Integritet och personuppgifter

Denna sida beskriver hur NorthTrygg hanterar personuppgifter för arrangörer, administratörer och deltagare som använder tjänsten i samband med ett event.

NorthTrygg är ett administrativt verktyg — inte medicinsk programvara, journalsystem eller certifierat säkerhetssystem.

NorthTrygg behandlar personuppgifter endast enligt dokumenterade instruktioner från kunden, om inte annat krävs enligt tillämplig lag.

Instruktioner utgörs av kundens användning av tjänsten (registreringsformulär, administratörsgränssnitt, export, radering) samt skriftliga begäran till support. Om en instruktion uppenbart strider mot GDPR eller annan tillämplig dataskyddslagstiftning kan NorthTrygg meddela kunden innan behandling genomförs, i den utsträckning lagen tillåter.

Vid frågor om vilka uppgifter som registreras om deltagare ska ni i första hand vända er till eventets arrangör.

Tjänsten kan behandla följande typer av uppgifter:

• Deltagare: namn, telefon, e-post, organisation, valfria hälsorelaterade och kostrelaterade anteckningar, vårdnadshavarkontakter, närvarohistorik (incheckning och utcheckning per plats)
• Administratörer: namn, e-postadress och lösenord (lagrat som hash, inte i klartext)
• Arrangör/köpare: namn på organisation och event, fakturerings-e-post och uppgifter som lämnas vid beställning
• Teknisk drift: tidsstämplar, sessionsinformation, statusfält och loggar som behövs för att tjänsten ska fungera

Registrera bara det som behövs för ert event.

Uppgifterna används för att:

• registrera deltagare och hantera närvaro via QR-koder
• ge eventadministratörer översikt vid samlingar, förflyttningar och nödlägen
• hantera administratörskonton och inbjudningar
• fullgöra avtal om köp av event och ge support
• upprätthålla säkerhet, felsökning och teknisk drift

Arrangören (kunden) ansvarar själv för att ha giltig rättslig grund (GDPR artikel 6 och, vid behov, artikel 9) för all behandling som initieras via tjänsten. NorthTrygg bedömer inte kundens rättsliga grund och tillhandahåller inte juridisk rådgivning.

Arrangören ansvarar bland annat för att:

• deltagare och vårdnadshavare informeras på ett tydligt och begripligt sätt, i enlighet med GDPR artiklarna 12–14 (transparens och information)
• nödvändiga samtycken och rättsliga grunder finns för behandling av personuppgifter, inklusive vid behandling av barns data och särskilda kategorier av personuppgifter
• endast behöriga administratörer får åtkomst till rätt event och uppgifter

Vissa uppgifter som kan registreras i tjänsten — exempelvis medicinska anteckningar, allergi- eller kostinformation kopplad till hälsa, eller sjukdomsinformation — kan utgöra särskilda kategorier av personuppgifter enligt GDPR artikel 9.

Arrangören ska själv bedöma vilka uppgifter som är nödvändiga för eventet och säkerställa att det finns en tillåten rättslig grund (t.ex. uttryckligt samtycke) innan sådana uppgifter registreras. NorthTrygg validerar inte kundens rättsliga grund och är inte medicinsk programvara.

NorthTrygg tillämpar tekniska och organisatoriska skydd — såsom kryptering av utvalda känsliga textfält, rollbaserad åtkomst och loggning av vissa känsliga visningar — men detta utgör inte garanti för fullständig säkerhet eller medicinsk certifiering.

När arrangören registrerar minderåriga deltagare ansvarar arrangören för att behandlingen sker lagligt, att barn och vårdnadshavare informeras på lämpligt sätt, och att eventuella samtycken inhämtas enligt gällande regler.

Information som ges till barn ska vara begriplig för barnets ålder och utformad så att barnet förstår vad uppgifterna används till. NorthTrygg verifierar inte ålder, vårdnadshavarskap eller samtycke.

NorthTrygg kan visa varningstexter vid registrering och kräva vårdnadshavarkontakt när arrangören aktiverar förstärkt skydd för minderåriga per event. Tjänsten kontrollerar inte att vårdnadshavares samtycke inhämtats.

NorthTrygg tillämpar bland annat:

• dataminimering — endast fält som behövs för tjänsten erbjuds
• kort lagringstid efter event (se avsnittet om lagring och radering)
• isolering mellan event — administratörer når normalt endast tilldelade event
• rollbaserad åtkomst (t.ex. visningsbehörighet utan känslig detaljdata)
• kryptering av utvalda känsliga textfält i databasen när fältkryptering är aktiverad

Vissa operativa fält — exempelvis namn, e-post och telefonnummer — lagras okrypterat i databasen för att möjliggöra sökning, återställning av registrering och närvarohantering. Detta är ett medvetet tekniskt avvägande, inte en garanti att all data är krypterad i vila.

