Databeskyttelse
Visma FirstAgenda lever op til gældende lovgivning om databeskyttelse.
Hos Visma FirstAgenda tager vi IT- og datasikkerhed meget alvorligt. På denne side kan du læse mere om hvordan vi lever op til IT-sikkerhed og datahåndtering og sikrer, at dine oplysninger ikke bliver misbrugt af tredjepart.
GDPR-compliance
Hos Visma FirstAgenda indhenter vi årligt en ISAE3000 erklæring.
Erklæringen udarbejdes af en uafhængig tredjepart vedrørende Visma FirstAgendas overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret samt indholdet af databehandleraftalen.
Erklæringer
Download ISAE3402 erklæring juni 2020/2021
Download ISAE3000 erklæring juni 2021/2022
Download ISAE3000 erklæring juni 2022/2023
Download nyeste ISAE3000 erklæring 2023/2024
Afvigelser
Download Afvigelser i ISAE3000-erklæring - 2022/2023
Download Afvigelser i ISAE3000-erklæring - 2023/2024
Databehandleraftale
I ethvert kundeforhold behandler vi personoplysninger på vegne af vores kunder. I denne relation er vores kunder dataansvarlige, og vi er databehandler.
Det medfører, at både vi og vores kunder er forpligtet til at indgå en databehandleraftale, der indholdsmæssigt skal opfylde kravene i GDPR.
Visma FirstAgenda bruger Datatilsynets standardkontraktsbestemmelser som databehandleraftale. Det giver den fordel, at vi opfylder vores fælles forpligtelse til at indgå en gyldig databehandleraftale.
Du kan tilgå vores databehandleraftaler her
OBS: Du underskriver ikke automatisk databehandleraftalen, når du tilgår den.
Sikkerhedsforanstaltninger
Behandling af data er en integreret del af FirstAgenda Management (*SaaS), som vi stiller til rådighed for vores kunder. Derfor er vores kunders tiltro og tillid til, at vi kan levere vores service på sikker og fortrolig vis også af helt afgørende betydning for vores forretningsgrundlag. Vi tager derfor sikkerhed meget alvorligt og har et kontinuerligt fokus herpå.
FAQ
Nedenfor kan du finde svar på nogle af de spørgsmål, vi oftest bliver stillet i forhold til GDPR.
Hvorfor er det nødvendigt at indgå databehandleraftaler med FirstAgenda?add
En databehandleraftale er et juridisk bindende dokument, der regulerer databehandlerens behandling af personoplysninger på vegne af den dataansvarlige. FirstAgenda er databehandler i forbindelse med levering af sine løsninger og i som kunder er dataansvarlige.
For at sikre efterlevelse af databeskyttelsesforordningens bestemmelser, er det nødvendigt at indgå en kontrakt, der regulerer behandlingens omfang og varighed. I bedes bemærke, at det er jer som dataansvarlig, der har det overordnede ansvar.
Hvorfor skal der være databehandleraftaler på alle FirstAgenda’s løsninger?add
FirstAgenda udbyder løsningerne Prepare, Publication, Live, Management og LetDialog.
I bedes bemærke, at det er nødvendigt at databehandleraftalen indgås på produktniveau, da behandlingsaktiviteten varierer fra de forskellige løsninger.
I det tilfælde at jeres organisation benytter flere løsninger, vil der skulle indgås tilsvarende antal databehandleraftaler. Det vil eksempelvis være nødvendigt at indgå to databehandleraftaler, hvis jeres organisation både benytter Prepare og Publication.
Hvorfor skal jeg have en DBA når vi har tilkøbt FirstAgenda Publication, når jeg samtidig har en databehandleraftale på FirstAgenda prepare?add
Ved brugen af FirstAgenda Publication forekommer der en behandling af personoplysninger som defineret i GDPR art. 4. Ved denne behandling af personoplysninger skal I som dataansvarlige være opmærksom på behandlingsaktiviteten er til forskel fra FirstAgenda Prepare, hvorfor vi som databehandler, er forpligtet under GDPR art. 28 til at modtage instruks og formål herfor for at udøve disse behandlingsaktiviteret i vores levering af FirstAgenda Publication
Har FirstAgenda udarbejdet skriftlige risikovurderinger til afdækning af de risici, der er forbundet med de pågældende behandlingsformer, med henblik på at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger?add
Der foreligger formaliserede procedurer, der sikrer, at FirstAgenda foretager en risikovurdering for at opnå en passende sikkerhed. Den foretagne risikovurdering er opdateret og omfatter den aktuelle behandling af personoplysninger. FirstAgenda har implementeret de tekniske foranstaltninger, som sikrer en passende sikkerhed i overensstemmelse med risikovurderingen.
