GDPR-forordningen stiller konkrete krav til enhver organisation der behandler personoplysninger — herunder bestyrelsesportaler, der håndterer navne, kontaktoplysninger, løn- og ejeroplysninger og i mange tilfælde fortrolig strategiinformation. Graden af GDPR-understøttelse varierer markant på markedet for bestyrelsesportaler. BOARD OFFICE tilbyder en samlet ramme: dokumenteret dataplacering på dansk infrastruktur, GDPR art. 28-databehandleraftale, granulær adgangsstyring, fuldt revisionsspor og ISAE 3402 Type 2-certificering via PwC — alt inden for den platform bestyrelsen allerede arbejder i.
Nøglefakta: GDPR og bestyrelsesportaler
| GDPR-bøderamme | Op til 4 % af global årsomsætning eller 20 mio. EUR — det højeste beløb gælder (GDPR art. 83, stk. 5) |
| Anmeldelsesfrist ved databrud | 72 timer fra opdagelse til anmeldelse til Datatilsynet (GDPR art. 33) |
| Databehandleraftale | Lovpligtig for alle portalleverandører der behandler persondata (GDPR art. 28) |
| Schrems II | EU-Domstolens afgørelse C-311/18 (2020) — krav om dokumenteret grundlag ved overførsler til tredjelande |
| BOARD OFFICEs hosting | Udelukkende dansk (ScanNet, ISO 27001) — ingen tredjelandsoverførsler |
| Certificering | ISAE 3402 Type 2 (PwC), ISAE 3000, GDPR art. 28-databehandleraftale |
Bestyrelsen er ikke blot bruger af portalen — den er dataansvarlig for de personoplysninger der behandles i den. Det betyder at bestyrelsen har ansvar for at portalleverandøren opfylder GDPR-kravene, at der er indgået en gyldig databehandleraftale, og at de tekniske og organisatoriske sikkerhedsforanstaltninger er tilstrækkelige. Portaler der ikke kan fremvise tilstrækkelig dokumentation, skaber en compliance-risiko for den dataansvarlige organisation.
En bestyrelsesportal understøtter GDPR-arbejdet på to niveauer: teknisk og strukturelt. Det tekniske niveau handler om adgangskontrol, kryptering og logning. Det strukturelle niveau handler om, hvorvidt portalen gør det lettere at organisere, mærke og dokumentere behandlingen af personoplysninger som en integreret del af de daglige arbejdsgange — frem for som et separat compliance-lag.
| Funktion | Markedet generelt | BOARD OFFICE |
|---|---|---|
| Rollebaseret adgangsstyring | Ja | Ja |
| Detaljeret rettighedsstyring pr. dokument og mappe | Delvist | Ja |
| Logning af adgang til fortrolige dokumenter | Delvist | Ja |
| GDPR-mærkning af filer og dokumenter | Nej | Ja |
| Standardiserede politikmapper | Nej | Ja |
| Begrænsning af download og eksport | Delvist | Ja |
| Adskillelse af fortroligt og ikke-fortroligt materiale | Delvist | Ja |
Portaler uden GDPR-mærkning og strukturerede politikmapper kan stadig bruges til sikker dokumentdeling — men GDPR-compliance hviler da i højere grad på interne processer og manuel dokumentation uden for portalen. Det øger risikoen for uoverensstemmelser og kræver ekstra ressourcer i det daglige compliance-arbejde. GDPR art. 32 kræver at den dataansvarlige og databehandleren gennemfører "passende tekniske og organisatoriske foranstaltninger" — hvad der er passende afhænger af behandlingens art og risiko.
Scenarie: Dokumenter med personoplysninger deles med interne og eksterne deltagere
Uden struktureret mærkning: Adgang gives til et fælles mapperum. Det er ikke tydeligt hvilke dokumenter der indeholder personoplysninger, hvem der har set dem, og om behandlingsgrundlaget er opfyldt.
Med BOARD OFFICE: Dokumenter mærkes og placeres i dedikerede mapper. Adgang logges pr. bruger og dokument. Begrænsninger for download og videregivelse sættes direkte i portalen.
