Databeskyttelse og privatliv
I maj 2018 trådte GDPR i kraft og tvinger dermed alle EU-virksomheder til at garantere sikker og ansvarlig håndtering af personoplysninger. Vi i Twentyfour ser dette som en stor ændring i retning af gennemsigtighed og større kontrol for enkeltpersoner med hensyn til deres personlige data.
Databeskyttelsesforordningen / The General Data Protection Regulation (GDPR) er EUs initiativ til at beskytte borgernes personlige data. Den trådte i kraft den 25. maj 2018. Ved første øjekast ser det ud til, at GDPR kan generere en stor mængde ekstra arbejde for virksomheder, så de kan overholde alle disse nye regler, men formålet med GDPR er at sikre, at organisationen får et bedre overblik over de personoplysninger, der behandles af virksomhederne samt formål og juridisk grundlag for denne behandling.
Når det er sagt er GDPR intet mindre end en jungle af regler. Det er komplekst, stort og besværligt. Mange virksomheder har svært ved at forstå rækkevidden af den nye GDPR. Dette inspirerede os til at skabe et simpelt overblik over, hvordan vi overholder den gældende databeskyttelsesforordning – specielt efter indførelsen af GDPR og den nye databeskyttelseslov. Dette skulle gøre det lettere for dig som kunde hos Twentyfour at forstå og være fortrolig med vores tilgang.
Nedenfor finder du en gennemgang af de vigtige områder for, hvordan vi håndterer databehandling hos Twentyfour.
Når du indgår en aftale med Twentyfour, som indebærer behandling af personoplysninger, skal du acceptere vilkårene i vores databehandlingsaftale.Dokumentet, der indeholder hele GDPR i fuld længde, kan findes her: https://gdpr-info.eu/og retningslinjerne fra Datatilsynet kan findes her: https://www.datatilsynet.dk/generelt-om-databeskyttelse/vejledninger-og-skabeloner/.
Som kunde hos Twentyfour
Twentyfour vil altid sigte mod at udvikle sig i henhold til GDPR-standarder (dvs. overholde kravene om “privacy by design”) og bedste praksis for vores kunder og at gøre vores bedste for at informere og hjælpe alle kunder med at træffe de rigtige beslutninger for deres projekter.
Vores måde at arbejde med data på kan opdeles i tre områder
- Personlige data der håndteres på vegne af kunder (f.eks. når vi hoster et websted, kører en integration eller lignende)
- Personlige data om potentielle og eksisterende kunder håndteret af os.
- Situationer hvor vi bliver bedt om råd fra kunder om, hvordan de kan behandle data, sikkerhed, GDPR og lignende emner, når de køber et projekt eller en tjeneste fra Twentyfour.
I nedenstående afsnit kan du læse mere om, hvordan vi håndterer nr. 1 og nr. 2 fra ovenstående liste.
Når det kommer til nr. 3 (projekter, hvor vi er ansat som entreprenør), og vi bliver bedt om at rådgive om sikkerhed, regulering, GDPR eller lignende, kan du forvente, at vi altid gør vores yderste for at udføre opgaven. Vi er dog ikke i stand til at yde juridisk rådgivning eller være ansvarlige for eventuelle skader eller konsekvenser, der måtte følge af et projekt, vi bygger for en kunde i overensstemmelse med kundens specifikationer og instruktioner, og vi anbefaler altid at søge juridisk rådgivning, hvis en kunde har spørgsmål vedrørende implementering af GDPR – men vi vil selvfølgelig bidrage med teknisk input.
Ansvaret for at overholde relevant lovgivning er altid kundens.
Datalagring, tjenester og produkter
Hosting-tjenester
Twentyfour bruger et dansk hostingfirma, Curanet A/S, som underleverandør til de fleste hostingtjenester. Curanets servere er placeret i Danmark, hvilket betyder, at Twentyfours kundedata placeres og behandles inden for EU, og Twentyfour har indgået en databehandlingsaftale (en DPA) med Curanet for at sikre, at de overholder GDPR, når der behandles personoplysninger på vores vegne.
Udveksling af datatjenester
Twentyfour bruger forskellige systemintegrationer til at udveksle data på vegne af vores kunder og også til at understøtte interne forretningsprocesser. Twentyfour holder et overblik over de systemer, der er involveret i disse integrationer og sikrer, at datastrømmen mellem dem håndteres via en sikker forbindelse. Når det kommer til online-systemer, sikrer Twentyfour som et minimum, at de integrerede systemer kommunikerer via HTTPS, som er en overførselsprotokol krypteret af Secure Sockets Layer (SSL).
