Data-beskyttelse

Hos FirstAgenda tager vi IT- og datasikkerhed meget alvorligt. På denne side kan du læse mere om hvordan vi lever op til IT-sikkerhed og datahåndtering og sikrer, at dine oplysninger ikke bliver misbrugt af tredjepart. FirstAgenda lever derfor op til gældende lovgivning om databeskyttelse

GDPR Compliance

Hos FirstAgenda indhenter vi årligt en ISAE3000 erklæring.

Erklæringen udarbejdes af en uafhængig tredjepart vedrørende FirstAgendas overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret samt indholdet af databehandleraftalen.

Historiske erklæringer

GDPR Compliance

Databehandleraftale

I ethvert kundeforhold behandler vi personoplysninger på vegne af vores kunder. I denne relation er vores kunder dataansvarlige, og vi er databehandler.

Det medfører, at både vi og vores kunder er forpligtet til at indgå en databehandleraftale, der indholdsmæssigt skal opfylde kravene i GDPR.

FirstAgenda bruger Datatilsynets standardkontraktsbestemmelser som databehandleraftale. Det giver den fordel, at vi opfylder vores fælles forpligtelse til at indgå en gyldig databehandleraftale.

FirstAgenda Prepare logo

Databehandleraftale - AWS

Du kan tilgå vores databehandleraftaler her

OBS: Du underskriver ikke automatisk databehandleraftalen, når du tilgår den.

Læs mere om vores brug af underdatabehandlere her

FirstAgenda Publication logo

Databehandleraftale

Du kan tilgå vores databehandleraftaler her

OBS: Du underskriver ikke automatisk databehandleraftalen, når du tilgår den.

Læs mere om vores brug af underdatabehandlere her

FirstAgenda Management logo

Databehandleraftale

Du kan tilgå vores databehandleraftaler her

OBS: Du underskriver ikke automatisk databehandleraftalen, når du tilgår den.

Læs mere om vores brug af underdatabehandlere her

FirstAgenda Live logo

Databehandleraftale

Du kan tilgå vores databehandleraftaler her

OBS: Du underskriver ikke automatisk databehandleraftalen, når du tilgår den.

Læs mere om vores brug af underdatabehandlere her

FirstAgenda Prepare logo

Databehandleraftale - Binero

Du kan tilgå vores databehandleraftaler her

OBS: Du underskriver ikke automatisk databehandleraftalen, når du tilgår den.

Læs mere om vores brug af underdatabehandlere her

Sikkerheds-foranstaltninger

Leverandører

Brug af anerkendte leverandører, der er ISO 27001:2013, 27017:2015, 27018:2014 og ISO 9001:2015 certificeret, til hosting af platform inden for leverandørens EU/EØS-dataregioner.

Ikon med en konvolut og et rødt plus-ikon

Backup og anti-malware

Daglig backup og opdateret anti-malware og virus på systemer og enheder.

Ikon med en sky og en rød pil

Brug af Multi Factor Authentication-login

Ikon med hængelås og et rødt nøglehul

Mulighed for Multi Factor Authentication-login til platformen og produktionsmiljø.

Fysisk sikring af lokaliteter med individuelle adgangsnøglebrikker og koder samt overvågning af faciliteter.

Ikon med en dør og et rødt nøglehul

Fysisk sikring af lokaliteter

Procedurer

Procedurer for tilgang til produktionsmiljø og adgang til kundedata.

Punktliste med et rødt flueben

Hardware

Genbrug af hardware sker udelukkende ved gendannelse af fabriksindstilling, og destruktion af hardware sker i henhold til markedsstandard herfor, så gendannelse af data er ikke mulig.

Ikon med en bærbar computer og et rødt hjerte

Fuld TLS- og HTTPS-kryptering af data i transit. 

Ikon med en talrække og et rødt nøglehul

Kryptering

Segmenteret og krypteret netværk samt tilkobling til Security Operation Center (SOC) via hostingleverandør.

Ikon med en globus og et rødt skjold

Netværk

Fuld redundans hos hovedleverandør af hosting- og driftsydelser til sikring af adgang og kontinurlig drift af platformen.

Ikon med en firkant og et rødt flueben

Redundans

Logning

Logning af adgang og handlinger i platformen og systemer.

Ikon med to stjerner og en rød blyant

Baggrundstjek

Ikon med et forstørrelsesglas og en rød stjerne

Baggrundstjek af medarbejdere.

Løbende tjek af platform

Fuld redundans hos hovedleverandør af hosting- og driftsydelser til sikring af adgang
og kontinurlig drift af platformen.

Dokument med to flueben og en rød blyant

FAQ

Her kan du finde svar på nogle af de spørgsmål, vi oftest bliver stillet i forhold til GDPR.

  • En databehandleraftale er et juridisk bindende dokument, der regulerer databehandlerens behandling af personoplysninger på vegne af den dataansvarlige. FirstAgenda er databehandler i forbindelse med levering af sine løsninger og i som kunder er dataansvarlige.

    For at sikre efterlevelse af databeskyttelsesforordningens bestemmelser, er det nødvendigt at indgå en kontrakt, der regulerer behandlingens omfang og varighed. I bedes bemærke, at det er jer som dataansvarlig, der har det overordnede ansvar.

  • FirstAgenda udbyder løsningerne Prepare, Publication, Live, Management og LetDialog.

