Integritets-, IT-säkerhets- och AI-policy för Kinnekulle Ledningsrådgivning AB

Syfte och tillämpning

Denna samlade policy fastställer hur Kinnekulle Ledningsrådgivning AB (KLRAB) skyddar personuppgifter och information. Policyn omfattar dataskydd och integritet enligt GDPR, IT- och informationssäkerhet samt AI- och datahantering inom bolagets verksamhet. Policyn gäller all hantering av data inom KLRAB, inklusive uppgifter om kunder och andra intressenter, i samband med bolagets strategiska rådgivningsuppdrag inom tillväxt, AI, riskkapital, marknad, strategi och verksamhetsstyrning. Syftet är att säkerställa efterlevnad av EU:s dataskyddsförordning (GDPR) och svensk lagstiftning, i enlighet med Integritetsskyddsmyndighetens (IMY) riktlinjer. Policyn klargör även vilka skyddsåtgärder som vidtas för att bevara konfidentialitet, integritet och tillgänglighet hos information.

Principer för dataskydd och personuppgiftshantering

KLRAB behandlar personuppgifter ansvarsfullt och i enlighet med GDPR:s grundprinciper. Följande principer ska genomsyra all personuppgiftshantering i bolaget:

• Laglighet, korrekthet och öppenhet: All behandling av personuppgifter ska ha stöd i en rättslig grund och ske på ett öppet och korrekt sätt gentemot den registrerade . KLRAB informerar berörda om hur deras uppgifter används och säkerställer att behandlingen är skälig och transparent.
• Ändamålsbegränsning: Personuppgifter samlas endast in för specifika, uttryckligt angivna och berättigade ändamål och används inte på något sätt som är oförenligt med dessa ursprungliga syften .
• Uppgiftsminimering: Endast sådana personuppgifter som är relevanta och nödvändiga för det angivna ändamålet behandlas . KLRAB undviker att samla in eller lagra mer data än vad som behövs för uppdragets utförande.
• Riktighet: KLRAB vidtar åtgärder för att personuppgifter är korrekta och aktuella. Om nödvändigt uppdateras eller rättas uppgifter, så att felaktiga eller missvisande personuppgifter inte förekommer.
• Lagringsbegränsning: Personuppgifter bevaras inte längre än nödvändigt. KLRAB sparar uppgifter endast så länge som krävs för att uppfylla ändamålen med behandlingen eller för att följa lagkrav. När uppgifterna inte längre behövs raderas eller anonymiseras de på ett säkert sätt.
• Integritet och konfidentialitet: Bolaget skyddar personuppgifter genom lämpliga tekniska och organisatoriska säkerhetsåtgärder för att förhindra obehörig åtkomst, förlust eller förstöring . Detta innefattar bl.a. kryptering, åtkomstkontroller och säkra hanteringsrutiner (se IT- och säkerhetspolicy nedan).
• Ansvarsskyldighet: KLRAB kan påvisa efterlevnad av dataskyddsreglerna och hur de följs i praktiken . Bolaget dokumenterar relevanta behandlingar av personuppgifter och genomför vid behov konsekvensbedömningar (DPIA) för att bedöma och hantera risker. Principen om inbyggt dataskydd och dataskydd som standard beaktas vid utformning av nya system eller processer, vilket innebär att integritetsskydd byggs in från början i verksamhetens rutiner.

Rättigheter för registrerade

Enligt GDPR har varje registrerad (den person som personuppgifterna avser) ett antal rättigheter. KLRAB respekterar dessa och tillhandahåller mekanismer för att du som registrerad ska kunna utöva dina rättigheter. Dessa rättigheter omfattar bland annat:

