Integritetspolicy
Senast uppdaterad:
Denna policy beskriver hur personuppgifter behandlas när du använder ledningskursen i NIS2/cybersäkerhet som distribueras av ArkivIT AB.
1. Personuppgiftsansvarig
ArkivIT AB är personuppgiftsansvarig för behandlingen i plattformen. Kontakt dataskyddsombud: dataskydd@arkivit.se.
Carina Oscarsson är personuppgiftsbiträde för vissa delar av behandlingen (innehållsredigering, kursledarrollen).
2. Vilka personuppgifter behandlar vi?
2.1 Obligatoriska för kursgenomförande
| Uppgift | Rättslig grund | Syfte |
|---|---|---|
| Namn | Avtal (art. 6.1.b) | Kursintyg, identifikation |
| Organisation | Avtal | Kontextualisering av innehåll, kursintyg |
| Organisationstyp + klassning | Avtal | Adaptivt innehåll |
| Användarnamn + lösenord (hashat) | Avtal | Autentisering |
| Roll i organisationen | Avtal | Relevans, statistik |
2.2 Valfria uppgifter
| Uppgift | Rättslig grund | Syfte |
|---|---|---|
| E-post | Samtycke | Framtida utskick (inte i drift) |
| Interna anteckningar (admin) | Berättigat intresse | Kundhanteringens effektivitet |
2.3 Uppgifter som genereras under kursen
| Uppgift | Rättslig grund | Syfte |
|---|---|---|
| Framsteg (klara moduler, steg) | Avtal | Möjliggöra återtag vid avbrott |
| Quiz-resultat | Avtal | Bedömning om kunskapskrav nåtts |
| Reflektionstexter | Avtal | Underlag för Del 2-träff |
| Tidsstämplar (senast aktiv, skapande) | Berättigat intresse | Licenshantering |
| Tidpunkt när du öppnar ett kursavsnitt | Berättigat intresse | Aggregerad statistik för att förbättra kursdesignen — inga individuella tider visas i admin-vyn |
2.4 Tekniska uppgifter
| Uppgift | Rättslig grund | Syfte |
|---|---|---|
| IP-adress vid inloggning | Berättigat intresse | Säkerhet: rate limiting, incidenter |
Session-cookie (nis2_session) | Avtal | Håller dig inloggad |
| Misslyckade inloggningsförsök | Berättigat intresse | Säkerhet: lockout-mekanism |
Vad vi inte samlar in
- Tracking-cookies eller analytics från Google, Meta eller andra
- Din plats bortom vad IP-adressen avslöjar
- Enhetsinformation utöver det din webbläsare skickar automatiskt
- Beteendedata som musrörelser, scrolldjup, hover-tid
- Kontaktpersoner, adresserböcker eller tredjepartsdata
3. Varifrån kommer uppgifterna?
- Kursadministratören (Carina eller ArkivIT:s distributör) skapar ditt konto med grunduppgifter
- Du själv när du loggar in eller svarar på quiz
- Tekniska metadata genereras automatiskt vid inloggning
Vi samlar inte in uppgifter från tredje part (LinkedIn, register etc).
4. Var lagras uppgifterna?
- Databas: SQLite på en server i EU (Sverige/Tyskland). Ingen överföring utanför EU/EES.
- Backups: krypterad off-site-kopia inom EU.
- Loggar: på samma server, roteras efter 30 dagar.
Plattformen använder inte molnleverantörer utanför EU för kärnfunktioner.
5. Hur länge sparas uppgifterna?
| Typ | Retention |
|---|---|
| Konto + framsteg | Licensperiod + 1 år, därefter radering |
| Reflektioner | Samma som konto |
| Tidpunkt när du öppnar avsnitt (rådata) | 12 månader, därefter radering. Bara aggregerad statistik finns kvar i admin-vyn (n≥3 deltagare). |
| Backups | 30 dagar daily + 12 månader månatlig |
| IP-logg (inloggningar) | 30 dagar |
| Rate-limit-räknare | 5 minuter rullande |
Efter retention-periodens slut raderas uppgifterna. Om du begär radering innan det, se avsnitt 7.
