Integritetspolicy
Senast uppdaterad:
Denna integritetspolicy beskriver hur dina personuppgifter behandlas när du använder Ledningens ansvar enligt cybersäkerhetslagen, som distribueras av ArkivIT AB.
1. Personuppgiftsansvarig
Personuppgiftsansvarig: ArkivIT AB, org.nr 556854-0883, Sturegatan 34, 114 36 Stockholm. ArkivIT bestämmer ändamål och medel för behandlingen och ansvarar för att den sker enligt dataskyddsförordningen (GDPR).
Kontakt för dataskyddsfrågor: info@arkivit.se.
ArkivIT har anlitat följande personuppgiftsbiträden enligt art. 28 GDPR:
- Carina Oscarsson — utveckling, administration och leverans av kursplattformen (har åtkomst till deltagardata via owner-/superuser-roll)
- SafeSpring AB — drift av servermiljön där plattformen körs
Behandlingen regleras av separata biträdesavtal med båda parter.
2. Personuppgifter vi behandlar
2.1 Uppgifter som lämnas av administratören
Ditt konto skapas av kursadministratören utifrån de uppgifter som lämnats vid beställningen av kurslicensen:
| Uppgift | Ändamål |
|---|---|
| Namn | Identifikation, kursintyg |
| Organisation | Kursintyg, anpassning av innehåll |
| Organisationstyp och klassning | Adaptivt innehåll per sektor |
| Roll i organisationen | Statistik (anonymiserad) |
| Lösenord (lagras hashat) | Autentisering — sätts av administratören vid kontoskapande |
2.2 Uppgifter som genereras under kursen
| Uppgift | Ändamål |
|---|---|
| Framsteg per avsnitt och steg | Möjliggör fortsättning vid avbrott |
| Antal rätt per quiz | Styr progressionen och möjliggör återupptag. Används inte som betyg utöver passerat/inte passerat. |
| Reflektion-status (klar/inte klar) | Underlag för kursintyg. Reflektionstexter lagras inte i plattformen — de skrivs i en separat mall och delas direkt med ArkivIT:s kursledare. |
| Tidsstämplar (senast aktiv, kontoskapande) | Licenshantering |
| Tidpunkter när du öppnar avsnitt | Aggregerad statistik. Rådata visas aldrig per individ — statistik visas först när minst tre deltagare öppnat samma avsnitt, och då bara som sammanställd kursdata utan koppling till enskild deltagare. |
2.3 Tekniska uppgifter
| Uppgift | Ändamål |
|---|---|
| Misslyckade inloggningsförsök | Säkerhet (lockout-mekanism) |
Session-cookie (nis2_session) | Håller dig inloggad |
| Webbserverloggar (IP-adress, tidsstämpel, URL, webbläsare) | Felsökning och säkerhet — roteras automatiskt efter 30 dagar |
3. Källan till uppgifterna
- Din arbetsgivare, eller du själv i din yrkesroll, har lämnat namn, organisation, organisationstyp och roll inom ramen för kurslicensen
- Dig själv — när du loggar in eller genomför kursens moment
- Tekniska metadata — genereras automatiskt av webbservern vid varje begäran
4. Rättslig grund
Den huvudsakliga rättsliga grunden för behandlingen är berättigat intresse (art. 6.1.f GDPR). ArkivIT, din arbetsgivare och du har ett gemensamt intresse av att kursen ska kunna genomföras och dokumenteras.
| Behandling | Motivering |
|---|---|
| Konto, framsteg, quiz, reflektion-status, kursintyg | Behandlingen är förutsebar och nödvändig för att fullgöra kursuppdraget. Den begränsas till det som krävs för att du ska kunna genomföra kursen och få ett intyg. |
| Misslyckade inloggningsförsök, session-cookie, webbserverloggar | ArkivIT har ett berättigat intresse av att skydda plattformen mot intrång och missbruk. Uppgifterna är tekniska, lagras kort tid och delas inte vidare. Cookien är strikt nödvändig för att hålla dig inloggad och används inte för spårning. |
| Tidpunkter när du öppnar avsnitt | Aggregerad statistik används för att förbättra kursen. Rådata raderas efter 12 månader. Endast aggregerad statistik (n≥3) visas — ingen individuell övervakning. |
Vad händer om du inte lämnar uppgifter?
Namn och organisation är nödvändiga för att utfärda kursintyg. Övriga uppgifter genereras under kursens gång och är nödvändiga för att plattformen ska fungera. Plattformen kan inte användas anonymt.
5. Var lagras uppgifterna?
All data lagras i en databasfil på en server hos SafeSpring AB i Stockholm, Sverige. SafeSpring är personuppgiftsbiträde till ArkivIT enligt separat avtal (art. 28 GDPR) och ansvarar för servermiljön.