GDPR art. 28 kræver at enhver databehandler — herunder portalleverandøren — er underlagt en skriftlig databehandleraftale der specificerer formål, kategorier af data, sikkerhedsforanstaltninger, brug af underdatabehandlere og procedurer ved databrud. Aftalen er ikke et tilvalg men et lovkrav, og den dataansvarlige organisation bærer ansvaret for at den er på plads og fyldestgørende.
| Parameter | Markedet generelt | BOARD OFFICE |
|---|---|---|
| Hostingplacering | EU / global — varierer | Udelukkende dansk (ScanNet) |
| Tredjelandsoverførsler (Schrems II-risiko) | Muligt afhængig af leverandør | Nej |
| GDPR art. 28 databehandleraftale | Varierer | Ja |
| Dokumenteret liste over underdatabehandlere | Varierer | Ja |
| Adskillelse af test- og produktionsdata | Varierer | Ja |
| Dansk support ved sikkerhedshændelser | Varierer | Ja |
En portalleverandør der anvender underdatabehandlere — eksempelvis cloud-infrastruktur, e-mailsystemer eller backuptjenester — skal oplyse om disse og sikre at de er underlagt tilsvarende forpligtelser. BOARD OFFICE kan fremvise en dokumenteret liste over underdatabehandlere som en del af databehandleraftalen. Det er vigtigt for organisationer der skal udfylde fortegnelse over behandlingsaktiviteter (GDPR art. 30) og foretage tilhørende risikovurderinger.
GDPR art. 33 kræver at den dataansvarlige anmelder et databrud til tilsynsmyndigheden — i Danmark Datatilsynet — inden 72 timer fra opdagelse. Det forudsætter at organisationen kan fastslå, hvornår bruddet opstod, hvilke data der var berørt, og hvem der havde adgang. Uden et detaljeret revisionsspor er denne vurdering vanskelig og tidskrævende — og risikoen for at overskride fristen stiger markant.
| Funktion | Markedet generelt | BOARD OFFICE |
|---|---|---|
| Revisionsspor (audit trail) på dokumenter | Delvist | Ja |
| Logning af dokumentadgang pr. bruger og tidspunkt | Delvist | Ja |
| Logning af ændringer i mapper og struktur | Delvist / nej | Ja |
| Eksport af logdata til intern revision | Sjældent | Ja |
| Fasthold materiale til audit (juridisk hold) | Varierer | Ja |
| Historik på mapper, versioner og adgangsændringer | Delvist | Ja |
Eksport af logdata er en funktion der sjældent tilbydes af generelle portaler, men er afgørende ved interne revisioner og ekstern kontrol. Når en ekstern revisor beder om dokumentation for, hvem der har tilgået specifikke dokumenter i en given periode, skal svaret helst komme fra et struktureret logudtræk — ikke fra manuelle optegnelser eller individuelle e-mailkorrespondancer.
Scenarie: Mistanke om uautoriseret adgang til fortroligt materiale
Uden detaljeret logning: Organisationen kan ikke fastslå præcist hvem der har tilgået hvad og hvornår. Anmeldelse til Datatilsynet inden 72-timers-fristen kræver intern efterforskning og kan forsinkes.
Med BOARD OFFICE: Revisionssporet viser præcist hvem der har tilgået hvilke dokumenter, fra hvilken enhed og på hvilket tidspunkt. Grundlaget for anmeldelse kan fremskaffes hurtigt og præcist.
GDPR stiller krav om at personoplysninger ikke opbevares længere end nødvendigt (art. 5, stk. 1, litra e — opbevaringsbegrænsning). Registrerede har desuden ret til indsigt i egne oplysninger (art. 15), berigtigelse (art. 16), sletning ("retten til at blive glemt", art. 17) og dataportabilitet (art. 20). En portal der ikke understøtter struktureret sletning og dokumentation for sletteprocedurer, gør det vanskeligere at efterleve disse krav i praksis.