Twentyfour bruger KOEBT, en integrationsplatform, der bruges til at udveksle data mellem forskellige systemer til at håndtere de fleste integrationer. KOEBT er software, som vi har designet med privatlivet i fokus, og vi stræber efter at sikre, at de data, der behandles af platformen, er sikre.
Oversigt over Twentyfours produkter og tjenester
Nedenfor er en oversigt over de mest almindelige produkter og tjenester, der tilbydes af Twentyfour.
Produkter / tjenester | Beskrivelse |
Hosting | Twentyfour tilbyder hosting af deres kunders websites. Twentyfours servere administreres af en underleverandør – Curanet. |
KOEBT | Twentyfour tilbyder en integrationsplatform kaldet “KOEBT”, der håndterer udveksling af data mellem forskellige systemer. |
Opdater aftaler | Twentyfour tilbyder faste vedligeholdelsesaftaler for at holde kundens hjemmeside opdateret og sikker ved at minimere potentielle sikkerhedshuller. |
Kritisk supportaftale | Twentyfour tilbyder kritiske supportaftaler til kunderne med forretningskritiske løsninger, der kræver hurtige reaktionstider. Gennem sådanne aftaler giver Twentyfour sikkerhed og sikrer forretningskontinuitet for deres kunders. |
Administration af tredjeparts software og tjenester | Twentyfour tilbyder administration af tredjepartssoftware og tjenester relateret til kundens websites. Dette inkluderer plugins, systemer som UniLogin, backup-tjenester og andre. |
Sikkerhedspakker | Twentyfour tilbyder sikkerhedsoptimeringspakker, der er rettet mod beskyttelse af kundens løsninger og alle data, der er knyttet til det. Dette er en tilbagevendende tjeneste, hvor Twentyfour regelmæssigt kontrollerer sikkerhedsstillelsen for kundens løsninger. |
Systemer
Twentyfour bruger en række systemer til at understøtte interne forretningsprocesser og værdiskabelse for vores kunder. Nogle af systemerne erhverves fra tredjepartsudbydere. Systemerne, som Twentyfour bruger til at gemme data, inkluderer, men er ikke begrænset til:
System/udbyder | Funktion |
Google Suite | E-mail tjenester & dokumenter i cloud opbevaring |
Google Analytics | Marketing |
Google AdWords | Marketing |
Pipedrive | Kunderelationsstyring (CRM) |
Basecamp | Kommunikations- og projektstyring |
1Password | Sikker login opbevaring |
Campaign Monitor | Marketing |
New Relic | Overvågning |
Facebook pixel | Marketing |
BitBucket | Kodeopbevaring |
Github | Kodeopbevaring |
Slack | Intern kommunikation |
Weekdone | Rapportering |
E-conomic | Regnskab |
Twentyfour | Projektledelse og fakturering |
Databehandling
Læs vores databehandlingsaftale (DPA) for alle detaljer. Nedenfor har vi lavet en kort oversigt over, hvordan vi håndterer databehandling.
Databehandlingsaftalen er en del af vores vilkår og betingelser.
Behandling af personoplysninger
Når du starter et projekt med Twentyfour, accepterer du, at vi behandler dine og dine kunders data, når det er nødvendigt. Twentyfour behandler kun personoplysningerne, som du er ansvarlig for i overensstemmelse med dine instruktioner.
Hos Twentyfour delegeres opgaverne til medarbejdere, der er ansvarlige for personoplysninger, mens de arbejder på et projekt.
Opbevaring og sletning af personoplysninger
Hos Twentyfour sikrer vi, at personoplysninger behandles på vegne af kunden og opbevares i et fysisk og digitalt sikkert miljø.
Vi sikrer, at ethvert medium, hvor personlige data opbevares, er krypteret, adgangskodebeskyttet, beskyttet mod fysisk skade og tyveri ved at opbevare sådanne medier (f.eks. servere) sikkert i låste rum.
Hos Twentyfour sikrer vi yderligere, at opbevaring af personoplysninger kun finder sted, så længe personoplysningerne er relevante og nødvendige i overensstemmelse med databehandlingsaftalen for at udføre de handlinger, som vores kunde anmoder om.
Yderligere er alle personlige data, der behandles af Twentyfour, sikret med vores backup-løsning.