    I bedes bemærke, at det er nødvendigt at databehandleraftalen indgås på produktniveau, da behandlingsaktiviteten varierer fra de forskellige løsninger.

    I det tilfælde at jeres organisation benytter flere løsninger, vil der skulle indgås tilsvarende antal databehandleraftaler. Det vil eksempelvis være nødvendigt at indgå to databehandleraftaler, hvis jeres organisation både benytter Prepare og Publication.

  • Ved brugen af FirstAgenda Publication forekommer der en behandling af personoplysninger som defineret i GDPR art. 4. Ved denne behandling af personoplysninger skal I som dataansvarlige være opmærksom på behandlingsaktiviteten er til forskel fra FirstAgenda Prepare, hvorfor vi som databehandler, er forpligtet under GDPR art. 28 til at modtage instruks og formål herfor for at udøve disse behandlingsaktiviteret i vores levering af FirstAgenda Publication

  • Der foreligger formaliserede procedurer, der sikrer, at FirstAgenda foretager en risikovurdering for at opnå en passende sikkerhed. Den foretagne risikovurdering er opdateret og omfatter den aktuelle behandling af personoplysninger. FirstAgenda har implementeret de tekniske foranstaltninger, som sikrer en passende sikkerhed i overensstemmelse med risikovurderingen.

    Vi indhenter årligt en ISAE3000 erklæring fra en uafhængig revisor, der bl.a. tester at der foreligger udførte risikovurderinger. Erklæringerne gøres tilgængelige på hjemmesiden, og tjener som dokumentation for vores efterlevelse af databeskyttelsesforordningen og databehandleraftalens bestemmelser.

  • Opbevaring af data sker i henhold til indgående databehandleraftale. Vi udfører løbende screening og kontrol med vores underdatabehandlere for at sikre passende behandlingssikkerhed.

    Vi har foretaget passende organisatoriske og tekniske sikkerhedsforanstaltninger, der sikrer at der ikke sker utilsigtede tredjelandsoverførsler, herunder men ikke begrænset til krypterings foranstaltninger i overensstemmelse med EDPBs anbefalinger herfor.

  • Hos FirstAgenda har vi tilkøbt det som service at AWS er forpligtet til at foretage behandling af data inden for dataregion EU-WEST (Irland), og dermed indenfor EU/EØS.

    FirstAgenda har i forlængelse af ovenstående truffet supplerende foranstaltninger der sikrer, at personoplysningerne er underlagt tilstrækkelig sikkerhed, og derfor ikke kan tilgås af utilsigtede tredjeparter. Der er foretaget krypteringsforanstaltninger i overensstemmelse med EDPB anbefalinger herfor, der sikrer opbevaring af krypteringsnøglen separat, så end ikke AWS har mulighed for at dekryptere

    FirstAgendas datasæt. Som en sikkerhedsforanstaltning ønsker vi ikke at offentliggøre den præcise lokation for opbevaring af krypteringsnøglen, da dette kan udnyttes.

    Vi gør opmærksom på at EU-Kommissionen vedtog d. 10. juli 2023 en tilstrækkelighedsafgørelse, der åbner op for overførsel af personoplysninger til USA uden anvendelsen af andre overførselsgrundlag. Dette forudsætter dog, at modtageren er certificeret under det nye EU-U.S. Data Privacy Framework hos det amerikanske handelsministerium, hvilket AWS er. https://www.dataprivacyframework.gov/s/participant-search

  • Som en sikkerhedsforanstaltning ønsker vi ikke at offentliggøre den præcise lokation for opbevaring af krypteringsnøglerne, da dette kan udnyttes med negative konsekvenser til følge. Krypteringsnøglerne opbevares særskilt på lokationer som end ikke AWS har kendskab til.

  • Binero har hovedsæde i Sverige, hvorfor alt hosting sker på lokationer i Sverige. Ved Binero får man et europæisk setup, hvor man samtidigt er sikker på et højt sikkerhedsniveau, hvilket afspejles i deres certificeringer og erklæringer.

    AWS er i henhold til deres standard underdatabehandleraftale forpligtet til at foretage behandling af data inden for dataregion EU-WEST (Irland). AWS har et setup, der er state-of-the-art, hvilket afspejles i deres mange certificeringer og erklæringer.

  • Vi har redegjort for anmærkninger i vores seneste ISAE3000-erklæring. Dette er uddybet nærmere nedenfor:

    Afvigelser i ISAE3000-erklæring

  • Som databehandler tilbyder vi løsninger til jer som dataansvarlige. Det er den dataansvarlige der skal overholde GDPR art. 12, 13 og 14. I enkelte af vores løsninger tilbyder vi at I som dataansvarlig at iagttage oplysningspligten navnlig ved at vi understøtter en underside hvor I har mulighed for at give de lovpligtigeoplysninger.

  • Som kunde skal I være opmærksom på hvem der skal overholde hvad i hvilken rolle. Det betyder at når I tilgår FirstAgenda hjemmeside(r) har disse hjemmesider ikke noget med levering af løsningerne at gøre og dermed er FirstAgenda dataansvarlig for den behandling af personoplysninger som sker på hjemmesiderne.

    I selve løsningerne anvendes der ingen cookieteknologier.

Læs mere om FirstAgenda Prepare

Vi udvikler digitale løsninger der gør livet lettere.