Integritetspolicy

1. Vem är personuppgiftsansvarig?

Personuppgiftsansvarig för behandling av personuppgifter är:

CyberResilient AB

Org.nr: 556702-0200

E-post: info@cyberdefencely.com

2. Vilka personuppgifter samlar vi in?

Information du lämnar vid registrering:

• Namn
• E-postadress
• Telefonnummer
• Organisationens namn
• Befattning/roll i organisationen

Data som uppstår när du använder Tjänsten:

• Inloggnings- och kontoinformation (t.ex. registreringstid, senaste inloggning)
• Tekniska loggar (t.ex. IP-adress, webbläsartyp, åtkomsttid)
• Dina svar i mognadsmätningen
• Rapporter

3. Varför behandlar vi dina personuppgifter och på vilken rättslig grund?

För att skapa och administrera ditt konto

• Ändamål: Skapa användarkonto, möjliggöra inloggning och åtkomst till Tjänsten, hantera behörigheter
• Information: Namn, e-postadress, telefonnummer, organisationsnamn, inloggningsuppgifter
• Rättslig grund: Fullgörande av avtal (artikel 6.1 b GDPR) för att tillhandahålla tjänster till din organisation

För att tillhandahålla och utveckla mognadsmätningsverktyget

• Ändamål: Genomföra mognadsmätningen, visa resultatrapporter, förbättra funktioner, användarupplevelse och säkerhet, följa upp användningsmönster på aggregerad nivå (statistik)
• Information: Dina enkätsvar, användningsdata, tekniska loggar
• Rättslig grund: Berättigat intresse (artikel 6.1 f GDPR) att tillhandahålla, utveckla och förbättra Tjänsten och säkerställa IT- och informationssäkerhet

För kundservice och support

• Ändamål: Besvara frågor, hantera felrapporter, hjälpa dig med din användning av Tjänsten
• Information: Kontaktuppgifter (namn, e-post, telefon), information om din organisation, innehållet i din fråga/ärende
• Rättslig grund: Berättigat intresse att tillhandahålla service och support (artikel 6(1)(f))

För att skicka information och marknadsföringskommunikation (valfritt)

• Ändamål: Skicka information om uppdateringar av Tjänsten, skicka nyheter, tips eller inbjudningar till webbinarier/evenemang relaterade till cybersäkerhet och mognadsmätning
• Information: Namn, e-postadress, organisation
• Rättslig grund: Berättigat intresse (artikel 6(1)(f)) att kommunicera med befintliga användare i en professionell roll om tjänster och information relevanta för deras verksamhet
• Din rätt att invända: Du kan invända mot marknadsföringskommunikation genom att klicka på avregistreringslänken i e-postmeddelanden eller kontakta info@cyberdefencely.com

4. Hur länge sparar vi dina personuppgifter?

Användarkonton och kontoinformation

Information kopplad till ditt användarkonto sparas så länge kontot är aktivt och du använder Tjänsten. Om ditt konto är inaktivt (ingen inloggning) i 36 månader kan vi kontakta dig för att bekräfta om du fortfarande vill behålla kontot. Om vi inte får svar inom 30 dagar kan kontot raderas.

Raderade konton

Om du aktivt väljer att radera ditt konto:

• Du har 30 dagar från raderingsbegäran att exportera dina data
• Efter dessa 30 dagar raderas dina personuppgifter permanent eller anonymiseras
• Data i krypterade säkerhetskopior kan sparas i upp till 30 ytterligare dagar för katastrofåterställning, därefter raderas permanent

Mätresultat och rapporter

Dina svar i mognadsmätningen och genererade rapporter sparas så länge ditt konto är aktivt. Om du raderar ditt konto raderas dina personliga mätresultat enligt tidsfristerna ovan.

Tekniska loggar och säkerhetskopior

Tekniska loggar (IP-adresser, inloggningsförsök, systemhändelser) sparas i 12 månader för IT-säkerhet, felsökning och spårbarhet. Säkerhetskopior för aktiva konton sparas i upp till 90 dagar för katastrofåterställning.

