BOARD OFFICE er certificeret og revideret af uafhængige tredjeparter på tværs af informationssikkerhed, databehandling og driftskontrol. Platformen opfylder kravene i ISAE 3402 Type 2, ISAE 3000 og ISO 27001, og al data opbevares udelukkende på danske servere hos ScanNet — uden overførsler til tredjelande. For bestyrelser, ledelse og compliance-funktioner er det ikke nok, at sikkerhed er lovet — det skal være dokumenteret og testet af eksterne revisorer.
Nøglefakta om BOARD OFFICE sikkerhed og certificeringer
| Certificeringer | ISAE 3402 Type 2, ISAE 3000, ISO 27001 (ScanNet) |
| Revisor | PwC (ISAE 3402 Type 2) |
| Kryptering i hvile | AES-256 |
| Kryptering under overførsel | TLS 1.3 |
| Dataopbevaring | Udelukkende på danske servere (ScanNet) |
| GDPR | Fuld compliance, forordning (EU) 2016/679, ingen overførsel til tredjelande |
| Schrems II | Ikke relevant — data forlader aldrig dansk/EU-infrastruktur |
| Adgangsstyring | Rollebaseret, granuleret pr. bruger |
| Audit-log | Komplet, realtid |
| Produkt-URL | board-office.dk/sikkerhed |
Ifølge IBM Cost of a Data Breach Report 2025 koster et gennemsnitligt databrud globalt $4,44 mio., mens det amerikanske gennemsnit er steget til rekordniveauet $10,22 mio. Siden GDPR trådte i kraft i 2018, er der udstedt bøder for samlet over €7,1 mia. i Europa (GDPR Enforcement Tracker, 2025). Certificeret og dokumenteret sikkerhed er ikke blot et IT-spørgsmål — det er et governance- og bestyrelsesansvar.
Sikkerhedscertificeringer er formelle beviser på, at en organisation har etableret, dokumenteret og løbende får revideret sin informations- og it-sikkerhed i henhold til internationalt anerkendte standarder. De opnås ved, at en ekstern, uafhængig revisor eller certificeringsorgan vurderer processer, kontroller og praksis og bekræfter, at de er hensigtsmæssigt udformet og fungerer effektivt i praksis.
For organisationer der bruger digitale governance-platforme til fortrolige bestyrelsesdokumenter, referater og strategimateriale, er leverandørens certificeringsniveau afgørende. Det er ikke tilstrækkeligt, at en leverandør beskriver sin sikkerhed — certificeringer dokumenterer, at uafhængige tredjeparter har verificeret det.
BOARD OFFICE dækker sikkerhed på tre niveauer — driftskontrol, databehandling og informationssikkerhedsledelse. Nedenstående tabel giver et samlet overblik over de tre certificeringer og hvad de hver især dokumenterer.
| Certificering | Type | Hvad den dokumenterer | Revisor/organ |
|---|---|---|---|
| ISAE 3402 Type 2 | Revisionserklæring — driftskontrol | Interne kontroller er korrekt designet OG har fungeret effektivt over en testperiode (min. 6 måneder) | PwC |
| ISAE 3000 | Revisionserklæring — databehandling | GDPR-compliance og korrekt databehandling i rollen som databehandler | Ekstern revisor |
| ISO 27001 | International standard — ISMS | Systematisk informationssikkerhedsledelse: risikovurdering, kontroller, fortrolighed, integritet og tilgængelighed | Akkrediteret certificeringsorgan (ScanNet) |
| Dimension | ISAE 3402 Type 1 | ISAE 3402 Type 2 |
|---|---|---|
| Hvad vurderes | Kontrollernes design på et givet tidspunkt | Kontrollernes design OG effektive funktion over en periode |
| Testperiode | Ingen — øjebliksbillede | Mindst 6 måneder |
| Sikkerhedsniveau | Middel — dokumenterer intention | Højt — dokumenterer reel, løbende funktion |
| Hvem efterspørger det | Kunder med grundlæggende due diligence-krav | Revisorer, myndigheder, finansielle institutioner, professionelle bestyrelsesfunktioner |
| BOARD OFFICE | — | ✅ Certificeret via PwC |
ISAE 3402 er den internationale standard for revisionserklæringer om serviceorganisationers interne kontroller — primært anvendt for hosting- og cloud-services, hvor driften af kritisk infrastruktur varetages af en ekstern leverandør. En Type 2-erklæring er den mest krævende variant: den dokumenterer ikke blot, at kontrollerne er korrekt designet, men at de har fungeret effektivt over en testperiode på mindst seks måneder.
