Dataskydd & GDPR hos VCLabs

Här kan du läsa mer om VCLabs roll, hur vi arbetar med dataskydd och hur vi följer gällande lagstiftning (GDPR). Som en svensk leverantör med all datalagring i Sverige är vi extremt noggranna med att följa gällande lagar. Vi förstår vikten av integritet och säkerhet i de AI- och automationstjänster vi tillhandahåller.

Vilken roll har VCLabs enligt GDPR?

Ni som kund är i GDPR:s bemärkelse personuppgiftsansvariga (PuA). Det innebär att ni har ansvaret för och kontrollen över den data som behandlas i våra tjänster.

VCLabs (Viola Consulting AB) agerar som ert personuppgiftsbiträde (PuB). I den rollen är vår uppgift att endast behandla personuppgifter på ett säkert sätt, enligt era instruktioner och de krav som lagen och vårt avtal ställer.

Följer VCLabs GDPR?

Ja. Våra tjänster, avtal och vår interna verksamhet är utformade för att uppfylla alla krav i dataskyddsförordningen (GDPR).

Tecknar vi ett personuppgiftsbiträdesavtal (PuB-avtal)?

Ja, alltid. När ni blir kund hos oss tecknar vi ett personuppgiftsbiträdesavtal (PuB-avtal) som en bilaga till vårt huvudavtal. Vi tillhandahåller ett standardiserat PuB-avtal som är tydligt, GDPR-kompatibelt och anpassat för våra AI- och automationstjänster.

Vem äger informationen som behandlas i tjänsten?

Ni som kund äger alltid 100% av er data. Detta inkluderar all information ni matar in och all data som genereras av er användning av tjänsten. VCLabs har ingen rätt att använda er information för några andra syften än att tillhandahålla, säkra och underhålla tjänsten enligt vårt avtal.

Vi kommer aldrig att sälja, hyra ut eller dela er data med tredje part för deras marknadsföringsändamål.

Var behandlar VCLabs data och personuppgifter?

Vår infrastruktur är byggd för maximal säkerhet med en tydlig åtskillnad mellan data vi lagrar (för att driva tjänsten) och data vi processar (er data via API).

1. Datalagring (Uteslutande i Sverige)

All data som VCLabs faktiskt lagrar – såsom era tjänstekonfigurationer – lagras uteslutande i Sverige. Detta gäller även vår restriktiva logghantering:

  • Normal drift: Vi loggar endast misslyckade processer för felsökning. Lyckade transaktioner loggas inte.
  • Implementationsfas: Under en överenskommen implementationsfas kan vi tillfälligt logga både lyckade och misslyckade transaktioner för att verifiera tjänsten. All denna lagring, inklusive 100% av alla våra backuper och Disaster Recovery-system, sker uteslutande i Sverige.

2. Dataprocessering (Er data via API & AI-behandling)

Kärnan i vår tjänst är att vi via säkra API:er ansluter till era system för att hämta och processa data. Denna data lagras inte permanent hos oss, utan flödar genom vår plattform för att ge er ett resultat.

  • Orkestrering (Sverige): Er data passerar först vår produktionsmiljö i Sverige för förberedelse och orkestrering.
  • AI-behandling (Sverige & EU/EES): För att ge er tillgång till ett brett och kraftfullt utbud av funktioner skickar vi sedan datan till olika AI-modeller (LLM) för själva analysen.
    • Plats: Dessa AI-modeller driftas antingen i Sverige eller hos noggrant utvalda partners inom övriga EU/EES. Vi prioriterar alltid en svensk placering där det är tekniskt och funktionellt möjligt.
    • Ingen lagring: Datan skickas endast för själva bearbetningsögonblicket. Vi har strikta avtal med våra partners för att förhindra oönskad lagring. Där det är tekniskt tillgängligt hos leverantören använder vi oss av avtal som garanterar noll-lagring (s.k. "zero-data retention"), vilket innebär att er data raderas omedelbart efter att beräkningen är slutförd.
    • Resultat: Svaret från AI-modellen returneras direkt till vår svenska miljö och sedan vidare till er.

Vilka personuppgifter behandlar VCLabs (som PuB)?

De specifika personuppgifter vi behandlar beror helt på vilka av våra tjänster ni använder och vilken data ni själva väljer att mata in. Ofta rör det sig om:

  • Kunddata (ostrukturerad data): Beroende på hur ni konfigurerar våra AI- och automationslösningar kan tjänsten behandla ostrukturerade personuppgifter som ni matar in. Det kan vara data från era anslutna tjänster, e-postmeddelanden, kundärenden eller annan text.
  • Metadata (Logghantering): Vi behandlar tekniska loggar som är nödvändiga för tjänstens säkerhet, drift och felsökning. För dessa loggar tillämpar vi strikta säkerhets- och dataminimeringsprinciper:
    • Segregering: Säkerhetsloggar är fysiskt segregerade per kund.
    • Pseudonymisering: Känsliga personuppgifter (som IP-adresser) pseudonymiseras med SHA256-hashning innan de sparas i kundarkivet, vilket uppfyller kravet på dataminimering.
    • Strikt åtkomst: Rådata-loggar (för incidentutredning) lagras i maximalt 20 dagar. Åtkomst till dessa loggar hanteras strikt av vårt säkerhetsteam.
    • Retentionspolicy: Vi tillämpar automatisk radering där rådata raderas efter 20 dagar och den pseudonymiserade/anonymiserade datan raderas efter 90 dagar.

Hur länge lagras personuppgifter?

Vi lagrar personuppgifter enligt era instruktioner och endast så länge som det är nödvändigt för att tillhandahålla tjänsten till er. De exakta rutinerna för lagring och säker radering av data när ert avtal med oss upphör specificeras i vårt PuB-avtal.

Vilka underbiträden använder VCLabs?

Vi använder två huvudsakliga typer av underbiträden för att leverera vår tjänst:

  • Molnleverantörer (Sverige): För vår primära produktionsmiljö och all datalagring (enligt punkt 1 ovan) i Sverige.
  • AI-partners (Sverige & EU/EES): De leverantörer av AI-modeller (LLM) som utför själva dataprocesseringen (enligt punkt 2 ovan).

Vi väljer alla våra partners med extrem noggrannhet för att säkerställa att de uppfyller GDPR:s höga krav. Våra avtal säkerställer att all behandling sker inom EU/EES gränser och, där det är tekniskt möjligt, att ingen data lagras hos dem (s.k. "zero-data retention"). En komplett lista över underbiträden finns alltid i en bilaga till vårt PuB-avtal.

Vilka säkerhetsåtgärder vidtar VCLabs?

Vi tar säkerhet på största allvar. Vi vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter vi behandlar, helt i enlighet med kraven i GDPR Artikel 32.

Detta inkluderar (men är inte begränsat till) kryptering av data, strikt åtkomstkontroll, säkra nätverk och vår säkra infrastrukturmodell med all datalagring i Sverige.

Hur hanteras en personuppgiftsincident?

Om en personuppgiftsincident mot förmodan skulle inträffa som berör de data vi behandlar för er räkning, har vi etablerade rutiner. Vi kommer att utan onödigt dröjsmål meddela er som personuppgiftsansvarig och bistå er med all nödvändig information så att ni kan fullgöra era skyldigheter gentemot Integritetsskyddsmyndigheten (IMY) och era kunder, i enlighet med GDPR.

Har ni fler frågor?

Har du som kund eller blivande kund frågor om vårt dataskyddsarbete? Tveka inte att kontakta oss.

Viola Consulting AB (VCLabs)
E-post: [email protected]