Databeskyttelse

En databehandleraftale er et juridisk bindende dokument, der regulerer databehandlerens behandling af personoplysninger på vegne af den dataansvarlige. FirstAgenda er databehandler i forbindelse med levering af sine løsninger og i som kunder er dataansvarlige.

For at sikre efterlevelse af databeskyttelsesforordningens bestemmelser, er det nødvendigt at indgå en kontrakt, der regulerer behandlingens omfang og varighed. I bedes bemærke, at det er jer som dataansvarlig, der har det overordnede ansvar.

FirstAgenda udbyder løsningerne Prepare, Publication, Live, Management og LetDialog.
I bedes bemærke, at det er nødvendigt at databehandleraftalen indgås på produktniveau, da behandlingsaktiviteten varierer fra de forskellige løsninger.

I det tilfælde at jeres organisation benytter flere løsninger, vil der skulle indgås tilsvarende antal databehandleraftaler. Det vil eksempelvis være nødvendigt at indgå to databehandleraftaler, hvis jeres organisation både benytter Prepare og Publication.

Ved brugen af FirstAgenda Publication forekommer der en behandling af personoplysninger som defineret i GDPR art. 4. Ved denne behandling af personoplysninger skal I som dataansvarlige være opmærksom på behandlingsaktiviteten er til forskel fra FirstAgenda Prepare, hvorfor vi som databehandler, er forpligtet under GDPR art. 28 til at modtage instruks og formål herfor for at udøve disse behandlingsaktiviteret i vores levering af FirstAgenda Publication

Der foreligger formaliserede procedurer, der sikrer, at FirstAgenda foretager en risikovurdering for at opnå en passende sikkerhed. Den foretagne risikovurdering er opdateret og omfatter den aktuelle behandling af personoplysninger. FirstAgenda har implementeret de tekniske foranstaltninger, som sikrer en passende sikkerhed i overensstemmelse med risikovurderingen.

Vi indhenter årligt en ISAE3000 erklæring fra en uafhængig revisor, der bl.a. tester at der foreligger udførte risikovurderinger. Erklæringerne gøres tilgængelige på hjemmesiden, og tjener som dokumentation for vores efterlevelse af databeskyttelsesforordningen og databehandleraftalens bestemmelser.

Opbevaring af data sker i henhold til indgående databehandleraftale. Vi udfører løbende screening og kontrol med vores underdatabehandlere for at sikre passende behandlingssikkerhed.

Vi har foretaget passende organisatoriske og tekniske sikkerhedsforanstaltninger, der sikrer at der ikke sker utilsigtede tredjelandsoverførsler, herunder men ikke begrænset til krypterings foranstaltninger i overensstemmelse med EDPBs anbefalinger herfor.

Hos FirstAgenda har vi tilkøbt det som service at AWS er forpligtet til at foretage behandling af data inden for dataregion EU-WEST (Irland), og dermed indenfor EU/EØS.

FirstAgenda har i forlængelse af ovenstående truffet supplerende foranstaltninger der sikrer, at personoplysningerne er underlagt tilstrækkelig sikkerhed, og derfor ikke kan tilgås af utilsigtede tredjeparter. Der er foretaget krypteringsforanstaltninger i overensstemmelse med EDPB anbefalinger herfor, der sikrer opbevaring af krypteringsnøglen separat, så end ikke AWS har mulighed for at dekryptere
FirstAgendas datasæt. Som en sikkerhedsforanstaltning ønsker vi ikke at offentliggøre den præcise lokation for opbevaring af krypteringsnøglen, da dette kan udnyttes.

Vi gør opmærksom på at EU-Kommissionen vedtog d. 10. juli 2023 en tilstrækkelighedsafgørelse, der åbner op for overførsel af personoplysninger til USA uden anvendelsen af andre overførselsgrundlag. Dette forudsætter dog, at modtageren er certificeret under det nye EU-U.S. Data Privacy Framework hos det amerikanske handelsministerium, hvilket AWS er. https://www.dataprivacyframework.gov/s/participant-search

Som en sikkerhedsforanstaltning ønsker vi ikke at offentliggøre den præcise lokation for opbevaring af krypteringsnøglerne, da dette kan udnyttes med negative konsekvenser til følge. Krypteringsnøglerne opbevares særskilt på lokationer som end ikke AWS har kendskab til.

Binero har hovedsæde i Sverige, hvorfor alt hosting sker på lokationer i Sverige. Ved Binero får man et europæisk setup, hvor man samtidigt er sikker på et højt sikkerhedsniveau, hvilket afspejles i deres certificeringer og erklæringer.

AWS er i henhold til deres standard underdatabehandleraftale forpligtet til at foretage behandling af data inden for dataregion EU-WEST (Irland). AWS har et setup, der er state-of-the-art, hvilket afspejles i deres
mange certificeringer og erklæringer.

Vi har redegjort for anmærkninger i vores seneste ISAE3000-erklæring. Dette er uddybet nærmere nedenfor:
Afvigelser i ISAE3000-erklæring

Som databehandler tilbyder vi løsninger til jer som dataansvarlige. Det er den dataansvarlige der skal overholde GDPR art. 12, 13 og 14. I enkelte af vores løsninger tilbyder vi at I som dataansvarlig at iagttage oplysningspligten navnlig ved at vi understøtter en underside hvor I har mulighed for at give de lovpligtige
oplysninger.

Som kunde skal I være opmærksom på hvem der skal overholde hvad i hvilken rolle. Det betyder at når I tilgår FirstAgenda hjemmeside(r) har disse hjemmesider ikke noget med levering af løsningerne at gøre og dermed er FirstAgenda dataansvarlig for den behandling af personoplysninger som sker på hjemmesiderne.

I selve løsningerne anvendes der ingen cookieteknologier.