Policies

Föreningen Sambruk är en ideell förening inom offentlig sektor. Vi värnar om personlig integritet och eftersträvar alltid en hög nivå av dataskydd för de personuppgifter som behandlas hos oss. Delar av vår verksamhet handlar om utveckling av dataskydd hos våra medlemmar, så vi är extra noga med detta.

Alla personuppgifter som inkommer till och/eller samlas in av oss via e-post, personliga kontakter eller webbformulär behandlas i våra system i enlighet med Dataskyddsförordningen.

Du skall alltid känna dig trygg i vår behandling av dina personuppgifter. Du är alltid välkommen att kontakta oss vid eventuella frågor. Kontaktuppgifter finns längst ner.

Denna personuppgiftspolicy gäller för alla Sambruks system, utom samverkanstjänster, dvs behandlingar där föreningen är personuppgiftsbiträde. Dessa har var och en har en egen policy och vi hänvisar till information på respektive tjänsts hemsida/inloggningssida alternativt samverkande medlemmars personuppgiftspolicys.

Personuppgiftsansvarig

Ideella Föreningen Sambruk, organisationsnummer 802428-2785, är personuppgiftsansvarig för behandlingen av personuppgifter på denna webbplats och för de behandlingar som genomförs inom Sambruks olika stödsystem för samverkansinitiativ.

Ändamål med Sambruks personuppgiftshantering

Sambruk behandlar personuppgifter för följande ändamål:

• Upprätthålla Sambruks medlemsregister/matrikel
• Nyhetsbrev och informationsutskick
• Administration av deltagagande vid evenemang och möten
• Ekonomihantering
• Upprätthålla webbplats
• Personaladministration
• Upprätthålla informationsdelning och interaktion med medlemmar
• Dela dokumentation runt samverkansinitiativ
• Ärendehantering och support för samverkansinitiativ
• Kontorsadministrativ behandling
• Ingående av avtal
• Behandlingar såsom personuppgiftsbiträde för medlemmarna (separat PuB-avtal för respektive tjänst)

Alla föreningens stödsystem finns för något av dessa ändamål.

Behandlade personuppgifter

Sambruk behandlar personuppgifter relaterat till hur du som person eller din organisation valt att interagera med föreningen. Exempelvis sker detta vid användande av e-post, vid deltagande på föreningens arrangemang, vid ansökningar om arbete eller frågor från medlemmar och allmänhet. Vi behandlar vidare personuppgifter i våra administrativa verktyg och system i enlighet med ovan nämnda behandlingar. Sambruk har också ett långtidsarkiv och för att kunna ha det måste vissa personuppgifter lagras och därmed behandlas i enlighet med arkivpolicy och med den legala grunden ”Allmänt intresse”.

För att hantera användare i något av föreningens medlemssystem sparas uppgifter om användarens namn, e-postadress (id), roll, organisation och telefonnummer. Uppgifterna används för att ge åtkomst till respektive system via inloggning men också för in/ut loggning av säkerhetsskäl. Varje förändring som gjort i något system sparas som regel med tidpunkt, id, namn och organisation.

För att hantera medlems- och företagsinformation, exempelvis för fakturering, sparas utöver organisationens uppgifter även information om kontaktperson och fakturareferens.

I vårt nyhetsbrev används e-postadresser dels från kontaktuppgifterna, dels från de som fristående anmält sig som mottagare av nyhetsbrevet. I varje utskick finns möjlighet att avregistrera sig från nyhetsbrevet.

Legal grund för behandlingar

Beroende på vilken typ av insamling och behandling av personuppgifter, så baseras vår behandling en eller flera av nedan angivna lagliga grunder:

• att behandlingen är nödvändig för att fullgöra ett avtal, eller motsvarande, i vilket du och/eller den organisation du representerar är part (tex medlemmar eller leverantörer)
• att behandlingen krävs för att föreningen skall uppfylla lagar och förordningar
• att du har lämnat samtycke till vår behandling
• att behandlingen är nödvändig för att skydda grundläggande intressen för personen eller tredje part
• att behandlingen är nödvändig för ändamål som rör Föreningen Sambruks berättigade intresse

Lagringstid

Lagringstiden för personuppgifter varierar beroende på vilken typ av insamling och behandling som utförs utifrån den legala grunden för bearbetningen. Personuppgifter lagras enligt följande principer:

• Personuppgifter lagras så länge som detta krävs för att uppfylla avtal eller så länge samtycke finns. Vid återkallande av samtycke raderas eller anonymiseras uppgifterna, om det inte finns annan laglig grund för fortsatt lagring.
• Lagring som sker mot berättigat intresse fortgår så länge intresset kan anses pågående och motiverat enligt intresseavvägning.
• Gallring sker i enlighet med fastställda gallringsrutiner kopplade till respektive behandling ovan, och genomförs regelbundet för att säkerställa att endast nödvändiga uppgifter bevaras.
• Långtidslagring nyttjas enbart för uppgifter av allmänt intresse, historisk betydelse eller där det är nödvändigt enligt lagstadgade arkiveringskrav.
• När lagringstiden har löpt ut, eller när ändamålet med behandlingen är uppfyllt, raderas eller anonymiseras personuppgifterna på ett säkert sätt.