• Rätt till information: Du har rätt att få tydlig information om hur och varför dina personuppgifter behandlas. KLRAB tillhandahåller sådan information både när uppgifterna samlas in och på begäran, inklusive uppgift om ändamål, rättslig grund, lagringsperiod, mottagare av uppgifterna, eventuella tredjelandsöverföringar m.m..
• Rätt till tillgång: Du har rätt att begära registerutdrag, dvs. få bekräftelse på huruvida KLRAB behandlar personuppgifter om dig och i så fall få tillgång till dessa uppgifter. På begäran tillhandahåller bolaget en kopia av de personuppgifter som behandlas, samt information om bl.a. vilka kategorier av uppgifter det rör sig om, ändamålen med behandlingen, lagringsperiod och vilka som fått ta del av uppgifterna  . Denna information ges kostnadsfritt i en lättillgänglig form.
• Rätt till rättelse: Om någon uppgift om dig är felaktig eller ofullständig, har du rätt att få den korrigerad eller kompletterad. KLRAB kommer vid behov att rätta felaktiga personuppgifter utan onödigt dröjsmål.
• Rätt till radering: I vissa fall har du rätt att få dina personuppgifter raderade (”rätten att bli glömd”). KLRAB raderar personuppgifter på begäran om de inte längre är nödvändiga för det ändamål de samlades in för, om behandlingen enbart baserades på samtycke som du återkallar, om uppgifterna behandlats olagligt, om du invänder mot direktmarknadsföring eller när lag kräver radering  . Observera att rätten till radering kan begränsas av andra lagkrav (t.ex. bokföringslag) eller berättigade intressen.
• Rätt till begränsning av behandling: Du har i vissa fall rätt att begära att behandlingen av dina personuppgifter begränsas temporärt, t.ex. om du ifrågasätter uppgifternas korrekthet eller behandlingens laglighet. Under en begränsad period får uppgifterna endast behandlas för avgränsade syften (t.ex. med ditt samtycke eller för rättsliga anspråk) . KLRAB kommer att meddela dig innan en ev. begränsning upphör.
• Rätt att göra invändningar: Du har alltid rätt att invända mot behandling av dina personuppgifter som sker med stöd av ett berättigat intresse eller för direkt marknadsföring. KLRAB kommer att upphöra med den aktuella behandlingen vid en invändning, om vi inte kan påvisa tvingande berättigade skäl som väger tyngre än dina intressen eller om behandlingen behövs för rättsliga anspråk  . Invänder du mot direktmarknadsföring upphör vi alltid omgående med sådan behandling.
• Rätt till dataportabilitet: I de fall vi behandlar dina personuppgifter med stöd av samtycke eller för att fullgöra ett avtal har du rätt att få ut dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format för att kunna överföra dem till en annan tjänst (s.k. dataportabilitet) . På begäran kan KLRAB även, när det är tekniskt möjligt, överföra uppgifterna direkt till en annan personuppgiftsansvarig.
• Rätt att inte bli föremål för automatiserade beslut: KLRAB tillämpar inte något fullt automatiserat beslutsfattande som har juridiska följder eller liknande betydande effekter för individer (t.ex. profilering som enbart baseras på automatiska algoritmer). Skulle sådana metoder komma att användas har du rätt att inte bli föremål för ett beslut enbart grundat på automatiserad behandling utan meningsfull mänsklig inblandning.
• Rätt att återkalla samtycke: Om vi behandlar personuppgifter med stöd av ditt samtycke, har du rätt att när som helst återkalla ditt samtycke. Vi kommer då att upphöra med den behandling som baserades på samtycket.
• Rätt att lämna in klagomål: Du har rätt att inge klagomål till tillsynsmyndigheten. KLRAB står under tillsyn av Integritetsskyddsmyndigheten (IMY) och jag uppmuntrar dig att först kontakta mig med dina synpunkter, men du kan alltid vända dig direkt till IMY om du anser att din data behandlas i strid med gällande regler.

KLRAB underlättar utövandet av ovan rättigheter i enlighet med GDPR. För att utöva dina rättigheter eller om du har frågor, se avsnittet Efterlevnad och kontaktuppgifter nedan.

Användning av AI och datahantering

Bolaget strävar efter en etisk och ansvarsfull användning av artificiell intelligens (AI) i verksamheten. Om AI används vid dataanalys eller beslutsstöd som involverar personuppgifter, säkerställer KLRAB att detta sker i enlighet med GDPR och gällande regelverk. Personuppgifter ska inte användas i AI-utveckling eller analys utan giltigt ändamål och rättslig grund, och i möjligaste mån anonymiseras eller pseudonymiseras uppgifter innan de behandlas vidare. KLRAB tillämpar de dataskyddsrättsliga principerna även vid AI-behandling – t.ex. uppgiftsminimering, ändamålsbegränsning och inbyggt dataskydd – för att skydda den personliga integriteten .

