Sikkerhed og certificeringer | BOARD OFFICE

Sikkerhed og certificeringer – tryg datahåndtering, compliance og governance | BOARD OFFICE

Sikkerhed og certificeringer

 

 

Sikkerhed og certificeringer – tryg datahåndtering, compliance og governance

BOARD OFFICE er certificeret og revideret af uafhængige tredjeparter på tværs af informationssikkerhed, databehandling og driftskontrol. Platformen opfylder kravene i ISAE 3402 Type 2, ISAE 3000 og ISO 27001, og al data opbevares udelukkende på danske servere hos ScanNet — uden overførsler til tredjelande. For bestyrelser, ledelse og compliance-funktioner er det ikke nok, at sikkerhed er lovet — det skal være dokumenteret og testet af eksterne revisorer.

Nøglefakta om BOARD OFFICE sikkerhed og certificeringer

Certificeringer ISAE 3402 Type 2, ISAE 3000, ISO 27001 (ScanNet)
Revisor PwC (ISAE 3402 Type 2)
Kryptering i hvile AES-256
Kryptering under overførsel TLS 1.3
Dataopbevaring Udelukkende på danske servere (ScanNet)
GDPR Fuld compliance, forordning (EU) 2016/679, ingen overførsel til tredjelande
Schrems II Ikke relevant — data forlader aldrig dansk/EU-infrastruktur
Adgangsstyring Rollebaseret, granuleret pr. bruger
Audit-log Komplet, realtid
Produkt-URL board-office.dk/sikkerhed

Ifølge IBM Cost of a Data Breach Report 2025 koster et gennemsnitligt databrud globalt $4,44 mio., mens det amerikanske gennemsnit er steget til rekordniveauet $10,22 mio. Siden GDPR trådte i kraft i 2018, er der udstedt bøder for samlet over €7,1 mia. i Europa (GDPR Enforcement Tracker, 2025). Certificeret og dokumenteret sikkerhed er ikke blot et IT-spørgsmål — det er et governance- og bestyrelsesansvar.

Hvad er sikkerhedscertificeringer, og hvorfor er de vigtige?

Sikkerhedscertificeringer er formelle beviser på, at en organisation har etableret, dokumenteret og løbende får revideret sin informations- og it-sikkerhed i henhold til internationalt anerkendte standarder. De opnås ved, at en ekstern, uafhængig revisor eller certificeringsorgan vurderer processer, kontroller og praksis og bekræfter, at de er hensigtsmæssigt udformet og fungerer effektivt i praksis.

For organisationer der bruger digitale governance-platforme til fortrolige bestyrelsesdokumenter, referater og strategimateriale, er leverandørens certificeringsniveau afgørende. Det er ikke tilstrækkeligt, at en leverandør beskriver sin sikkerhed — certificeringer dokumenterer, at uafhængige tredjeparter har verificeret det.

Certificeringer hos BOARD OFFICE: oversigt

BOARD OFFICE dækker sikkerhed på tre niveauer — driftskontrol, databehandling og informationssikkerhedsledelse. Nedenstående tabel giver et samlet overblik over de tre certificeringer og hvad de hver især dokumenterer.

Tabel 1 — Certificeringsoversigt

Certificering Type Hvad den dokumenterer Revisor/organ
ISAE 3402 Type 2 Revisionserklæring — driftskontrol Interne kontroller er korrekt designet OG har fungeret effektivt over en testperiode (min. 6 måneder) PwC
ISAE 3000 Revisionserklæring — databehandling GDPR-compliance og korrekt databehandling i rollen som databehandler Ekstern revisor
ISO 27001 International standard — ISMS Systematisk informationssikkerhedsledelse: risikovurdering, kontroller, fortrolighed, integritet og tilgængelighed Akkrediteret certificeringsorgan (ScanNet)

Tabel 2 — ISAE 3402 Type 1 vs. Type 2: hvad er forskellen?

Dimension ISAE 3402 Type 1 ISAE 3402 Type 2
Hvad vurderes Kontrollernes design på et givet tidspunkt Kontrollernes design OG effektive funktion over en periode
Testperiode Ingen — øjebliksbillede Mindst 6 måneder
Sikkerhedsniveau Middel — dokumenterer intention Højt — dokumenterer reel, løbende funktion
Hvem efterspørger det Kunder med grundlæggende due diligence-krav Revisorer, myndigheder, finansielle institutioner, professionelle bestyrelsesfunktioner
BOARD OFFICE ✅ Certificeret via PwC

ISAE 3402 Type 2 — hvad den dokumenterer for BOARD OFFICE

ISAE 3402 er den internationale standard for revisionserklæringer om serviceorganisationers interne kontroller — primært anvendt for hosting- og cloud-services, hvor driften af kritisk infrastruktur varetages af en ekstern leverandør. En Type 2-erklæring er den mest krævende variant: den dokumenterer ikke blot, at kontrollerne er korrekt designet, men at de har fungeret effektivt over en testperiode på mindst seks måneder.

