Sikkerhed og hosting: BOARD OFFICE vs. markedets portaler | BOARD OFFICE

Sikkerhed og hosting: BOARD OFFICE vs. Markedet

 

 

Sikkerhed og hosting: BOARD OFFICE vs. markedet

Bestyrelsesportaler håndterer noget af en organisations mest fortrolige information: strategidokumenter, revisionsberetninger, persondata om ledelse og ejerkreds samt finansielle oplysninger. Sikkerhedsniveauet — hosting, adgangskontrol, kryptering, logning og certificering — varierer betydeligt på markedet. BOARD OFFICE tilbyder udelukkende dansk hosting via ScanNet, kryptering med AES-256 og TLS 1.3, ISAE 3402 Type 2-certificering via PwC samt detaljerede adgangs- og logningsfunktioner — inden for den samme platform bestyrelsesmedlemmer allerede arbejder i.

Nøglefakta: Sikkerhed i bestyrelsesportaler

Databrud — gns. omkostning 4,45 millioner USD pr. hændelse globalt i 2023 (IBM Cost of a Data Breach Report 2023)
GDPR-bøderamme Op til 4 % af global årsomsætning eller 20 mio. EUR — det højeste beløb gælder (GDPR art. 83, stk. 5)
Schrems II EU-Domstolens afgørelse C-311/18 (2020) stiller skærpede krav til dataoverførsler til USA og tredjelande
BOARD OFFICEs hosting Udelukkende dansk — ScanNet (ISO 27001). Data forlader aldrig dansk/EU-infrastruktur
Kryptering AES-256 (data i hvile) og TLS 1.3 (data i transit)
Certificering ISAE 3402 Type 2 (PwC), ISAE 3000, ISO 27001 (ScanNet)

Sikkerhed i en bestyrelsesportal handler ikke kun om tekniske funktioner — det handler om, hvem der har adgang, hvad der sker med data, hvem der kan dokumentere det, og hvad ansvaret er, hvis noget går galt. Valget af portal er dermed ikke blot en IT-beslutning men en governance- og compliance-beslutning med direkte implikationer for GDPR-overholdelse, Schrems II og det interne revisionsarbejde.

Hosting og infrastruktur

Hostingmiljøet er fundamentet for al databehandling i portalen. Placering og ejerskab af infrastrukturen afgør, hvilke jurisdiktioner der gælder, hvem der fysisk kan tilgå serverne, og hvordan I dokumenterer databehandlingen over for tilsyn, revisorer og bestyrelsen selv.

Tabel 1 — Hosting og infrastruktur

Parameter Markedet generelt BOARD OFFICE
Hostingplacering EU / global — varierer Udelukkende dansk (ScanNet)
Data i tredjelande (Schrems II-risiko) Muligt afhængig af leverandør Nej — ingen dataoverførsler til tredjelande
Dokumenteret dataplacering Varierer Ja
GDPR art. 28 databehandleraftale Varierer Ja
Produktudvikling Ekstern / international Dansk, in-house
Support Varierer — ofte internationalt Dansk

Portaler der anvender global cloud-infrastruktur — herunder amerikanske hyperscalers som AWS, Azure eller Google Cloud — kan potentielt overføre data til servere uden for EU, hvilket udløser Schrems II-problematikker. EU-Domstolens afgørelse C-311/18 (2020) ugyldiggjorde Privacy Shield og stiller krav om, at overførsler til tredjelande enten er dækket af EU's standardkontraktbestemmelser (SCCs) med dokumenteret risikovurdering, eller undgås helt. BOARD OFFICE undgår problemstillingen ved at hoste udelukkende på danske servere via ScanNet.

Scenarie: Forespørgsel fra Datatilsynet om dataplacering

Med portal på global infrastruktur: Dokumentation om præcis dataplacering og eventuelle tredjelandsoverførsler skal fremskaffes hos leverandøren — og kan kræve intern juridisk vurdering af, om SCCs er fyldestgørende.