Primär lagring av eventdata sker i Sverige enligt publicerade villkor. Vissa tekniska funktioner (betalning, e-post, domän/TLS) kan använda underleverantörer med behandling inom eller utanför EU/EES.

Aktuell lista: Underleverantörer.

NorthTrygg kan använda underleverantörer (personuppgiftsbiträden och underbiträden) för att tillhandahålla tjänsten, exempelvis för hosting, e-post, betalningar och nätverksinfrastruktur.

NorthTrygg använder underleverantörer för exempelvis betalning (Stripe), transaktionell e-post (AgentMail), domän/DNS, TLS-certifikat och krypterad backup. Dessa behandlar endast uppgifter som krävs för respektive funktion och har inte generell åtkomst till deltagarregistret.

Se den fullständiga listan på /subprocessors.

Vid väsentliga ändringar av underleverantörer informeras kunden via publicerad uppdatering av listan. Kunden har rätt att invända mot väsentliga ändringar inom skälig tid om invändningen är motiverad enligt GDPR artikel 28, i den utsträckning parterna avtalat detta i personuppgiftsbiträdesavtal eller motsvarande skriftlig överenskommelse. NorthTrygg tillhandahåller inte automatiserade förhandlingsflöden i tjänsten; kontakt sker via support.

Vissa känsliga textfält kan krypteras i databasen när fältkryptering är aktiverad i driftmiljön. Det gäller till exempel vissa hälsorelaterade anteckningar och vårdnadshavarkontakter.

Alla fält krypteras inte. Namn, telefon, e-post och liknande uppgifter som behövs för sökning, återhämtning av registrering och närvarohantering kan lagras i läsbar form. Lösenord lagras som hash.

Kryptering i databasen är ett komplement till åtkomstkontroll — inte en garanti mot alla typer av intrång. Trots säkerhetsåtgärder kan NorthTrygg inte garantera fullständig säkerhet mot obehörig åtkomst, intrång eller dataförlust.

Administratörer får endast åtkomst till de event de tilldelats. Behörigheter kan skilja sig (till exempel ägare, admin eller läsbehörighet). Data mellan olika event isoleras i normalfallet så att en administratör inte ser andra arrangörers event utan tilldelning.

Dela inte inloggningsuppgifter och bjud bara in personer som behöver tillgång.

Data kopplad till ett event raderas normalt senast 30 dagar efter eventets slutdatum, om inte radering begärs tidigare eller längre lagring krävs enligt lag.

Arrangören kan begära tidigare radering eller export av eventdata genom support, i den utsträckning funktionerna i tjänsten eller avtalad assistans medger.

Permanent radering kan inte ångras.

Krypterade säkerhetskopior kan tillfälligt innehålla raderad livedata tills backup roteras bort (normalt inom cirka 35 dagar). Säkerhetskopior används för katastrofåterställning — inte för att återställa raderad kunddata på begäran, om inte det krävs för att återställa tjänsten efter allvarlig driftstörning.

Köp- och faktureringsuppgifter kan behöva sparas längre (normalt upp till 7 år) av bokförings- eller skatteskäl enligt gällande regler.

Arrangören kan begära radering av event och tillhörande data. Deltagare som vill att uppgifter tas bort bör i första hand kontakta eventets arrangör. Ni kan även kontakta oss om ni behöver hjälp att nå rätt part.

NorthTrygg erbjuds utan garanterad dygnet-runt-drift och utan formell servicenivå (SLA). Tekniska avbrott kan förekomma. Arrangören ansvarar för rimliga reservrutiner om tjänsten skulle vara otillgänglig under ett event.

Tjänsten använder tekniska cookies och sessioner för att hålla deltagare och administratörer inloggade under eventet. Dessa behövs för att tjänsten ska fungera.

Detta avsnitt ger praktiska riktlinjer för arrangören. Det ersätter inte arrangörens egen bedömning av laglighet eller nödvändighet.

• Minimering: registrera endast uppgifter som behövs för eventets genomförande och säkerhet.
• Nödvändighetsprincipen: fråga om varje fält verkligen behövs — särskilt fria textfält för medicinska eller interna anteckningar.
• Hälsouppgifter: överväg att begränsa hälsorelaterad information till det som krävs vid akuta situationer under eventet; undvik att samla in mer detaljerad medicinsk historik än nödvändigt.
• Vårdnadshavare: arrangören ska informera vårdnadshavare och inhämta nödvändiga tillstånd; NorthTrygg verifierar inte detta.
• Barn: information till barn ska vara begriplig; arrangören ansvarar för att barn och vårdnadshavare förstår vad som registreras och varför.
• Fria textfält: undvik att lagra onödig känslig information i allmänna anteckningsfält — de kan exporteras och visas av behöriga administratörer.

Mer vägledning finns i villkoren (§18) och i dokumentationen för arrangörer.

Support och frågor om personuppgifter eller begäran om radering:

northtrygg@northtrygg.se

Personuppgiftsincidenter (biträde):

northtrygg@northtrygg.se