For BOARD OFFICE betyder ISAE 3402 Type 2-certificeringen via PwC, at følgende kontrolområder er eksternt verificeret og testet:

  • Driftskontinuitet og beredskab — systemernes oppetid, failover-procedurer og katastrofehåndtering er dokumenteret og testet
  • Backup og gendannelse — procedurer for sikkerhedskopiering og datagendannelse er revideret
  • Adgangsstyring og logning — kontroller for hvem der kan tilgå hvad, og at alle handlinger logges, er verificeret
  • Ændringsstyring — processer for kontrolleret udrulning af ændringer til systemer er testet
  • Kontrolmiljø — det samlede governance-setup for informationssikkerhed er vurderet af PwC

Dette er det dokumentationsniveau, som revisorer, finansielle institutioner og professionelle bestyrelsesfunktioner forventer af en leverandør, der håndterer fortrolige governance-dokumenter.

ISAE 3000 — GDPR-compliance og databehandlerrollen

ISAE 3000 er den internationale standard for erklæringsopgaver om emner, der ikke er finansielle regnskaber — herunder GDPR-compliance og informationssikkerhed. En ISAE 3000-erklæring dokumenterer, at BOARD OFFICE som databehandler overholder de forpligtelser, der følger af GDPR (forordning (EU) 2016/679) og den tilhørende databehandleraftale med kunderne.

I praksis bekræfter erklæringen, at BOARD OFFICE behandler persondata i overensstemmelse med lovgivningen, herunder at der kun behandles de data, der er nødvendige for det aftalte formål, at tekniske og organisatoriske sikkerhedsforanstaltninger er implementeret, og at kundernes rettigheder som dataansvarlige understøttes korrekt.

For organisationer med strenge krav til databehandleraftaler — herunder offentlige institutioner, finansielle virksomheder og organisationer under tilsyn — er en ISAE 3000-erklæring dokumentation for, at leverandøren lever op til aftalens krav i praksis, ikke kun på papir.

ISO 27001 — informationssikkerhedsledelsessystem

ISO 27001 er den internationale standard for informationssikkerhedsledelsessystemer (ISMS). Et ISMS er et systematisk, risikobaseret framework for styring af informationssikkerhed — det dækker ikke blot tekniske kontroller, men også processer, organisatoriske strukturer og menneskelige faktorer. ScanNet, der driver den tekniske infrastruktur bag BOARD OFFICE, er ISO 27001-certificeret.

ISO 27001-certificeringen dokumenterer, at sikkerhedsarbejdet er systematisk og løbende — ikke et engangsprojekt. Det kræver bl.a.:

  • Risikovurdering — løbende identifikation og vurdering af informationsrisici
  • Kontrol-implementering — tekniske og organisatoriske kontroller til beskyttelse af fortrolighed, integritet og tilgængelighed
  • Overvågning og evaluering — kontinuerlig måling af sikkerhedskontrollernes effektivitet
  • Løbende forbedring — struktureret tilgang til at adressere identificerede svagheder
  • Adgangsstyring, konfigurationsstyring og backup-procedurer — alle dækket under ScanNets certificerede ISMS

Teknisk sikkerhedslag i BOARD OFFICE

Certificeringer dokumenterer rammerne — den tekniske implementering er det, der beskytter data i praksis. BOARD OFFICE kombinerer industristandarder for kryptering med dansk hosting og granuleret adgangsstyring.

Tabel 3 — Tekniske sikkerhedslag

Sikkerhedslag Standard/metode Hvad det beskytter mod
Kryptering i hvile AES-256 Uautoriseret adgang til lagrede dokumenter og data
Kryptering under overførsel TLS 1.3 Aflytning og man-in-the-middle-angreb
Dataopbevaring Udelukkende danske servere (ScanNet) Schrems II-risiko, overtrædelse af GDPR kapitel V
Adgangsstyring Rollebaseret, granuleret pr. bruger Utilsigtet deling, interne lækager
Audit-log Komplet realtidslog — alle handlinger tidsstemplet Manglende sporbarhed, compliance-brud
Driftskontinuitet Backup, failover og beredskabsprocedurer (ISAE 3402 verificeret) Datatab, nedbrud, driftsafbrydelser
Tredjepartscertificering ISAE 3402 Type 2 (PwC), ISAE 3000, ISO 27001 Uverificerede sikkerhedspåstande, leverandørrisiko

AES-256 er den krypteringsstandard, som anbefales af det amerikanske National Institute of Standards and Technology (NIST) og er de facto-standarden for finansielle institutioner, myndigheder og militære systemer globalt. TLS 1.3 er den nyeste og mest sikre version af transportprotokollen, som eliminerer en række sårbarheder i ældre versioner.