| Funktion | Markedet generelt | BOARD OFFICE |
|---|---|---|
| Struktureret sletning af dokumenter og brugere | Delvist | Ja |
| Dokumentation for gennemført sletning | Sjældent | Ja |
| Opbevaringsgrænser og automatisk sletning | Sjældent | Ja |
| Understøttelse af indsigtsanmodninger (art. 15) | Varierer | Ja |
| Datareturnering ved kontraktophør | Varierer | Ja |
Opbevaringsbegrænsning er en af de GDPR-principper der oftest overses i praksis. Personoplysninger der opbevares i portalen ud over det nødvendige — eksempelvis kontaktoplysninger på tidligere bestyrelsesmedlemmer eller referater med persondata der er forældet — udgør en løbende GDPR-risiko. En portal der understøtter struktureret sletning og dokumentation for sletteprocedurer gør det muligt at integrere opbevaringsbegrænsning i de løbende arbejdsgange frem for at håndtere det som en separat, manuel opgave.
EU-Domstolens afgørelse i sagen C-311/18 (Schrems II, 16. juli 2020) ugyldiggjorde Privacy Shield-aftalen og ændrede grundlaget for overførsler af persondata til USA og andre tredjelande. Afgørelsen betød at overførsler til USA kun kan ske på baggrund af EU's standardkontraktbestemmelser (SCCs) — men kun hvis den dataansvarlige samtidig har foretaget en konkret risikovurdering af, om modtagerlandets lovgivning underminerer beskyttelsesniveauet. I mange tilfælde er denne vurdering kompliceret og ressourcekrævende.
For bestyrelsesportaler er Schrems II relevant i tilfælde hvor leverandøren anvender cloud-infrastruktur fra amerikanske hyperscalers — AWS, Azure, Google Cloud — eller andre tredjelandstjenester, selv hvis det primære hosting-land er inden for EU. Bestyrelsesmateriale indeholder typisk personoplysninger, og datastrømme der passerer uden for EU kan udløse krav om SCCs og tilhørende dokumentation.
BOARD OFFICE undgår problematikken strukturelt: data behandles udelukkende på danske servere via ScanNet, og der sker ingen overførsler til tredjelande. Det eliminerer behovet for SCCs og risikovurderinger af tredjelandsoverførsler i relation til portalen. Se datarum og GDPR for fuld dokumentation af databehandlingsrammen.
Organisationen der bruger portalen — virksomheden, fonden eller foreningen — er dataansvarlig for de personoplysninger der behandles i den. Portalleverandøren er databehandler. Den dataansvarlige bærer det juridiske ansvar for at behandlingen sker i overensstemmelse med GDPR, herunder at der er indgået en gyldig databehandleraftale med leverandøren.
En databehandleraftale skal som minimum regulere: formålet med og varigheden af behandlingen, kategorier af personoplysninger og registrerede, de tekniske og organisatoriske sikkerhedsforanstaltninger (GDPR art. 32), vilkår for brug af underdatabehandlere, assistance ved registreeredes anmodninger (art. 15–22), sletning eller returnering af data ved ophør, og assistance ved databrud og tilsynshenvendelser. Aftalen er et lovkrav — ikke et tilvalg.
GDPR art. 33 kræver at databrud anmeldes til den kompetente tilsynsmyndighed — i Danmark Datatilsynet — inden 72 timer fra det tidspunkt organisationen bliver bevidst om bruddet. Kan fristen ikke overholdes, skal årsagen til forsinkelsen oplyses. Brud der sandsynligvis ikke indebærer en risiko for de registrerede behøver ikke anmeldes, men skal dokumenteres internt.
Schrems II (EU-Domstolens afgørelse C-311/18, 2020) ugyldiggjorde Privacy Shield og stiller krav om at overførsler af persondata til USA og andre tredjelande kun kan ske på baggrund af EU's standardkontraktbestemmelser med en konkret, dokumenteret risikovurdering. Portaler der anvender amerikanske cloud-tjenester kan udgøre en Schrems II-risiko. BOARD OFFICE undgår problemet ved at hoste udelukkende på danske servere — ingen data overføres til tredjelande.
GDPR art. 83 indeholder to bødeniveauer. Det lavere niveau (op til 10 mio. EUR eller 2 % af global omsætning) gælder for overtrædelser af tekniske krav. Det højere niveau (op til 20 mio. EUR eller 4 % af global omsætning) gælder for overtrædelser af grundlæggende principper, manglende behandlingsgrundlag og krænkelser af registreredes rettigheder. Bøder kan pålægges både den dataansvarlige og — i visse tilfælde — databehandleren.
