compliance

Hvad er compliance og hvad kræver dette?

Compliance dækker over overholdelse af love, regler og branchestandarder vedrørende indsamling, opbevaring, brug og formidling af data. Dette kan omfatte emner som databeskyttelse, datasikkerhed og dataadgang. Som databehandler er vi underlagt EU-forordningen 2016/679 - populært omtalt som GDPR (General Data Protection Regulation), Databeskyttelsesforordningen eller Persondataforordningen.

GDPR er en EU-lovgivning, der trådte i kraft i maj 2018. Det har til formål at beskytte privatlivets fred for EU-borgere ved at regulere håndteringen af deres personoplysninger. GDPR kræver, at virksomheder og organisationer har en legitim grund til at indsamle, opbevare og bruge personoplysninger, og at de skal give brugerne kontrol over deres egne data, herunder ret til at få adgang til, slette og korrigere deres data. GDPR gælder for alle virksomheder og organisationer, der behandler personoplysninger om EU-borgere, uanset hvor de er placeret.

Databehandleraftale

En databehandleraftale er et vigtigt redskab til at sikre, at personoplysninger behandles i overensstemmelse med gældende lovgivning, herunder GDPR. Aftalen fastlægger ansvaret og forpligtelserne for den dataansvarlige og databehandleren i forhold til behandlingen af personoplysninger. Det sikrer, at alle parter er klar over deres forpligtelser og har en fælles forståelse af, hvordan data skal behandles.

En databehandleraftale kan hjælpe med at beskytte personoplysninger ved at fastlægge sikkerhedskrav til databehandleren og ved at give den dataansvarlige mulighed for at overvåge og kontrollere databehandlerens aktiviteter.

Aftalen kan også fastlægge, hvordan databehandleren skal håndtere databrud, og hvordan den dataansvarlige skal informeres om sådanne hændelser.

En databehandleraftale er også vigtig for at sikre, at der er en klar forståelse for, hvem der er ansvarlig for databeskyttelse, hvilken type data, der behandles, og hvordan det skal behandles. En databehandleraftale er en aftale mellem en dataansvarlig og en databehandler, der beskriver databehandlerens forpligtelser og ansvar i forbindelse med behandlingen af personoplysninger. Aftalen skal sikre, at behandlingen af personoplysninger sker i overensstemmelse med gældende databeskyttelsesregler.

Download vores Standard databehandleraftale

Ovenstående er vores standard aftale. Tillæg og præciseringer i den endelige aftale kan forekomme.

d-mærket

"Danmarks nye mærkningsordning for it-sikkerhed og ansvarlig dataanvendelse"

LifeGuard Health er blandt de allerførste virksomheder, der gik hele vejen og blev D-mærket. D-mærket tydeliggør hvilke virksomheder, der udviser digital ansvarlighed og giver dermed både forretningsværdi til virksomhederne, tryghed til forbrugere og kunder og skaber et stærkere digitalt Danmark.

Industriens Fond står bag D-mærket/D-seal i samarbejde med DI - Dansk Industri, Dansk Erhverv, SMVdanmark, og Forbrugerrådet Tænk. D-mærket støttes af Erhvervsstyrelsen.

DI logo
De logo
SMV logo
ID logo
Taenk logo
Taenk logo
Se vores Certificering
Anmod om vores Virksomhedsattest

etik

Det Digitale Etikkompas

Det etiske kompas

I forbindelse med vores certificering til D-mærket, blev vi introduceret til Det Digitale Etik Kompas og udvalgt som en af de første virksomheder til at gennemgå et læringsforløb tilknyttet hertil. Forløbet handlede om vores/LifeGuards evne til at tænke data og digitalt design på en ansvarlig og etisk måde.

Det Digitale Etikkompas gennemføres af DDC – Danish Design Center, DI - Dansk Industri og Industriens Fond sammen med en række partnere bl.a. 1508, som var den drivende kraft i vores forløb.

DI logo
DI logo
ID logo
ID logo
Læs mere om Det Digitale Etikkompas
Læs mere om vores workshop

privacy

Privacy by Design

Hos Lifeguard Health har vi fokus på, at tænke persondatadatabeskyttelse og privatliv ind i vores forretningsprocesser, værdikæde og produktlivscyklus. På denne måde kan vi, tidligt i processen, sikre os, at brugerens data er optimalt beskyttet.