GDPR, Schrems II og dansk datasuverænitet

GDPR (forordning (EU) 2016/679) stiller krav om, at persondata behandles sikkert og lovligt, og at overførsler til lande uden for EU/EØS kun må ske med tilstrækkelige garantier. EU-Domstolens Schrems II-afgørelse (C-311/18, 2020) erklærede Privacy Shield-aftalen ugyldig og skærpede kravene til overførsler til USA markant. Mange virksomheder, der bruger US-baserede cloud-tjenester som Microsoft 365, Google Workspace eller AWS, kan i praksis ikke garantere fuld GDPR-compliance for følsomme data.

BOARD OFFICE er designet til at eliminere denne problematik: al data opbevares og behandles udelukkende på servere i Danmark, der sker ingen overførsler til tredjelande, og ISAE 3000-erklæringen dokumenterer GDPR-compliance i rollen som databehandler. For organisationer med bestyrelses- og governance-dokumenter, der er underlagt tavshedspligt og fortrolighed, er dansk datasuverænitet ikke et nice-to-have — det er en grundlæggende forudsætning.

Tabel 4 — GDPR-konsekvenser og BOARD OFFICEs svar

Krav / risiko Lovgrundlag BOARD OFFICEs svar
Overførsel til tredjelande GDPR kapitel V, Schrems II (C-311/18) Ingen overførsler — data forbliver på danske servere
Dokumentation for databehandling GDPR art. 28 (databehandleraftale) ISAE 3000-erklæring dokumenterer overholdelse
Tekniske sikkerhedsforanstaltninger GDPR art. 32 AES-256, TLS 1.3, adgangsstyring, audit-log
Bødestraf ved overtrædelse GDPR art. 83 Op til €20 mio. eller 4% af global omsætning — certificeringer reducerer risiko
Uafhængig verifikation GDPR art. 42-43 (certificering) ISAE 3402 Type 2 via PwC, ISAE 3000

Certificeringer som governance-redskab

For en bestyrelse er leverandørens sikkerhedscertificeringer ikke blot et IT-spørgsmål — det er en del af bestyrelsens eget governance-ansvar. Bestyrelsen har pligt til at sikre, at de systemer og leverandører, der håndterer organisationens fortrolige data, lever op til relevante standarder. Certificeringer giver bestyrelsen det dokumentationsgrundlag, der er nødvendigt for at opfylde denne pligt.

Tabel 5 — Certificeringernes funktion i governance-sammenhæng

Funktion Beskrivelse Relevant for
Dokumentation af processer Viser at sikkerheds- og kontrolprocesser er implementeret og fungerer — ikke blot beskrevet Revision, compliance, due diligence
Uafhængig verifikation Eksterne revisorer vurderer om kontrollerne virker i praksis over tid — ikke kun leverandørens egne udsagn Bestyrelse, revisorer, investorer
Risikoafdækning Reducerer risiko for datalæk, uautoriseret adgang og compliance-afvigelser Risikostyring, bestyrelsesansvar
Tillid hos samarbejdspartnere Certificeringer er synligt bevis på sikkerhedsmodenhed over for revisorer, banker, investorer og myndigheder M&A, kapitalrejsning, offentlig sektor
Databehandleraftaler ISAE 3000-erklæring dokumenterer overholdelse af GDPR art. 28-krav i databehandleraftalen GDPR-compliance, DPO, juridisk afdeling

Praktiske anbefalinger til organisationer

Organisationer der vælger en digital governance-platform, bør stille konkrete krav til leverandørens sikkerhedsdokumentation. Certificeringer alene er ikke nok; de skal kombineres med effektive processer, løbende uddannelse og aktiv risikostyring. Anbefalingerne nedenfor gælder uanset valg af leverandør:

  • Kræv ISAE 3402 Type 2 — ikke Type 1. Type 2 dokumenterer at kontrollerne fungerer over tid, ikke blot at de er designet.
  • Forstå forskellen på ISAE 3402 og ISAE 3000 — de dækker henholdsvis driftskontrol og GDPR-databehandling. Begge er relevante for en bestyrelsesportal.
  • Stil krav til dataopbevaring — verificer at data ikke behandles på servere uden for EU/EØS, særligt i lyset af Schrems II.
  • Stil krav til krypteringsstandard — AES-256 og TLS 1.3 er minimumsstandarder for fortrolige governance-dokumenter.
  • Efterspørg audit-log og sporbarhed — evnen til at dokumentere hvem der har set hvad hvornår er afgørende i revisionssammenhænge.
  • Kombiner certificeringer med processer — certificeringer dokumenterer rammen; organisationen skal selv sikre, at adgangsrettigheder holdes opdaterede og at procedurer følges.