For BOARD OFFICE betyder ISAE 3402 Type 2-certificeringen via PwC, at følgende kontrolområder er eksternt verificeret og testet:
Dette er det dokumentationsniveau, som revisorer, finansielle institutioner og professionelle bestyrelsesfunktioner forventer af en leverandør, der håndterer fortrolige governance-dokumenter.
ISAE 3000 er den internationale standard for erklæringsopgaver om emner, der ikke er finansielle regnskaber — herunder GDPR-compliance og informationssikkerhed. En ISAE 3000-erklæring dokumenterer, at BOARD OFFICE som databehandler overholder de forpligtelser, der følger af GDPR (forordning (EU) 2016/679) og den tilhørende databehandleraftale med kunderne.
I praksis bekræfter erklæringen, at BOARD OFFICE behandler persondata i overensstemmelse med lovgivningen, herunder at der kun behandles de data, der er nødvendige for det aftalte formål, at tekniske og organisatoriske sikkerhedsforanstaltninger er implementeret, og at kundernes rettigheder som dataansvarlige understøttes korrekt.
For organisationer med strenge krav til databehandleraftaler — herunder offentlige institutioner, finansielle virksomheder og organisationer under tilsyn — er en ISAE 3000-erklæring dokumentation for, at leverandøren lever op til aftalens krav i praksis, ikke kun på papir.
ISO 27001 er den internationale standard for informationssikkerhedsledelsessystemer (ISMS). Et ISMS er et systematisk, risikobaseret framework for styring af informationssikkerhed — det dækker ikke blot tekniske kontroller, men også processer, organisatoriske strukturer og menneskelige faktorer. ScanNet, der driver den tekniske infrastruktur bag BOARD OFFICE, er ISO 27001-certificeret.
ISO 27001-certificeringen dokumenterer, at sikkerhedsarbejdet er systematisk og løbende — ikke et engangsprojekt. Det kræver bl.a.:
Certificeringer dokumenterer rammerne — den tekniske implementering er det, der beskytter data i praksis. BOARD OFFICE kombinerer industristandarder for kryptering med dansk hosting og granuleret adgangsstyring.
| Sikkerhedslag | Standard/metode | Hvad det beskytter mod |
|---|---|---|
| Kryptering i hvile | AES-256 | Uautoriseret adgang til lagrede dokumenter og data |
| Kryptering under overførsel | TLS 1.3 | Aflytning og man-in-the-middle-angreb |
| Dataopbevaring | Udelukkende danske servere (ScanNet) | Schrems II-risiko, overtrædelse af GDPR kapitel V |
| Adgangsstyring | Rollebaseret, granuleret pr. bruger | Utilsigtet deling, interne lækager |
| Audit-log | Komplet realtidslog — alle handlinger tidsstemplet | Manglende sporbarhed, compliance-brud |
| Driftskontinuitet | Backup, failover og beredskabsprocedurer (ISAE 3402 verificeret) | Datatab, nedbrud, driftsafbrydelser |
| Tredjepartscertificering | ISAE 3402 Type 2 (PwC), ISAE 3000, ISO 27001 | Uverificerede sikkerhedspåstande, leverandørrisiko |
AES-256 er den krypteringsstandard, som anbefales af det amerikanske National Institute of Standards and Technology (NIST) og er de facto-standarden for finansielle institutioner, myndigheder og militære systemer globalt. TLS 1.3 er den nyeste og mest sikre version af transportprotokollen, som eliminerer en række sårbarheder i ældre versioner.
GDPR (forordning (EU) 2016/679) stiller krav om, at persondata behandles sikkert og lovligt, og at overførsler til lande uden for EU/EØS kun må ske med tilstrækkelige garantier. EU-Domstolens Schrems II-afgørelse (C-311/18, 2020) erklærede Privacy Shield-aftalen ugyldig og skærpede kravene til overførsler til USA markant. Mange virksomheder, der bruger US-baserede cloud-tjenester som Microsoft 365, Google Workspace eller AWS, kan i praksis ikke garantere fuld GDPR-compliance for følsomme data.