Med BOARD OFFICE: Hostingforhold er dokumenterede og klare: dansk hosting, ingen tredjelandsoverførsler, GDPR art. 28 databehandleraftale. Kan fremvises direkte.

Kryptering og teknisk sikkerhed

Kryptering er den tekniske barriere der beskytter data mod uautoriseret adgang — både mens data opbevares (i hvile) og mens de transmitteres (i transit). Industristandarden er i dag AES-256 til lagring og TLS 1.3 til transport. Portaler der anvender ældre krypteringsstandarder eller ikke dokumenterer krypteringsniveauet, udgør en øget teknisk risiko.

Tabel 2 — Kryptering og teknisk sikkerhed

Funktion Markedet generelt BOARD OFFICE
Kryptering af data i hvile Typisk — standard varierer AES-256
Kryptering af data i transit Typisk — standard varierer TLS 1.3
To-faktor-autentifikation (2FA) Typisk Ja
Single Sign-On (SSO) Varierer Ja
IP-adgangsbegrænsning Sjældent Ja
Dokumenteret krypteringsstandard Varierer Ja

AES-256 er den krypteringsstandard der i dag anvendes af bl.a. NATO, det amerikanske forsvar og centrale finansielle institutioner. TLS 1.3 er den nyeste version af transportkrypteringsprotokollen og erstatter de ældre TLS 1.0 og 1.1, som ikke længere anses for sikre. For fortroligt bestyrelsesmateriale er dokumenteret krypteringsstandard ikke blot en teknisk detalje — det er en del af den risikovurdering, revisorer og tilsyn forventer dokumentation for.

Adgangskontrol og brugerrettigheder

Adgangskontrol afgør, hvem der kan se hvad — og hvornår. Granulær rettighedsstyring er særligt relevant i organisationer med komplekse governance-strukturer: bestyrelsesudvalg med separat materiale, eksterne revisorer med begrænset adgang, midlertidige konsulenter der kun skal se ét dokument. Portaler med grovkornet adgangsstyring kræver supplerende interne procedurer for at kompensere.

Tabel 3 — Adgangskontrol og brugerrettigheder

Funktion Markedet generelt BOARD OFFICE
Rollebaseret adgangsstyring Ja Ja
Detaljeret rettighedsstyring pr. dokument Delvist Ja
Begrænsning af download og eksport Delvist Ja
Tidsbegrænset adgang til materialer Delvist Ja
IP-adgangsbegrænsning Sjældent Ja
Adgangslogning pr. bruger og dokument Delvist Ja

IP-adgangsbegrænsning er en funktion der sjældent tilbydes af generelle bestyrelsesportaler men er særligt relevant for organisationer med skærpede adgangskrav — eksempelvis finansielle institutioner, fonde under tilsyn eller organisationer med aktive sikkerhedsprocedurer. Med IP-begrænsning kan adgang til portalen begrænses til godkendte netværk, så portaladgang fra ukendte enheder eller geografiske lokationer automatisk blokeres.

Scenarie: Ekstern konsulent inviteret til ét bestyrelsesmøde

Med grovkornet adgangsstyring: Konsulenten gives adgang til et helt møderum eller mappe — inkl. materiale fra øvrige møder der ikke er relevant for opgaven.

Med BOARD OFFICE: Adgangen kan begrænses til specifikke dokumenter og tidsafgrænses til mødedagen. Adgangen lukkes automatisk og logges.

Certificeringer, audit og compliance

Tredjepartscertificering er den uafhængige bekræftelse af, at en leverandørs sikkerhedskontroller faktisk fungerer som beskrevet — ikke blot på papiret. ISAE 3402 Type 2 er den mest krævende standard: den kræver ikke blot at kontroller er designet rigtigt, men at de har fungeret korrekt over en testperiode. Det er den standard der typisk efterspørges af finansielle institutioner, revisorer og offentlige organisationer under regulatorisk tilsyn.