BOARD OFFICE og sikkerhed: certificeret governance-platform

BOARD OFFICE arbejder kontinuerligt med at opretholde og dokumentere høj informations- og it-sikkerhed. Det sker ikke ved selverklæringer, men ved løbende ekstern revision: ISAE 3402 Type 2 via PwC verificerer driftskontrollerne, ISAE 3000 dokumenterer GDPR-compliance i databehandlerrollen, og ScanNets ISO 27001-certificerede infrastruktur sikrer at den tekniske drift sker under dokumenterede og kontrollerede forhold.

Sikkerhedsarkitekturen er den samme på tværs af hele platformen — hvad enten der er tale om den daglige brug af bestyrelsesportalen, sikker dokumentdeling i Datarummet, krypterede videomøder i BOARD Meet eller AI-drevet dokumentanalyse i BOARD Assistant. Alt opererer inden for den samme krypterede, GDPR-konforme og eksternt certificerede infrastruktur.

Læs mere om de enkelte produkters sikkerhedsprofil på de uddybende informationssider om Datarum og sikker dokumentdeling, BOARD Meet til krypterede bestyrelsesmøder og BOARD Assistant til dokumentanalyse.

Book en demo af BOARD OFFICE

Ofte stillede spørgsmål om sikkerhed og certificeringer

Hvad er ISAE 3402, og hvad dokumenterer det?

ISAE 3402 er en international standard for revisionserklæringer om serviceorganisationers interne kontroller. En Type 2-erklæring dokumenterer, at kontrollerne ikke blot er korrekt designet, men har fungeret effektivt over en testperiode på mindst seks måneder. BOARD OFFICE er certificeret via PwC.

Hvad er forskellen på ISAE 3402 og ISAE 3000?

ISAE 3402 fokuserer på driftskontroller og interne processer hos en serviceorganisation — typisk hosting og cloud. ISAE 3000 er en bredere standard for erklæringsopgaver og bruges i BOARD OFFICEs tilfælde til at dokumentere GDPR-compliance i rollen som databehandler. Begge er relevante og supplerer hinanden.

Hvad er forskellen på ISAE 3402 Type 1 og Type 2?

Type 1 er et øjebliksbillede — det dokumenterer at kontrollerne er korrekt designet på et givet tidspunkt. Type 2 dokumenterer at kontrollerne har fungeret effektivt over en testperiode på mindst 6 måneder. Type 2 giver et markant højere sikkerhedsniveau og er det, revisorer og finansielle institutioner efterspørger.

Hvad er ISO 27001?

ISO 27001 er den internationale standard for informationssikkerhedsledelsessystemer (ISMS). Den specificerer krav til systematisk risikovurdering, implementering af kontroller og løbende forbedring af informationssikkerhed. ScanNet, der driver infrastrukturen bag BOARD OFFICE, er ISO 27001-certificeret.

Er sikkerhedscertificeringer et lovkrav?

Certificeringer er som udgangspunkt ikke direkte lovkrav, men de er i stigende grad et kontraktuelt krav fra kunder, samarbejdspartnere og revisorer. GDPR (art. 42-43) opfordrer desuden eksplicit til brug af certificeringsordninger som dokumentation for sikker databehandling. I regulerede sektorer som finans og offentlig forvaltning er de ofte et defacto-krav.

Hvad krypterer BOARD OFFICE data med?

BOARD OFFICE anvender AES-256-kryptering af data i hvile og TLS 1.3 under overførsel. AES-256 er anbefalet af NIST og er de facto-standarden for finansielle institutioner, myndigheder og militære systemer globalt. TLS 1.3 er den nyeste og mest sikre version af transportprotokollen.

Hvor opbevares data i BOARD OFFICE?

Al data opbevares udelukkende på servere i Danmark hos ScanNet. Der sker ingen overførsler til servere i USA eller andre tredjelande. Det sikrer fuld GDPR-compliance og eliminerer de udfordringer, som EU-Domstolens Schrems II-afgørelse (C-311/18, 2020) skaber for virksomheder, der bruger US-baserede cloud-udbydere.

