Hoppa till huvudinnehåll

Nomp och GDPR

Redan ett år innan GDPR började gälla anpassade vi på Nomp processer, teknik och användarvillkor till den nya lagstiftningen tillsammans med experter på området från Delphi advokatbyrå.

Lagring av personuppgifter#

Vi är noga med att inte samla in personuppgifter som vi inte behöver för att leverera tjänsten. Informationen lagras inom EU och vi delar aldrig med oss av personuppgifter till tredje part. Vi överför inga personuppgifter utanför EU. All information överförs och lagras i krypterad form.

Du kan läsa våra fullständiga användarvillkor här: https://nomp.se/start/terms

Personuppgiftbiträdesavtal#

Vi erbjuder även att teckna personuppgiftsbiträdesavtal (PuB-avtal) med skolor och huvudmän för de som använder Nomp Plus, om detta önskas.

Schrems-II och Privacy Shield#

Den så kallade "Schrems II"-domen som föll i EU-domstolen den 16 juli 2020 ogiltigförklarar "Privacy Shield". Det är vår bedömning att det inte påverkar Nomp eller våra befintliga PuB-avtal, då vi dels inte överför personuppgifter utanför EU och dessutom överför och lagrar all information krypterad hos vår underleverantör AWS EU Sarl.

Underbiträden och teknisk information#

Nomp använder Amazon Web Services EU Sarl (AWS) som underbiträde, och vi använder endast deras datacentra i EU.

AWS är den driftleverantör som, med överlägsen marginal, erbjuder den bästa verktygslådan för att skydda den information vi hanterar. Det är en stor anledning till att vi väljer att fortsätta använda AWS. De molnleverantörer som har moderbolag i EU eller Sverige erbjuder inte i närheten av samma möjligheter för oss att skydda de personuppgifter och den information vi hanterar.

AWS tillhandahåller en verktygslåda för att bygga molntjänster på ett sätt som traditionellt sett bara stora företag har råd med. Det gäller dels informationssäkerhet, men även t ex tillgänglighet och skalbarhet.

Tack vare detta har vi möjlighet att lagra all information i Nomp, i realtid, i minst två fysiska datacenter. Om ett datacenter skulle bli strömlöst eller på annat sätt bli otillgängligt kommer Nomp att vara tillgängligt igen inom 1-2 minuter.

All infrastruktur på Nomp är byggd med redundans, så om någon hårdvarukomponent skulle sluta fungera eller bli strömlös så påverkar det i allmänhet inte tjänsten.

Om det när som helst behövs fler servrar för att hantera trafiken till Nomp ökas kapaciteten automatiskt för att hantera detta. När trafiken minskar, kommer kapaciteten att minskas.

Vi har alltså byggt vår egen avancerade infrastrukturlösning med hjälp av AWS verktyg. Vår lösning inkluderar t ex nätverk, brandväggar, applikationsbrandväggar, lastbalanserare, loggningslösningar, övervakning, informationslagring och katastrofskydd med mera. Vi som arbetar med Nomp har över 20 års erfarenhet av att bygga denna typ av lösningar för bland annat banker och myndigheter.

Vi ansvarar för tillgängligheten och säkerheten av Nomp, och AWS ansvarar för tillgängligheten och säkerheten av deras infrastrukturtjänster.

Personuppgifter som vi lagrar hos AWS är krypterade. All information överförs till AWS med krypterade förbindelser och informationen är åtkomstskyddad av en mängd olika skyddsmekanismer. Amazons personal eller någon annan obehörig kan således inte läsa någon åtkomstskyddad information som lagras av Nomp.

AWS har tillgång till informationen när den är lagrad på disk "at rest", men då är den alltid krypterad av oss. I det fall en domstol i USA skulle besluta att AWS ska överlämna uppgifter från Nomp till en federal myndighet kommer även denna information vara krypterad.

I det högst osannolika scenario att detta skulle ske så kommer vi givetvis att informera berörda parter om detta.

Kryptering och krypteringsnycklar#

För kryptering av lagrad information använder vi industristandarden AES-256.

Krypteringsnycklarna är lagrade i en HSM (Hardware Security Module) i en tjänst som heter AWS Key Management Service (KMS). Syftet med att använda en separat enhet för att lagra krypteringsnycklar är i första hand att höja säkerheten, men också att få högre prestanda.

AWS KMS is designed so that no one, including AWS employees, can retrieve your plaintext keys from the service. The service uses hardware security modules (HSMs) that have been validated under FIPS 140-2, or are in the process of being validated, to protect the confidentiality and integrity of your keys. Your plaintext keys are never written to disk and only ever used in volatile memory of the HSMs for the time needed to perform your requested cryptographic operation.

Har du frågor#

Har du några frågor om Nomp och personuppgifter, så hör av dig till oss!