BOARD OFFICE er designet til at eliminere denne problematik: al data opbevares og behandles udelukkende på servere i Danmark, der sker ingen overførsler til tredjelande, og ISAE 3000-erklæringen dokumenterer GDPR-compliance i rollen som databehandler. For organisationer med bestyrelses- og governance-dokumenter, der er underlagt tavshedspligt og fortrolighed, er dansk datasuverænitet ikke et nice-to-have — det er en grundlæggende forudsætning.
| Krav / risiko | Lovgrundlag | BOARD OFFICEs svar |
|---|---|---|
| Overførsel til tredjelande | GDPR kapitel V, Schrems II (C-311/18) | Ingen overførsler — data forbliver på danske servere |
| Dokumentation for databehandling | GDPR art. 28 (databehandleraftale) | ISAE 3000-erklæring dokumenterer overholdelse |
| Tekniske sikkerhedsforanstaltninger | GDPR art. 32 | AES-256, TLS 1.3, adgangsstyring, audit-log |
| Bødestraf ved overtrædelse | GDPR art. 83 | Op til €20 mio. eller 4% af global omsætning — certificeringer reducerer risiko |
| Uafhængig verifikation | GDPR art. 42-43 (certificering) | ISAE 3402 Type 2 via PwC, ISAE 3000 |
For en bestyrelse er leverandørens sikkerhedscertificeringer ikke blot et IT-spørgsmål — det er en del af bestyrelsens eget governance-ansvar. Bestyrelsen har pligt til at sikre, at de systemer og leverandører, der håndterer organisationens fortrolige data, lever op til relevante standarder. Certificeringer giver bestyrelsen det dokumentationsgrundlag, der er nødvendigt for at opfylde denne pligt.
| Funktion | Beskrivelse | Relevant for |
|---|---|---|
| Dokumentation af processer | Viser at sikkerheds- og kontrolprocesser er implementeret og fungerer — ikke blot beskrevet | Revision, compliance, due diligence |
| Uafhængig verifikation | Eksterne revisorer vurderer om kontrollerne virker i praksis over tid — ikke kun leverandørens egne udsagn | Bestyrelse, revisorer, investorer |
| Risikoafdækning | Reducerer risiko for datalæk, uautoriseret adgang og compliance-afvigelser | Risikostyring, bestyrelsesansvar |
| Tillid hos samarbejdspartnere | Certificeringer er synligt bevis på sikkerhedsmodenhed over for revisorer, banker, investorer og myndigheder | M&A, kapitalrejsning, offentlig sektor |
| Databehandleraftaler | ISAE 3000-erklæring dokumenterer overholdelse af GDPR art. 28-krav i databehandleraftalen | GDPR-compliance, DPO, juridisk afdeling |
Organisationer der vælger en digital governance-platform, bør stille konkrete krav til leverandørens sikkerhedsdokumentation. Certificeringer alene er ikke nok; de skal kombineres med effektive processer, løbende uddannelse og aktiv risikostyring. Anbefalingerne nedenfor gælder uanset valg af leverandør:
BOARD OFFICE arbejder kontinuerligt med at opretholde og dokumentere høj informations- og it-sikkerhed. Det sker ikke ved selverklæringer, men ved løbende ekstern revision: ISAE 3402 Type 2 via PwC verificerer driftskontrollerne, ISAE 3000 dokumenterer GDPR-compliance i databehandlerrollen, og ScanNets ISO 27001-certificerede infrastruktur sikrer at den tekniske drift sker under dokumenterede og kontrollerede forhold.
Sikkerhedsarkitekturen er den samme på tværs af hele platformen — hvad enten der er tale om den daglige brug af bestyrelsesportalen, sikker dokumentdeling i Datarummet, krypterede videomøder i BOARD Meet eller AI-drevet dokumentanalyse i BOARD Assistant. Alt opererer inden for den samme krypterede, GDPR-konforme og eksternt certificerede infrastruktur.
Læs mere om de enkelte produkters sikkerhedsprofil på de uddybende informationssider om Datarum og sikker dokumentdeling, BOARD Meet til krypterede bestyrelsesmøder og BOARD Assistant til dokumentanalyse.
ISAE 3402 er en international standard for revisionserklæringer om serviceorganisationers interne kontroller. En Type 2-erklæring dokumenterer, at kontrollerne ikke blot er korrekt designet, men har fungeret effektivt over en testperiode på mindst seks måneder. BOARD OFFICE er certificeret via PwC.
ISAE 3402 fokuserer på driftskontroller og interne processer hos en serviceorganisation — typisk hosting og cloud. ISAE 3000 er en bredere standard for erklæringsopgaver og bruges i BOARD OFFICEs tilfælde til at dokumentere GDPR-compliance i rollen som databehandler. Begge er relevante og supplerer hinanden.
