INTEGRITETSPOLICY

GDPR

IT & INFORMATIONS-SÄKERHETSPOLICY
INTEGRITETSPOLICY

INTEGRITETSPOLICY

Behandling av personuppgifter
De personuppgifter som Fastum AB samlar beror på vilken relation vi har till dig. Vår hantering av dina personuppgifter sker utifrån bestämmelserna i gällande lag angående hantering av personuppgifter. Information nedan anger vilka uppgifter vi kan komma att behandla om dig, men det innebär inte att vi nödvändigtvis vid varje given tidpunkt behandlar alla dessa uppgifter.

Personuppgiftsansvarig
Fastum är personuppgiftsansvarig enligt Dataskyddsförordningen för den behandling av personuppgifter som sker i relationen med kunder, leverantörer och medarbetare samt arbetssökande (kontaktuppgifter). Fastum ansvarar även för behandlingen av personuppgifter som sker på Fastums hemsida och kundportal (Fastumdirekt). Vidare är Fastum personuppgiftsansvarig för behandlingen av personuppgifter i relation med hyresgäster till Fastum.


Personuppgiftsbiträde
Fastum är personuppgiftsbiträde enligt Dataskyddsförordningen för den behandling av personuppgifter som sker utifrån avtal med Fastums kunder (främst bostadsrättsföreningar och samfälligheter). Ett biträdesavtal reglerar ansvaret mellan respektive kund och Fastum.

Vilka uppgifter behandlas
Vi samlar in och behandlar kontaktuppgifter såsom namn, adress, telefonnummer och e-post för våra kunders och leverantörers respektive kontaktpersoner.

För våra kunders räkning hanterar vi deras respektive medlems- och lägenhetsregister. Detta innebär att vi behandlar våra kunders medlemmars personuppgifter (kontaktuppgifter) i enlighet med de lagkrav som gäller för dessa register. Vi registrerar samtidigt medlemmarnas personnummer och kontouppgifter för att kunna fullfölja våra uppdrag. Vi behandlar personuppgifter (kontaktuppgifter, personnummer och kontouppgifter) om hyresgäster och andrahandshyresgäster hos våra kunder. Vi behandlar även kontaktuppgifter till kontaktpersoner hos våra kunders leverantörer.

Utöver detta så samlar vi in och behandlar uppgifter om medlemskap i bostadsrättsförening, finansiella uppgifter så som ägande, skulder, arvoden och kreditupplysningar. Uppgifter om ej betalda hyror eller avgifter, lägenhetsnummer och LMV-nummer.

Beträffande våra hyresgäster samlar vi in och behandlar personuppgifter så namn, adress, telefonnummer, e-post, personnummer och kontouppgifter för att kunna fullfölja hyresförhållandet.

När sker behandling och hur vi samlar in personuppgifter
Fastum samlar in och behandlar dina personuppgifter när du är medlem hos, äger en bostadsrätt, hyr eller bor i andra hand hos någon av våra kunder. När du är kontaktperson hos någon av våra kunder eller leverantörer. När du gör en felanmälan till Fastum. När du har eller söker anställning hos Fastum. När du är hyresgäst hos Fastum.

Vanligtvis lämnas personuppgifterna frivilligt av dig som är registrerad. Fastum samlar även in personuppgifter från kunder och från offentliga register.

Ändamålet med behandlingen av personuppgifter
De huvudsakliga ändamålen med Fastums behandling av personuppgifter är att administrera kundrelationer och administrera de tjänster som vi ska utföra åt våra kunder enligt avtal.

Vårt uppdrag innefattar hanteringen av medlems- och lägenhetsregister, avgiftsavisering, sköta in- och utbetalningar samt bokföring åt våra kunder. Det innebär att vi har att följa gällande lagstiftning såsom Lagen om ekonomiska föreningar, Bostadsrättslagen, Bokföringslagen och Skattelagen samt de krav som myndigheter ställer på statistik. När avtalet med kunden avslutas raderas dina uppgifter (som medlem, boende eller annan kontaktperson) enlighet med villkoren i biträdesavtalet.

I hyresförhållande där Fastum är hyresvärd är ändamålet med Fastums behandling av personuppgifter att administrera hyresförhållandet, sköta hyresavisering och uppföljning in- och utbetalningar samt bokföring.

Övriga ändamål är att administrera relationen med våra leverantörer samt med våra medarbetare.

Vi använder endast dina personuppgifter för det ändamål för vilket vi har samlat in dem för.