För att undvika risk för återidentifiering av individer vid användning av anonymiserad data ser vi till att anonymisering är irreversibel; anonymiserade dataset kombineras inte med annan information på ett sätt som skulle kunna återinföra personrelaterade identifierare. Profilering eller automatiserat beslutsfattande med hjälp av AI sker inte utan att det finns stöd i lag och lämpliga skyddsåtgärder. KLRAB säkerställer vidare att registrerades rättigheter inte åsidosätts vid AI-användning – exempelvis genom att erbjuda transparens om hur AI används samt möjlighet till mänsklig översyn av beslut som kan påverka individer . Innan nya AI-baserade verktyg tas i bruk genomför bolaget en riskbedömning och vid behov en konsekvensbedömning avseende dataskydd, för att identifiera och hantera eventuella risker. Vi beaktar särskilt om AI-lösningen kan innebära överföring av personuppgifter till tredje land (utanför EU/EES) eller andra riskfyllda moment, och vidtar i så fall nödvändiga åtgärder för att säkerställa laglig behandling.

KLRAB följer IMY:s vägledningar om AI och dataskydd samt relevanta etiska riktlinjer, i syfte att förena innovation med integritetsskydd.

IT- och säkerhetspolicy

KLRAB upprätthåller hög informationssäkerhet genom både tekniska lösningar och interna rutiner. All kunddata hanteras på en Apple Mac-dator med krypterad hårddisk, vilket innebär att data lagras säkert och skyddas mot obehörig åtkomst även om hårdvaran skulle komma i orätta händer. Bolaget använder lokal datalagring inom EU/EES och undviker extern molnlagring utanför EU för personuppgifter, eftersom oberoende molntjänster utanför EU oftast inte kan garantera tillräcklig säkerhet eller GDPR-efterlevnad . Nedan följer centrala delar av vår IT- och säkerhetspraxis:

• Kryptering och åtkomstkontroll: Alla enheter och databärare som innehåller känslig information är fullt krypterade. Krypteringsnycklar hanteras säkert och delas inte till obehöriga. Endast behöriga personer (i detta fall bolagets strategiska rådgivare själv, eller eventuella betrodda IT-leverantörer under sekretess) har åtkomst till personuppgifterna. Datorn och eventuella andra enheter låses alltid när de inte används, för att förhindra obehörig insyn. Ingen obehörig får låna eller använda företagets dator eller system utan uttryckligt tillstånd.
• Lösenord och autentisering: KLRAB använder starka, unika lösenord för alla system och konton. Lösenorden byts regelbundet och hanteras konfidentiellt. Tvåfaktorsautentisering (2FA) är aktiverad där det är möjligt för att ge ett extra skyddslager vid inloggning. Medarbetaren (bolagets ägare) lämnar aldrig datorn olåst eller utan uppsikt när den är inloggad . Säkra metoder som biometrisk inloggning eller fysisk säkerhetsnyckel används som komplement där det är genomförbart. 2FA-koder eller -enheter förvaras separat från datorn och delas inte med någon obehörig.
• Nätverk och systemuppdateringar: Bolaget ansluter endast enheter till säkra och betrodda nätverk. Brandväggar och antivirus/antimalware-program är installerade och uppdateras kontinuerligt för att skydda mot intrång och skadlig kod. Operativsystem och programvaror hålls uppdaterade med de senaste säkerhetsuppdateringarna. Onödiga tjänster och program är avinstallerade eller avstängda för att minimera exponering.
• Backup och återställning: Regelbundna säkerhetskopior tas av viktiga data för att förhindra förlust av information vid tekniska fel eller incidenter. Backuper lagras säkert, krypterat och åtkomligt endast för behöriga. Återläsningstester genomförs periodiskt för att verifiera backup-integritet. Inga känsliga personuppgifter säkerhetskopieras till oskyddade eller utländska molntjänster – vid extern backup används endast leverantörer inom EU eller med adekvata skyddsåtgärder.
• Incidenthantering: KLRAB har rutiner för att hantera säkerhetsincidenter och personuppgiftsincidenter. Om en incident skulle inträffa (t.ex. dataförlust, intrång eller obehörig åtkomst) agerar vi skyndsamt för att begränsa skadan, återställa säkerheten och utreda händelsen. Vid personuppgiftsincidenter följs GDPR:s krav på anmälan till IMY inom 72 timmar samt underrättelse till berörda registrerade om incidenten bedöms medföra hög risk för deras rättigheter och friheter. Alla incidenter dokumenteras, och bolaget vidtar korrigerande åtgärder för att förhindra upprepning.
• Övriga tekniska och organisatoriska skyddsåtgärder: Arbetsrutiner är utformade för att säker information hanteras på ett konsekvent sätt. Känsliga personuppgifter sänds inte oskyddat via okrypterad e-post. Vid behov av att överföra känslig information elektroniskt används krypterade kommunikationssätt eller lösenordsskyddade filer. Fysiska dokument som innehåller personuppgifter hanteras med försiktighet; de förvaras inlåsta och förstörs (strimlas) på ett säkert sätt när de inte längre behövs. Bolaget genomför även självvärderingar och håller sig informerat om nya säkerhetshot, för att kontinuerligt kunna förstärka skyddet av information.