Vilka kan ta del av uppgifterna

Endast behöriga personer inom Sambruk som behöver tillgång till personuppgifterna för att kunna utföra sina arbetsuppgifter får hantera dessa uppgifter. Vi säkerställer att alla hanteringar sker i enlighet med svensk lag och tillämpliga dataskyddsförordningar. Vid behov kan uppgifter delas med externa parter, exempelvis samarbetspartners eller myndigheter, men endast i den utsträckning det är nödvändigt och i enlighet med lagstadgade krav samt personuppgiftsskyddsbestämmelser.

Dina rättigheter

Som registrerad har du rätt att veta hur vi behandlar dina personuppgifter samt att be om att få dem rättade, ändrade eller raderade. Du har också rätt att återkalla ditt samtycke samt att invända mot behandling. Om något av detta önskas, kontakta hjalp@sambruksupport.se.

Dataskyddsombud

Dataskyddsombud är föreningens VD.

Definition

Föreningen Sambruk definition av korruption som är ”missbruk av förtroende, makt eller position för otillbörlig vinning. Korruption innefattar bl.a. mutor, bestickning – inkluderande bestickning av tjänsteman – utpressning, jäv samt nepotism”.

Åtagande

Alla medarbetare, förtroendevalda och konsulter som verkar inom Föreningen Sambruk ska bedriva verksamhet på ett lagligt och etiskt sätt. Föreningen Sambruk får inte använda sig av olagliga betalningar, mutor, bestickningar eller andra tveksamma incitament för att påverka en affärstransaktion. Föreningen Sambruks medarbetare, förtroendevalda och konsulter ska, varken direkt eller indirekt, begära, ta emot eller acceptera kontanter eller andra saker av värde från en person eller ett företag om avsikten är att påverka ett beslut eller att erhålla en otillåten fördel.

Medarbetare, förtroendevalda och konsulter är skyldiga att agera vid misstänkta fall av korruption samt att informera Föreningen Sambruk i enlighet med denna policy.

Medarbetare, förtroendevalda och konsulter får inte delta i beslut eller förbereda beslut i fall då deras opartiskhet kan ifrågasättas.

Föreningen Sambruk har nolltolerans mot korruption.

Vid misstänkt korruption

Ansvaret för att utreda misstänkta fall av korruption, rapportera till styrelsen och, när så är tillämpligt, till bidragsgivare, ligger på verkställande tjänsteperson.

Beslut

Policyn antagen av Föreningen Sambruks styrelse den 2018-12-13 och gäller tills vidare.

Syfte

Syftet med denna informationssäkerhetspolicy är att säkerställa att föreningens informationstillgångar skyddas mot alla hot, interna som externa, avsiktliga som oavsiktliga. Policyn syftar till att uppfylla kraven i gällande regelverk och de specifika krav som ställs av våra medlemmar på leverantörer av digitala tjänster. Policyn ämnar att så långt möjlig leva upp till de krav som ställs i standarden ISO 27001:2022. Sambruk ämnar dock inte certifiera sig enligt standarden.

Omfattning

Denna policy gäller för alla anställda, konsulter, leverantörer och andra intressenter som har tillgång till bolagets informationstillgångar. Policyn omfattar alla informationssystem, nätverk och data som hanteras av bolaget. Från policyn antas, har Sambruk 6 månader på sig att säkerställa att alla system och processer följer policyn.

Ledningens engagemang

Ledningen är ytterst ansvarig för informationssäkerheten och ska säkerställa att tillräckliga resurser finns tillgängliga för att upprätthålla och förbättra informationssäkerhetssystemet (ISMS). Styrelsen ska regelbundet granska och godkänna informationssäkerhetspolicyn.

Medarbetare

Vid anställning av medarbetare ska dessa informeras om denna policy. En sekretessförbindelse ingår anställningskontraktet.

Alla anställda och intressenter ska få regelbunden utbildning och information om informationssäkerhetspolicyn och deras ansvar för att skydda föreningens informationstillgångar.

Det ska finnas en årlig utbildning i IT- och cybersäkerhet som alla medarbetare ska genomgå.

Leverantörer

Vid upphandling av externa leverantörer av serverdrift, lagring, teknisk systemförvaltning och utveckling ska det ställas krav om:

• att företaget har en stabil och god ekonomi, att samtliga relevanta lagar (t.ex. registreringsskyldigheter, betalning av skatter och avgifter) uppfylls av leverantören samt att leverantören, eller dess företrädare, inte är dömd för något brott som kan komma att äventyra ett framtida avtal och utförande av uppdraget
• ett eget systematiskt riskanalysarbete
• att alla behörigheter som ges till medarbetare loggförs

”Security by design” ska ställas som krav vid utveckling av befintliga och nya system.

