IMD säkerhet och GDPR

IMD säkerhet och GDPR är kritiska aspekter för alla bostadsrättsföreningar och fastighetsbolag som inför individuell mätning. Mätdata från vatten, el och värme klassas som personuppgifter enligt EU:s dataskyddsförordning, vilket innebär att de måste hanteras med samma noggrannhet som när man hanterar bank- och sjukvårdsdata. Vår plattform är byggd enligt principen ”security by design” och vi är ISO 27001-certifierade sedan 2022.

I den här artikeln går vi igenom konkret hur vi skyddar mätdata, hur GDPR tillämpas och vad du som personuppgiftsansvarig behöver veta för att följa lagen.

IMD säkerhet och GDPR i praktiken

Vi certifierades enligt ISO 27001 år 2022 av en oberoende tredjepart. Certifieringen verifieras varje år genom en formell granskning av:

  • Vår organisation och ledningssystem för informationssäkerhet
  • Riskanalyser och åtgärdsplaner
  • Tekniska säkerhetskontroller för plattform och drift
  • Anställdas kompetens och utbildning
  • Hantering av incidenter och kontinuerlig förbättring

Certifikatet kan begäras vid förfrågan och deltas öppet med kunder och deras revisorer.

Teknisk dataskydd

På teknisk nivå är alla mätdata skyddade flera lager djupt:

  • TLS 1.3 för all kommunikation mellan mätare, gateway och molnplattform
  • AES-256 kryptering av all lagrad data
  • Krypterade backup som lagras på geografiskt avskild plats
  • Multi-factor authentication för alla administratörer
  • OAuth 2.0 för API-åtkomst
  • WAF (Web Application Firewall) som blockerar attacker
  • DDoS-skydd via Cloudflare
  • Penetration testing två gånger per år av extern leverantör

GDPR-grundprinciper för IMD

GDPR bygger på sex grundprinciper som vi och du som personuppgiftsansvarig måste följa:

  • Laglighet, korrekthet och öppenhet – boende måste informeras om vilken data som samlas in och varför.
  • Ändamålsbegränsning – data används bara för individuell mätning och debitering, inte för andra syften.
  • Uppgiftsminimering – vi samlar bara det som behövs för tjänsten.
  • Korrekthet – mätare kalibreras regelbundet för att data ska vara korrekt.
  • Lagringsminimering – data raderas när retention-tiden löpt ut.
  • Integritet och konfidentialitet – tekniska och organisatoriska skyddsmått finns på plats.

Boendes rättigheter enligt GDPR

Alla boende har enligt GDPR följande rättigheter som de kan kräva av dig som personuppgiftsansvarig:

  • Rätt till information om hur deras data används
  • Rätt till åtkomst av sin egen mätdata
  • Rätt till rättelse av felaktig data
  • Rätt till radering när boende lämnar fastigheten
  • Rätt till dataportabilitet – kunna exportera sin data
  • Rätt att invända mot viss typ av behandling
  • Rätt att klaga till Integritetsskyddsmyndigheten (IMY)

Vår boendeapp och webbportal har inbyggda funktioner som låter boende själva utnyttja dessa rättigheter utan att kontakta föreningen eller fastighetsägaren först.

Personuppgiftsbiträdesavtal

Som leverantör av tjänsten är vi personuppgiftsbiträde medan du som kund är personuppgiftsansvarig. Vi tecknar standardiserat personuppgiftsbiträdesavtal (DPA) med alla kunder. Avtalet innehåller:

  • Vilken data vi behandlar och i vilket syfte
  • Hur länge data sparas
  • Vilka tekniska säkerhetsmått vi vidtar
  • Hur vi hjelper dig att uppfylla dina skyldigheter
  • Hur vi rapporterar dataintrång
  • Vilka subleverantörer vi använder

Var lagras mätdata?

All mätdata lagras i Sverige hos certifierade datacenter:

  • Primärt datacenter: Stockholm, ISO 27001-certifierat
  • Sekundärt datacenter (DR): Göteborg, geografiskt avskilt
  • Backup: Krypterade säkerhetskopior till tredje fysisk plats
  • Ingen data lämnar EU någonsin
  • Vi använder inte amerikanska molnleverantörer som AWS eller Azure för kunddata

NIS2-direktivet och cyber-säkerhet

NIS2-direktivet gäller från oktober 2024 och stigningar kraven på cyber-säkerhet för operatörer av kritisk infrastruktur. För IMD innebär det:

  • Stora fastighetsbolag omfattas direkt
  • Incidenter ska rapporteras till MSB inom 24 timmar
  • Årliga säkerhetsrevisioner krävs
  • Leverantörer måste demonstrera god säkerhetspraxis

Vi stödjer aktivt våra kunder i deras NIS2-arbete genom att tillhandahålla nodvändig dokumentation och tekniska underlag.

Vad gör vi vid dataintrång?

Om en säkerhetsincident uppstar har vi en strukturerad process:

  • Incident-team aktiveras inom 30 minuter
  • Påverkan analyseras och kontainerig genomförs
  • Drabbade kunder informeras inom 72 timmar (GDPR-krav)
  • Rapportering till IMY enligt GDPR-bestamemelser
  • Forensisk undersökning och root cause analysis
  • Korrigerande åtgärder och kommunikation

Vanliga frågor om IMD säkerhet

Nej. Varje boende ser bara sin egen förbrukning. Styrelsen kan se aggregerade siffror för fastigheten men inte individuella förbrukningskurvor.

Din mätdata raderas inom 12 månader efter att du lämnar fastigheten, undantaget skattemässig retention som fölger bokföringslagen.

Nej, aldrig. Mätdata används bara för tjänsten och delas aldrig med marknadsförare eller andra tredjepartsaktörer.

Vi använder maskininlärning för anomalidetektion (läckage, fel) men aldrig för att skapa profiler om boende.

Läs mer om säkerhet

För djupare information om IMD säkerhet och GDPR, kontakta oss. Läs också om våra tekniska specifikationer och juridik. För officiell GDPR-information, se Integritetsskyddsmyndigheten.

Vill du veta hur mycket din fastighet kan spara?

Begär en kostnadsfri offert så återkommer vi inom 24 timmar med en personlig beräkning för just din fastighet.