Villkor och policys

Fastställt 2019-12-20

Datahanteringspolicy

Denna datahanteringspolicy beskriver hur vi arbetar för att säkerställa att den data som vi hanterar på uppdrag av våra kunder hanteras på ett ansvarsfullt sätt där kunden bibehåller mesta möjliga kontroll över sin egen data.  

Utilifeed hanterar olika typer av data förknippade med kunds verksamheter i en molnbaserad IT-lösning. Kunderna är huvudsakligen företag verksamma inom energibranschen. Data som kan komma att lagras och bearbetas i vårt system är exempelvis mätvärden från slutanvändare av energi, mätvärden från produktionsanläggningar, data om produktionsanläggningars egenskaper, data om energinätet, distributionsdata, kunddata och information om prismodeller.

Utgångspunkten för all hantering av kunddata i vår systemlösning är att den, om inte annat avtalats, både i sin ordinarie och bearbetade form förblir kundens egendom tillsammans med de direkta analysresultat som systemet skapar.

Hur vi skyddar kunddata

I nedanstående punkter listar vi de åtgärder, funktioner och arbetssätt vi nyttjar för att säkerställa att våra kunders data skall hanteras på ett säkert sätt och för att kunden skall bibehålla full kontroll över den data som överförts till Utilifeeds tjänster:

  1. All data som kund skickar in i vårt system hamnar endast i vårt produktionssystem som är helt åtskilt från vår utvecklingsmiljö genom att de ligger i olika konton på Amazon Web Services med egna servrar, databaser, fillagringssystem etc.
  2. Vem eller vilka som har tillgång till kunddatan via kundgränssnittet styr kunden själv via sitt administratörskonto i systemet. Kunden kan själv välja om Utilifeeds administratörer ska ha tillgång till deras data via     gränssnittet.
  3. Principen att kunden är den enda part som kan styra vilka parter som har tillgång till kunddatan under normala driftförhållanden skyddas genom rättighetssystemets design. Utilifeeds driftpersonal har möjlighet att tillfälligt försätta systemet ur normal drift och därmed få direktåtkomst till kundens data. Denna möjlighet bibehålles för att kunna hantera specifika oförutsedda situationer, exempelvis om kund förlorar sin administrationsautentisering. Vid eventuella situationer där detta behöver utföras sker det i dialog med kund. Endast ett fåtal heltidsanställda på Utilifeed har rättigheterna som krävs för att utföra åtgärden.
  4. Vi följer Amazon Web Services “best practices” för att skydda Rot- och adminkontot och använder extern multifaktorautentisering för inloggning till dessa konton.
  5. Kund har fullständiga rättigheter att när som helst radera all sin data i systemet. En fullständig radering innebär att all överförd data och relaterade analysresultat inklusive skapade maskininlärningsmodeller raderas. En radering påverkar inte Utilifeeds backuprutiner, vilket innebär att data kan återskapas fram tills sju dagar efter raderingen.
  6. För autentisering till Utilifeeds tjänster används en extern part, Auth0, som är specialiserade på säkra och användarvänliga autentiseringslösningar. Kund har möjlighet att själv välja säkerhetsnivå på sin inloggningslösning. Traditionell inloggning, multifaktorautentisering, BankID och integration mot interna inloggningssystem är exempel på tekniska möjligheter som stöds av Auth0. Användning av BankID och integration mot egna autentiseringslösningar ingår dock ej som standard i vår tjänst utan kan innebära merkostnader för kund.
  7. Uppdateringar och administration av produktionssystemet kommer endast utföras av en begränsad grupp personer som har fått särskild behörighet att göra så. Kund har rätt att när som helst begära ut listor på vilka personer som har och har haft behörigheter i produktionssystemet. Personer som ej är anställda av Utilifeed skall i minsta möjliga mån utföra arbeten i produktionssystemet. Om så sker skall det vara för att det krävs expertis som Utilifeed ej har tillgång till internt. Utförarens rättigheter i     systemet begränsas alltid till att endast omfatta de funktioner som är     nödvändiga för att utföra aktuellt uppdrag. Användarrättigheter till     produktionsmiljön ger dock aldrig en utvecklare tillgång till kunds data.
  8. Utilifeed ansvarar för att all kommunikation mellan användare och Utilifeeds servrar är krypterad enligt vad som vid var tid kan betraktas som industristandard. Detta innebär för närvarande att krypteringen sker enligt standarden Transport Layer Security 1.2 (TLS).
  9. Kunddata på Utilifeeds servrar lagras i krypterad form enligt den vid var tid av AWS rekommenderade standarden. För närvarande innebär detta AES-256.
  10. Hög tillgänglighet till systemet säkerställs bland annat genom att vi nyttjar Amazon Web Services ‘elastiska’ infrastruktur, där antalet aktiva servrar som driver våra tjänster i realtid anpassas baserat på antalet aktiva användare. Vår infrastruktur är även designad för att man snabbt ska kunna starta om enskilda tjänster om de skulle sluta fungera.
  11. Skydd mot förlust av data skapas genom automatiska backup-rutiner. En backup över all data i våra system skapas minst en gång per dag, och varje backup behålls i minst 7 dagar.
  12. Skydd mot överbelastningsattacker tillhandahålls genom AWS Shield.
  13. Vi loggar kontinuerligt aktivitet i vårt system. Auth0 lagrar under begränsad tid information såsom IP-adress och webbläsarversion för alla autentiserings- och inloggningsförsök. I AWS loggas användarnamn och vissa användarinställningar vid API-aktivitet. Denna information kan användas vid exempelvis identifiering av intrångsförsök, analys av systemprestanda, kostnadsoptimering och i utbildningssyfte.
  14. För närvarande lagras och bearbetas all data i AWS datacenter i Stockholm. Data skall aldrig lagras eller bearbetas utanför Sverige med mindre än att kund först godkänt sådan behandling.
  15. För mer information om vår infrastrukturpartners säkerhetsarbete besök https://aws.amazon.com/security/
  16. För mer information om vår autentiseringspartners säkerhetsarbete besök https://auth0.com/ .


