Hur skyddar Winningtemp min anonymitet?

Informationssäkerhet

Din personliga integritet är Winningtemp högsta prioritet och vi vill att våra användare ska känna sig trygga när ni uttrycker era tankar och reflektioner om arbetsmiljön på jobbet. Därför ser vi till att dina uppgifter skyddas på flera olika sätt, så här ser processen ut:

  • Det hela börjar med att du svarar på undersökningsfrågorna som skickats ut i appen eller via din e-postadress
  • När du skickar dina svar krypteras informationen och delas upp i två olika data typer
  • Dina personuppgifter skickas till våra servrar i Tyskland genom det finska bolaget Upcloud
  • Dina svar skickas till våra servrar på Irland och i Nederländarna genom Amazon AWS
  • Servrarna i de olika länderna har inte samma ägare
  • När uppgifterna levereras till servrarna krypteras de ännu en gång
  • När du som användare öppnar dina Insikter är de enbart synliga för dig och det är ingen annan inom företaget som har tillgång till dessa uppgifter
  • När din chef tittar på temperaturen har denne endast tillgång till aggregerad data på gruppnivå, alltså inget som kan avslöja dig som individ
  • Om ni är färre användare i teamet än anonymitetsinställningen (se ovan) kommer chefen ej till tillgång till någon temperaturdata
  • När du lämnar din arbetsgivare raderas alla dina personuppgifter
  • All persondata raderas 90 dagar efter att avtalsperioden har avslutats och kan därefter ej återskapas

Anonymity_EN.png


Läs mer

Anonymitetsnivån

Anonymitet är avgörande för Winningtemp och du kan alltid lita på att ingen kan se hur du har svarat på frågorna eller vem som skrivit vilken fritextkommentar. Anonymitetsnivån för just ditt företag är upprättad av er systemadministratör, efter vår inrådan, och vi rekommenderar alltid att ha en så hög anonymitetsnivå som möjligt.

Om ni har en anonymitetsnivå på 5 innebär detta att minst 5 unika användare i den gruppen måste svara på frågorna för att företaget ska kunna följa temperaturen för den gruppen. Exempelvis, om ni är en kundserviceavdelning på 5 personer på ditt företag måste alla svara för att er chef ska kunna få feedback om hur ni mår, hur engagerade ni känner er eller hur mycket arbetsglädje ni upplever. Om en person inte svarar kommer ni inte få en samlad temperatur för er avdelning utan enbart bidra till företagets temperatur som helhet.

Denna anonymitetsnivå appliceras även ifall temperaturen jämförs mellan män och kvinnor, anställningsintervall eller ålder. Ni behöver vara minst 5 stycken kvinnor, eller minst 5 person som arbetat mindre än 6 månader för att företaget ska kunna följa temperaturen för just det segmentet.

Om du skriver en fritextkommentar kan din chef och företagets systemadministratör läsa den, men de kan inte se vem som skrivit kommentaren. Winningtemp har en funktion där chefen kan svara på kommentaren och skriva följdfrågor, men även i en sådan chatt är du som medarbetare alltid anonym.

Överlappande grupper eller segment

Vi använder extra anonymiseringåtgärder för att eliminera möjligheten att jämföra uppgifter mellan grupper som liknar varandra (överlappning) för att försöka se vem som svarat vad. Anonymiseringsåtgärderna förhindrar identifiering av enskilda respondenter och är en del av vårt ständiga arbete för integritet och för att skapa en säker miljö där medarbetarna kan känner sig säkra att uttrycka sin oro.

Hur fungerar det?

Den anställdas svar som kunde användas för att jämföra medlemmar och data i överlappande grupper eller segment döljs från gruppen eller segmentet (och endast visas i överordnade grupper).

Vad betyder det att grupper eller segment överlappar?

När du jämför medlemmar mellan en grupp och en annan grupp/segment finns det säkert en del i dig som undrar varför resultatet är anonymiserat (dolt) trots att grupperna inte är så lika. Överlappningen baseras på vilka som kan bidra till resultatet (aggregerade resultat) och om gruppen har undergrupper. Medlemmarna i dessa undergrupper kan också bidra till resultatet.

Gå till fliken "Bidragsgivare" om du vill se alla som bidrar till gruppens resultat

Skärmavbild 2024-04-25 kl. 08.06.09.png


Lösningen

Förslaget nedan fokuserar på att lösa överlappande grupper men kan även användas för att lösa överlappande segment.

