från artikel 29-arbetsgruppen och Europeiska dataskyddsstyrelsen. Anonymiserade uppgifter innebär att inga slutsatser kan dras om Zavvy eller företag.

Detta innebär att det inte finns någon risk för våra kunder. Zavvy fäster särskild vikt vid att skydda kundens integritet.

Tillsammans med vårt dataskyddsombud Dataguard har vi därför genomfört tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen, som vi kontinuerligt utvecklar. Zavvy uppfyller alla krav i EU:s allmänna dataskyddsförordning och är dataskyddskompatibel som organisation såväl som programvara enligt EU-DSGVO.

Vad händer med uppgifterna efter att avtalet har upphört eller Zavvy har upphört med sin affärsverksamhet?

När affärsrelationen upphör kan Kundens behöriga personer begära att uppgifterna lämnas ut, varefter uppgifterna kommer att raderas oåterkalleligt efter utgången av den avtalsenliga perioden.

I princip, i det osannolika fallet att Zavvy upphör med affärsverksamheten, finns det ingen avvikelse från detta, eftersom Kunden är "herre över uppgifterna" och Zavvy endast är en processor och därmed inte kan/kommer att på annat sätt förfoga över personuppgifterna.

Säkerhet och återställbarhet

Görs regelbundna säkerhetskopior?

Vi skapar dagliga säkerhetskopior av vår databas och lagrar dem säkert i vår AWS-molninfrastruktur. Om en återställning från en säkerhetskopia krävs kan våra ledande ingenjörer komma åt den.

Hur kontrolleras säkerheten vid bearbetningen?

Vi genomför regelbundna revisioner av vår organisation och produkt baserat på de rättsliga kraven för dataskydd. Vi använder resultaten av dessa revisioner som en möjlighet att vidta åtgärder för att vidareutveckla vår dokumentation, processer, strukturer eller funktionaliteter samt tekniska och organisatoriska åtgärder. 

Har du fortfarande frågor? Skriv till oss på info@zavvy.io eller boka en individuell konsultation.