IDkollens Personuppgiftsbiträdesavtal

Tack för att du har valt IDkollen och ett extra stort tack för att du tar dig tid att noggrant läsa igenom vårt personuppgiftsbiträdesavtal. Detta avtal utgör en bilaga och tillämpas i samtliga Kundavtal

1 Parter
Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) har träffats mellan

(1) Idkollen i Sverige AB, 559000‐0948 (”Personuppgiftsbiträde”);
(2) Företagskund som nämns i Kundavtalet (”Personuppgiftsansvarig”)

Personuppgiftsansvarig och Personuppgiftsbiträde benämns nedan gemensamt för ”Parterna” och var för sig som ”Part”.

2 Bakgrund

Parterna har ingått ett avtal under vilket Personuppgiftsbiträdet ska tillhandahålla tjänster som innebär att personuppgifter kommer behandlas av Personuppgiftsbiträdet för den Personuppgiftsansvariges räkning (”Avtalet”). Detta Personuppgiftsbiträdesavtal och dess bilagor utgör ett sådant avtal som krävs enligt GDPR (definierat nedan) när ett rättssubjekt hanterar personuppgifter för ett annat rättssubjekts räkning.

3 Definitioner

Begrepp som är relaterade till personuppgifter, ska tolkas och tillämpas i enlighet med vad som följer av den allmänna dataskyddsförordningen GDPR.
I tillägg till ovanstående skall nedanstående uttryck ha följande innebörd i detta Personuppgiftsbiträdesavtal:

”Behandling” och ”Behandla” avser alla former av åtgärder som utförs med personuppgifter, exempelvis insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

”GDPR” avser Europaparlamentets och rådets allmäna dataskyddsförordning (EU) 2016/679.

”Incident” avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

”Inkluderade personuppgifter” avser Personuppgifter som under Avtalet Behandlas av Personuppgiftsbiträdet för Personuppgiftsansvarigs räkning. Dessa Personuppgifter innefattar bland annat namn och personnummer, e‐postadress och IP‐adress.

”Personuppgiftsansvarig” avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för Behandlingen av personuppgifter; om ändamålen och medlen för Behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

”Personuppgiftsbiträde” avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar personuppgifter för den personuppgiftsansvariges räkning.

”Registrerade” avser den som en Personuppgift avser.

”Tillsynsmyndighet” avser Integritetsskyddsmyndigheten.

”Tillämplig lag” innefattar GDPR samt Integritetsskyddsmyndighetens och relevant EU‐organs föreskrifter, ställningstaganden och rekommendationer inom personuppgiftsområdet, samt annan tillämplig lagstiftning.

”Tredje man” avser en fysisk eller juridisk person, offentlig myndighet, institution, eller organ som inte är den Registrerade, den Personuppgiftsansvarige, Personuppgiftsbiträdet, Underbiträden eller de personer som under den Personuppgiftsansvariges eller Personuppgiftsbiträdets direkta ansvar är behöriga att Behandla de Inkluderade personuppgifterna.

”Underbiträde” avser den underleverantör som anlitats av Personuppgiftsbiträdet eller av en annan av Personuppgiftsbiträdets Underbiträden och som går med på att från Personuppgiftsbiträdet eller en annan av Personuppgiftsbiträdets Underbiträden ta emot personuppgifter i den enda avsikten att efter överföringen Behandla Inkluderade personuppgifter för Personuppgiftsansvariges räkning i enlighet med Personuppgiftsansvariges instruktioner samt villkoren i ett skriftligt underbiträdesavtal.

4 Personuppgiftsansvariges skyldigheter

4.1 Den Personuppgiftsansvarige ska säkerställa att all Behandling av Inkluderade personuppgifter är tillåten enligt Tillämplig lag.

4.2 Den Personuppgiftsansvarige får endast tillhandahålla Personuppgiftsbiträdet sådana personuppgifter som är nödvändiga för att uppnå ändamålet för Behandlingen.