Hur länge sparas personuppgifterna
Fastum sparar personuppgifterna så länge det är nödvändigt för att uppfylla ovanstående ändamål, fullgöra vårt åtagande och gällande lagstiftning. Därefter kommer personuppgifterna raderas eller avidentifieras. Personuppgifterna kommer att sparas så länge ett avtalsförhållande. Har du samtyckt till att dina personuppgifter ska få hanteras tas de bort då du återkallar ditt samtycke om de inte behövs för några andra rättsliga förpliktelser.

Hur vi delar personuppgifter med andra
Vi lämnar ut personuppgifter till mottagare utanför Fastum för att utföra behandlingen enligt ovan. För uppfyllandet av våra åtaganden anlitar Fastum underleverantörer. Underleverantörer som Fastum anlitar är personuppgiftsbiträde i relation med Fastum och Fastum säkerställer att det finns ett biträdesavtal för behandlingen av personuppgifter för att säkerställa att dessa inte har rätt att använda personuppgifterna för andra ändamål än vad som framgår av biträdesavtalet.

Dina uppgifter kan komma att lämnas ut till tredje part då det finns krav på detta enligt lag eller kundavtalet. Detta gäller även vid de fall då du har lämnat samtycke till en tredje part (t ex mäklare). Dina uppgifter visas även för kontaktpersonerna hos din förening, via vår kundportal Fastumdirekt.


Vilka rättigheter har du som registrerad
För det fall du önskar information om vilka personuppgifter som finns registrerade om dig, har du rätt att beställa information om de personuppgifter vi behandlar om dig genom att fylla i vårt formulär på www.fastum.se antingen digitalt eller som fysiskt pappersformulär i enlighet med instruktionerna.

Du har även rätt att få närmare information om hur dina uppgifter behandlas. Vi säkerställer alltid din identitet innan du får tillgång till din information.

Du har rätt att begära rättelse av eller radering av sådan information som du anser vara felaktig och du har även rätt att begära radering av dina personuppgifter om det inte föreligger en laglig grund för vår hantering. Vänligen observera att viss information kan vara undantagen från din rätt till radering enligt gällande rätt.


Kontakt
Om du har frågor kring vår hantering av personuppgifter, vänligen kontakta Fastums Dataskyddsombud på e-post: dpo@fastum.se

Antaget av bolagets styrelse den 31 maj 2018

REGISTERUTDRAG ÖVER PERSONUPPGIFTER

Svar inom 30 dagar. Elektronisk underskrift med Bank ID

FRÅGOR OM OCH
RÄTTELSE AV PERSONUPPGIFT

Hanteras av Fastums Dataskyddsombud dpo@fastum.se

 

IT-INFORMATIONSSÄKERHETSPOLICY

1 BAKGRUND
Fastum AB, är leverantör av förvaltningstjänster för att kunna leverera våra tjänster krävs att vi tillhandahåller olika teknikplattformar både andras och egna till Bostadsrättsföreningar ("Fastum"), har beslutat att upprätta, genomföra och underhålla en adekvat och dokumenterad informationssäkerhetspolicy. Informationssäkerhetspolicyn ska omfatta sådana förfaranden som är nödvändiga för att identifiera och genomföra både administrativa och tekniska skyddsåtgärder för att skydda Fastum: s och dess kunders känsliga data och infrastruktur.

2 OMFATTNING
Fastums informationssäkerhetspolicy omfattar risker som företaget står inför såväl teknisk som organisatoriska. Risker med olika arbetsställen samt arbete utanför ordinarie arbetsställen.

3 CYBERHOT
Cyberhot ses som särskilt allvarliga, listan nedan är ej komplett:

• Förlust av kontroll över IP-adresser (Internet Protokoll), som är binära uppsättningar av nummer som identifierar enheter, t.ex. servrar, i ett nätverk.

• Förlust av kritisk data eller data läckage - oavsett om det är relaterat till en oavsiktlig eller avsiktlig handling.

• Socialteknik, där användarna manipuleras för att avslöja konfidentiell information.

• Spjutfiske ett e-postbedrägeri som liknar nätfiske, men brukar rikta in specifika organisationer och kommer från vad som verkar vara en pålitlig källa.

• En domän-i-mitten attack, där ett system komprometteras och krypterad information omdirigeras till en hackers server och stulits innan den skickas tillbaka till legitima användare.