  1. Flytta alla användare i grupp 1 eller 2 till en ny eller befintlig grupp (se exemplet nedan).
  2. Du kan också lösa scenariot ovan genom att till exempel lägga till minst en unik person till grupp 1 eller 2 (se exemplet nedan).

Exempel - How to resolve it 2.1.png

Ett alternativ är också att behålla den nuvarande uppsättningen, men kom ihåg att vissa resultat fortsatt kommer vara anonymiserade.

Läs mer

Användare med integration

Som standard bör du inte göra några ändringar i grupp- eller organisationsstrukturen i Winningtemp, eftersom de kommer att överskrivas av integrationen. Detta kan variera och beror på vilken typ av integration du har.

Kontakta din Customer Success Manager för ytterligare hjälp.

Vad händer med historisk data om jag gör ändringar? 

Historisk data påverkas inte för att undvika eventuella anonymiseringsproblem. När du flyttar en eller flera användare till en ny grupp påverkar det inte några tidigare resultat för den nya gruppen, och de historiska resultaten i den tidigare gruppen kommer inte att ändras. Detsamma gäller för segment.

Anonymisering av kommentarer

OBS! Kommentarer är alltid anonyma. Namn och användarnamn är aldrig synligt för en administratör.

Kommentarer är en viktigt insikt in i hur er personal mår men det är också viktigt att alltid säkerställa användarnas anonymitet. I vissa fall kan därför grupptillhörighet döljas (anonymiseras) för managers. Anonymiserade kommentarer är enbart synliga för Systemadministratörer, längst upp i organisationsträdet. Anonymisering kan betyda olika saker i olika scenarios. Så här fungerar det.

I följande tre scenarios anonymiseras kommentarers grupptillhörighet:


1. Gruppen uppfyller inte anonymitetsnivån

Winningtemp anonymiserar grupptillhörigheten för managern om gruppen inte uppfyller anonymitetsnivån. Det betyder i verkligheten att som standard, krävs det att minst fem unika användare svarat på temperaturutskicken innan resultat och kommentarer syns. Skulle enbart en, eller två, användare svara på utskicket och skriva en kommentar hade det varit enklare för managern att räkna ut vem användaren är.

Vill ni som företag justera anonymitetsnivån så kan er Systemadministratör göra det här: Inställningar.


2. Användaren tillhör inte någon grupp

Winningtemp anonymiserar grupptillhörigheten för managern om användaren inte tillhör någon grupp. Kommentaren kommer enbart vara synlig för Systemadministratören längst upp i organisationsträdet. Lägg till användaren i en grupp för att åtgärda detta problemet så kommer kommentaren synas i rätt grupp (så länge kraven i sektion 1 möts).

Läs mer: Lägg till användare i en grupp

3. Användaren tillhör flera grupper som alla möter kraven för anonymisering (se sektion 1)

Denna situation är lite mer komplex, låt oss kolla på ett exempel:

  • Mats tillhör grupperna Sverige och Norge.
  • Sara tillhör grupperna Sverige och Danmark.
  • Peter, Amanda och Olivia tillhör gruppen Sverige.
  • När Mats lämnar en kommentar på ett utskick skulle det vanligtvis stå att kommentaren kommer ifrån en användare i grupperna Sverige och Norge. Detta vill vi undvika.

Med den informationen skulle det bli enklare för managern att räkna ut vem användaren är eftersom hen vet att den jobbar i båda länderna. I verkligheten kan det vara så att Mats är den enda som arbetar med de länderna.


Hur anonymiseras kommentaren i detta exemplet?

För att undvika scenarion som detta, anonymiseras därför alla kommentarer som kommer från en användare med mer än en grupptillhörighet (ifall grupperna möter kraven för anonymisering). I detta exemplet kommer Mats kommentar vara synlig men Winningtemp anonymiserar vilka grupper kommentaren kommer från. På så sätt kan managern inte räkna ut vem användaren är.

screely-1636029776214.png

Kontakta din Customer Success Manager om du behöver stöd hur ni justerar strukturen i Winningtemp för att bäst hantera scenarion som detta.


Bra att veta

  • En användares kommentar är alltid anonym så länge de själva inte skrivit något som kan identifiera dem i texten.
  • Ifall en kommentar anonymiserats kan den inte av-anonymiseras, utan kommer förbli anonymiserad i fortsättningen.