5 Behandling av Inkluderade personuppgifter

5.1 Detta Personuppgiftsbiträdesavtal ska gälla för all Behandling av Inkluderade personuppgifter.

Personuppgiftsbiträdet och personer som agerar för Personuppgiftsbiträdets räkning får Behandla Inkluderade personuppgifter endast i enlighet med Personuppgiftsbiträdesavtalet, Tillämplig lag och de ytterligare skriftliga instruktioner som Personuppgiftsansvarig från tid till annan lämnar. Den Personuppgiftsansvariges instruktioner vid tiden för detta Personuppgiftsbiträdesavtals ingående anges i Bilaga A.

5.2 Personuppgiftsbiträdet intygar genom detta Personuppgiftsbiträdesavtal att denne besitter tillräcklig och nödvändig teknisk och organisatorisk kapacitet samt förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska‐ och personella resurser, rutiner och metoder för att kunna fullgöra sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och Tillämplig lag, i synnerhet.

5.3 Om Personuppgiftsbiträdet saknar instruktioner som bedöms vara nödvändiga för att genomföra en viss uppgift som innebär eller kan innebära Behandling av Inkluderade Personuppgifter eller är osäker på ändamålet med Behandlingen, ska Personuppgiftsbiträdet, utan dröjsmål, informera Personuppgiftsansvarig om detta och därefter invänta vidare instruktioner från Personuppgiftsansvarig. Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om den anser att en instruktion strider mot Tillämplig lag.

5.4 Personuppgiftbiträdet åtar sig, vad avser Behandlingen av Inkluderade personuppgifter, att följa Tillämplig lag. Personuppgiftsbiträdet ska själv hålla sig informerad om Tillämplig lag.

5.5 Personuppgiftsbiträdets åtaganden att följa Tillämplig lag ska i alla avseenden tolkas i enlighet med beskaffenheten av Personuppgiftsbiträdets tillhandahållna tjänster och innebär normalt sett att Personuppgiftsbiträdet inte själv samlar in personuppgifter eller använder de Inkluderade personuppgifterna för annat bruk än för uppfyllelse av avtalad leverans enligt Avtalet.

Personuppgiftsbiträdet ska i vilket fall inte, utan föreläggande från relevant myndighet eller Tillämplig lag och avseende Inkluderade personuppgifter:
a. samla in eller lämna ut Inkluderade Personuppgifter till någon Tredje man om inte annat skriftligen överenskommits;
b. ändra metod för Behandling;
c. kopiera eller återskapa personuppgifter;
eller på något annat sätt Behandla Inkluderade personuppgifter för andra ändamål än de som anges i Avtalet, såvida inte denna Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av, och i så fall ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om det rättsliga kravet innan uppgifterna Behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.

6 Säkerhet och sekretess

6.1 Personuppgiftsbiträdet ska implementera tekniska och organisatoriska skyddsåtgärder i enlighet med Tillämplig lag eller i annat fall upprätta lämpliga tekniska och organisatoriska åtgärder i syfte att skydda Inkluderade personuppgifter mot obehörig eller olovlig förstörelse eller oavsiktlig förlust av, förändring av, otillåtet yppande av eller tillgång till Inkluderade personuppgifter. De säkerhetsåtgärder som Personuppgiftsbiträdet har implementerat vid tiden för detta Personuppgiftsbiträdesavtals ingående anges nedan i Bilaga C, och den Personuppgiftsansvarige bekräftar i och med ingåendet av detta Personuppgiftsbiträdesavtal att dessa åtgärder är tillräckliga i förhållande till Behandlingen av Inkluderade Personuppgifter.

6.2 Personuppgiftsbiträdet får inte utan
(i) Personuppgiftsansvariges skriftliga samtycke i förväg, och
(ii) att säkerställa att sådan överföring sker i överensstämmelse med Tillämplig lag,
överföra Inkluderade personuppgifter till land utanför EES‐området eller till land som inte omfattas av undantagen till förbud mot överföring till tredje land enligt Tillämplig lag. Detta förbud omfattar även teknisk support, underhåll och liknande tjänster.