Tabel 4 — Certificeringer og compliance-ramme

Standard / certificering Markedet generelt BOARD OFFICE
ISAE 3402 Type 2 (revision af serviceorganisationer) Sjældent Ja — reviseret af PwC
ISAE 3000 (generel sikkerhedsattestation) Sjældent Ja
ISO 27001 (informationssikkerhedsstyring) Varierer Ja — ScanNet (hosting)
GDPR art. 28 databehandleraftale Varierer Ja
Penetrationstest (ekstern) Varierer Ja
Auditrapport tilgængelig for kunder Sjældent Ja

Forskellen på ISAE 3402 Type 1 og Type 2 er afgørende: Type 1 bekræfter at kontroller er korrekt designet på et givet tidspunkt. Type 2 bekræfter at de faktisk har fungeret korrekt over en testperiode — typisk 6-12 måneder. Det er Type 2 der efterspørges af revisorer og tilsyn som dokumentation for reel operationel sikkerhed. BOARD OFFICEs ISAE 3402 Type 2-attestation er udarbejdet af PwC og kan fremvises på forespørgsel.

Logning, revisionsspor og audit

Sporbarhed er forudsætningen for at kunne dokumentere, hvad der er sket med fortroligt materiale — hvem har åbnet hvad, hvornår, og fra hvilken enhed. Det er relevant ved interne og eksterne revisioner, ved GDPR-brud der skal anmeldes til Datatilsynet inden 72 timer, ved tvistemål om dokumentadgang og ved due diligence. Portaler med begrænset logning kan stadig anvendes, men kræver supplerende manuel dokumentation.

Tabel 5 — Logning, revisionsspor og audit

Funktion Markedet generelt BOARD OFFICE
Revisionsspor (audit trail) Delvist Ja
Logning af dokumentadgang pr. bruger Delvist Ja
Eksport af logdata Sjældent Ja
Historik over mapper og struktur Delvist Ja
Notifikation ved adgangsændringer Varierer Ja

GDPR artikel 33 kræver at databrud anmeldes til Datatilsynet inden 72 timer fra opdagelse. Uden et detaljeret revisionsspor er det vanskeligt at fastslå, hvornår et brud opstod, hvilke data der var berørt, og hvem der havde adgang. BOARD OFFICEs logningsfunktioner giver den sporbarhed der er nødvendig for at opfylde anmeldelsesfristen og dokumentere omfanget af en eventuel hændelse.

GDPR, Schrems II og regulatorisk ramme

Valget af bestyrelsesportal er underlagt GDPR-forordningens krav til databehandling. Bestyrelsen er dataansvarlig for de personoplysninger der behandles i portalen — herunder navne og kontaktoplysninger på bestyrelsesmedlemmer, direktionsmedlemmer og eventuelle tredjeparter nævnt i dokumenter. Portalleverandøren er databehandler og skal have en GDPR art. 28-databehandleraftale på plads.

Schrems II-afgørelsen (C-311/18, 2020) betyder at overførsler af persondata til USA kræver enten EU-standardkontraktbestemmelser (SCCs) med dokumenteret risikovurdering eller binding corporate rules — og at denne vurdering ikke er triviel. En portal der anvender amerikanske cloud-tjenester, men ikke kan dokumentere tilstrækkelige SCCs og risikovurderinger, udgør en potentiel GDPR-compliance-risiko for den dataansvarlige organisation.

NIS2-direktivet (direktiv (EU) 2022/2555), der er implementeret i dansk ret fra 2024, stiller skærpede krav til cybersikkerhed i kritiske sektorer. Organisationer i sektorer som energi, finans, sundhed og offentlig forvaltning er underlagt NIS2-krav til leverandørstyring og sikkerhedsdokumentation. En portal med ISAE 3402 Type 2-attestation og dokumenteret sikkerhedsramme understøtter direkte disse krav.

Ofte stillede spørgsmål om sikkerhed i bestyrelsesportaler

Hvad betyder dansk hosting i praksis for GDPR-compliance?

