Lyra innehållssida test

Lyra är säkert

Lyra är uppbyggt på ett system av moduler som överlappar varandra. Poängen med det är att olika roller får ett stöd som är anpassat efter just deras behov. Systemet är lätt att använda och vänder sig till företagsledningar, upphandlare, beställare och leverantörer.

Säkerhet

I vår roll som personuppgiftsbiträde har vi ansvar för organisatoriska och tekniska säkerhetsåtgärder kopplat till tjänsten Lyra. Det betyder att vi är ansvariga för att det ska finnas behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter. Om det inte finns funktioner i tjänsten för att hantera personuppgifter så har vi interna rutiner för detta.

Autentisering och kryptering

För att få tillgång till tjänsten krävs inloggning med något av våra tillåtna inloggningssätt. All inloggning och alla annan kommunikation med tjänsten sker krypterat med SSL (Secure Socket Layer, den vanligaste standarden för krypterad kommunikation över Internet). Krypteringen är 256-bitars SSL kryptering med 2048-bitars nycklar.

Vi rekommenderar att användarna använder någon form av extern inloggning (t.ex. med Facebook, Twitter, Microsoft- eller Google-konton alternativt inloggning via en inloggningstjänst hos er) eftersom det innebär att användaren behöver hantera färre lösenord. Det är viktigt att förstå att vi inte använder någon annan information från de externa inloggningstjänsterna än den unika identiteten som vi får från dem och som dessutom inte är den samma för någon annan tjänst som använder samma inloggningssätt. De stora aktörerna har helt andra möjligheter att övervaka och upptäcka avvikelser i inloggningar och annat säkerhetsarbete, vilket sammantaget gör extern inloggning till det säkraste inloggningssättet.

Lyra har också stöd för lokal inloggning, dvs att användaren väljer att skapa ett lokalt lösenord i tjänsten Lyra. Detta lösenord lagrar vi i ett envägskrypterat format. Det innebär att lösenordet inte kan läsas av någon hos oss eller att det går att skicka lösenordet till en användare som glömt bort det. Istället tillåter vi att man nollställer sitt lösenord om det har glömts bort.

När en användare har använt Lyra klart, rekommenderar vi att man aktivt loggar ut och även stänger sitt webbläsarfönster för att säkerställa att ingen obehörig kan komma åt tjänsten. Detta är extra viktigt att göra när en offentlig dator (t.ex. på ett bibliotek eller flygplats) används.

Lagring och drift

Tjänsten Lyra driftas i Microsofts moln Azure, på datacenter som ligger inom EU. Det innebär att vi drar fördel av all den utveckling som Microsoft gör kontinuerligt för att säkerställa en hög och stabil tillgänglighet med säkerhet i toppklass. Du kan läsa mer om Microsoft Azure här.

Organisatorisk säkerhet

Det är bara ett fåtal personer som har förståelse och vetskap om hur säkerheten för tjänsten är uppbyggd. Vi har organisatoriska begränsningar för vilka som kan ha tillgång till er information och hur information ska hanteras. Vidare är alla anställda bundna av ett sekretessavtal som förhindrar spridning av information i allmänhet och personuppgifter i synnerhet.

Incidenthantering

Enligt GDPR måste ni och vi ha rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter. Vissa typer av personuppgiftsincidenter måste vara anmälda till tillsynsmyndighet (Datainspektionen) inom 72 timmar av dig som Personuppgiftsansvarig.

Om det finns problem i logiken för hur Lyra hanterar personuppgifter (t.ex. om Lyra genererar felaktig eller saknad data) eller om det inträffar en säkerhetsincident där det finns risk för obehörig åtkomst till personuppgifter räknas detta som en personuppgiftsincident. Beroende på incidentens karaktär kan det finnas skyldighet att rapportera den till tillsynsmyndighet (Datainspektionen). Vi har valt att här tydliggöra hur vi hanterar personuppgiftsincidenter.

Vid upptäckt av att en incident har inträffat börjar vi med att beskriva incidenten på ett sätt som gör att det går att förklara vad som skett. I detta ingår att tydliggöra vad det är för typ av incident och en första analys av orsaken till incidenten. Utifrån beskrivningen görs sedan en bedömning av hur incidenten behöver hanteras. I den här delprocessen ingår att vi tar kontakt med Personuppgiftsansvarig och att vi gemensamt beslutar hur incidenten ska hanteras. Utifrån fattade beslut kommer incidenten att åtgärdas och den exakta åtgärden beror naturligtvis mycket på incidentens karaktär. I vår process för att åtgärda en incident ingår även att göra en djupare analys av orsaker till varför incidenten kunde inträffa och vilka åtgärder vi behöver vidta för att förhindra att nya incidenter kan inträffa pga samma orsaker med hänsyn tagen till risker och konsekvenser. Incidenten kan också komma behöva kommuniceras till berörda personer och/eller tillsynsmyndigheten enligt de lagliga krav som finns. Denna kommunikation sker som en del av de beslutade åtgärderna.

Dataskyddspolicy

Vi på IRM värnar om våra kunder, vilket innebär att vi samlar in personlig information ansvarsfullt och med hänsyn till din integritet. Det är viktigt att vi är transparenta med vilken information vi samlar in om dig samt hur vi gör det.

Parter

IRM Solution AB, ORGNR, Garvargatan 9C, 112 21 Stockholm (i fortsättningen IRM), är leverantör av tjänsten Lyra (i fortsättningen Tjänsten). IRM är personuppgiftsansvarig för personuppgifter som du delar med oss när du:

beställer Tjänsten.
får inloggningsuppgifter och blir användare av Tjänsten.
har en fråga och/eller kontaktar oss.

IRM är personuppgiftsbiträde för behandling av de personuppgifter som du lämnar till Tjänsten och är då ansvarig för organisatoriska och tekniska säkerhetsåtgärder för att skydda dina personuppgifter. Personuppgiftsansvarig för de lämnade personuppgifterna är det bolaget som har tecknat Tjänsten (i fortsättningen Kunden).

Vilka personuppgifter behandlar vi om dig?

När du beställer Tjänsten samlar vi in dina kontaktuppgifter och företagsuppgifter. Företagsuppgifterna är personuppgifter om ditt företag är en enskild firma. Vidare finns det kontaktuppgifter och inloggningsuppgifter för varje användare av Tjänsten för att det ska vara möjligt att använda Tjänsten