Your Company
Spinna
Overblik Vores compliance Dokumenter FAQ

Page title

Section title

Dokumentation (fortegnelse, politikker, procedurer mv.)

  • Fortegnelse over behandlingsaktiviteter

  • IT-sikkerhedspolitik

  • Persondatapolitik

  • Risikovurdering

  • Registreredes rettigheder

  • Brud på persondatasikkerheden

  • Privatlivspolitik

  • Cookiepolitik

Læs mere

Sikkerhedsforanstaltninger

  • Fysisk sikkerhed

  • Adgangsstyring

  • Antivirus og antimalware

  • Kryptering

  • Harddisk encryption

  • Adgangskoder

  • Multi-faktor autentifikation (MFA)

  • Træning og awareness

  • Sikkerhedsorganisation

  • Logning

  • Netværkssegmentering

  • Applikationssårbarhedsscanning

  • Serversårbarhedsscanning

  • Intern netværksovervågning

  • Firewall

  • Tavshedspligt

  • Forretningskontinuitet

  • Backup

  • Gendan backup

  • Sikre headers

  • Sikker autentifikation

  • Session-timeout

Læs mere

Databehandlere

  • Databehandleraftaler

  • Register over databehandlere

  • Monitorering

Læs mere

Dokumentation (fortegnelse, politikker, procedurer mv.)

Fortegnelse over behandlingsaktiviteter
Vi fører en fortegnelse over behandlingsaktiviteter, som indeholder samtlige af de informationer, der er påkrævet efter GDPR art. 30. Fortegnelsen gennemses og opdateres om nødvendigt som minimum én gang årligt.
IT-sikkerhedspolitik
Vi har etableret og implementeret en IT-sikkerhedspolitik, som definerer retningslinjer inden for bl.a. fysisk sikkerhed, risikovurderinger, adgangsstyring, passwords, backup mv. Politikken er ledelsesgodkendt.
Persondatapolitik
Vi har etableret og implementeret en persondatapolitik, som definerer principper for behandling af personoplysninger, registreredes rettigheder, sikkerhedsforanstaltninger, brug af databehandlere, håndtering af databrud mv. Politikken er ledelsesgodkendt.
Risikovurdering
Vi har udarbejdet en GDPR-risikovurdering, som oplister risikoscenarier ved behandling af personoplysninger. Risikoscoren for hvert scenarie er baseret på en vurdering af sandsynlighed og konsekvens, og mitigerende foranstaltninger er foretaget på baggrund af denne for at sænke risikoscoren til et acceptabelt niveau
Registreredes rettigheder
Vi har etableret og implementeret en procedure, som klart foreskriver hvad der skal ske hvis der kommer en anmodning om indsigt, sletning mv. og som indeholder de tidsfrister, der skal overholdes.
Brud på persondatasikkerheden
Vi har etableret og implementeret en procedure, som klart foreskriver hvad der skal ske hvis der indtræder et brud på persondatasikkerheden. Her står bl.a. hvordan bruddet håndteres afhængig af risikoniveau, herunder evt. underretning til Datatilsynet, de registrerede mv.
Privatlivspolitik
Vi har udarbejdet og offentliggjort en privatlivspolitik, som overholder kravene i GDPR art. 13. Den indeholder derfor bl.a. information om behandlingsaktiviteter, lovhjemmel, formål, typer af oplysninger, opbevaringsperioder og rettigheder for registrerede.
Cookiepolitik
Vi har etableret en cookiepolitik, som beskriver hvilke typer af cookies der anvendes på vores hjemmeside, formålet med dem, og hvordan brugerne kan administrere deres præferencer. Vores cookiebanner samt cookiepolitikken sørger samlet for at kravene til samtykke i e-Privacy direktivet og GDPR overholdes.

Sikkerhedsforanstaltninger

Fysisk sikkerhed
Vi har foretaget en række fysiske sikkerhedsforanstaltninger.