4 ROLLER OCH ANSVAR
4.1 Informationssäkerhet Ansvarig

Fastum har utsett en IT-säkerhetsansvarig för att övervaka alla pågående aktiviteter i samband med utveckling, genomförande och underhåll av informationssäkerhetspolicyn.

4.2 Anställdas ansvar

Det är viktigt att vara medveten om att känsliga data eventuellt kan gå förlorade eller äventyras när de flyttas utanför Fastums nätverk. Alla anställda på Fastum hanterar data, informationssäkerheten är beroende av den enskilda anställd på Fastum. Alla anställda är ansvariga för säkerheten för all data som kan komma till dem i vilket format som helst. Varje anställd ansvarar för att följa denna policy, och varje anställd som blir medveten om eventuella brott eller misstänkt brott mot denna policy måste informera IT-säkerhetsansvarig.

5 GENOMFÖRANDE
5.1 Identifiering och autentisering

5.1.1 Arbetsstationens användarlogg ID
Alla anställda har unika inloggnings-ID och lösenord. Ett åtkomstkontrollsystem identifierar varje användare och förhindrar obehöriga användare tillträde till datorer.

Säkerhetskrav för användaridentifiering är:

• Varje användare ska tilldelas en unik identifierare.

• Användarna ska ansvara för sin identifierare och utan dröjsmål meddela om hen har tappat bort sin identifierare eller att den har spridits till andra (se 6.2).

Inloggningsidet är låst efter högst tre (3) misslyckade inloggningsförsök som då kräva att lösenordet återställs av den behöriga administratören.

Inloggning till system som hanterar personuppgifter som anses känsliga eller känsliga personuppgifter skall vara av typen 2FA.

5.1.2 Lösenord

Användar-ID och lösenord krävs för att få tillgång till alla nätverk och arbetsstationer. Alla lösenord måste överensstämma med begränsningar och begränsningar som är utformade för att göra lösenordet svårt att gissa. Användare måste välja ett lösenord för att få tillgång till all elektronisk information på arbetsstationsnivå. När lösenord återställs kommer användaren automatiskt att uppmanas att manuellt ändra det tilldelade lösenordet.

Lösenorden måste överensstämma med strikta regler om lösenordslängd, innehållskrav, ändringsfrekvens och återanvändning.

5.2 Elektronisk kommunikation, e-post, internetanvändning

Fastumanställda kommunicerar internt och externt med hjälp av ett antal onlineverktyg. Ytterligare verktyg används för fildelning och fillagring. Alla sådana verktyg tillhandahålls och upprätthålls på avtalsbasis, avtalen innehåller utöver tjänstebeskrivning datasäkerhetspolicy, Personuppgiftsbiträdesavtal.

Nuvarande leverantörer av kommunikations- och fildelnings plattformar till Fastum Direkt är:
Quiculum AB Programmering och utvecklig Org. Nummer: 556903-0694
QD Sverige AB drift och lagring Org. Nummer: 556362-5986

Fastumpolicyn anger att när datafiler som innehåller känslig / personlig information utbyts i första hand via ärendehanteringssystem om det sker via e-post - externt såväl som internt - ska dessa filer krypteras. Krypteringsnycklar / lösenord ska kommuniceras separat, med hjälp av textmeddelanden.

5.3 Flyttbara medier

Användning av USB-enheter är begränsad till sådana enheter som köpts av och för Fastum och kan hämtas från IT-säkerhetsansvarig. Att använda externa USB-enheter på Fastumdatorer är strängt förbjudet.

5.4 Elektronisk utrustning, data och media förstöring

Det är viktigt att se till att känsliga data raderas, förstörs eller som annars är oläsliga på utrustning i slutet av livet. Om enheten ska kastas eller återlämnas kan IT-säkerhetsansvarig formatera enheten.

6 GENOMFÖRAND
6.1 Information om systemprocesser
Fastställa processen för att regelbundet genomföra en operativ granskning av systemaktivitet inklusive, men inte begränsat till, användarkonton, systemåtkomst, filåtkomst, säkerhetsincidenter, revisionsloggar och åtkomstrapporter. Fastum ska regelbundet genomföra en intern granskning av register över systemaktivitet för att minimera risken för säkerhetsöverträdelser och för att minimera eventuella konsekvenser av eventuella brott.