7 Revision och begäran av information

7.1 Personuppgiftsbiträdet ska utan dröjsmål informera Personuppgiftsansvarig om eventuella kontakter med Tillsynsmyndighet eller annan myndighet som rör eller kan vara av betydelse för Behandling av Inkluderade personuppgifter. Personuppgiftsbiträdet äger inte rätt att företräda Personuppgiftsansvarig eller på annat sätt agera för Personuppgiftsansvarigs räkning gentemot Tillsynsmyndighet eller annan Tredje man utan skriftligt medgivande från Personuppgiftsansvarig.

7.2 För det fall att den Registrerade, Tillsynsmyndighet eller annan Tredje man begär information från någon av Parterna som på något sätt innefattar Inkluderade personuppgifter ska Parterna samverka och utbyta information i nödvändig utsträckning. Personuppgiftsbiträdet får inte lämna ut Inkluderade personuppgifter eller någon annan information om Behandlingen av Inkluderade personuppgifter utan skriftligt medgivande från den Personuppgiftsansvarige, såvida inte föreläggande från relevant myndighet eller tvingande lagstiftning finns.

7.3 Personuppgiftsbiträdet ska på Personuppgiftsansvarigs begäran, direkt till den Personuppgiftsansvarige eller till en oberoende Tredje man som denna anlitat, styrka att de skyldigheter som framgår av detta Personuppgiftsbiträdesavtal och Tillämplig lag uppfylls genom att utan onödigt dröjsmål tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod, möjliggöra och bidra till granskningar och inspektioner av lokaler, IT‐system och andra tillgångar och/eller tillhandahålla annan adekvat bevisning.

7.4 För det fall att den Registrerade, Tillsynsmyndighet eller annan Tredje man begär information från Personuppgiftsbiträdet som rör Behandling av Inkluderade personuppgifter enligt detta Personuppgiftsbiträdesavtal, ska Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet får inte lämna ut Inkluderade personuppgifter eller annan information om Behandlingen av Inkluderade personuppgifter utan uttrycklig instruktion från Personuppgiftsansvarig, såtillvida Personuppgiftsbiträdet inte är tvungen till detta enligt Tillämplig lag. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med att ta fram information som begärts av Tillsynsmyndighet eller av den Registrerade så att Personuppgiftsansvarig kan fullgöra sin skyldighet att svara på begäran om utövande av den Registrerades rättigheter i förhållande till Behandling av Inkluderade personuppgifter.

Personuppgiftsbiträdet skall dessutom särskilt bistå den Personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32‐36 (säkerhet för personuppgifter, konsekvensbedömning avseende dataskydd och förhandssamråd) i Dataskyddsförordningen fullgörs, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå.

8 Personuppgiftsbiträdets anlitande av annan

8.1 Personuppgiftsansvarig ger härmed Personuppgiftsbiträdet rätt att anlita Underbiträden för att Behandla Inkluderade personuppgifter. Innan Personuppgiftsbiträdet anlitar ett Underbiträde skall Personuppgiftsansvarig skriftligen informeras om att ett sådant anlitande kan komma att ske. För det fall Personuppgiftsansvarig inom tre (3) dagar från mottagande av sådant skriftligt meddelande gör invändning mot Underbiträde skall Parterna samverka för att om möjligt finna lösningar på de omständigheter som föranlett invändningen. För det fall sådan invändning inte framställs inom angiven tid äger Personuppgiftsbiträdet rätt att anlita Underbiträdet utan ytterligare godkännande från Personuppgiftsansvarig.

8.2 Om Personuppgiftsbiträdet i enlighet med detta Personuppgiftsbiträdesavtal anlitar Underbiträden, ska Personuppgiftsbiträdet tillse att dennes avtal med dessa utformas så att dessa Underbiträden blir bundna av krav som säkerställer ett skydd för Inkluderade personuppgifter som är minst likvärdigt med det som fastställs i detta Personuppgiftsbiträdesavtal, de i Avtalet angivna kraven, och därtill tillämpliga rättsliga krav. Om Underbiträde ej fullgör sina skyldigheter i fråga om dataskydd ska Personuppgiftsbiträdet vara fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet av Underbiträdets skyldigheter.

