GDPR og compliance

Subit behandler personoplysninger på vegne af skoler, dagtilbud og kommuner. Vi forstår, at den opgave kræver tillid – og vi arbejder hver dag for at gøre os fortjent til den.

ISAE 3000

Årligt revideret af statsautoriseret revisor

GDPR-compliant

Dedikeret compliance-funktion

EU-hosting

Ingen amerikanske underleverandører

Vores rolle som databehandler

Når en kunde anvender Subits planlægningssystem, er kunden dataansvarlig, og Subit er databehandler. Vi behandler alene personoplysninger efter den dataansvarliges instruks og inden for rammerne af den databehandleraftale, der indgås mellem kunden og Subit i forbindelse med aftaleindgåelse.

Uafhængig revisorerklæring (ISAE 3000)

Subit får årligt udarbejdet en uafhængig ISAE 3000-erklæring, der dækker kontroller rettet mod databeskyttelse og behandling af personoplysninger. Erklæringen udarbejdes af PwC og bekræfter, at vores kontroller er hensigtsmæssigt udformet og fungerer effektivt i den periode, erklæringen dækker.

Erklæringen er tilgængelig for nuværende kunder og potentielle kunder under fortrolighed. Kontakt os, hvis du ønsker at modtage et eksemplar.

Sådan arbejder vi med compliance

Ledelsesmæssig forankring

GDPR-compliance er prioriteret af ledelsen og indgår som et fast punkt i vores drift. Vi har en dedikeret compliance-funktion, der støtter ledelsen i risikoanalyser, politikker, kommunikation og træning – og som er ansvarlig for gennemførelsen af vores årsplan for compliance-aktiviteter.

Databeskyttelse gennem design

Systemet er bygget med dataminimering for øje. Vi arbejder i videst muligt omfang på strukturerede data, og dér hvor ustrukturerede oplysninger behandles – f.eks. fritekstfelter – er der implementeret ekstra beskyttelse i form af kryptering.

Politikker og træning

Vi har en samlet persondatapolitik og sikkerhedspolitik, som regelmæssigt revideres. Alle medarbejdere, der behandler personoplysninger, gennemgår målrettet GDPR-træning, testes og bliver internt certificeret. Træningen gentages løbende for at fastholde et højt vidensniveau.

Risikostyring

Vores indsats for databeskyttelse tager udgangspunkt i en risikovurdering med fokus på de registreredes rettigheder. Risikovurderingen revideres mindst en gang årligt og ligger til grund for, hvilke tekniske og organisatoriske foranstaltninger der prioriteres.

Den dataansvarliges forpligtelser

Som databehandler er Subits kontroller designet til at fungere sammen med en række forpligtelser, som ligger hos den dataansvarlige – herunder at sikre juridisk hjemmel for behandlingen, informere de registrerede, holde data ajour, vedligeholde brugeradgange i systemet og indberette sikkerhedshændelser til Subit. Disse forpligtelser uddybes i databehandleraftalen.

Databehandleraftale

Alle kunder indgår en databehandleraftale med Subit, som beskriver instruks, formål, omfang og varighed af behandlingen. Aftalen kan rekvireres ved henvendelse til os.

Ofte stillede spørgsmål

Bruger Subit AWS, Azure eller Google Cloud?

Nej. Vores infrastruktur drives på dedikerede servere placeret inden for EU.

Bruger Subit kundedata til at træne AI-modeller?

Nej.

Pentester I systemet?

Ja. Resultatet af pentesten indgår i vores årlige compliance-arbejde og bidrager til løbende forbedring af vores sikkerhedsforanstaltninger.

Hvad sker der med data, hvis vi opsiger samarbejdet?

Data tilhører jer som dataansvarlig – Subit behandler den alene på jeres instruks i den periode, samarbejdet løber. Ved ophør aftales eksport af data og efterfølgende sikker sletning nærmere mellem parterne, så det passer til jeres behov og overgangen til en anden løsning.

Kontakt

Har du spørgsmål om vores arbejde med GDPR og compliance – eller ønsker du at modtage vores ISAE 3000-erklæring – er du velkommen til at kontakte os på [email protected].