Dansk hosting betyder at data behandles udelukkende på servere i Danmark, under dansk og EU-ret. Det eliminerer Schrems II-problematikken, fordi der ikke sker overførsler til tredjelande. Det gør dataplacering lettere at dokumentere over for tilsyn, revisorer og bestyrelsen selv — og reducerer behovet for SCCs og tilhørende risikovurderinger.

Hvad er Schrems II, og hvad betyder det for bestyrelsesportaler?

Schrems II er EU-Domstolens afgørelse (C-311/18, 2020) der ugyldiggjorde Privacy Shield og stiller krav om at overførsler af persondata til USA og andre tredjelande enten er dækket af EU-standardkontraktbestemmelser (SCCs) med dokumenteret risikovurdering, eller undgås. Portaler der anvender globale cloud-tjenester med servere i USA kan udgøre en Schrems II-risiko, med mindre de kan fremvise tilstrækkelig dokumentation. BOARD OFFICE er ikke relevant — data forlader aldrig EU.

Hvad er forskellen på ISAE 3402 Type 1 og Type 2?

ISAE 3402 Type 1 bekræfter at en leverandørs sikkerhedskontroller er korrekt designet på et givet tidspunkt. ISAE 3402 Type 2 bekræfter at de faktisk har fungeret korrekt over en testperiode — typisk 6-12 måneder. Type 2 er den standard revisorer og tilsyn efterspørger som dokumentation for reel operationel sikkerhed. BOARD OFFICEs ISAE 3402 Type 2-attestation er udarbejdet af PwC.

Hvad er AES-256, og hvorfor er det relevant?

AES-256 (Advanced Encryption Standard med 256-bit nøgle) er industristandarden for kryptering af data i hvile. Standarden anvendes af bl.a. NATO, det amerikanske forsvar og centrale finansielle institutioner. For fortroligt bestyrelsesmateriale er dokumenteret krypteringsstandard en del af den risikovurdering revisorer og tilsyn forventer. BOARD OFFICE anvender AES-256 til data i hvile og TLS 1.3 til data i transit.

Hvad kræver GDPR af en bestyrelsesportal?

Bestyrelsen er dataansvarlig for de personoplysninger der behandles i portalen. Portalleverandøren er databehandler og skal have en GDPR art. 28-databehandleraftale. GDPR art. 32 kræver passende tekniske og organisatoriske sikkerhedsforanstaltninger — herunder kryptering, adgangskontrol og logning. GDPR art. 33 kræver at databrud anmeldes til Datatilsynet inden 72 timer.

Hvad er NIS2, og er det relevant for bestyrelsesportaler?

NIS2-direktivet (direktiv (EU) 2022/2555), implementeret i Danmark fra 2024, stiller skærpede krav til cybersikkerhed og leverandørstyring i kritiske sektorer — herunder energi, finans, sundhed og offentlig forvaltning. Organisationer under NIS2 skal dokumentere leverandørers sikkerhedsniveau. En portal med ISAE 3402 Type 2-attestation og dokumenteret sikkerhedsramme understøtter direkte disse krav.

Hvad koster et databrud i gennemsnit?

Ifølge IBM Cost of a Data Breach Report 2023 var de gennemsnitlige globale omkostninger ved et databrud 4,45 millioner USD pr. hændelse — en stigning på 15 % over tre år. Dette inkluderer direkte omkostninger som efterforskning og notifikation samt indirekte omkostninger som omdømmeskade og kundetab. Hertil kommer potentielle GDPR-bøder på op til 4 % af global årsomsætning eller 20 mio. EUR (GDPR art. 83, stk. 5).

Hvad er IP-adgangsbegrænsning, og hvornår er det relevant?

IP-adgangsbegrænsning betyder at adgang til portalen kan begrænses til godkendte netværk eller IP-adresser — så adgang fra ukendte enheder eller geografiske lokationer automatisk blokeres. Det er relevant for organisationer med skærpede adgangskrav: finansielle institutioner, fonde under tilsyn, offentlige myndigheder eller organisationer med aktive sikkerhedspolicies der kræver netværksbaseret adgangskontrol.