Lagringstider och rensning

KLRAB behandlar och lagrar personuppgifter endast under den tid det är nödvändigt. Lagringstiderna bestäms utifrån ändamålen med behandlingen och eventuella lagstadgade krav. I praktiken innebär detta att personuppgifter bevaras så länge kundrelationen pågår och därefter enbart under den tid som krävs för administrativa ändamål eller för att fullgöra rättsliga förpliktelser (t.ex. arkivering enligt bokföringslagen), varefter uppgifterna raderas.

I integritetspolicyn informeras registrerade om hur länge deras uppgifter kommer att sparas, alternativt vilka kriterier som avgör lagringstiden . När lagringstiden löpt ut eller uppgifterna inte längre behövs för sitt syfte, rensar KLRAB uppgifterna genom säker radering eller anonymisering . Bolaget har rutiner för regelbunden översyn av lagrade personuppgifter, för att säkerställa att inga uppgifter bevaras onödigt länge. Om en registrerad begär radering (enligt sin rätt) prövar vi om förutsättningarna är uppfyllda och genomför radering utan onödigt dröjsmål för de uppgifter som kan tas bort. Säkerhetskopior omfattas också av raderings- och rensningsrutiner: vid utfasning av data ser vi till att även information i säkerhetskopior tas bort eller skyddas på motsvarande sätt, om det är praktiskt möjligt.

Efterlevnad och kontaktuppgifter

Denna policy fastställs av företagsledningen och ses över regelbundet för att säkerställa löpande efterlevnad av gällande lagar och föreskrifter. KLRAB utbildar sig kontinuerligt inom dataskydd och informationssäkerhet för att hålla sig à jour med utvecklingen och IMY:s rekommendationer. Eventuella underleverantörer eller samarbetspartners som behandlar personuppgifter för KLRAB:s räkning (personuppgiftsbiträden) väljs med omsorg och tecknar biträdesavtal som garanterar motsvarande skyddsnivå och regelöverensstämmelse.

Personuppgiftsansvarig: Kinnekulle Ledningsrådgivning AB (org.nr. 559531-0177) är personuppgiftsansvarig för behandlingen av personuppgifter enligt denna policy. För frågor om denna policy, dataskydd eller för att utöva dina rättigheter, vänligen kontakta mig på nedan kontaktuppgifter.

KLRAB behandlar förfrågningar och ärenden skyndsamt och professionellt. Om du kontaktar mig angående dina personuppgifter kommer ja att verifiera din identitet och därefter vidta relevanta åtgärder i enlighet med gällande regler. Skulle du, trots vår strävan, anse att vi brister i hanteringen av dina personuppgifter har du rätt att inge ett klagomål till Integritetsskyddsmyndigheten (IMY) eller annan behörig tillsynsmyndighet inom EU. Vi ser dock gärna att du först vänder dig direkt till mig, så att jag får möjlighet att hantera dina synpunkter.

Efterlevnad: Styrelsen/ledningen för KLRAB bär det övergripande ansvaret för att denna policy följs i praktiken. Policyn träder i kraft omedelbart och publiceras på bolagets hemsida för att vara tillgänglig för kunder, samarbetspartners och allmänheten. Alla anställda och kontrakterade konsulter inom KLRAB är skyldiga att följa denna policy och tillhörande riktlinjer. Överträdelse kan medföra disciplinära åtgärder och vid behov rapporteras incidenter till berörda myndigheter.

KLRAB förbehåller sig rätten att revidera innehållet vid behov, exempelvis vid förändringar i lagstiftning eller bolagets hantering av personuppgifter. Eventuella ändringar kommer att publiceras i uppdaterad form på hemsidan. Genom att fortsätta nyttja KLRAB:s tjänster efter en uppdatering anses du ha tagit del av den nya versionen.

Genom denna policy vill KLRAB tydligt visa sitt engagemang för att skydda integriteten, säkerheten och förtroendet hos alla kunder och individer vars uppgifter vi får förtroendet att hantera.