Läs mer

Onboarding & Offboarding Undersökningar

Svaren på onboarding och offboardingfrågor grupperas alltid ihop och presenteras baserat på anonymitetsnivån. Med andra ord, om ni valt fem som anonymitetsnivå så väntar vi med att presentera resultatet innan vi fått in fem unika svar. Detta gäller alltså varje gång svar kommer in. Alla svar i "batchen" presenteras därefter med samma svarsdatum för att ytterligare skydda anonymiteten hos användaren.

Vad krävs för att resultatet skall visas i gruppen där medarbetaren finns?

  • Ifall tillräckligt många användare i gruppen svarat på undersökningen, och därmed uppnått anonymitetsnivån, kommer resultatet synas på gruppnivå.

Kan resultatet ses på organisationsnivå?

  • Ifall anonymitetsnivån uppnåtts men av användare från olika grupper kan resultatet istället ses på organisationsnivå. Även här presenteras resultat i "batcher".

Onboarding-offboarding surveys.png

ISO 27001 and 27701

Winningtemp is now ISO 27001 and ISO 27701 certified!

Din information skyddas enligt ledande internationella standarder

Winningtemp är certifierat enligt ISO 27001 och ISO 27701! 🎉 Vi har alltid säkerställt att er data är säker, och nu har vi certifieringen som bevis! Det betyder att vi följer strikta standarder för att skydda er information och hålla er data privat. Standarderna vi följer är utvecklade av de bästa och mest framstående experterna inom informationssäkerhet.

När er tekniska miljö blir mer komplex och er organisation mer sammanlänkad — vilket är riktningen för nästan alla företag — sprids också er data över fler system. Av många anledningar är detta en fantastisk utveckling (som att kunna använda Winningtemp för att omvandla din medarbetarupplevelse och öka engagemang, produktivitet och retention 😉…), men det innebär också att ni behöver tänka på att samarbeta med partners som uppfyller internationella standarder som ISO 27001 och ISO 27701 som kommer att hålla er och era kunders data säker.

  • Hantera risker för att skydda er mot kostnader och skador
  • Säkerställ säker dataöverföring mellan er system
  • Säkerställ att era tekniska plattformer fungerar bättre tillsammans
  • Följ olika dataskyddslagar som GDPR
  • Främja en kultur där ni arbetar med datasäkerhet
  • Skydda dina anställdas data – och behåll deras förtroende
  • Enklare och snabbare IT-godkännande för vår teknik ;)


Låt oss kolla på detaljerna! ‍👇🏻


Vad är ISO?

Den internationella standardiseringsorganisationen (ISO) är en oberoende, icke-statlig organisation som fastställer internationella standarder inom nästan alla områden av teknik och tillverkning. Det innebär nästan 25 000 internationella standarder, plus ungefär 100 nya varje månad.

ISO säger: "En internationell standard är ett dokument som innehåller praktisk information och bästa praxis. Det beskriver ofta ett överenskommet sätt att göra något eller en lösning på ett globalt problem."

ISO-standarder finns för att:

  • Se till att produkter är kompatibla med varandra
  • Identifiera säkerhetsfrågor
  • Dela idéer, lösningar och bästa praxis


ISO används t.ex för att se till att du varsomhelst kan köpa ett vanligt A4-papper till din skrivare och lita på att det fungerar utan krångel: ISO 216. Eller t.ex att ditt kreditkort alltid skall passa in i kortläsaren utan problem: ISO 7810.

Med representanter i över 167 länder, över 800 tekniska kommittéer och underkommittéer som utvecklar standarder har ISO en omfattande global räckvidd. ISO-certifieringar är ledda av experter och utvecklade ur ett icke-vinstdrivande, neutralt perspektiv utan egna intressen, förutom det gemensamma bästa.

Detta leder oss till våra specifika ISO-certifieringar: ISO 27001 och dess förlängning, ISO 27701.

Vad är ISO 27001?

Om du har arbetat inom tekniksektorn är du förmodligen bekant med ISO 27001. Det är ISO-certifieringen som fokuserar på informationssäkerhet som i grunden skapar ett ramverk för att hjälpa organisationer att skydda sin information på rätt sätt. Och i det här fallet, inte bara vår utan också er.

De dåliga nyheterna:
46 % av alla företag rapporterar att de har upplevt cyberattacker under de senaste 12 månaderna. Av dessa har 19 % förlorat pengar eller data, och 39 % har påverkats negativt, till exempel genom större störningar i verksamheten.