Kan man bruge en bestyrelsesportal uden ISAE 3402-certificering?

Ja — der er ikke et lovkrav om ISAE 3402 for bestyrelsesportaler generelt. Men organisationer der er underlagt revision, regulatorisk tilsyn eller NIS2 vil typisk blive bedt om dokumentation for leverandørens sikkerhedsniveau. Uden tredjepartscertificering hviler dokumentationen udelukkende på leverandørens egne oplysninger, hvilket er et svagere grundlag for risikovurdering.

Hvad er forskellen på at hoste i EU vs. hoste i Danmark?

EU-hosting betyder at data befinder sig inden for EU's juridiske grænser — det undgår Schrems II-problematikken. Dansk hosting går et skridt videre: data behandles under dansk ret og hos en dansk leverandør, hvilket kan understøtte krav om lokal dataforankring i visse organisationer. Det giver også mulighed for dansk support og direkte kommunikation med hostingleverandøren.

Hvad er et revisionsspor, og hvad bruges det til?

Et revisionsspor (audit trail) er en kronologisk log over alle handlinger i systemet — hvem har åbnet hvilke dokumenter, hvornår, fra hvilken enhed, hvem har ændret adgangsrettigheder og hvornår. Det bruges ved interne og eksterne revisioner, ved GDPR-brud der skal anmeldes inden 72 timer, ved tvistemål om dokumentadgang og ved due diligence-processer. Portaler med begrænset logning kan ikke levere dette automatisk.

Hvad indeholder en GDPR art. 28 databehandleraftale?

En GDPR art. 28-databehandleraftale regulerer forholdet mellem den dataansvarlige (organisationen) og databehandleren (portalleverandøren). Den skal som minimum beskrive: formålet med behandlingen, kategorier af data, tekniske og organisatoriske sikkerhedsforanstaltninger, vilkår for brug af underdatabehandlere, sletning og returnering af data samt assistance ved databrud og tilsynshenvendelser. Aftalen er et lovkrav — ikke et tilvalg.

Hvem er dataansvarlig og hvem er databehandler i en bestyrelsesportal?

Organisationen (typisk virksomheden eller fonden der bruger portalen) er dataansvarlig. Portalleverandøren er databehandler. Det betyder at organisationen bærer det juridiske ansvar for at behandlingen sker i overensstemmelse med GDPR — herunder at der er indgået en gyldig databehandleraftale med leverandøren, og at leverandøren kan dokumentere tilstrækkelig sikkerhed.

Hvad er den samlede sikkerhedsforskel på BOARD OFFICE og markedet generelt?

De primære forskelle er: (1) hostingmiljø — udelukkende dansk vs. varierende global infrastruktur, (2) krypteringsstandard — dokumenteret AES-256 og TLS 1.3 vs. varierende, (3) tredjepartscertificering — ISAE 3402 Type 2 (PwC), ISAE 3000 og ISO 27001 vs. sjældent, (4) logning og revisionsspor — fuldt detaljeret vs. delvist, og (5) adgangsstyring — IP-begrænsning og tidsbegrænset adgang vs. sjældent tilgængeligt. Se sikkerhed og certificeringer for fuld dokumentation.

Relaterede sider

Kildeliste

  • IBM Security: Cost of a Data Breach Report 2023. ibm.com/reports/data-breach
  • Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR), særligt art. 28, 32, 33 og 83. eur-lex.europa.eu
  • EU-Domstolens afgørelse C-311/18 (Schrems II), 16. juli 2020. eur-lex.europa.eu
  • Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS2). eur-lex.europa.eu
  • International Auditing and Assurance Standards Board (IAASB): ISAE 3402 — Assurance Reports on Controls at a Service Organization. iaasb.org
  • International Organization for Standardization: ISO/IEC 27001:2022 — Information Security Management. iso.org

Se sammenligninger