GDPR-samsvarserklæring

Versjon 1.0 – Godkjent 1. februar 2025

1 Ansvarserklæring

Vetnio AB bekrefter sitt fulle engasjement for å overholde forordning (EU) 2016/679 (personvernforordningen, «GDPR») og all gjeldende svensk personvernlovgivning. Styret tar det overordnede ansvaret og kan dokumentere etterlevelse av GDPR i all behandling av personopplysninger. Vetnio AB forplikter seg særlig til å:

Forankre de syv personvernprinsippene – lovlighet, rettferdighet og åpenhet; formålsbegrensning; dataminimering; riktighet; lagringsbegrensning; integritet og konfidensialitet; samt ansvarlighet – i utforming og drift av enhver behandlingsaktivitet.
Føre fullstendige og nøyaktige protokoller over behandlingsaktiviteter (ROPA) og gjennomføre vurderinger av personvernkonsekvenser (DPIA) der behandling sannsynligvis medfører høy risiko for registrerte.
Iverksette egnede tekniske og organisatoriske tiltak (TOM) som står i forhold til risikoene ved hver behandling.
Sikre at personvernombudet (DPO) og utpekte Privacy Champions har tilstrekkelig autonomi, ressurser og myndighet.
Gi regelmessig, rollebasert opplæring slik at alle ansatte forstår sitt ansvar for personvern.
Overvåke etterlevelse gjennom revisjoner, nøkkeltall og ledelsesgjennomganger, og iverksette raske korrigerende tiltak ved behov.

Denne erklæringen gjennomgås minst årlig, eller umiddelbart etter vesentlige organisatoriske, teknologiske eller regulatoriske endringer.

2 Organisasjonsprofil

Juridisk enhet	Vetnio AB
Organisasjonsnummer	559494-6807
Registrert adresse	Grev Magnigatan 10, 114 55 Stockholm, Sverige
Viktigste IT-lokasjoner / datasentre	Sverige (primær), Tyskland (sekundær)
Tilsynsmyndighet	Svenske Datatilsynet (Integritetsskyddsmyndigheten – IMY)
Personvernombud	Max Henry Xie – max@vetnio.com

3 Styring av personvern

3.1 Roller og ansvar

Styret – Sørger for strategisk tilsyn og godkjenner denne erklæringen.
Teknologidirektør (CTO) – Ansvarlig leder for teknisk etterlevelse; begrenser tilgang til opptak og transkripsjoner til CTO og senior teknisk personell etter behovsprinsippet.
Personvernombud (DPO) – Uavhengig funksjon som rapporterer til styret; gir råd om og overvåker GDPR-etterlevelse.
Privacy Champions – Lokale kontaktpunkter plassert i ledende tekniske team:
- Emil Franzell
- Arvid Norström
- Rakin Ali

Alt personell skal autentisere med flerfaktorautentisering (MFA), og autorisasjoner tildeles etter minste privilegium.

3.2 Retningslinjer og prosedyrer

4 Behandlingsprinsipper og rettslig grunnlag

Vetnio AB behandler personopplysninger bare når det foreligger et rettslig grunnlag etter artikkel 6 i GDPR (f.eks. avtale, samtykke, berettiget interesse). Særlige kategorier av opplysninger (artikkel 9) behandles kun med uttrykkelig unntak.

5 Protokoller over behandlingsaktiviteter (ROPA)

Et fullstendig ROPA føres i samsvar med artikkel 30 i GDPR og gjøres tilgjengelig for tilsynsmyndigheten på forespørsel. Viktige elementer som registreres inkluderer:

Kategorier av registrerte og personopplysninger.
Formål med behandlingen.
Mottakere og internasjonale overføringer.
Tekniske og organisatoriske sikkerhetstiltak.

6 Tekniske og organisatoriske tiltak (TOM)

Tilgangskontroll: Rollebasert tilgang; MFA for alle privilegerte kontoer.
Kryptering: AES-256 i ro; TLS 1.3 under overføring.
Logging og overvåking: Sentraliserte, manipulasjonssikre logger med SIEM-korrelasjon.
Robusthet og sikkerhetskopi: Daglige krypterte sikkerhetskopier med kvartalsvise gjenopprettingstester.
Fysisk sikkerhet: Datasentertilgangskontroller i samsvar med ISO 27001.
Leverandørgjennomgang: Risikobasert onboarding og årlig gjennomgang av databehandlere.

7 Håndtering av registrertes rettigheter

Det finnes prosedyrer for å ivareta alle rettigheter etter artiklene 12–23 i GDPR (innsyn, retting, sletting, begrensning, dataportabilitet, protest og automatiserte avgjørelser). Forespørsler loggføres og besvares innen lovpålagte frister.

8 Overføringer til tredjeland og underdatabehandlere

Internasjonale overføringer skjer bare til jurisdiksjoner med tilstrekkelighetsbeslutning eller under passende garantier (f.eks. standardkontraktsklausuler). Et register over godkjente underdatabehandlere publiseres på https://vetnio.com/sub-processors.

9 Varsling om brudd på personopplysningssikkerheten

Alle hendelser vurderes innen 24 timer. Dersom et brudd sannsynligvis medfører risiko for enkeltpersoner, varsles IMY innen 72 timer og berørte registrerte uten ugrunnet opphold, i tråd med artiklene 33–34 i GDPR.

10 Opplæring & bevisstgjøring

Alt personell skal fullføre opplæring i GDPR og informasjonssikkerhet ved ansettelse og deretter årlig.

11 Revisjon & kontinuerlig forbedring

Denne erklæringen, sammen med støttende retningslinjer, gjennomgås minst årlig og etter vesentlige endringer i lovverk, behandlingsaktiviteter eller organisasjonsstruktur.

12 Godkjenning

Denne GDPR-samsvarserklæringen ble godkjent av styret i Vetnio AB den 1. februar 2025.

Signert på vegne av styret

Navn	Stilling	Signatur	Dato
Max Henry Xie	Chief Technology Officer	(signed)	01-02-2025