Marknadsföringskommunikation

Data för marknadsföringskommunikation (namn, e-post, organisation) sparas så länge du är en aktiv användare eller tills du väljer att avregistrera dig. Om du avregistrerar dig sparas ditt val permanent. Om ditt konto är inaktivt i 36 månader och du inte har interagerat med marknadsföringskommunikation kan vi ta bort dig från marknadsföringslistan.

Bokföringshandlingar och lagkrav

Data som måste sparas enligt bokföringslagen (t.ex. fakturor, betalningsinformation, avtal) sparas i 7 år från räkenskapsårets slut. Data som behålls enligt andra lagliga skyldigheter sparas så länge den lagliga skyldigheten kvarstår.

Anonymiserade och aggregerade data

Anonymiserade och aggregerade data som inte identifierar dig eller din organisation kan lagras på obestämd tid för statistik, benchmarking och produktutveckling.

5. Till vem lämnar vi ut personuppgifter?

Datakryptering och skydd

All data krypteras både vid lagring och vid överföring på infrastrukturnivå och, för personuppgifter, med ett ytterligare krypteringslager på applikationsnivå som vi kontrollerar.

Specifikt:

• All data krypteras vid lagring (AES-256) och vid överföring (TLS 1.3)
• Personuppgifter har ytterligare kryptering (AES-256-GCM) som bara vi kan dekryptera
• E-postadress (krävs för autentisering) är den enda identifierande informationen som inte skyddas av ytterligare kryptering

Data som skyddas av ytterligare kryptering

Ditt namn, telefonnummer, organisationsinformation, alla svar i mognadsmätningen, allt rapportinnehåll och rekommendationer, användarpreferenser och inställningar.

Personuppgiftsbiträden inom EU/EES

• Databas- och autentiseringstjänster: Lagring av användardata och säker inloggningshantering. Kategorier: E-postadress, användarnamn, krypterade lösenord, kontoinformation. Rättslig grund: Fullgörande av avtal (artikel 6(1)(b) GDPR).
• E-posttjänster: Skicka tjänstemeddelanden, supportkommunikation och annan kommunikation. Kategorier: E-postadress, namn, meddelandeinnehåll. Rättslig grund: Fullgörande av avtal (artikel 6(1)(b)) för tjänstemeddelanden; Berättigat intresse (artikel 6(1)(f)) för marknadsföring.
• Cookie-samtyckeshantering: Hantera och lagra användares cookiesamtycken. Kategorier: Samtyckesinformation, IP-adress (anonymiserad), webbläsarinformation. Rättslig grund: Rättslig förpliktelse (artikel 6(1)(c) GDPR).

En uppdaterad lista över specifika personuppgiftsbiträden inom EU/EES finns tillgänglig på begäran.

Personuppgiftsbiträden utanför EU/EES

Molnhosting och serverlösa datatjänster:

Webbhosting, applikationsleverans och serverbearbetning. Fysisk plats: EU (Sverige). Bolagsjurisdiktion: USA.

• Data åtkomlig: HTTP-förfrågningsmetadata, applikationsprestanda, felloggar
• Data EJ åtkomlig (krypterad): Användarnamn, utvärderingssvar, rapportinnehåll
• Skyddsåtgärder: GDPR-avtal om databehandling, TLS 1.3, AES-256
• Rättslig grund: Berättigat intresse (artikel 6(1)(f) GDPR)

Databas- och autentiseringstjänster (USA-baserat):

Datalagring, användarautentisering, databashantering. Fysisk plats: EU (Sverige). Bolagsjurisdiktion: USA.

• Data åtkomlig: E-postadresser, IP-adresser, användarpreferenser
• Data EJ åtkomlig (krypterad): Visningsnamn, telefonnummer, organisationsuppgifter, utvärderingsdata, rapporter
• Skyddsåtgärder: GDPR DPA, TLS 1.3, AES-256, AES-256-GCM kryptering på applikationsnivå
• Rättslig grund: Fullgörande av avtal (artikel 6(1)(b)), Rättslig förpliktelse (artikel 6(1)(c))

Varför USA-baserade företag kan komma åt data lagrad i EU: Även om data fysiskt lagras på servrar i Sverige är vissa av våra tjänsteleverantörer USA-baserade företag. Tack vare ytterligare kryptering är personuppgifter de kan komma åt krypterade och oläsliga utan krypteringsnycklar som lagras separat. Endast e-postadressen lagras okrypterad.