Heriblandt: Adgangskort, Alarmer, CCTV kamera, Forstærkede døre til serverrum, Hegn omkring bygning, Klimastyring i serverrum, Medarbejderuddanelse, Receptionist, Sikkerhedsvagt, Sikrede låse på alle uderdøre
Adgangsstyring
Vi har implementeret adgangsstyring, som sikrer, at kun personer med et arbejdsbetinget behov har adgang til personoplysninger. Adgange gennemgås regelmæssigt for at sikre, at de er korrekte og nødvendige.
Antivirus og antimalware
Vi anvender opdaterede antivirus- og antimalware-løsninger på alle relevante enheder for at beskytte mod fx virus, ransomware mv.
Kryptering
Vi sikrer, at al udgående kommunikation med personoplysninger sker krypteret. Ved transmission af fortrolige og følsomme personoplysninger anvendes altid som minimum TLS 1.2. Derudover er alle
Harddisk encryption
PC'er og MACs kryptering på harddisk-niveau for at beskytte mod tyveri og lign.
Adgangskoder
Vi har etableret en politik for adgangskoder, der kræver stærke og unikke adgangskoder til alle systemer. Politikken indeholder retningslinjer for minimumslængde (12+ karakterer), kompleksitet mv. Retningslinjerne distribueres med jævne mellemrum til alle medarbejdere via vores awareness-materiale.
Multi-faktor autentifikation (MFA)
Vi anvender multi-faktor autentifikation på samtlige systemer, som enten er forretningskritiske eller som indeholder fortrolige oplysninger (eksempelvis relateret til vores kunder) samt alle systemer, som indeholder fortrolige eller følsomme personoplysninger.
Træning og awareness
Via vores GDPR-system distribueres jævnligt materiale til samtlige af vores medarbejdere, hvor de mindes om vores retningslinjer omkring bl.a. opdatering af systemer, adgangskoder, fysisk sikkerhed, opmærksomhed vedr. phishing-mails osv.
Sikkerhedsorganisation
Informationssikkerhed er forankret i ledelsen og understøttet af politikker og procedurer, der fastlægger ansvar og beskriver adfærdskrav. Vores overordnede sikkerhedspolitik er godkendt af ledelsen og understøttes af underpolitikker. Medarbejdere informeres om sikkerhedskrav gennem uddannelsesmateriale.
Logning
Vi har implementeret logningsmekanismer for at sikre, at alle adgangsforsøg til systemer, der indeholder personoplysninger, bliver registreret. Dette omfatter administratoradgang, succesfulde logins og konfigurationsændringer. Logfiler gennemgås løbende for at identificere uautoriseret adgang eller unormal adfærd.
Netværkssegmentering
Vi opretholder fuldstændig logisk adskillelse mellem udviklings-, test- og produktionsmiljøer. Kun nødvendige brugere har adgang, og der er ingen direkte trafik mellem miljøerne. Adgangslogfiler gennemgås regelmæssigt for at sikre overholdelse af segmenteringen.
Applikationssårbarhedsscanning
Vi gennemfører regelmæssigt sårbarhedsscanninger af vores applikationer. Sårbarheder håndteres i henhold til en defineret procedure, hvor udbedringsfrister afhænger af den identificerede sårbarheds kritikalitet.
Serversårbarhedsscanning
Vi gennemfører regelmæssigt sårbarhedsscanninger af vores infrastruktur og servere. Sårbarheder håndteres i henhold til en defineret procedure, hvor udbedringsfrister afhænger af den identificerede sårbarheds kritikalitet.
Intern netværksovervågning
Vi anvender overvågning og alarmer for at opdage mistænkelig aktivitet og driftsproblemer. Systemerne giver besked om hændelser, der kræver hurtig handling, så vi kan reagere effektivt og opretholde sikker og stabil drift.
Firewall
Vi anvender moderne firewalls konfigureret med en default-deny-regel, hvilket betyder, at kun eksplicit tilladt trafik er permitted. Reglerne gennemgås regelmæssigt for at sikre, at de fortsat er relevante og effektive. Der benyttes både netværks- og applikationsniveau-firewalls.
Tavshedspligt
Alle medarbejdere er underlagt tavshedspligt både under og efter deres ansættelse hos os.
Forretningskontinuitet
Vi har implementeret en beredskabsplan for at sikre fortsat drift under større hændelser såsom strømafbrydelser eller cyberangreb. Planen identificerer kritiske systemer og beskriver procedurer for genetablering. Redundante infrastrukturelementer er etableret for at understøtte høj tilgængelighed, og planen testes regelmæssigt.
Backup
Vi udfører regelmæssige automatiske backups for at sikre, at data kan genskabes i tilfælde af hændelser såsom systemfejl eller cyberangreb.
Gendan backup
Vi tester regelmæssigt, at backups kan gendannes korrekt, for at sikre at data kan genetableres i tilfælde af systemfejl, angreb eller datatab.
Sikre headers
Vi implementerer sikre headers i vores web-applikationer for at styrke beskyttelsen mod angreb og uønsket indhold.
Sikker autentifikation
Vi anvender sikre autentifikationsmekanismer for at beskytte brugeradgang og forhindre uautoriseret login. Dette omfatter korrekt håndtering af adgangskoder og sikre processer, der udføres i backend for at opretholde en robust og betryggende adgangskontrol.
Session-timeout
Vi anvender session timeouts for at reducere risikoen for uautoriseret adgang. Brugere logges automatisk ud efter en periode med inaktivitet for at sikre, at sessioner ikke forbliver åbne længere end nødvendigt.

Databehandlere

Databehandleraftaler
I de tilfælde hvor vi engagerer en ny databehandler, sikrer vi altid at der foreligger en databehandleraftale, som opfylder samtlige af de GDPR-krav, der er oplistet i forordningens art. 28.
Register over databehandlere
I vores GDPR-system fører vi et register over de databehandlere, vi anvender. Her kan man blandt andet finde databehandleraftalen, som relaterer sig til leverandøren, se hvilke personoplysninger der behandles samt se tidspunkt for næste tilsyn mv.
Monitorering
Vi monitorerer løbende sikkerheds- og complianceniveauet blandt vores databehandlere. Dette gør vi i overensstemmelse med de retningslinjer, der er udstukket fra Datatilsynet på området. Metoderne til monitorering er derfor fx indhentelse af revisionsrapporter eller bekræftelse af, at databehandleraftalen fortsat overholdes. Frekvens for tilsyn besluttes ud fra risikoniveauet.

Vores oplysninger

Virksomhedens navn

Spinna

Kontaktperson GDPR-henvendelser

simon.ostergaard.mathiasen@svendborg.dk

Sidst opdateret

12. maj 2026