9 Överföringar till tredje land

9.1 Om den Personuppgiftsansvariga givit sitt samtycke till en överföring, ska sådan överföring ske i enlighet med GDPR:s regler om detta. Det är den Personuppgiftsansvariges ansvar att bedöma om dess verksamhet och de Inkluderade personuppgifter som den Behandlar föranleder att ytterligare skyddsåtgärder för överföringen behövs för att säkerställa en skyddsnivå för de Inkluderade personuppgifterna som är väsentligen likvärdig med den enligt GDPR. Instruktion om och godkännande av överföringar framgår i Bilaga B.

9.2 För godkända överföringar ska en lämplig skyddsåtgärd för överföringen vara implementerad. Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet i tillämpliga fall ingår eller vid tiden för detta Personuppgiftsbiträdesavtals ingående redan har ingått de standardiserade dataskyddsbestämmelser som antagits av den Europeiska Kommissionen i enlighet med genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (härefter benämnda ”SCC:er”), med den part som mottar de Inkluderade personuppgifter som överförs. Överföringen kan även skyddas av annan lämplig skyddsåtgärd som anges i GDPR.

9.3 Parterna är införstådda med och överens om att de inte behöver ingå SCC:er med varandra, eftersom båda är verksamma inom Sverige, och att Personuppgiftsbiträdet självständigt ingår SCC:er med Underbiträden där detta är nödvändigt.

10 Personuppgiftsincident

10.1 För det fall Personuppgiftsbiträdet upptäcker någon Incident ska Personuppgiftsbiträdet
a. utan onödigt dröjsmål och senast inom 24 timmar informera den Personuppgiftsansvarige om Incidenten och
b. undersöka och beskriva Incidenten samt vidta lämpliga åtgärder för att läka Incidenten och förhindra en upprepning

10.2 Beskrivning av Incidenten ska åtminstone
a. Beskriva Incidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet Registrerade som berörs samt de kategorier av och det ungefärliga antalet Inkluderade personuppgifter som berörs,
b. Förmedla namnet på och kontaktuppgifterna till kontaktpunkt där mer information kan
erhållas,
c. Beskriva de sannolika konsekvenserna av Incidenten, och
d. Beskriva de åtgärder som Personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda Incidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

10.3 Personuppgiftsbiträdet ska informera Personuppgiftsansvarige om Personuppgiftsbiträdet får kännedom om att Inkluderade personuppgifter Behandlas i strid med Personuppgiftsansvariges instruktioner eller detta Personuppgiftsbiträdesavtal.

10.4 Om en typ av Behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, enligt den Personuppgiftsansvariges uppfattning sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska Personuppgiftsbiträdet före det att Behandlingen utförs vara behjälplig vid en bedömning av den planerade Behandlingens konsekvenser för skyddet av Inkluderade personuppgifter.

11 Ansvar

11.1 Vid diskrepans mellan de förpliktelser som anges i Avtalet och dess Bilagor avseende Behandling av Inkluderade personuppgifter och förpliktelser enligt detta Personuppgiftsbiträdesavtal skall Personuppbiträdesavtalet ha företräde.

11.2 Personuppgiftsbiträdet ska inte vara ansvarig för någon förlust av produktion, förlust av verksamhet eller vinst, förlust av “goodwill” eller några indirekta eller påföljande skador, om inte Personuppgiftsbiträdet med avsikt eller genom grov oaktsamhet har brutit mot en bestämmelse i detta Personuppgiftsbiträdesavtal.

11.3 Personuppgiftsbiträdets totala ansvar ska vara begränsat till direkta skador upp till ett belopp som maximalt motsvarar fakturabeloppet på den faktura till vilken fel, skada eller förlust med anknytning till Tjänsten kan härledas.