Adgang til personlig data
Kun medarbejdere, hvis opgaver inkluderer behandling af personoplysninger, har adgang til personoplysninger.
Fortrolighed
Vi sikrer, at personlige data ikke videregives eller overføres til tredjeparter uden for Twentyfour. Medarbejderne hos Twentyfour er forpligtet til at overholde reglerne om ikke-videregivelse i forhold til tredjemand såvel som andre Twentyfour-medarbejdere, der ikke har nogen arbejdsrelateret grund til at kende personoplysningerne.
Dataportabilitet
Alle kunder har ret til at overføre alle deres data i et maskinlæsbart format (f.eks. Excel, .txt osv.) Til et andet system, hvis de ønsker det. Efter anmodning overfører vi alle relevante data (som ikke ejes af Twentyfour) fra vores platforme til kunden.
Ret til at blive glemt
Hos Twentyfour er det altid muligt at bruge din ret til at blive glemt. Kontakt os blot på info@twentyfour.dk, hvis du er interesseret i at få slettet alle data.
Programmerne, der bruges på Twentyfour til sletning af personoplysninger, udføres med sikkerhed for at garantere tilstrækkelig overskrivning af de slettede data.
Privacy by design
Systemerne, der anvendes i Twentyfour, håndterer personlige data sikkert. Dette betyder, at al udveksling af data er krypteret.
For eksempel udvikler det ofte dataintegrationsløsninger gennem KOEBT (vores integrationsplatform) og for at sikre vores kunder sikkerhed krypteres data, der dirigeres mellem systemerne via KOEBT..
Twentyfour hjælper dig så meget som muligt med at sikre, at dataene håndteres korrekt og sikkert i alle systemer, men kunden er i sidste ende ansvarlig for design af og adgang til systemet, da Twentyfour overholder kundens specifikationer.
Risikovurdering
I de fleste tilfælde fungerer Twentyfour kun som databehandler for vores kunder i overensstemmelse med databehandlingsaftalen. Derfor er det Twentyfours kunders ansvar som dataansvarlig at foretage en risikovurdering, når databehandlingen sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder. I nogle tilfælde kan en kunde være forpligtet til at foretage en konsekvensanalyse jf. artikel 35 i GDPR, hvis kunden behandler specielle kategorier af personoplysninger (følsomme personoplysninger) i stor skala.
Hvis en kunde er usikker på, om en konsekvensanalyse er nødvendig, anbefaler vi kraftigt, at en juridisk ekspert høres.
I situationer, hvor Twentyfour er den dataansvarlige, foretager Twentyfour en risikovurdering for at identificere mulige risici og etablere nødvendige forholdsregler rettet mod beskyttelse af personoplysninger.
Databrud
I tilfælde af databrud er det obligatorisk at informere den nationale personoplysningsmyndighed (Datatilsynet i Danmark) inden for 72 timer efter at være opmærksom på overtrædelsen, hvis dataovertrædelsen indebærer en risiko for de registrerede (f.eks. Dine kunder, medarbejdere, andre ) påvirket af databrudet. Desuden skal de registrerede også informeres direkte uden unødig forsinkelse, hvis det overhovedet er muligt, hvis et databrud medfører risici, der ikke er væsentlige for den registrerede.
Hvis Twenyfour opdager et databrud, vil Twentyfour underrette de relevante kunder så hurtigt som muligt med så meget relevant information som muligt for at du kan vurdere indvirkningen af dataovertrædelsen for de registrerede.
SSL sikkerhed og kryptering
Alle systemer, der bruges af Twentyfour, kører SSL for at sikre sikker og krypteret kommunikation.
Sikker kommunikation fra en webbrowser til et system er noget, du skal være opmærksom på i din rolle som dataansvarlig. SSL (Secure Socket Layer) vises som en lille hængelås i browseren, når du besøger websites, der er beskyttet med SSL. Uden SSL vises hængelåsen med en rød linje over, og brugeren får vist en advarsel. Twentyfour vil, hvis SSL er købt, sørge for at opsætte SSL, men du skal sikre dig, at alle dine andre systemer også bruger SSL som det svageste led i kæden, bestemmer sikkerhedsniveauet i din opsætning.
Afsluttende ord
Du er altid velkommen til at kontakte os, hvis du har spørgsmål, bekymringer eller tanker med hensyn til databeskyttelse, regulering, GDPR eller lignende emner. Vi er her for at hjælpe.
Du er velkommen til at kontakte os på info@twentyfour.dk.
Tak skal du have.