Delning med koncernbolag

Personuppgifter delas med:

• Cyber Defencely Sweden AB (559501-5594)
• Navis Mater AB (559537-7184)
• Internetworking Stockholm AB (556990-8220)

Ändamål: Gemensam hantering av användarkonton, support och kundservice, övervakning och utveckling av Tjänsten, gemensam administration och IT-drift.

Data som delas: Namn, e-post, telefon, organisation, befattning/roll, kontoinformation, supportärenden.

Rättslig grund: Fullgörande av avtal (artikel 6(1)(b) GDPR). Alla bolag i Sverige under GDPR.

Övriga mottagare

• Myndigheter och tillsynsorgan (om det krävs enligt lag)
• Revisorer och juridiska rådgivare
• Potentiella köpare (vid försäljning)

6. Överföring till länder utanför EU/EES

Huvuddelen av våra tjänster och data lagras inom EU/EES. När överföringar av personuppgifter sker utanför denna region säkerställer vi rättslig grund och adekvat skydd genom:

• EU:s adekvansbeslut eller godkända standardavtalsklausuler
• Tekniska och organisatoriska åtgärder inklusive kryptering, åtkomstkontroll och regelbundna säkerhetsgranskningar
• Leverantörsutvärdering med fokus på säkerhet och dataskyddsstandarder

7. Hur vi skyddar dina personuppgifter

Vi implementerar tekniska och organisatoriska säkerhetsåtgärder inklusive:

• Åtkomstkontroll och behörighetshantering
• Säker autentisering för administratörer och användare
• Loggning och övervakning av systemhändelser
• Datakryptering med extra lager för känslig information
• Regelbundna säkerhetsuppdateringar och säkerhetskopieringsrutiner

Ingen internetbaserad tjänst kan vara 100% säker mot alla hot. Vid dataintrång som sannolikt medför hög risk meddelas användare utan onödigt dröjsmål enligt GDPR artikel 34.

8. Dina rättigheter

Enligt GDPR har du rätt att:

• Få tillgång till dina personuppgifter och information om hur de behandlas
• Rätta felaktiga eller ofullständiga uppgifter
• Radera under vissa omständigheter ("rätten att bli glömd")
• Begränsa behandlingen i vissa fall
• Invända mot behandling baserad på berättigat intresse
• Återkalla samtycke utan att påverka tidigare laglig behandling
• Dataportabilitet för information du har tillhandahållit

Angående AI: Vi använder inte automatiserat beslutsfattande i den mening som avses i GDPR artikel 22 eftersom rekommendationer endast är vägledande, men du behåller rätten till information och att uttrycka din åsikt.

Svarstid: Inom 1 månad från mottagandet (kan förlängas till 3 månader i komplexa fall). Begäranden hanteras normalt utan kostnad.

9. Rätt att lämna klagomål till tillsynsmyndighet

Om du anser att dina personuppgifter har behandlats i strid med GDPR har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY):

• Webbplats: www.imy.se
• Telefon: 08-657 61 00
• E-post: imy@imy.se
• Adress: Box 8114, 104 20 Stockholm

10. Cookies och liknande teknik

Nödvändiga cookies är alltid aktiva och omfattar:

• Autentisering och sessioner
• Säkerhet och åtkomstkontroll
• Teknisk drift och grundläggande funktionalitet

Analys- och spårningscookies aktiveras först efter ditt uttryckliga samtycke. När du samtycker använder vi:

• Google Analytics — för att förstå hur besökare använder webbplatsen (anonymiserad IP).
• LinkedIn Insight Tag — för att mäta effekten av våra kampanjer.

Du kan ändra eller återkalla ditt samtycke när som helst via länken "Cookie-inställningar" i sidfoten. Vi delar inte cookieinformation med tredje part för reklam eller profilering.

11. Ändringar av denna integritetspolicy

Vi kan uppdatera denna integritetspolicy när som helst. Väsentliga ändringar meddelas minst 30 dagar i förväg. Mindre uppdateringar kan göras utan föregående meddelande och träder i kraft vid publicering. Fortsatt användning av Tjänsterna efter att ändringar trätt i kraft innebär godkännande.