12 Ersättning
Personuppgiftsbiträdet har rätt till ersättning för arbete som utförs i enlighet med punkten 7 i detta Personuppgiftsbiträdesavtal. Sådant arbete omfattas av ett timarvode om 1 200 SEK exklusive moms. Personuppgiftsbiträdet utför endast arbete som omfattas av ett timarvode, efter skriftlig överenskommelse med Personuppgiftsansvarig.

13 Personuppgiftsbiträdesavtalets giltighetstid
Detta Personuppgiftsbiträdesavtal träder i kraft på dagen för undertecknande av Kundavtal detta Personuppgiftsbiträdesavtal utgör en bilaga till och gäller så länge som Personuppgiftsbiträdet Behandlar Inkluderade personuppgifter.

14 Upphörande av Behandling av Inkluderade personuppgifter
Vid Personuppgiftsbiträdesavtalets upphörande ska Personuppgiftbiträdet omedelbart och senast inom nittio (90) dagar radera alla Inkluderade personuppgifter eller lämna tillbaka dem till Personuppgiftsansvarige på sådant sätt som angivits av Personuppgiftsansvarige och i enlighet med Personuppgiftsansvariges instruktioner samt säkerställa att inga Inkluderade personuppgifter eller kopior därav är kvar i Personuppgiftsbiträdes besittning.

15 Ändringar och tillägg

Ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska vara skriftliga och undertecknade av båda Parterna för att vara bindande.

16 Tillämplig lag och tvist
Detta Personuppgiftsbiträdesavtal ska regleras av materiell svensk rätt. Tvist avseende tolkning eller tillämpning av Personuppgiftsbiträdesavtalet ska slutligt avgöras enligt vad som anges rörande tvist i de Allmänna avtalsvillkoren.

17 Övrigt

17.1 Ingendera Part ska ha rätt att överlåta detta Personuppgiftsbiträdesavtal eller rättigheter hänförliga till detta Personuppgiftsbiträdesavtal utan de andra Parternas skriftliga medgivande till överlåtelsen ifråga.

17.2 Parts underlåtenhet att utnyttja någon rättighet enligt Personuppgiftsbiträdesavtalet eller underlåtenhet att påtala visst förhållande hänförligt till Personuppgiftsbiträdesavtalet ska inte innebära att en Part anses ha frånfallit sin rätt i sådant avseende.

17.3 Personuppgiftsbiträdesavtalet med dess bilagor utgör Parternas fullständiga reglering av alla frågor som Personuppgiftsbiträdesavtalet berör. Alla skriftliga eller muntliga åtaganden och utfästelser mellan Parterna som har föregått Avtalet ersätts av innehållet i Personuppgiftsbiträdesavtalet med bilagor.

17.4 Om domstol eller skiljenämnd skulle finna att någon bestämmelse i detta Personuppgiftsbiträdesavtal helt eller delvis är ogiltig, ska bestämmelsen i övriga delar liksom alla övriga bestämmelser i Personuppgiftsbiträdesavtalet vara gällande i den utsträckning som Tillämplig lag tillåter, och Parterna ska lojalt förhandla med varandra i syfte att, om möjligt, överenskomma om nödvändiga förändringar av Personuppgiftsbiträdesavtalet för att vidmakthålla Personuppgiftsbiträdesavtalets struktur, syfte och anda.

BILAGA A – INSTRUKTIONER FÖR BEHANDLINGEN
Versioner av Bilaga A
1.0 2021‐01‐14 Ursprungligt upprättande av Biträdesavtalet
1.1 2023‐01‐01 Stilisering av Bilaga. Omstrukturering av dokumentet. Klarifiering av kontinuerlig skyldighet att uppge gällande kontaktuppgifter för kontaktpersonerna

Parternas kontaktpunkter

Parterna är skyldiga att utse och namnge kontaktpersoner för Dataskyddsärenden och förse varandra med gällande kontaktuppgifter till dessa.

