Nomp och GDPR
Redan ett år innan GDPR började gälla anpassade vi på Nomp processer, teknik och användarvillkor till den nya lagstiftningen tillsammans med experter på området från Delphi advokatbyrå.
Lagring av personuppgifter
Vi är noga med att inte samla in personuppgifter som vi inte behöver för att leverera tjänsten. Informationen lagras inom EU och vi delar aldrig med oss av personuppgifter till tredje part. Vi överför inga personuppgifter utanför EU. All information överförs och lagras i krypterad form.
Du kan läsa våra fullständiga användarvillkor här: https://nomp.se/start/terms
Personuppgiftbiträdesavtal
Vi erbjuder även att teckna personuppgiftsbiträdesavtal (PuB-avtal) med skolor och huvudmän för de som använder Nomp Plus, om detta önskas.
Vi använder oss av SKR:s mall för PuB-avtal (v2.1) med vissa anpassningar. Du hittar vårt avtal här: pubavtal-nomp-plus-v2-1.docx
Underbiträden, tredjelandsöverföringar och teknisk information
Nomp använder Amazon Web Services EU Sarl (AWS) som underbiträde, och vi använder endast deras datacentra i EU och vi har instruerat AWS att aldrig överföra data utanför EU. Vi har dessutom ett avtal (DPA - data processing addendum) med AWS att personuppgifter aldrig får lämna EU annat än i det fall AWS tvingas lämna ut data efter myndighetsdomslut1.
Vi gör inga tredjelandsöverföringar.
Varför Nomp använder AWS
AWS är den driftleverantör som, med överlägsen marginal, erbjuder den bästa verktygslådan för att skydda den information vi hanterar. Det är en stor anledning till att vi väljer att fortsätta använda AWS. De molnleverantörer som har moderbolag i EU eller Sverige erbjuder inte i närheten av samma möjligheter för oss att skydda de personuppgifter och den information vi hanterar.
AWS tillhandahåller en verktygslåda för att bygga molntjänster på ett sätt som traditionellt sett bara stora företag har råd med. Det gäller dels informationssäkerhet, men även t ex tillgänglighet och skalbarhet.
Tack vare detta har vi möjlighet att lagra all information i Nomp, i realtid, i minst två fysiska datacenter. Om ett datacenter skulle bli strömlöst eller på annat sätt bli otillgängligt kommer Nomp att vara tillgängligt igen inom 1-2 minuter.
All infrastruktur på Nomp är byggd med redundans, så om någon hårdvarukomponent skulle sluta fungera eller bli strömlös så påverkar det i allmänhet inte tjänsten.
Om det när som helst behövs fler servrar för att hantera trafiken till Nomp ökas kapaciteten automatiskt för att hantera detta. När trafiken minskar, kommer kapaciteten att minskas.
Vi har alltså byggt vår egen avancerade infrastrukturlösning med hjälp av AWS verktyg. Vår lösning inkluderar t ex nätverk, brandväggar, applikationsbrandväggar, lastbalanserare, loggningslösningar, övervakning, informationslagring och katastrofskydd med mera. Vi som arbetar med Nomp har över 20 års erfarenhet av att bygga denna typ av lösningar för bland annat banker och myndigheter.
Vi ansvarar för tillgängligheten och säkerheten av Nomp, och AWS ansvarar för tillgängligheten och säkerheten av deras infrastrukturtjänster.
Användning av kryptering
All information överförs till och från AWS med krypterade förbindelser. Personuppgifter som vi lagrar hos AWS är krypterade.
För kryptering av lagrad information använder vi industristandarden AES-256.
Krypteringsnycklarna är lagrade i en HSM (Hardware Security Module) i en tjänst som heter AWS Key Management Service (KMS). Syftet med att använda en separat enhet för att lagra krypteringsnycklar är i första hand att höja säkerheten, men också att få högre prestanda.
AWS KMS is designed so that no one, including AWS employees, can retrieve your plaintext keys from the service. The service uses hardware security modules (HSMs) that have been validated under FIPS 140-2, or are in the process of being validated, to protect the confidentiality and integrity of your keys. Your plaintext keys are never written to disk and only ever used in volatile memory of the HSMs for the time needed to perform your requested cryptographic operation.
Åtkomstkontroll
AWS personal eller någon annan obehörig kan inte läsa någon åtkomstskyddad information som lagras av Nomp.
AWS har tillgång till informationen när den är lagrad på disk "at rest", men då är den alltid krypterad av oss. I det fall en domstol i USA skulle besluta att AWS ska överlämna uppgifter från Nomp till en federal myndighet kommer alltså informationen vara krypterad (och dessutom ha rättsligt skydd av EU-US Privacy Framework).
I det högst osannolika scenario att detta skulle ske så kommer vi givetvis att informera berörda parter om detta.
Har du frågor
Har du några frågor om Nomp och personuppgifter, så hör av dig till oss!
Footnotes
-
AWS har tillgång till informationen när den är lagrad på disk "at rest", men då är den alltid krypterad av oss. I det fall en domstol i USA skulle besluta att AWS ska överlämna uppgifter från Nomp till en federal myndighet kommer även denna information vara krypterad. Vi gör inga tredjelandsöverföringar men eftersom vissa Personuppgiftsansvariga betraktat företag med amerikanska moderbolag (som AWS är) likställd med en tredjelandsöverföring efter Schrems-II-domen så vill vi även informera om att EU-kommissionen har den 2023-07-10 antagit ett beslut om adekvat skydd av personuppgifter enligt ramen för dataskydd mellan EU och USA. Enligt beslutet säkerställer USA en adekvat skyddsnivå som är jämförbar med EU:s för personuppgifter som överförs från EU till amerikanska företag enligt den nya ramen. AWS är certifierade enligt det ramverket och detta bör ge ytterligare trygghet till de Personuppgiftsansvariga som fortfarande är oroliga för amerikanska företag som erbjuder drifttjänster med bas i EU. Se: https://ec.europa.eu/commission/presscorner/detail/sv/ip_23_3721 ↩