Dine data er i trygge hænder
Har du nogensinde spurgt dig selv, hvordan du kan stole på en virksomhed og betro dem med dine og dine kunders personoplysninger? Med det nye fokus på at beskytte enkeltpersoners rettigheder og privatliv mht. deres personlige data er der opstået en masse forvirring, fejlinformationer og usikkerhed om, hvorvidt en databehandler faktisk beskytter dine data eller ej, og hvorvidt man kan stole på en given databehandler.
Så hvordan sikrer du, at dine data er beskyttet? På hvilket grundlag kan du betro en virksomhed med dine virksomhedsdata eller dine kunders data? Hvordan kan du være sikker på, at din databehandler overhovedet er kvalificeret til at sikre databeskyttelse?
Vi har stillet os selv det samme spørgsmål.
ISAE 3000-revisorerklæring
Vi forbedrer konstant vores databeskyttelse – både mht. at sikre de data, der deles med os, såvel som at overholde de love og regler, der vedrører databeskyttelse. Vi havde bare ikke noget at dokumentere vores indsats med indtil nu.
Derfor har vi den seneste tid arbejdet på at opnå en ISAE 3000-revisorerklæring (sammenlignelig med en SOC 2-rapport). Det statsautoriseret revisionsbureau, BDO, har som en uafhængig tredjepart kontrolleret og certificeret vores sikkerhedsforanstaltninger (for en komplet liste over certificerede områder, bedes du kontakte [email protected]).
Denne rapport beviser, at vi har implementeret sikkerhedsforanstaltninger, og at disse foranstaltninger fungerer effektivt. Denne rapport kan også anvendes, når det kommer til at udføre regelmæssige tilsyn med vores overholdelse af dine instruktioner samt punkterne i den databehandlingsaftale, som vi har indgået med dig.
Vores foranstaltninger
Listen over sikkerhedsforanstaltninger er lang, ligesom rapporten og de dokumenter, der udgør grundlaget for rapporten. Selvom vi ikke kan forklare alt i dette blogindlæg, vil vi stadig gerne give dig et overblik over vores sikkerhedsforanstaltninger.
Kort fortalt har vi sat følgende sikkerhedsforanstaltninger op:
Tekniske sikkerhedsforanstaltninger:
- Datacentre i EU (Tier 4)
- Adgangskodebeskyttet login
- Antivirus- og firewall-beskyttelse
- Stærk kryptering ved transmission og hvile
- Backup-foranstaltninger
- Automatisk anonymisering af personlige data
- Hashing og saltning af følsomme data
- Software og hardware af høj kvalitet
Organisatoriske sikkerhedsforanstaltninger:
- At sikre garantier for databeskyttelse med nye leverandører og underdatabehandlere
- At sikre, at databehandling af leverandører uden for EU / EØS er dækket af EU og USA’s Privacy Shield Framework
- Kontraktmæssigt bindende forpligtelser pålægges vores leverandører, underdatabehandlere og andre tilknyttede virksomheder via databehandlingsaftaler, standardkontraktbestemmelser, fortrolighedsaftaler eller lignende
- Regelmæssig kontrol af vores leverandører af IT-sikkerhed og overholdelse af standarder for databehandling og / eller ISAE 3000 / SOC 2-rapporter
- Funktionsadskillelse ift. autorisationsniveau for medarbejdere, hvilket betyder, at vi kun giver adgang til personlige data til medarbejdere med relevante funktioner i arbejdsspecifikke formål
- Sikker opbevarelse af datalagermedier
- Systemer og bygninger relateret til databehandling er sikret
- Bevidsthedstræning af medarbejdere ift. IT-sikkerhed og persondatasikkerhed
- Regelmæssigt opdaterede retningslinjer, processer og politikker, der udleveres til medarbejderne, hvilket sikrer overholdelse af relevant lovgivning og effektivitet af vores sikkerhedsforanstaltninger
- Der indgås fortrolighedsaftaler med alle ansatte
- Personlig identificerbare oplysninger bruges udelukkende på vegne af databehandleren og på deres direkte instruktioner og bruges aldrig til markedsføringsformål eller kommerciel brug eller videregives til tredjepart
- Risikovurderinger for at hjælpe os med bedre at forstå de risici, der eksisterer for at oprette sikkerhedsforanstaltninger for at reducere risikoniveauet
Øvrige sikkerhedsforanstaltninger:
- En compliance-specialist med ansvar for GDPR-spørgsmål, ISAE 3000 osv.
- Et it-sikkerhedsråd med ansvar for at opretholde og udvikle IT-sikkerhedsforanstaltningerne og potentielle overtrædelser af personoplysninger og IT-sikkerhedshændelser
Opdatering af datapolitik og cookiepolitik
Vi har opdateret vores persondatapolitik (også kendt som privatlivspolitik eller databeskyttelsespolitik), som vi opfordrer dig til at læse. Ændringerne omfatter forklaringer om lovligheden af behandlingen af personoplysninger via hjemmesiden (eksempelvis til nyhedsbreve, tip-en-ven, etc), og en opdateret liste af dine rettigheder som enkeltperson – eksempelvis retten til at få indsigt i de indsamlede personoplysninger, at blive slettet eller at rette de oplysninger, vi har på dig.
Vi har også opdateret cookiepolitikken, som nu indeholder en bedre oversigt over cookies, hvordan vi bruger cookies samt et spritnyt cookiebanner.
Har du nogen spørgsmål?
Hvis du har nogen spørgsmål eller kommentarer til ovenstående er du altid velkommen til at kontakte os på support chatten eller [email protected].