6.2 Loggar och rapporterar säkerhetshändelser
Det är varje anställdas ansvar för Fastum att rapportera upplevda säkerhetsincidenter kontinuerligt till IT-säkerhetsansvarig. De ska formellt rapportera alla säkerhetsincidenter eller överträdelser av informationssäkerhetspolicy omedelbart till IT-säkerhetsansvarig.

Rapporteringsvägar för säkerhetsincidenter

  • Incidentformulär på intranät
  • Vid akut incident ring +46 76 536 44 01

Rapporter om säkerhetshändelser ska eskaleras så fort som möjligt. Varje incident analyseras för att avgöra om förändringar i befintlig säkerhetsstruktur är nödvändiga. Alla rapporterade händelser är inloggade och de korrigerade åtgärderna anges. Det är IT-säkerhetsansvarigs ansvar att ge utbildning om eventuella processförändringar som kan krävas som en följd av undersökningen av en incident.

Säkerhetsöverträdelser ska omedelbart undersökas. Om misstankar misstänks ska myndigheten omedelbart kontakta de behöriga brottsbekämpande myndigheterna.

6.3 Säkerhetsmedvetenhetsträning
Att skapa en säkerhetsmedvetenhet och utbildningsprogram för alla anställda i Fastum.

Alla anställda ska få lämplig utbildning om Fastum säkerhetspolicyer och förfaranden. Sådan utbildning ska fortlöpande ges till alla nya anställda och ska upprepas årligen för alla anställda.

6.4 Leverantörens noggrannhet
Alla tredje parts leverantörer som kommer att få någon form av data eller tillgång till Fastum s informationssystem ska utvärderas av IT-säkerhetsansvarig på årsbasis.

Sådan utvärdering ska omfatta följande punkter:

  • Finns det skrivna, uppdaterade informationssäkerhetsplaner och processer?
  • Finns det en skriftlig, uppdaterad informations- / datasäkerhetspolicy?
  • Har det varit offentligt känt eller på annat sätt kommunicerat brott eller annan typ av incident under det gångna året?
  • Om så är fallet, vilka ändringar har gjorts?
  • Var lagras data (vilket land, som kontrollerar det, vilken typ av plats)?
  • Har leverantören en tydlig plan för GDPR
  • För samtliga leverantörer skall det finnas
  • Ett huvudavtal
  • Ett personuppgiftesbiträdes avtal skall finnas om personuppgifter behandlas.
Antaget av bolagets styrelse den 31 maj 2018

COOKIES PÅ FASTUMS WEBBPLATSER

VARJE GÅNG DU BESÖKER FASTUM.SE, 90220.SE OMBEDS DU ATT LÄMNA DITT SAMTYCKE TILL ATT COOKIES ANVÄNDS.
En cookie (kaka) är en liten textfil som webbplatsen du besöker begär att få spara på din dator. Du bestämmer själv hur din dator hanterar cookies genom inställningarna i din webbläsare. Se din webbläsares hjälpsidor för mer information om hur du gör för att blockera eller ta bort cookies.

Vi tar hjälp av både förstaparts- och tredjepartscookies för olika ändamål. En del av de cookies som läggs på din dator raderas då du lämnar vår webbplats (sessionscookies) medan andra ligger kvar i upp till 2 år på din dator för att webbplatsen ska kunna känna igen dig från gång till gång om du återkommer (permanenta cookies).

Vi värnar om vår IT-säkerhet och registrerar därför information om besökarens IP-adress.
VI ANVÄNDER COOKIES PÅ VÅR WEBBPLATS FÖR ATT:
Underlätta användningen av webbplatsen och göra så att sidorna ska laddas snabbt på din dator (förstaparts sessionscookie).
Effektivisera och följa upp våra säljkampanjer och marknadsaktiviteter. För detta anlitar vi externa partners (första- och tredjeparts permanent cookie).
Med hjälp av analysverktyget Google Analytics (förstaparts sessions- och permanenta cookies) samla in statistik om hur våra besökare rör sig på webbplatsen, till exempel:
Om besökaren har varit på webbplatsen tidigare
Varifrån besökaren har klickat sig in till vår webbplats
Vilka sidor som besöks på webbplatsen
Hur lång tid besöket tar
Vilken webbläsare som används
SÅ HÄR UNDVIKER DU STATISTIKVERKTYGET
Om du inte vill att dina besök på vår webbplats ska visas i statistiken så kan du installera ett tillägg i din webbläsare. Tillägget finns för Internet Explorer, Chrome, Firefox, Safari och Opera.

Här hittar du länken till tillägget