GDPR-compliance
QA Compliance
Notat:
Databehandler = HeroBase (Hero Outbound)
Dataansvarlig = HeroBases kunder
Q: Hvordan har databehandleren sikret tilgængelighed og robusthed for systemer og tjenester, som anvendes til at behandle personoplysninger og hvordan har databehandleren sikret integriteten af personoplysninger, som behandles i det pågældende system?
A: Alt udstyr er:
- Redundant
- Overvåges
- Findes kun i datacentre med aflagt ISAE3402 type II (eller tilsvarende) -erklæring.
- Endvidere er data beskyttet ad flere lag firewalls.
Alle væsentlige handlinger på platformen logges. En lang række kontroller er knyttet hertil, jf. vores ISMS baseret på ISO27001+27002.
Se mere på https://herobase.com/compliance
Al netværkstrafik overvåges.
Autentificering (både via API og brugergrænseflade) sker via tre variable.
Databasen repliceres løbende (i real time) til fire slaveinstanser, foruden at der tages backup til offsite lokation natligt.
Q: Hvordan har databehandler sikret fortroligheden af personoplysninger, som behandles og hvilke tekniske og organisatoriske beskyttelsesforholdsregler er blevet gennemført for at sikre ansvarlighed og sporbarhed af brugen af personoplysninger?
A: Alle nævnte forhold er en del af vores ISMS.
Vi har kontroller på alle aspekter vedr. adgangskontrol, platformsrettigheder og lignende.
Vi har en klar og veldefineret organisation, med funktionsadskillelse som gør at afhængighed af nøglepersoner er reduceret mest muligt.
Der er desuden indført funktionsadskillelse på områder, hvor der er risiko for at der kan forekomme misbrug af virksomhedens data og informationer.
Vi har procedurer som omhandler omfanget, behandling, beskyttelse og kontrol af logning på forskellige systemtyper.
Vi har intern træning og awareness kampagner.
Al dataudveksling sker sikkert og krypteret.
Alle ændringer på data registreres.
Alle logins og væsentlige brugerhandlinger i Hero Outbound overvåges og logges.
Logningen af væsentlige brugerhandlinger omhandler bl.a. dataeksport, således at kundeadministratorer har overblik over hvilke brugere, der tilgår og eksporterer data.
Alle væsentlige ændringer i konfigurationer registreres. Disse registreringer er også tilgængelige for kundeadministratorer gennem synlige logs i brugergrænsefladen.
Logningsniveauet omfatter også medarbejdere hos HeroBase, hvormed det kontrolleres at disse ikke tilgår kundedata uden der er et arbejdsrelateret behov for det. Dette kontrolleres og efterprøves detaljeret på stikprøvebasis.
Databaser kan ikke nås via offentligt internet men kun VPN.
Q: Hvilke fysiske sikkerhedsordninger er blevet gennemført på de lokationer, hvor der sker behandling eller opbevaring af personoplysninger eller elektroniske kopier af personoplysninger?
A: Alt udstyr findes kun i datacentre med aflagt ISAE3402 type II (eller tilsvarende)-erklæring.
HeroBase kontorlokation er underlagt en række procedurer som sikrer kontoret samt materiale og enheder opbevaret på kontoret, upåagtet at servere kun forefindes i datacentre. Dette betyder bl.a. procedurer rettet mod medarbejderne, der beskriver sikringstiltag for kontorer, fællesområder og lign. områder.
Q: Hvilke tekniske og organisatoriske sikkerhedsordninger og procedurer er blevet gennemført i relation til dataopbevaring og sletning og hvordan vil databehandleren sikre omplacering af personoplysninger?
A: Alle emner tilhører kampagner, som tilhører projekter.
På projektniveau kan sletteregler for data defineres, således at alle (eller udvalgte) data på emner afsluttet med bestemte statusser automatisk slettes efter ”x” dage.
Disse regler eksekveres natligt på Hero Outbounds databaseservere, og sletter data ud fra regler opsat af vores kunder.
Hero Outbound registrerer alle ændringer på data på et emne, der behandles i vores software, samt alle interaktioner med det pågældende emne.
Vores kunder kan som dataansvarlige fremsøge alle emner indlæst og behandlet i Hero Outbound, og se en fuld liste over:
- interaktioner med hvert enkelt emne.
- al data, der findes på de enkelte emner.
- ændringer, der har fundet sted i data på det enkelte emne.
Således registreres alle behandlingsaktiviteter eksplicit, og er tilgængelige for kunden direkte i Hero Outbounds brugergrænseflade.
