Databeskyttelse

Visma FirstAgenda lever op til gældende lovgivning om databeskyttelse.

Hos Visma FirstAgenda tager vi IT- og datasikkerhed meget alvorligt. På denne side kan du læse mere om hvordan vi lever op til IT-sikkerhed og datahåndtering og sikrer, at dine oplysninger ikke bliver misbrugt af tredjepart.

GDPR-compliance

Hos Visma FirstAgenda indhenter vi årligt en ISAE3000 erklæring.

Erklæringen udarbejdes af en uafhængig tredjepart vedrørende Visma FirstAgendas overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret samt indholdet af databehandleraftalen.

Erklæringer

Download ISAE3402 erklæring juni 2020/2021

Download ISAE3000 erklæring juni 2021/2022

Download ISAE3000 erklæring juni 2022/2023

Download nyeste ISAE3000 erklæring 2023/2024

Afvigelser

Download Afvigelser i ISAE3000-erklæring - 2022/2023

Download Afvigelser i ISAE3000-erklæring - 2023/2024

Databehandleraftale

I ethvert kundeforhold behandler vi personoplysninger på vegne af vores kunder. I denne relation er vores kunder dataansvarlige, og vi er databehandler.

Det medfører, at både vi og vores kunder er forpligtet til at indgå en databehandleraftale, der indholdsmæssigt skal opfylde kravene i GDPR.

Visma FirstAgenda bruger Datatilsynets standardkontraktsbestemmelser som databehandleraftale. Det giver den fordel, at vi opfylder vores fælles forpligtelse til at indgå en gyldig databehandleraftale.

Du kan tilgå vores databehandleraftaler her

OBS: Du underskriver ikke automatisk databehandleraftalen, når du tilgår den.

Læs mere om vores brug af underdatabehandlere

Sikkerhedsforanstaltninger

Behandling af data er en integreret del af FirstAgenda Management (*SaaS), som vi stiller til rådighed for vores kunder. Derfor er vores kunders tiltro og tillid til, at vi kan levere vores service på sikker og fortrolig vis også af helt afgørende betydning for vores forretningsgrundlag. Vi tager derfor sikkerhed meget alvorligt og har et kontinuerligt fokus herpå.

Leverandører

Brug af anerkendte leverandører, der er certificeret til hosting af platform inden for leverandørens EU/EØS-dataregioner.

Kryptering

Fuld TLS- og HTTPS-kryptering af data i transit.

Backup og anti-malware

Daglig backup og opdateret anti-malware og virus på systemer og enheder.

Netværk

Segmenteret og krypteret netværk samt tilkobling til Security Operation Center (SOC) via hostingleverandør.

Brug af Multi Factor Authentication-login

Mulighed for Multi Factor Authentication-login til platformen.

Løbende tjek af platform

Løbende tjek af platform og systemer i forhold til OWASP top 10 sårbarheder, herunder lejlighedsvis brug af “ethical hacker”.

Fysisk sikring af lokaliteter

Fysisk sikring af lokaliteter med individuelle adgangsnøglebrikker og koder samt overvågning af faciliteter.

Logning

Logning af adgang og handlinger i platformen og systemer.

Procedurer

Procedurer for tilgang til produktionsmiljø og adgang til kundedata.

Baggrundstjek

Baggrundstjek af medarbejdere.

Hardware

Genbrug af hardware sker udelukkende ved gendannelse af fabriksindstilling, og destruktion af hardware sker i henhold til markedsstandard herfor, så gendannelse af data er ikke mulig.

FAQ

Nedenfor kan du finde svar på nogle af de spørgsmål, vi oftest bliver stillet i forhold til GDPR.

Hvorfor er det nødvendigt at indgå databehandleraftaler med FirstAgenda?

En databehandleraftale er et juridisk bindende dokument, der regulerer databehandlerens behandling af personoplysninger på vegne af den dataansvarlige. FirstAgenda er databehandler i forbindelse med levering af sine løsninger og i som kunder er dataansvarlige.

For at sikre efterlevelse af databeskyttelsesforordningens bestemmelser, er det nødvendigt at indgå en kontrakt, der regulerer behandlingens omfang og varighed. I bedes bemærke, at det er jer som dataansvarlig, der har det overordnede ansvar.

Hvorfor skal der være databehandleraftaler på alle FirstAgenda’s løsninger?

FirstAgenda udbyder løsningerne Prepare, Publication, Live, Management og LetDialog.
I bedes bemærke, at det er nødvendigt at databehandleraftalen indgås på produktniveau, da behandlingsaktiviteten varierer fra de forskellige løsninger.

I det tilfælde at jeres organisation benytter flere løsninger, vil der skulle indgås tilsvarende antal databehandleraftaler. Det vil eksempelvis være nødvendigt at indgå to databehandleraftaler, hvis jeres organisation både benytter Prepare og Publication.

Hvorfor skal jeg have en DBA når vi har tilkøbt FirstAgenda Publication, når jeg samtidig har en databehandleraftale på FirstAgenda prepare?

Ved brugen af FirstAgenda Publication forekommer der en behandling af personoplysninger som defineret i GDPR art. 4. Ved denne behandling af personoplysninger skal I som dataansvarlige være opmærksom på behandlingsaktiviteten er til forskel fra FirstAgenda Prepare, hvorfor vi som databehandler, er forpligtet under GDPR art. 28 til at modtage instruks og formål herfor for at udøve disse behandlingsaktiviteret i vores levering af FirstAgenda Publication

Har FirstAgenda udarbejdet skriftlige risikovurderinger til afdækning af de risici, der er forbundet med de pågældende behandlingsformer, med henblik på at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger?