6. Vem har åtkomst till uppgifterna?
Inom ArkivIT
- Kursadministratör (Carina eller utsedd ersättare) — ser alla deltagare och deras reflektioner som underlag för Del 2-träffen
- ArkivIT:s DevOps-team — har serveråtkomst för drift och incidenthantering
- Dataskyddsombud — vid GDPR-ärenden
Utanför ArkivIT
Vi delar inte dina uppgifter med:
- Tredjeparter för marknadsföring
- Tillsynsmyndighet utom vid lagkrav (t.ex. IVO, IMY)
- Andra kunder av ArkivIT
Om en tillsynsmyndighet begär ut dina uppgifter informerar vi dig i förväg, om det är juridiskt möjligt.
7. Dina rättigheter enligt GDPR
7.1 Få information (art. 13–14)
Denna policy är vår information till dig. Om något är oklart, hör av dig.
7.2 Få ut dina uppgifter (art. 15)
Begär en kopia av alla uppgifter vi har om dig. Leverans inom 30 dagar, i maskinläsbart format (CSV + .docx).
7.3 Rätta felaktiga uppgifter (art. 16)
Begär att vi rättar felaktiga uppgifter. Vi gör det snarast.
7.4 Få uppgifter raderade (art. 17)
Begär radering. Vi raderar dina uppgifter såvida inte vi har rättslig skyldighet att behålla (t.ex. bokföringskrav — 7 år enligt BFL).
7.5 Begränsa behandling (art. 18)
Om du tvistar med oss om uppgifter kan du begära att vi fryser behandlingen tills saken är utredd.
7.6 Dataportabilitet (art. 20)
Få ut dina uppgifter i strukturerat, maskinläsbart format (JSON/CSV) för att flytta dem till annan tjänst.
7.7 Invända mot behandling (art. 21)
Du kan invända mot behandling som bygger på berättigat intresse.
7.8 Klaga till tillsynsmyndighet
Om du anser att vi hanterar dina uppgifter felaktigt kan du klaga till Integritetsskyddsmyndigheten (IMY), Drottninggatan 29, Stockholm — imy.se.
7.9 Automatiserat beslutsfattande
Vi fattar inga automatiserade beslut om dig som har rättsliga konsekvenser. Kursintyget utfärdas baserat på faktiskt genomfört quiz och reflektion — inte ett profilerings-beslut.
8. Cookies och liknande tekniker
Plattformen använder endast följande cookies:
| Cookie | Syfte | Livslängd |
|---|---|---|
nis2_session | Håller dig inloggad | 7 dagar |
Cookien är:
- HttpOnly — kan inte läsas av JavaScript
- SameSite=Lax — skyddar mot CSRF
- Secure (i produktion) — skickas bara över HTTPS
- Signerad med
itsdangerous— kan inte förfalskas
Inga tredjepartscookies. Ingen tracking. Ingen Google Analytics.
9. Säkerhet
- HTTPS med Let's Encrypt-certifikat, TLS 1.2+
- PBKDF2-SHA256 med 600 000 iterationer för lösenord
- CSRF-skydd på alla formulär
- Rate limiting på login (5 försök per 5 min per IP)
- Konto-lockout efter 5 felinmatningar
- Dagliga krypterade backups till separat lagring
- Minsta behörighet — endast admin ser andra deltagares uppgifter
10. Ändringar i denna policy
Om vi ändrar policyn uppdaterar vi datumet överst. Väsentliga ändringar informerar vi dig om via e-post (om du gett samtycke) eller via en banner i plattformen.
11. Kontakt
Frågor om personuppgiftsbehandling:
- E-post: dataskydd@arkivit.se
- Post: ArkivIT AB, dataskyddsombud
Frågor om kursinnehåll eller kursintyg:
- E-post: carina.oscarsson@arkivit.se