Uppgifter om Behandlingen

Personuppgiftsbiträdet ska Behandla följande Inkluderade Personuppgifter:

Namn, personnummer, e‐postadress, IP‐adress

Personuppgiftsbiträdet ska Behandla följande känsliga personuppgifter, under iakttagande av de angivna ytterligare skyddsåtgärderna:

N/A

Personuppgifterna avser följande kategorier av Registrerade:

Den personuppgiftsansvariges kunder.

Personuppgiftsbiträdets Behandling innefattar följande moment:

Personuppgiftsbiträdet verifierar identitet på den Personuppgiftsansvariges kund genom någon av de e‐identiteter (tex BankID) som den Personuppgiftsansvarige har tillgång till via Personuppgiftesbiträdet. Loggar över de verifierade personuppgifterna skapas och
raderas i enlighet med lagringstiderna nedan.

Syfte med Personuppgiftsbiträdets Behandling är:

Behandlingen syftar till att identitet på den Personuppgiftsansvariges kund verifieras.

Personuppgiftsbiträdet ska iaktta följande lagringstider för Inkluderade personuppgifter:

Personuppgiftsbiträdet lagrar personuppgifterna i 30 dagar om inte den Personuppgiftsansvarige har behov av längre lagringstid, dock maximalt i 90 dagar.
Personuppgiftsbiträdets lagring av Inkluderade personuppgifter syftar inte till arkivering av dito utan endast till temporär lagring/överföring.

BILAGA B – UNDERBITRÄDEN

Den Personuppgiftsansvarige godkänner användningen av, och i förekommande fall överföringen till, Underbiträdena nedan, för de Behandlingar som anges nedan:

Namn: Amazon Web Services EMEA SARL, Sverige filial
Adress: Kungsgatan 49, 111 22 Stockholm, Sverige
Beskrivning av Behandlingen: Personuppgiftsbiträdet köper tjänster inom it‐hosting och lagring av Amazon Web Services.
Plats för Behandlingen: Stockholm, Sverige
Åtgärd enligt kap. V GDPR:
(om tillämpligt)
Personuppgifterna överförs inte till mottagare utanför EU/EES.

Namn:
Adress:
Beskrivning av Behandlingen:
Plats för Behandlingen:
Åtgärd enligt kap. V GDPR:
(om tillämpligt)

BILAGA C – TEKNISKA OCH ORGANISATORISKA SÄKERHETSÅTGÄRDER

1. Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services

All IDkollen systems are hosted on Amazon AWS with multiple availability zones and daily backups. The systems are monitored by two separate systems and actions are taken 24/7 by IDkollens external Cloud Ops partner if needed. Confidentiality is ensured by encryption and strict access management.

2. Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident.

Data is backed up every day and IDkollens system architecture can be restored with cloud formation scripts.

3. Measures for user identification and authorisation

Access to Idkollen’s systems is strictly regulated by different user roles. Testing and
development environments are separated from production environments and a limited number of authorized users has access to servers and databases.

4. Measures for the protection of data during transmission

Transmitted data is protected by SSL encryption.

5. Measures for the protection of data during storage

Data on AWS S3 and AWS RDS is encrypted with 256‐bit Advanced Encryption Standard (AES) keys that are not exportable. In addition, all customer data is also encrypted with SALT keys unique for each company.

6. Measures for internal IT and IT security governance and management

Internal IT security is governed by IDkollens Clean Desk Policy and IT policy. Two factor
authorization is mandatory for all systems and remote lock/deletion is enabled on all devices.

7. Measures for ensuring data minimisation

IDkollen only stores the minimum amount of data needed for the services, and the data us autodeleted at set intervals.

8. Measures for ensuring limited data retention

All data is automatically deleted after 30 days (default setting). This can be changed to between 0 and 90 days on request from the customer.

Du kan när som helst höra av dig till IDkollen för support och övriga frågor. Supporten nås helgfria vardagar via mail på info@idkollen.se mellan kl. 09-17

IDkollen AB Box 55693
102 15 Stockholm
info@idkollen.se