Der foreligger formaliserede procedurer, der sikrer, at FirstAgenda foretager en risikovurdering for at opnå en passende sikkerhed. Den foretagne risikovurdering er opdateret og omfatter den aktuelle behandling af personoplysninger. FirstAgenda har implementeret de tekniske foranstaltninger, som sikrer en passende sikkerhed i overensstemmelse med risikovurderingen.

Vi indhenter årligt en ISAE3000 erklæring fra en uafhængig revisor, der bl.a. tester at der foreligger udførte risikovurderinger. Erklæringerne gøres tilgængelige på hjemmesiden, og tjener som dokumentation for vores efterlevelse af databeskyttelsesforordningen og databehandleraftalens bestemmelser.

Hvad gør vi for at sikre at der ikke sker tredjelandsoverførsler? Har vi foretaget nogen tekniske foranstaltninger til at imødekomme, at data ikke havner i usikre tredjelande?

Opbevaring af data sker i henhold til indgående databehandleraftale. Vi udfører løbende screening og kontrol med vores underdatabehandlere for at sikre passende behandlingssikkerhed.

Vi har foretaget passende organisatoriske og tekniske sikkerhedsforanstaltninger, der sikrer at der ikke sker utilsigtede tredjelandsoverførsler, herunder men ikke begrænset til krypterings foranstaltninger i overensstemmelse med EDPBs anbefalinger herfor.

Hvordan kan data lovligt opbevares hos AWS, når præmisserne i Schrems-II afgørelsen skaber usikkerhed om dette?

Hos FirstAgenda har vi tilkøbt det som service at AWS er forpligtet til at foretage behandling af data inden for dataregion EU-WEST (Irland), og dermed indenfor EU/EØS.

FirstAgenda har i forlængelse af ovenstående truffet supplerende foranstaltninger der sikrer, at personoplysningerne er underlagt tilstrækkelig sikkerhed, og derfor ikke kan tilgås af utilsigtede tredjeparter. Der er foretaget krypteringsforanstaltninger i overensstemmelse med EDPB anbefalinger herfor, der sikrer opbevaring af krypteringsnøglen separat, så end ikke AWS har mulighed for at dekryptere
FirstAgendas datasæt. Som en sikkerhedsforanstaltning ønsker vi ikke at offentliggøre den præcise lokation for opbevaring af krypteringsnøglen, da dette kan udnyttes.

Vi gør opmærksom på at EU-Kommissionen vedtog d. 10. juli 2023 en tilstrækkelighedsafgørelse, der åbner op for overførsel af personoplysninger til USA uden anvendelsen af andre overførselsgrundlag. Dette forudsætter dog, at modtageren er certificeret under det nye EU-U.S. Data Privacy Framework hos det amerikanske handelsministerium, hvilket AWS er. https://www.dataprivacyframework.gov/s/participant-search

Hvor ligger krypteringsnøglerne?

Som en sikkerhedsforanstaltning ønsker vi ikke at offentliggøre den præcise lokation for opbevaring af krypteringsnøglerne, da dette kan udnyttes med negative konsekvenser til følge. Krypteringsnøglerne opbevares særskilt på lokationer som end ikke AWS har kendskab til.

Hvilke fordele er der ved vores hosting-udbydere?

Binero har hovedsæde i Sverige, hvorfor alt hosting sker på lokationer i Sverige. Ved Binero får man et europæisk setup, hvor man samtidigt er sikker på et højt sikkerhedsniveau, hvilket afspejles i deres certificeringer og erklæringer.

AWS er i henhold til deres standard underdatabehandleraftale forpligtet til at foretage behandling af data inden for dataregion EU-WEST (Irland). AWS har et setup, der er state-of-the-art, hvilket afspejles i deres
mange certificeringer og erklæringer.

Hvorfor får vi anmærkninger for manglende tests i vores ISAE 3000?

Vi har redegjort for anmærkninger i vores seneste ISAE3000-erklæring. Dette er uddybet nærmere nedenfor:
Afvigelser i ISAE3000-erklæring

Hvordan sikrer FirstAgenda overholdelse af oplysningspligten?

Som databehandler tilbyder vi løsninger til jer som dataansvarlige. Det er den dataansvarlige der skal overholde GDPR art. 12, 13 og 14. I enkelte af vores løsninger tilbyder vi at I som dataansvarlig at iagttage oplysningspligten navnlig ved at vi understøtter en underside hvor I har mulighed for at give de lovpligtige
oplysninger.

Hvordan sikrer FirstAgenda overholdelse af regler om cookies?

Som kunde skal I være opmærksom på hvem der skal overholde hvad i hvilken rolle. Det betyder at når I tilgår FirstAgenda hjemmeside(r) har disse hjemmesider ikke noget med levering af løsningerne at gøre og dermed er FirstAgenda dataansvarlig for den behandling af personoplysninger som sker på hjemmesiderne.

I selve løsningerne anvendes der ingen cookieteknologier.

Vi udvikler digitale løsninger der gør
livet lettere.

Skal vi hjælpe dig?