Implementerede sikkerhedsforanstaltninger
Fra og med Databehandlervilkårenes ikrafttrædelsesdato implementerer og vedligeholder Evovia de herunder konkrete sikkerhedsforanstaltninger, som er angivet i dette dokument fra tid til anden, forudsat at sådanne opdateringer og ændringer ikke medfører forringelse af den samlede implementerede sikkerhed af Evovia Portal og de eventuelt supplerende tjenester, der skal leveres til Kunden.
Evovia har ved fastlæggelsen af sikkerhedsforanstaltninger fulgt standarderne ISO 27001 og ISO 27002. Evovia kan løbende ændre i gennemførte sikkerhedsforanstaltninger, idet ændringer i sikkerhedsforanstaltninger dog aldrig må føre til en forringelse af sikkerhedsniveauet.
Generelle sikkerhedsforanstaltninger
Alle medarbejdere i Databehandlerens Support (og databehandler-underleverandører) har genereret et langt og ikke simpelt password til systemet – mindst 16 karakterer og to-faktorgodkendelse.
Adgang til servere håndteres ved underleverandører. Adgang til servere sker ved hjælp af nøglefiler.
Underleverandører arbejder ikke med data medmindre Dataansvarlige har givet tilladelser hertil.
Datacenter og netværkssikkerhed
Data hostes i tysk datacenter, Hetzner, Online GmbH som er certificeret efter ISO 27001. Se her.
Data sendes ikke til andre end de brugere, der er logget ind.
Ved forsøg på adgang til vores servere, blokeres efter 3 forgæves forsøg.
Datasikkerhed
Alle indtastninger og udlæsninger af data foregår via sikker webforbindelse (https) til vores webservere. De servere, der driver selve hjemmesiden, er virtuelle servere. Disse servere opbevarer ikke data. Adgang til disse servere er styret af en firewall, der automatisk åbner for godkendte medarbejdere - andre får slet ikke lov til at forsøge at logge ind.
Data overføres fra disse servere til et sæt virtuelle databaseservere. 2 servere hos Hetzner i Tyskland for at sikre høj oppetid og 1 server hos Hetzner i Finland som backup. 1 gang i døgnet tages backup i Finland på en separat disk. Adgangen til databaserservere er låst ned til udvalgte medarbejdere.
Alle medarbejdere i Databehandlerens Support (og databehandler-underleverandører) har genereret et langt og ikke simpelt password til systemet – mindst 16 karakterer og to-faktorgodkendelse.
Adgang til servere håndteres ved underleverandører. Adgang til servere sker ved hjælp af nøglefiler.
Underleverandører arbejder ikke med data med mindre Dataansvarlige har givet tilladelser hertil.
Autorisation og Adgangskontroller
Evovia er en platform, hvor forskellige brugere har adgang til forskelligt data – en del af denne adgangsstyring påhviler dataansvarlige selv. Generelt sker adgangstildeling kun efter ønske/pålæg fra kunden, som er dataansvarlig.
Hvis Dataansvarlige beder os arbejde med det, så kan Databehandler arbejde med det på vegne af Dataansvarlige. Adgang til dette sker ved, at Kunden aktivt sætter et flueben i supportadgang og efter endt brug fjerner det igen. Handlingen logges.
Ved forsøg på adgang til vores servere, blokeres efter 3 forgæves forsøg.
Logning af data sker på den måde, at der i dokumentets top står, hvem der har set dokumentet og hvornår.
Sletning
Når en kunde sletter en medarbejder, som ikke længere er ansat, slettes medarbejder efter 14 dage, mens de indtastede data i MUS o.l. opbevares i lederens arkiv i 5 år med bl.a. score og aftaler.
Når et firma ønsker at stoppe hos Evovia, slettes firmaet efter 14 dage - og er helt ude af enhver backup inden for 90 dage.
Medarbejdersikkerhed
Leverandør benytter hjemmearbejdspladser. Og alt data opbevares online og vil normalt kun berøre medarbejderes computere i det omfang hjemmesiden caches på medarbejders PC.
Data udleveret til behandling på medarbejders PC - efter aftale med Dataansvarlige - behandles fortroligt og slettes umiddelbart efter endt anvendelse.
Transmission af data mellem medarbejdere sker i krypterede e-mails eller krypterede vedhæftede filer.
Inddatamateriale om indeholder personoplysninger
Inddata er, hvad den enkelte bruger taster ind i systemet.
Kun hvis Dataansvarlige beder os om det, kan en Support medarbejder evt. tilgå det. Det sker ved at kunden/brugeren/dataansvarlige aktivt sætter et flueben, og efter endt brug fjerner det igen. Handlingen logges.
Uddatamateriale som indeholder personoplysninger
Ikke relevant her. Kun hvis Dataansvarlige eksplicit giver os tilladelse til det i en given situation, kan en Support medarbejder evt. tilgå det.
Engagering af underdatabehandlere
Før engagering af en underdatabehandler gennemfører Evovia en due diligence eller tilsyn med de sikkerhedsforanstaltninger og de principper for databeskyttelse, som underdatabehandleren har implementeret, sådan at det sikres, at den pågældende underdatabehandler har et sikkerhedsniveau, som er passende i forhold til de behandlingsaktiviteter, de skal udføre for Evovia. Når en underdatabehandler er vurderet egnet til varetagelse af behandlingsaktiviteter, indgår Evovia skriftlig aftale med underdatabehandleren i overensstemmelse med Databehandlervilkårenes krav.
Version, april 2022