Vi indhenter årligt en ISAE3000 erklæring fra en uafhængig revisor, der bl.a. tester at der foreligger udførte risikovurderinger. Erklæringerne gøres tilgængelige på hjemmesiden, og tjener som dokumentation for vores efterlevelse af databeskyttelsesforordningen og databehandleraftalens bestemmelser.
Hvad gør vi for at sikre at der ikke sker tredjelandsoverførsler? Har vi foretaget nogen tekniske foranstaltninger til at imødekomme, at data ikke havner i usikre tredjelande?add
Opbevaring af data sker i henhold til indgående databehandleraftale. Vi udfører løbende screening og kontrol med vores underdatabehandlere for at sikre passende behandlingssikkerhed.
Vi har foretaget passende organisatoriske og tekniske sikkerhedsforanstaltninger, der sikrer at der ikke sker utilsigtede tredjelandsoverførsler, herunder men ikke begrænset til krypterings foranstaltninger i overensstemmelse med EDPBs anbefalinger herfor.
Hvordan kan data lovligt opbevares hos AWS, når præmisserne i Schrems-II afgørelsen skaber usikkerhed om dette?add
Hos FirstAgenda har vi tilkøbt det som service at AWS er forpligtet til at foretage behandling af data inden for dataregion EU-WEST (Irland), og dermed indenfor EU/EØS.
FirstAgenda har i forlængelse af ovenstående truffet supplerende foranstaltninger der sikrer, at personoplysningerne er underlagt tilstrækkelig sikkerhed, og derfor ikke kan tilgås af utilsigtede tredjeparter. Der er foretaget krypteringsforanstaltninger i overensstemmelse med EDPB anbefalinger herfor, der sikrer opbevaring af krypteringsnøglen separat, så end ikke AWS har mulighed for at dekryptere
FirstAgendas datasæt. Som en sikkerhedsforanstaltning ønsker vi ikke at offentliggøre den præcise lokation for opbevaring af krypteringsnøglen, da dette kan udnyttes.
Vi gør opmærksom på at EU-Kommissionen vedtog d. 10. juli 2023 en tilstrækkelighedsafgørelse, der åbner op for overførsel af personoplysninger til USA uden anvendelsen af andre overførselsgrundlag. Dette forudsætter dog, at modtageren er certificeret under det nye EU-U.S. Data Privacy Framework hos det amerikanske handelsministerium, hvilket AWS er. https://www.dataprivacyframework.gov/s/participant-search
Hvor ligger krypteringsnøglerne?add
Som en sikkerhedsforanstaltning ønsker vi ikke at offentliggøre den præcise lokation for opbevaring af krypteringsnøglerne, da dette kan udnyttes med negative konsekvenser til følge. Krypteringsnøglerne opbevares særskilt på lokationer som end ikke AWS har kendskab til.
Hvilke fordele er der ved vores hosting-udbydere?add
Binero har hovedsæde i Sverige, hvorfor alt hosting sker på lokationer i Sverige. Ved Binero får man et europæisk setup, hvor man samtidigt er sikker på et højt sikkerhedsniveau, hvilket afspejles i deres certificeringer og erklæringer.
AWS er i henhold til deres standard underdatabehandleraftale forpligtet til at foretage behandling af data inden for dataregion EU-WEST (Irland). AWS har et setup, der er state-of-the-art, hvilket afspejles i deres
mange certificeringer og erklæringer.
Hvorfor får vi anmærkninger for manglende tests i vores ISAE 3000?add
Vi har redegjort for anmærkninger i vores seneste ISAE3000-erklæring. Dette er uddybet nærmere nedenfor:
Afvigelser i ISAE3000-erklæring
Hvordan sikrer FirstAgenda overholdelse af oplysningspligten?add
Som databehandler tilbyder vi løsninger til jer som dataansvarlige. Det er den dataansvarlige der skal overholde GDPR art. 12, 13 og 14. I enkelte af vores løsninger tilbyder vi at I som dataansvarlig at iagttage oplysningspligten navnlig ved at vi understøtter en underside hvor I har mulighed for at give de lovpligtige
oplysninger.
Hvordan sikrer FirstAgenda overholdelse af regler om cookies?add
Som kunde skal I være opmærksom på hvem der skal overholde hvad i hvilken rolle. Det betyder at når I tilgår FirstAgenda hjemmeside(r) har disse hjemmesider ikke noget med levering af løsningerne at gøre og dermed er FirstAgenda dataansvarlig for den behandling af personoplysninger som sker på hjemmesiderne.
I selve løsningerne anvendes der ingen cookieteknologier.