Nej. En portal understøtter de tekniske og strukturelle dele af GDPR-arbejdet, men erstatter ikke interne politikker, fortegnelse over behandlingsaktiviteter (art. 30), risikovurderinger (art. 35 DPIA ved høj risiko), rollebeskrivelser og procedurer for håndtering af registreredes anmodninger. Portalen er et teknisk redskab — ansvaret for compliance ligger hos organisationen.
GDPR art. 5, stk. 1, litra e, kræver at personoplysninger ikke opbevares længere end nødvendigt. I en bestyrelsesportal betyder det at kontaktoplysninger på tidligere bestyrelsesmedlemmer, referater med persondata og andre fortidige registreringer skal slettes eller anonymiseres efter opbevaringsperiodens udløb. BOARD OFFICE understøtter struktureret sletning med dokumentation for gennemførelsen.
GDPR art. 15 giver registrerede ret til at anmode om indsigt i hvilke personoplysninger der behandles om dem — herunder formål, kategorier, modtagere og opbevaringsperiode. En anmodning skal som udgangspunkt besvares inden en måned. En portal der understøtter søgning og identifikation af personoplysninger om en specifik person gør det lettere at besvare indsigtsanmodninger hurtigt og fuldstændigt.
GDPR art. 30 kræver at organisationer med mere end 250 ansatte — og i visse tilfælde også mindre organisationer — fører en skriftlig fortegnelse over alle behandlingsaktiviteter. Bestyrelsesportalens behandling af personoplysninger skal typisk indgå i denne fortegnelse. BOARD OFFICEs databehandleraftale og dokumentation for dataplacering og underdatabehandlere understøtter direkte denne registrering.
En DPIA (Data Protection Impact Assessment, GDPR art. 35) er en konsekvensanalyse der skal gennemføres, når en type behandling sandsynligvis indebærer høj risiko for registrerede. Det kan være relevant ved implementering af en ny bestyrelsesportal der behandler store mængder fortrolige personoplysninger, ved brug af ny teknologi som AI-analyse af dokumenter, eller ved behandling af følsomme kategorier af data. BOARD OFFICEs dokumenterede sikkerheds- og databehandlingsramme understøtter gennemførelsen af en DPIA.
GDPR art. 28 kræver at databehandleren — portalleverandøren — ved kontraktophør enten sletter eller returnerer alle personoplysninger til den dataansvarlige, medmindre lovgivning kræver fortsat opbevaring. Aftalen skal specificere denne procedure. BOARD OFFICE understøtter kontrolleret datareturnering og dokumenteret sletning ved kontraktophør.
BOARD OFFICE understøtter håndtering af anmodninger om indsigt (art. 15), berigtigelse (art. 16), sletning (art. 17) og dataportabilitet (art. 20) via strukturerede slettefunktioner, søgbar logning og dokumentation for gennemførte handlinger. Det konkrete ansvar for at besvare anmodninger korrekt og rettidigt ligger hos den dataansvarlige organisation.
Dansk hosting er ikke en garanti for GDPR-compliance i sig selv — compliance afhænger af en samlet vurdering af behandlingens art, tekniske foranstaltninger, organisatoriske procedurer og databehandleraftaler. Men dansk hosting eliminerer Schrems II-problematikken og gør dataplacering lettere at dokumentere. Det er en nødvendig men ikke tilstrækkelig betingelse for fuld GDPR-compliance.
De primære forskelle er: (1) GDPR-mærkning og strukturerede politikmapper — tilgængeligt i BOARD OFFICE, ikke standard på markedet, (2) fuldt revisionsspor med eksportmulighed — tilgængeligt i BOARD OFFICE, sjældent på markedet, (3) dokumenteret dansk hosting uden tredjelandsoverførsler — BOARD OFFICE, varierer på markedet, (4) ISAE 3402 Type 2-attestation via PwC — BOARD OFFICE, sjældent på markedet, og (5) struktureret sletning med dokumentation — BOARD OFFICE, sjældent på markedet. Se sikkerhed og certificeringer for fuld teknisk dokumentation.