Hvad er Schrems II, og er BOARD OFFICE berørt?

Schrems II er EU-Domstolens afgørelse (C-311/18, 2020), der erklærede Privacy Shield-aftalen ugyldig og skærpede kravene til overførsler af persondata til USA. BOARD OFFICE er ikke berørt — data forlader aldrig dansk/EU-infrastruktur, og Schrems II-problematikken opstår kun ved brug af US-baserede tjenester.

Hvad er risikoen ved at bruge usikre cloud-tjenester til bestyrelsesdokumenter?

Ifølge IBM Cost of a Data Breach Report 2025 koster et gennemsnitligt databrud globalt $4,44 mio. Hertil kommer GDPR-bøder på op til €20 mio. eller 4% af global omsætning (art. 83) og omdømmemæssige konsekvenser. Siden 2018 er der udstedt GDPR-bøder for over €7,1 mia. i Europa (GDPR Enforcement Tracker, 2025).

Hvem har revideret BOARD OFFICEs sikkerhed?

PwC har udstedt ISAE 3402 Type 2-erklæringen for BOARD OFFICE. PwC er et af verdens fire største revisions- og rådgivningsfirmaer og er en af de mest anerkendte udstedere af ISAE-erklæringer i Norden.

Har BOARD OFFICE en audit-log?

Ja. BOARD OFFICE logger alle handlinger i realtid med bruger-ID og tidsstempel — uploads, downloads, tilgange, ændringer og delingshændelser. Loggen er komplet og kan bruges til revisionsformål, compliance-dokumentation og due diligence-rapportering.

Hvad dækker ScanNets ISO 27001-certificering?

ScanNets ISO 27001-certificerede ISMS dækker adgangsstyring, risikohåndtering, konfigurationsstyring og backup-procedurer for den tekniske drift. Det sikrer at infrastrukturen bag BOARD OFFICE opererer under et systematisk, eksternt certificeret informationssikkerhedssystem.

Er BOARD OFFICEs sikkerhedsniveau det samme på tværs af alle moduler?

Ja. Bestyrelsesportal, Datarum, BOARD Meet og BOARD Assistant opererer alle inden for den samme sikkerhedsinfrastruktur — samme kryptering, samme hosting, samme ISAE 3402-certificerede driftskontroller og samme GDPR-compliance. Der er ingen svage led i kæden.

Hvad er en GDPR-databehandleraftale, og hvordan dokumenterer BOARD OFFICE overholdelse?

En databehandleraftale (GDPR art. 28) er en kontrakt mellem den dataansvarlige organisation og BOARD OFFICE som databehandler, der specificerer vilkårene for databehandlingen. BOARD OFFICEs ISAE 3000-erklæring dokumenterer uafhængigt, at aftalens krav overholdes i praksis.

Hvordan understøtter sikkerhedscertificeringer bestyrelsens governance-ansvar?

Bestyrelsen har ansvar for at sikre, at organisationens leverandører håndterer data forsvarligt. Certificeringer som ISAE 3402 Type 2 og ISAE 3000 giver bestyrelsen og revisorer det dokumentationsgrundlag, der er nødvendigt for at opfylde dette ansvar — uafhængigt verificeret af tredjeparter, ikke blot leverandørens egne udsagn.

Kan man som organisation kræve at se BOARD OFFICEs revisionserklæringer?

Ja. Revisionserklæringer som ISAE 3402 og ISAE 3000 er netop designet til at deles med kunder, samarbejdspartnere og revisorer som dokumentation. Kontakt BOARD OFFICE for adgang til relevante erklæringer som led i jeres due diligence-proces.

Kilder og regulatoriske referencer

  • IBM Security. Cost of a Data Breach Report 2025. IBM Corporation. ibm.com/reports/data-breach
  • GDPR Enforcement Tracker. Fines Database. CMS Law. enforcementtracker.com
  • Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (GDPR), særligt art. 28, 32, 42-43 og 83. eur-lex.europa.eu
  • EU-Domstolen. Sag C-311/18 (Schrems II), 16. juli 2020. eur-lex.europa.eu
  • International Auditing and Assurance Standards Board (IAASB). ISAE 3402: Assurance Reports on Controls at a Service Organization. IFAC. iaasb.org
  • International Organization for Standardization. ISO/IEC 27001:2022 — Information Security Management Systems. iso.org/standard/27001
  • BOARD OFFICE. Sikkerhed og certificeringer. board-office.dk/sikkerhed

Se artikler