Dataportabilitet

Det är viktigt för oss att våra kunder kan känna sig trygga i att de har möjlighet att avsluta ett abonnemang hos oss utan att förlora data. Våra system är byggda för att göra det enkelt för dig som kund att komma åt all data kopplat till din verksamhet som finns lagrat i systemet. Systemet gör det också enkelt att överföra data till andra system tack vare våra välutvecklade API:er. Detta underlättar vid byte till annan leverantör eller integration mot andra system. Det kommer finnas två vägar att hämta ut all data ur systemet:

  1. Nedladdning till fil CSV eller XLS via grafiskt gränssnitt (under utveckling)
  2. Överföring i JSON-format via API-anrop (tillgänglig)

Hur vi vidareutvecklar systemet utan att äventyra kunddata

Utilifeed har byggt upp en utvecklingsmiljö som är en klon av produktionsmiljön där alla nya funktioner och tjänster utvecklas och testas innan de implementeras i produktionsmiljön.För att minska behovet för oss och våra utvecklare att behöva komma åt produktionssystemet och kunders data, har vi skapat en utvecklingsmiljö som kan liknas vid ett virtuellt men realistiskt fjärrvärmenät uppbyggt på data som ej matchar några existerande kundcentraler, fjärrvärmeföretag, eller slutanvändare.


Löpande säkerhetsarbete

Utilifeed samarbetar med externa parter för att upprätthålla en hög säkerhetsstandard.Systemarkitekturen har granskats av säkerhetsexpertis, kritiska funktioner genomgår manuell kodgranskning och allt löpande utvecklingsarbete genomgår statisk kodanalys innan nya funktioner migreras till produktionsmiljön.

Personuppgifter

Utilifeed lever upp till gällande dataskyddsförordning (GDPR). Behandling av personuppgifter som överförts till Utilifeed som en del i den inköpta tjänsten utförs i enlighet med mellan parterna upprättat presonuppgiftsbiträdesavtal. Personuppgifter som samlas in av Utilifeed i samband med att användare registrerar sig och nyttjar tjänsten hanteras i enlighet med vid var tidgällande integritetspolicy.

Kunds systemadministratör har fullständiga rättigheter att göra utdrag och radera uppgifter om en registrerad i systemet, samt att ge andra användare dessa rättigheter. Detta innebär att kund själv kan fullgöra sina skyldigheter som personuppgiftsansvarig avseende Artikel 17, rätten att bli bortglömd, och Artikel 15, Den registrerades rätt till tillgång.


Integritetspolicy

Detta är en policy för hur Utilifeed AB, org. nr 559080-9280 (hädanefter ”Utilifeed”) hanterar personuppgifter. I samband med att du eller företag där du är anställd blir kund hos Utilifeed, alternativt när du anmäler dig till vårt nyhetsbrev, samtycker du också till behandlingen av dina personuppgifter i enlighet med denna policy. Du kan när som helst, helt eller delvis, dra tillbaka detta samtycke genom att kontakta oss.

Ansvarig på Utilifeed nås via kundtjanst@utilifeed.com

Vilka personuppgifter samlar vi in?

Vi samlar in namn, adressuppgifter, e-postadresser och telefonnummer till våra kunder och andra som har skrivit upp sig på listan för nyhetsbrev. För dessa personuppgifter är Utilifeed personuppgiftsansvarig.

Du har alltid rätt att få reda på vilka personuppgifter vi har sparat om dig samt begära att dessa rättas eller förstörs, och dra tillbaka ditt samtycke helt eller delvis. Kontakta kundtjanst@utilifeed.com för alla sådana ärenden.


Hur lagrar vi de personuppgifter som vi samlar in?

Vi lagrar personuppgifter genom molntjänster. För närvarande använder vi oss av G Suite (Google), Amazon Web Service, Atlassian och Mailchimp.

Hur använder vi de personuppgifter vi samlar in?

Vi använder personuppgifter för kundadministration, för att skicka erbjudanden till existerande och potentiella kunder och på andra sätt vårda vår kundrelation. Vidare används uppgifterna som underlag för statistik och vidareutveckling av våra produkter, tjänster och erbjudanden, samt för att förbättra vår support.

Vi vidarebefordrar aldrig uppgifterna till tredje part för marknadsföringsändamål.


Hur länge sparas de personuppgifter vi samlar in?

För kunder sparar vi personuppgifter under tiden som kundrelationer består samt ett år därefter, om inte kunden har begärt radering av uppgifterna dessförinnan (eller längre om personuppgifterna förekommer i handlingar som måste sparas på grund av tillämplig lag).

E-postadresser för nyhetsbrevsprenumeranter sparar vi så länge som prenumerationen är aktiv.


Överföring av personuppgifter

I och med de tjänster vi erbjuder behöver vi överföra personuppgifter till tredje part, och i sådant fall ingår vi alltid ett personuppgiftsbiträdesavtal med sådan tredje part.