- Webbserverloggar lagras på samma server och roteras efter 30 dagar
- Säkerhetskopiering sker automatiskt varje natt. Dagliga kopior sparas i 30 dagar; en månadsarkivering sparas i 12 månader. Kopiorna lagras på servern (SafeSpring AB, Sverige)
Inga uppgifter överförs utanför EU/EES.
6. Hur länge sparas uppgifterna?
| Uppgift | Lagringstid |
|---|---|
| Konto, framsteg, quiz-resultat | Licensperiod (i normalfallet 1 månad) + 12 månader, därefter radering |
| Aktivitetsdata (avsnittsöppning) | 12 månader. Aggregerad statistik (n≥3) finns kvar utan koppling till deltagare. |
| Webbserverloggar (inkl. IP) | 30 dagar |
| Misslyckade inloggningsförsök | Rensas löpande efter kort tid (lockout-mekanism) |
7. Vem har åtkomst till uppgifterna?
Tekniska driftroller: Plattformsansvarig och utsedd driftpersonal har serveråtkomst för drift, underhåll och incidenthantering.
Administrativ åtkomst:
- Kursadministratören har åtkomst till alla deltagares uppgifter för att skapa konton, hantera licenser och utfärda kursintyg.
- Konsulter från ArkivIT (i rollen SuperUser) har åtkomst till kursdata och progression för de deltagare de personligen ansvarar för. De har inte åtkomst till andra deltagares uppgifter.
Inga uppgifter delas med tredje part utöver det som anges ovan.
8. Kursintyg
När du har slutfört kursen kan ett kursintyg genereras med ditt namn, din organisation, datum och kursens beteckning. Intyget skapas i plattformen vid behov av ArkivIT:s kursledare och distribueras till dig manuellt (per e-post eller vid Del 2-träffen). Intyget lagras inte automatiskt som fil i plattformen.
9. Dina rättigheter enligt GDPR
Du har följande rättigheter. För att utöva någon av dem, kontakta info@arkivit.se.
- Information (art. 13–14): Denna policy är ArkivIT:s information till dig
- Registerutdrag (art. 15): Få en kopia av dina uppgifter, levereras inom 30 dagar
- Rättelse (art. 16): Begär att felaktiga uppgifter rättas
- Radering (art. 17): Begär att dina uppgifter raderas, om det inte föreligger rättslig skyldighet att behålla dem
- Begränsning (art. 18): Begär att behandlingen fryses vid tvist
- Dataportabilitet (art. 20): Få ut dina uppgifter i strukturerat, maskinläsbart format
- Invändning (art. 21): Du kan invända mot behandling som bygger på berättigat intresse. ArkivIT prövar då om vårt intresse väger tyngre.
- Klagomål till tillsynsmyndighet: Integritetsskyddsmyndigheten (IMY) — imy.se
Plattformen fattar inga automatiserade beslut om dig. Kursintyget utfärdas av kursledaren efter genomförd kurs.
10. Cookies
Plattformen använder en cookie:
| Cookie | Ändamål | Livslängd |
|---|---|---|
nis2_session | Håller dig inloggad | 2 dagar |
Cookien är tekniskt skyddad så att den inte kan läsas av andra webbsidor, inte kan förfalskas, och bara skickas över krypterad anslutning. Den är strikt nödvändig för att kursen ska fungera och kräver inget separat samtycke enligt lagen om elektronisk kommunikation (2022:482).
11. Säkerhet
- HTTPS med Let's Encrypt-certifikat, TLS 1.3
- Lösenord lagras med stark hashning (PBKDF2-SHA256)
- CSRF-skydd på formulär
- Rate limiting och konto-lockout vid misstänkt inloggningsförsök
- Minsta behörighet — endast administratörer ser andra deltagares uppgifter
- Automatiserad daglig säkerhetskopiering med 30 dagars rotation; månadsarkiv i 12 månader
Personuppgiftsincidenter
Om en säkerhetsincident drabbar dina personuppgifter och bedöms medföra hög risk för din integritet underrättar ArkivIT dig utan onödigt dröjsmål. Incidenten rapporteras till Integritetsskyddsmyndigheten (IMY) inom 72 timmar i enlighet med GDPR art. 33.
12. Ändringar i denna policy
Om vi ändrar policyn uppdaterar vi datumet överst på denna sida.
13. Mer information
För frågor om ArkivIT:s övriga databehandling (nyhetsbrev, rekrytering, webbplatsbesök), se arkivit.se/integritetspolicy.
14. Kontakt
Personuppgiftsansvarig:
- ArkivIT AB
- Org.nr: 556854-0883
- Sturegatan 34, 114 36 Stockholm
- Dataskyddsfrågor: info@arkivit.se
Frågor om kursinnehåll och kursintyg: