GDPR & compliance: BOARD OFFICE vs. markedets portaler | BOARD OFFICE

GDPR og compliance: BOARD OFFICE vs. Markedet

 

 

GDPR og compliance: BOARD OFFICE vs. markedet

GDPR-forordningen stiller konkrete krav til enhver organisation der behandler personoplysninger — herunder bestyrelsesportaler, der håndterer navne, kontaktoplysninger, løn- og ejeroplysninger og i mange tilfælde fortrolig strategiinformation. Graden af GDPR-understøttelse varierer markant på markedet for bestyrelsesportaler. BOARD OFFICE tilbyder en samlet ramme: dokumenteret dataplacering på dansk infrastruktur, GDPR art. 28-databehandleraftale, granulær adgangsstyring, fuldt revisionsspor og ISAE 3402 Type 2-certificering via PwC — alt inden for den platform bestyrelsen allerede arbejder i.

Nøglefakta: GDPR og bestyrelsesportaler

GDPR-bøderamme Op til 4 % af global årsomsætning eller 20 mio. EUR — det højeste beløb gælder (GDPR art. 83, stk. 5)
Anmeldelsesfrist ved databrud 72 timer fra opdagelse til anmeldelse til Datatilsynet (GDPR art. 33)
Databehandleraftale Lovpligtig for alle portalleverandører der behandler persondata (GDPR art. 28)
Schrems II EU-Domstolens afgørelse C-311/18 (2020) — krav om dokumenteret grundlag ved overførsler til tredjelande
BOARD OFFICEs hosting Udelukkende dansk (ScanNet, ISO 27001) — ingen tredjelandsoverførsler
Certificering ISAE 3402 Type 2 (PwC), ISAE 3000, GDPR art. 28-databehandleraftale

Bestyrelsen er ikke blot bruger af portalen — den er dataansvarlig for de personoplysninger der behandles i den. Det betyder at bestyrelsen har ansvar for at portalleverandøren opfylder GDPR-kravene, at der er indgået en gyldig databehandleraftale, og at de tekniske og organisatoriske sikkerhedsforanstaltninger er tilstrækkelige. Portaler der ikke kan fremvise tilstrækkelig dokumentation, skaber en compliance-risiko for den dataansvarlige organisation.

GDPR-understøttelse i portalen

En bestyrelsesportal understøtter GDPR-arbejdet på to niveauer: teknisk og strukturelt. Det tekniske niveau handler om adgangskontrol, kryptering og logning. Det strukturelle niveau handler om, hvorvidt portalen gør det lettere at organisere, mærke og dokumentere behandlingen af personoplysninger som en integreret del af de daglige arbejdsgange — frem for som et separat compliance-lag.

Tabel 1 — GDPR-relaterede portalfunktioner

Funktion Markedet generelt BOARD OFFICE
Rollebaseret adgangsstyring Ja Ja
Detaljeret rettighedsstyring pr. dokument og mappe Delvist Ja
Logning af adgang til fortrolige dokumenter Delvist Ja
GDPR-mærkning af filer og dokumenter Nej Ja
Standardiserede politikmapper Nej Ja
Begrænsning af download og eksport Delvist Ja
Adskillelse af fortroligt og ikke-fortroligt materiale Delvist Ja

Portaler uden GDPR-mærkning og strukturerede politikmapper kan stadig bruges til sikker dokumentdeling — men GDPR-compliance hviler da i højere grad på interne processer og manuel dokumentation uden for portalen. Det øger risikoen for uoverensstemmelser og kræver ekstra ressourcer i det daglige compliance-arbejde. GDPR art. 32 kræver at den dataansvarlige og databehandleren gennemfører "passende tekniske og organisatoriske foranstaltninger" — hvad der er passende afhænger af behandlingens art og risiko.

Scenarie: Dokumenter med personoplysninger deles med interne og eksterne deltagere

Uden struktureret mærkning: Adgang gives til et fælles mapperum. Det er ikke tydeligt hvilke dokumenter der indeholder personoplysninger, hvem der har set dem, og om behandlingsgrundlaget er opfyldt.

Med BOARD OFFICE: Dokumenter mærkes og placeres i dedikerede mapper. Adgang logges pr. bruger og dokument. Begrænsninger for download og videregivelse sættes direkte i portalen.

Dataplacering og databehandleraftale

GDPR art. 28 kræver at enhver databehandler — herunder portalleverandøren — er underlagt en skriftlig databehandleraftale der specificerer formål, kategorier af data, sikkerhedsforanstaltninger, brug af underdatabehandlere og procedurer ved databrud. Aftalen er ikke et tilvalg men et lovkrav, og den dataansvarlige organisation bærer ansvaret for at den er på plads og fyldestgørende.

Tabel 2 — Dataplacering og databehandlerforhold

Parameter Markedet generelt BOARD OFFICE
Hostingplacering EU / global — varierer Udelukkende dansk (ScanNet)
Tredjelandsoverførsler (Schrems II-risiko) Muligt afhængig af leverandør Nej
GDPR art. 28 databehandleraftale Varierer Ja
Dokumenteret liste over underdatabehandlere Varierer Ja
Adskillelse af test- og produktionsdata Varierer Ja
Dansk support ved sikkerhedshændelser Varierer Ja

En portalleverandør der anvender underdatabehandlere — eksempelvis cloud-infrastruktur, e-mailsystemer eller backuptjenester — skal oplyse om disse og sikre at de er underlagt tilsvarende forpligtelser. BOARD OFFICE kan fremvise en dokumenteret liste over underdatabehandlere som en del af databehandleraftalen. Det er vigtigt for organisationer der skal udfylde fortegnelse over behandlingsaktiviteter (GDPR art. 30) og foretage tilhørende risikovurderinger.

Sporbarhed, logning og audit

GDPR art. 33 kræver at den dataansvarlige anmelder et databrud til tilsynsmyndigheden — i Danmark Datatilsynet — inden 72 timer fra opdagelse. Det forudsætter at organisationen kan fastslå, hvornår bruddet opstod, hvilke data der var berørt, og hvem der havde adgang. Uden et detaljeret revisionsspor er denne vurdering vanskelig og tidskrævende — og risikoen for at overskride fristen stiger markant.

Tabel 3 — Sporbarhed, logning og audit

Funktion Markedet generelt BOARD OFFICE
Revisionsspor (audit trail) på dokumenter Delvist Ja
Logning af dokumentadgang pr. bruger og tidspunkt Delvist Ja
Logning af ændringer i mapper og struktur Delvist / nej Ja
Eksport af logdata til intern revision Sjældent Ja
Fasthold materiale til audit (juridisk hold) Varierer Ja
Historik på mapper, versioner og adgangsændringer Delvist Ja

Eksport af logdata er en funktion der sjældent tilbydes af generelle portaler, men er afgørende ved interne revisioner og ekstern kontrol. Når en ekstern revisor beder om dokumentation for, hvem der har tilgået specifikke dokumenter i en given periode, skal svaret helst komme fra et struktureret logudtræk — ikke fra manuelle optegnelser eller individuelle e-mailkorrespondancer.

Scenarie: Mistanke om uautoriseret adgang til fortroligt materiale

Uden detaljeret logning: Organisationen kan ikke fastslå præcist hvem der har tilgået hvad og hvornår. Anmeldelse til Datatilsynet inden 72-timers-fristen kræver intern efterforskning og kan forsinkes.

Med BOARD OFFICE: Revisionssporet viser præcist hvem der har tilgået hvilke dokumenter, fra hvilken enhed og på hvilket tidspunkt. Grundlaget for anmeldelse kan fremskaffes hurtigt og præcist.

Sletning, opbevaringsgrænser og registreredes rettigheder

GDPR stiller krav om at personoplysninger ikke opbevares længere end nødvendigt (art. 5, stk. 1, litra e — opbevaringsbegrænsning). Registrerede har desuden ret til indsigt i egne oplysninger (art. 15), berigtigelse (art. 16), sletning ("retten til at blive glemt", art. 17) og dataportabilitet (art. 20). En portal der ikke understøtter struktureret sletning og dokumentation for sletteprocedurer, gør det vanskeligere at efterleve disse krav i praksis.

Tabel 4 — Sletning, opbevaringsgrænser og registreredes rettigheder

Funktion Markedet generelt BOARD OFFICE
Struktureret sletning af dokumenter og brugere Delvist Ja
Dokumentation for gennemført sletning Sjældent Ja
Opbevaringsgrænser og automatisk sletning Sjældent Ja
Understøttelse af indsigtsanmodninger (art. 15) Varierer Ja
Datareturnering ved kontraktophør Varierer Ja

Opbevaringsbegrænsning er en af de GDPR-principper der oftest overses i praksis. Personoplysninger der opbevares i portalen ud over det nødvendige — eksempelvis kontaktoplysninger på tidligere bestyrelsesmedlemmer eller referater med persondata der er forældet — udgør en løbende GDPR-risiko. En portal der understøtter struktureret sletning og dokumentation for sletteprocedurer gør det muligt at integrere opbevaringsbegrænsning i de løbende arbejdsgange frem for at håndtere det som en separat, manuel opgave.

Schrems II og overførsler til tredjelande

EU-Domstolens afgørelse i sagen C-311/18 (Schrems II, 16. juli 2020) ugyldiggjorde Privacy Shield-aftalen og ændrede grundlaget for overførsler af persondata til USA og andre tredjelande. Afgørelsen betød at overførsler til USA kun kan ske på baggrund af EU's standardkontraktbestemmelser (SCCs) — men kun hvis den dataansvarlige samtidig har foretaget en konkret risikovurdering af, om modtagerlandets lovgivning underminerer beskyttelsesniveauet. I mange tilfælde er denne vurdering kompliceret og ressourcekrævende.

For bestyrelsesportaler er Schrems II relevant i tilfælde hvor leverandøren anvender cloud-infrastruktur fra amerikanske hyperscalers — AWS, Azure, Google Cloud — eller andre tredjelandstjenester, selv hvis det primære hosting-land er inden for EU. Bestyrelsesmateriale indeholder typisk personoplysninger, og datastrømme der passerer uden for EU kan udløse krav om SCCs og tilhørende dokumentation.

BOARD OFFICE undgår problematikken strukturelt: data behandles udelukkende på danske servere via ScanNet, og der sker ingen overførsler til tredjelande. Det eliminerer behovet for SCCs og risikovurderinger af tredjelandsoverførsler i relation til portalen. Se datarum og GDPR for fuld dokumentation af databehandlingsrammen.

Ofte stillede spørgsmål om GDPR og bestyrelsesportaler

Hvem er dataansvarlig og hvem er databehandler i en bestyrelsesportal?

Organisationen der bruger portalen — virksomheden, fonden eller foreningen — er dataansvarlig for de personoplysninger der behandles i den. Portalleverandøren er databehandler. Den dataansvarlige bærer det juridiske ansvar for at behandlingen sker i overensstemmelse med GDPR, herunder at der er indgået en gyldig databehandleraftale med leverandøren.

Hvad skal en GDPR art. 28-databehandleraftale indeholde?

En databehandleraftale skal som minimum regulere: formålet med og varigheden af behandlingen, kategorier af personoplysninger og registrerede, de tekniske og organisatoriske sikkerhedsforanstaltninger (GDPR art. 32), vilkår for brug af underdatabehandlere, assistance ved registreeredes anmodninger (art. 15–22), sletning eller returnering af data ved ophør, og assistance ved databrud og tilsynshenvendelser. Aftalen er et lovkrav — ikke et tilvalg.

Hvad er fristen for at anmelde et databrud til Datatilsynet?

GDPR art. 33 kræver at databrud anmeldes til den kompetente tilsynsmyndighed — i Danmark Datatilsynet — inden 72 timer fra det tidspunkt organisationen bliver bevidst om bruddet. Kan fristen ikke overholdes, skal årsagen til forsinkelsen oplyses. Brud der sandsynligvis ikke indebærer en risiko for de registrerede behøver ikke anmeldes, men skal dokumenteres internt.

Hvad er Schrems II-afgørelsen, og er den relevant for bestyrelsesportaler?

Schrems II (EU-Domstolens afgørelse C-311/18, 2020) ugyldiggjorde Privacy Shield og stiller krav om at overførsler af persondata til USA og andre tredjelande kun kan ske på baggrund af EU's standardkontraktbestemmelser med en konkret, dokumenteret risikovurdering. Portaler der anvender amerikanske cloud-tjenester kan udgøre en Schrems II-risiko. BOARD OFFICE undgår problemet ved at hoste udelukkende på danske servere — ingen data overføres til tredjelande.

Hvad er GDPR-bøderammen, og hvem kan pålægges bøder?

GDPR art. 83 indeholder to bødeniveauer. Det lavere niveau (op til 10 mio. EUR eller 2 % af global omsætning) gælder for overtrædelser af tekniske krav. Det højere niveau (op til 20 mio. EUR eller 4 % af global omsætning) gælder for overtrædelser af grundlæggende principper, manglende behandlingsgrundlag og krænkelser af registreredes rettigheder. Bøder kan pålægges både den dataansvarlige og — i visse tilfælde — databehandleren.

Kan portalen erstatte interne GDPR-politikker og procedurer?

Nej. En portal understøtter de tekniske og strukturelle dele af GDPR-arbejdet, men erstatter ikke interne politikker, fortegnelse over behandlingsaktiviteter (art. 30), risikovurderinger (art. 35 DPIA ved høj risiko), rollebeskrivelser og procedurer for håndtering af registreredes anmodninger. Portalen er et teknisk redskab — ansvaret for compliance ligger hos organisationen.

Hvad er opbevaringsbegrænsning, og hvordan understøtter portalen det?

GDPR art. 5, stk. 1, litra e, kræver at personoplysninger ikke opbevares længere end nødvendigt. I en bestyrelsesportal betyder det at kontaktoplysninger på tidligere bestyrelsesmedlemmer, referater med persondata og andre fortidige registreringer skal slettes eller anonymiseres efter opbevaringsperiodens udløb. BOARD OFFICE understøtter struktureret sletning med dokumentation for gennemførelsen.

Hvad er retten til indsigt (art. 15), og hvad kræver den af portalen?

GDPR art. 15 giver registrerede ret til at anmode om indsigt i hvilke personoplysninger der behandles om dem — herunder formål, kategorier, modtagere og opbevaringsperiode. En anmodning skal som udgangspunkt besvares inden en måned. En portal der understøtter søgning og identifikation af personoplysninger om en specifik person gør det lettere at besvare indsigtsanmodninger hurtigt og fuldstændigt.

Hvad er en fortegnelse over behandlingsaktiviteter, og er portalen relevant?

GDPR art. 30 kræver at organisationer med mere end 250 ansatte — og i visse tilfælde også mindre organisationer — fører en skriftlig fortegnelse over alle behandlingsaktiviteter. Bestyrelsesportalens behandling af personoplysninger skal typisk indgå i denne fortegnelse. BOARD OFFICEs databehandleraftale og dokumentation for dataplacering og underdatabehandlere understøtter direkte denne registrering.

Hvad er en DPIA, og hvornår er den relevant for en bestyrelsesportal?

En DPIA (Data Protection Impact Assessment, GDPR art. 35) er en konsekvensanalyse der skal gennemføres, når en type behandling sandsynligvis indebærer høj risiko for registrerede. Det kan være relevant ved implementering af en ny bestyrelsesportal der behandler store mængder fortrolige personoplysninger, ved brug af ny teknologi som AI-analyse af dokumenter, eller ved behandling af følsomme kategorier af data. BOARD OFFICEs dokumenterede sikkerheds- og databehandlingsramme understøtter gennemførelsen af en DPIA.

Hvad sker der med data ved opsigelse af portalkontrakten?

GDPR art. 28 kræver at databehandleren — portalleverandøren — ved kontraktophør enten sletter eller returnerer alle personoplysninger til den dataansvarlige, medmindre lovgivning kræver fortsat opbevaring. Aftalen skal specificere denne procedure. BOARD OFFICE understøtter kontrolleret datareturnering og dokumenteret sletning ved kontraktophør.

Hvordan understøtter BOARD OFFICE registreredes rettigheder?

BOARD OFFICE understøtter håndtering af anmodninger om indsigt (art. 15), berigtigelse (art. 16), sletning (art. 17) og dataportabilitet (art. 20) via strukturerede slettefunktioner, søgbar logning og dokumentation for gennemførte handlinger. Det konkrete ansvar for at besvare anmodninger korrekt og rettidigt ligger hos den dataansvarlige organisation.

Er dansk hosting tilstrækkeligt til GDPR-compliance?

Dansk hosting er ikke en garanti for GDPR-compliance i sig selv — compliance afhænger af en samlet vurdering af behandlingens art, tekniske foranstaltninger, organisatoriske procedurer og databehandleraftaler. Men dansk hosting eliminerer Schrems II-problematikken og gør dataplacering lettere at dokumentere. Det er en nødvendig men ikke tilstrækkelig betingelse for fuld GDPR-compliance.

Hvad er den samlede GDPR-forskel på BOARD OFFICE og markedet generelt?

De primære forskelle er: (1) GDPR-mærkning og strukturerede politikmapper — tilgængeligt i BOARD OFFICE, ikke standard på markedet, (2) fuldt revisionsspor med eksportmulighed — tilgængeligt i BOARD OFFICE, sjældent på markedet, (3) dokumenteret dansk hosting uden tredjelandsoverførsler — BOARD OFFICE, varierer på markedet, (4) ISAE 3402 Type 2-attestation via PwC — BOARD OFFICE, sjældent på markedet, og (5) struktureret sletning med dokumentation — BOARD OFFICE, sjældent på markedet. Se sikkerhed og certificeringer for fuld teknisk dokumentation.

Relaterede sider

Kildeliste

  • Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR), særligt art. 5, 15–20, 28, 30, 32, 33 og 83. eur-lex.europa.eu
  • EU-Domstolens afgørelse C-311/18 (Schrems II), 16. juli 2020. eur-lex.europa.eu
  • Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS2). eur-lex.europa.eu
  • Datatilsynet: Vejledning om anmeldelse af brud på persondatasikkerheden. datatilsynet.dk
  • European Data Protection Board (EDPB): Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. edpb.europa.eu

Se sammenligninger