De goda nyheterna:
Även om antalet rapporterade cyberattacker har varit ungefär samma sedan 2017, har antalet företag som upplevt påverkan minskat med en femtedel. ISO 27001 är en viktig del av denna framgångssaga.
Gov.UK

För att uppfylla kraven i ISO 27001 skapar organisationer ett Informationssäkerhetshanteringssystem (ISMS). System i detta fallet betyder ofta "systematiskt", alltså en "uppsättning regler" för hur de skall hantera risker och skydda informationssäkerheten.

Vad betyder egentligen att "skydda informationen"?

ISO 27001 syftar till att skydda information på tre sätt:

1. Konfidentialitet: Endast auktoriserade personer får åtkomst till informationen.
2. Integritet: Endast auktoriserade personer kan ändra informationen.
3. Tillgänglighet: Auktoriserade personer kan få åtkomst till informationen när de behöver det.

Dessa tre saker är viktiga eftersom de innebär:

  • Ingen obehörig kan få åtkomst till er information – såsom illasinnade organisationer som samlar in anställdas data för rekryteringsändamål.
  • Ingen obehörig kan ändra er information – som före detta anställda som i efterhand tar bort data på grund av en personlig vendetta.
  • De som behöver data kan få åtkomst till den – era team behöver inte sitta och väntar på behörigheter de borde ha.


Hur fick Winningtemp ISO 27001-certifiering?

Att få en ISO-certifiering är en rigorös process, ledd av en extern ackrediterad certifieringsorganisation – i detta fallet LRQA. För att uppnå ISO 27001-certifiering samarbetade vi med TransPrivacy för att bygga ett omfattande riskhanteringssystem för att skydda vår och er information.

Det innebär i grunden att vi noggrant granskade allt som skulle kunna gå fel, implementerade lämpliga skyddsåtgärder för att skydda mot dessa scenarier och kontinuerligt mätte effektiviteten hos dessa skydd för att säkerställa att de alltid förbättras.

Nästa steg är ISO 27701…

Vad är ISO 27701?

ISO 27701 är en dataskyddsförlängning till ISO 27001. Den har utvecklats specifikt för att säkerställa efterlevnad av GDPR och andra krav på dataskydd. Experter från CNIL (den franska dataskyddsmyndigheten) har aktivt bidragit till denna standard, med stöd från Europeiska dataskyddsstyrelsen.

Där ISO 27001 krävde att vi skulle skapa ett ISMS, kräver ISO 27701 ett Privacy Information Management System – PIMS. ISO 27701 erbjuder ett ramverk för organisationer att skydda personligt identifierbar information (PII) och representerar den senaste tekniken inom dataskydd.

Vad är PII/Personuppgifter?

Personuppgifter eller PII (Personally Identifiable Information) är all information som rör en identifierad eller identifierbar person – vilket kan vara så enkelt som ett namn, körkort eller medicinska journaler men  kan t.ex  också vara en IP-adress. Det är en bred term eftersom den inte bara hänvisar till direkt identifiering – som någons namn. Det innebär också att information kan klassas som PII/personuppgifter om den i kombination med annan data kan identifiera en individ.

Varför är det viktigt att skydda PII/personuppgifter?

Att skydda era anställdas personliga information är viktigt eftersom oaksamhet kan orsaka omfattande skada, som identitetsstöld eller bedrägeri. Det är också ett stort brott mot förtroendet, vilket kan få långvariga konsekvenser för medarbetarengagemanget – precis det motsatta av vad vi vill uppnå!

Hur fick Winningtemp ISO 27701-certifiering?

Precis som med ISO 27001 arbetade vi med TransPrivacy för att bygga ett omfattande system för att hålla er personliga information säker.

Vi utvärderade riskerna med personlig information, identifierade lämpliga kontroller och skyddsåtgärder för att hantera dessa risker, och nu mäter vi effektiviteten hos dessa skydd för att säkerställa att de alltid håller måttet.

Efterlevnad av både ISO 27001 och ISO 27701 är en pågående process, så det är inget vi bara sätter igång och sen glömmer av. Istället är vi kontinuerligt engagerade och investerade i att hålla din information säker och din data privat.

När vi samarbetar tillsammans kommer vi hantera mycket av er data – det är så vi kan ha en så transformativ inverkan på medarbetarupplevelsen. Du kan därför lita på att vi skyddar datan på rätt sätt, så att era anställda kan lita på att ni skyddar deras. Våra ISO 27001- och ISO 27701-certifieringar innebär att du vet att vi har världsledande dataskydd.

Artiklar i detta avsnitt

Var denna artikel till hjälp?
16 av 33 tyckte detta var till hjälp
Dela