Type 1 er et øjebliksbillede — det dokumenterer at kontrollerne er korrekt designet på et givet tidspunkt. Type 2 dokumenterer at kontrollerne har fungeret effektivt over en testperiode på mindst 6 måneder. Type 2 giver et markant højere sikkerhedsniveau og er det, revisorer og finansielle institutioner efterspørger.
ISO 27001 er den internationale standard for informationssikkerhedsledelsessystemer (ISMS). Den specificerer krav til systematisk risikovurdering, implementering af kontroller og løbende forbedring af informationssikkerhed. ScanNet, der driver infrastrukturen bag BOARD OFFICE, er ISO 27001-certificeret.
Certificeringer er som udgangspunkt ikke direkte lovkrav, men de er i stigende grad et kontraktuelt krav fra kunder, samarbejdspartnere og revisorer. GDPR (art. 42-43) opfordrer desuden eksplicit til brug af certificeringsordninger som dokumentation for sikker databehandling. I regulerede sektorer som finans og offentlig forvaltning er de ofte et defacto-krav.
BOARD OFFICE anvender AES-256-kryptering af data i hvile og TLS 1.3 under overførsel. AES-256 er anbefalet af NIST og er de facto-standarden for finansielle institutioner, myndigheder og militære systemer globalt. TLS 1.3 er den nyeste og mest sikre version af transportprotokollen.
Al data opbevares udelukkende på servere i Danmark hos ScanNet. Der sker ingen overførsler til servere i USA eller andre tredjelande. Det sikrer fuld GDPR-compliance og eliminerer de udfordringer, som EU-Domstolens Schrems II-afgørelse (C-311/18, 2020) skaber for virksomheder, der bruger US-baserede cloud-udbydere.
Schrems II er EU-Domstolens afgørelse (C-311/18, 2020), der erklærede Privacy Shield-aftalen ugyldig og skærpede kravene til overførsler af persondata til USA. BOARD OFFICE er ikke berørt — data forlader aldrig dansk/EU-infrastruktur, og Schrems II-problematikken opstår kun ved brug af US-baserede tjenester.
Ifølge IBM Cost of a Data Breach Report 2025 koster et gennemsnitligt databrud globalt $4,44 mio. Hertil kommer GDPR-bøder på op til €20 mio. eller 4% af global omsætning (art. 83) og omdømmemæssige konsekvenser. Siden 2018 er der udstedt GDPR-bøder for over €7,1 mia. i Europa (GDPR Enforcement Tracker, 2025).
PwC har udstedt ISAE 3402 Type 2-erklæringen for BOARD OFFICE. PwC er et af verdens fire største revisions- og rådgivningsfirmaer og er en af de mest anerkendte udstedere af ISAE-erklæringer i Norden.
Ja. BOARD OFFICE logger alle handlinger i realtid med bruger-ID og tidsstempel — uploads, downloads, tilgange, ændringer og delingshændelser. Loggen er komplet og kan bruges til revisionsformål, compliance-dokumentation og due diligence-rapportering.
ScanNets ISO 27001-certificerede ISMS dækker adgangsstyring, risikohåndtering, konfigurationsstyring og backup-procedurer for den tekniske drift. Det sikrer at infrastrukturen bag BOARD OFFICE opererer under et systematisk, eksternt certificeret informationssikkerhedssystem.
Ja. Bestyrelsesportal, Datarum, BOARD Meet og BOARD Assistant opererer alle inden for den samme sikkerhedsinfrastruktur — samme kryptering, samme hosting, samme ISAE 3402-certificerede driftskontroller og samme GDPR-compliance. Der er ingen svage led i kæden.
En databehandleraftale (GDPR art. 28) er en kontrakt mellem den dataansvarlige organisation og BOARD OFFICE som databehandler, der specificerer vilkårene for databehandlingen. BOARD OFFICEs ISAE 3000-erklæring dokumenterer uafhængigt, at aftalens krav overholdes i praksis.
Bestyrelsen har ansvar for at sikre, at organisationens leverandører håndterer data forsvarligt. Certificeringer som ISAE 3402 Type 2 og ISAE 3000 giver bestyrelsen og revisorer det dokumentationsgrundlag, der er nødvendigt for at opfylde dette ansvar — uafhængigt verificeret af tredjeparter, ikke blot leverandørens egne udsagn.
Ja. Revisionserklæringer som ISAE 3402 og ISAE 3000 er netop designet til at deles med kunder, samarbejdspartnere og revisorer som dokumentation. Kontakt BOARD OFFICE for adgang til relevante erklæringer som led i jeres due diligence-proces.