Vores kunder kan som dataansvarlige fremsøge enkelte emner:
- blokere dem for fremtidig kontakt, og/eller slette al data, der findes på de enkelte emner.
- og redigere/berigtige information på de enkelte emner.
- eksportere ovennævnte data, således at data kan fremsendes til et datasubjekt; slettes fra Hero Outbound; og datasubjektet med sine data kan flyttes til et andet system eller serviceydelse. Hero Outbound understøtter således vores kunder som dataansvarlige i at overholde de registreredes rettigheder, og i udgangspunktet håndtere disse effektivt og uden unødigt ophold.
Al dataudveksling sker kun krypteret. Dette indbefatter også vores API, med hvilket dataansvarlig har mulighed for at hente al data fra Hero Outbound, hvis de ønsker.
På forlangende kan data endvidere udleveres på krypterede fysiske medier til dataansvarlig. Vi har interne procedurer for dette.
Q: Hvilke mekanismer er på plads for den dataansvarlige, som giver den dataansvarlige mulighed for at tilgå, berigtige, slette, begrænse og blokere og håndtere indsigelser mod behandlingen af personoplysninger?
A: Hero Outbound registrerer alle ændringer på data på et emne, der behandles i vores software, samt alle interaktioner med det pågældende emne.
Vores kunder kan som dataansvarlige fremsøge alle emner indlæst og behandlet i Hero Outbound, og se en fuld liste over:
- interaktioner med hvert enkelt emne.
- al data, der findes på de enkelte emner.
- ændringer, der har fundet sted i data på det enkelte emne.
Således registreres alle behandlingsaktiviteter eksplicit, og er tilgængelige for kunden direkte i Hero Outbounds brugergrænseflade.
Vores kunder kan som dataansvarlige:
- fremsøge enkelte emner
- blokere dem for fremtidig kontakt, og/eller slette al data, der findes på de enkelte emner.
- redigere/berigtige information på de enkelte emner.
- eksportere ovennævnte data, således at data kan fremsendes til et datasubjekt; slettes fra Hero Outbound; og datasubjektet med sine data kan flyttes til et andet system eller serviceydelse.
Hero Outbound understøtter således vores kunder som dataansvarlige i at overholde de registreredes rettigheder, og i udgangspunktet håndtere disse effektivt og uden unødigt ophold.
Q: Hvordan har databehandleren struktureret sin egen organisation for at overholde kravene til databeskyttelse?
A: Ledelsen er overordnet ansvarlig for IT- sikkerhed, og for at virksomhedens overordnede IT-sikkerhedspolitik overholdes.
Ved siden af den daglige funktionsopdelte organisation er der organiseret en sikkerhedsorganisation, med et informationssikkerhedsudvalg bestående af nøglemedarbejdere fra forskellige dele af HeroBase inkl. ledelsen, samt en informationssikkerhedskoordinator som har det daglige, operationelle ansvar for en række opgaver defineret i HeroBase´s informationssikkerhedsregelsæt.
Informationssikkerhedskoordinatoren er desuden ansvarlig for at alle medarbejdere kender til informationssikkerhedshåndbogen, herunder regler og procedurer, hjælper dem med at tilgå og forstå den samt udleve og overholde reglerne.
Slutteligt er ansvar for en række forhold omhandlende de forretningssystemer, som understøtter det daglige arbejde med at levere produktet og ydelsen Hero Outbound, uddelt til systemejerne.
Q: Hvilken dokumentation er på plads for at dokumentere tekniske og organisatoriske sikkerhedsforanstaltninger i forhold til relevante systemer og processer?
A: Vi kontrollerer løbende at regler og procedurer bliver efterlevet, fulgt og dokumenteret.
Vi sikrer at vi handler inden for gældende lovgivning og i øvrigt efterlever krav som stilles til dokumentation af national lovgivning.
Vi sikrer at persondata beskyttes og behandles i overensstemmelse med Persondataloven og GDPR.
ISO27001 har i årevis været brugt som referenceramme for informationssikkerhed i HeroBase og omkring udvikling og drift af Hero Outbound.
Vi er aktuelt ved at få afgivet vores første ISAE3402-erklæring på leverance af produktet og ydelsen Hero Outbound, hvorfor der er tale om en type I-erklæring. Det er forankret i ledelsen at efterlevelsen af regler og procedurer i vores informationssikkerhedsregelsæt, herunder kontroller som knytter sig til regler og procedurer, skal formaliseres, dokumenteres og underlægges årlig revision af en ekstern IT-revisor, hvorfor vi også for fremtiden vil få udarbejdet ISAE3402 (type II) erklæringer.