Vid byte av leverantör ska en riskbedömning alltid genomföras.

Riskhantering

Föreningen ska genomföra regelbundna riskbedömningar för att identifiera, analysera och hantera informationssäkerhetsrisker. Detta ska ske både på övergripande nivå och för varje tjänst. Riskbedömningarna ska dokumenteras och åtgärder ska vidtas för att minska identifierade risker till en acceptabel nivå.

Sårbarhetsscanningar ska genomföras regelbundet för alla tjänster.

Informationsklassificering

Alla informationstillgångar i Sambruks interna system ska klassificeras baserat på deras känslighet och betydelse. Klassificeringen ska användas för att bestämma lämpliga skyddsåtgärder för att säkerställa konfidentialitet, integritet och tillgänglighet. För den enskilde tjänst som erbjuds medlemmarna, kan det sättas restriktioner på vad slags information som får förekomma, så det överensstämmer med de skyddsåtgärder som har vidtagits.

Åtkomstkontroll

Åtkomst till information och informationssystem ska vara begränsad till behöriga användare baserat på deras arbetsuppgifter och ansvar. Åtkomstkontroller ska implementeras och regelbundet granskas för att säkerställa att obehörig åtkomst förhindras.

Kryptografiska kontroller

Datakommunikation till och från Sambruks informationssystem ska vara krypterad enligt uppdaterade säkerhetsstandarder. Standarden ska vara enligt senaste versionen eller inom 1 år från fastställande av ny version, dess näst senaste version. Om systemet exponerar API’er, ska API’er skyddas med vedertagna metoder för identifiering och behörighetskontroll, minst API-nyckel. TLS eller motsvarande ska alltid användas. Vid tjänst som exponerar API ska leverantören kontinuerligt utveckla tjänsten med hänsyn till OWASP Top 10 API Security Risks, https://owasp.org/API-Security/

Fysisk säkerhet

Där Sambruk ansvarar för lagring och överföring av information, ska det ställas krav på fysisk säkerhet enligt standarden SS-EN 50600 eller likvärdig. Säkerhetsåtgärderna ska ge skydd mot obehörigt inträde, naturkatastrofer, brand och översvämning.

Skydd av kod

Sambruk ska se till att det finns skydd mot att införa skadlig kod i programvaran. Det ska alltid finnas rutiner för säkerhetskopiering av både kod och innehåll.

Spårbarhet

Sambruks informationssystem och relaterad infrastruktur ska generera automatisk loggning av både användaraktiviteter och driftshändelser. Loggningsverktyg och logginformation ska skyddas mot manipulation och obehörig åtkomst. Den enskilde tjänsten ska på anmodan kunna producera loggdata för den enskilde användningspart.

Incidenthantering

Föreningen ska ha etablerade processer för att identifiera, rapportera och hantera informationssäkerhetsincidenter. Processerna ska anpassas det enskilde tjänsten. Incidenter ska dokumenteras och analyseras för att förhindra framtida incidenter och förbättra informationssäkerheten.

Kontinuitetsplanering

Den enskilde tjänst ska ha en kontinuitetsplan som säkerställer att kritiska tjänster och funktioner kan upprätthållas vid störningar eller avbrott. Planen ska regelbundet testas och uppdateras. Planen ska spegla hur verksamhetskritisk en tjänst är för användarna av tjänsten.

Efterlevnad

Föreningen ska säkerställa att alla informationssäkerhetsåtgärder följer gällande lagar, förordningar och avtal. Regelbundna revisioner ska genomföras för att säkerställa efterlevnad och identifiera förbättringsområden.

Kontinuerlig förbättring

Informationssäkerhetssystemet ska regelbundet granskas och förbättras för att säkerställa att det är effektivt och anpassat till förändrade hot och affärsbehov.

Ansvar

VD är ytterst ansvarig för informationssäkerheten. Det operativa ansvaret är delegerat till föreningens samverkansledare som ansvarar för att implementera och underhålla informationssäkerheten för den enskilde tjänst de ansvarar för.

Så använder vi kakor i Föreningen Sambruk

En kaka (cookie) är en liten textfil som webbplatsen du besöker begär att få spara på din dator. Vi använder kakor för att säkerställa att webbplatsen fungerar optimalt samt kunna känna igen dina preferenser så det går raskare att ladde innehåll. Vi använder ett minimum av både sessionskakor (som raderas när du stänger webbläsaren) och permanenta kakor (lagras under en längre tid). Vi använder inga tredjepartskakor för att analysera trafiken på vår webbplats.

Så kan du påverka vilka kakor som lagras

Först gågn du besöker vår hemsida, får du en fråga om du vill godkänna vår kak-policy. Där finns även möjlighet att välja vilken typ av kakor som sparas. Välj ” Manage Options”. Där kan du välje bort de kakor som sparar dina preferenser. Det kan då ta lite längre tid att lasta sidor. Kakor som är mödvändiga för att få sidan att fungera, kan inte väljas bort.