Vi arbejder derfor ud fra de 7 principper for ”Privacy by Design”.

  1. Proaktivitet
  2. Privatliv som default indstilling
  3. Privatliv indbygget i designet
  4. Fuld funktionalitet – positiv-sum og ikke nul-sum
  5. End-to-end sikkerhed i hele livscyklus
  6. Synlighed og transparens
  7. Respekter forbrugerens privatliv gennem en brugercentreret tilgang

Dette betyder at vi designer vores systemer, processer og infrastruktur, så de fra starten indarbejder passende sikkerhedsforanstaltninger for persondatasikkerheden – med skelen til de ændringer i lovkrav som forventelig ligger indenfor en relevant fremtid.

Vi understøtter disse tiltag med løbende undervisning af relevante medarbejdere samt begrænsninger i adgang af selvsamme ud fra princippet “Principle Of Least Privilege”.

Alt dette kan lyde som et benspænd – en begrænsende faktor. Men i takt med at processer og systemer udvikles og ændre, øges værdien af de overvejelser og tiltag som blev født ind i udgangspunktet.

Privacy by Default

Denne tilgang har forplantet sig i vores produktudvikling, hvor alle tekniske løsninger udarbejdes ud fra et ønske om at sikre den højest realiserbare grad af persondatabeskyttelse, ved hjælp af kryptering, dataminimering, pseudo- & anonymisering af brugernes data.

Du kan læse mere om de overvejelser dette medfører i afsnittet Sikkerhed - En rejse mod "Secure by default".

sikkerhed

Framework

Vores egenudviklet platform er baseret på Laravel. Laravel er et bredt benyttet open-source PHP baseret web framework. Laravel er robust og ekstremt effektiv til at udvikle skræddersyet software og webapplikationer til primært store virksomheder. Frameworket er bygget op omkring en MVC-arkitektur (Model-View-Controller), hvilket giver os mulighed for at bygge, og vedligeholde, avancerede app funktioner ud fra en stringent struktur.

Laravel kommer med en masse funktioner herunder avanceret brugergodkendelse, adgangskodelagring(hash’ed), datakryptering, CSRF vha. token’s samt beskyttelse mod Cross Site Scripting. Alt sammen teknologier som fremmer framework databeskyttelse, sikkerhed og privatliv.

Det relative store udvikler-community betyder at eventuelle sikkerhedsbrister løbende bliver identificeret og taget hånd om og patch’ed.

I forlængelse af vores dedikation til Laravel, benytter vi Laravel Forge som Server Management Tool – både i udvikling og til deploy.

Laravel logo
Laravel forge logo

Kodebase

Som SCM har vi valgt at benytte Bitbucket (GIT Repo), der i kombination med Jira (backlog) sikrer en stabil CI/CD-proces med fokus på sikkerhed. Begge er en del af Atlassian produktpakke.

Alt udviklet kode bliver gennemgået af vores Source Code Analysis Tool og i forbindelse med deploy, foretages CWE-test af koden på vores test-servere.

Laravel logo
Jira forge logo
Laravel logo
PHPstan logo

Data

Alt data krypteres, både i transit - ved hjælp af TLS 1.2 over HTTPS - og i REST vha. AES 256 bit kryptering. Sensitive data, som gemmes på lokale enheder med henblik på lokal bearbejdning, anonymiseres og krypteres ved hjælp af XTS-AES 256 bit kryptering.

Ved fremsendelse af sensitive data til brugere benyttes eSignatur. Brugerverificering håndteres ved hjælp af relevant eID, herunder MitID, NemID.

For yderligere information, henviser vi til vores standard databehandleraftale Bilag B.1

TLS logo
Jira forge logo
eSignatur logo
MitID logo
NemID logo

Monitorering og Logning

Vi monitorerer løbende hændelser af forskellig art og gemmer disse i vores log management. Her kan der være tale om alle mange typer af hændelser herunder hændelser i relation til brugere, sikkerhed, servere og applikation. Derudover kan der være tale om ”event & performance” logning, som ofte bliver brugt af vores udviklingsteam til at få større indsigt i specifikke hændelser og konsekvenser deraf.

I forlængelse af vores logning benytter vi, som en udvidet sikkerhedsforanstaltning, Security Information and Event Management (SIEM) system. Vores SIEM hjælper os 24/7 med at registrere trusler, før de rammer os og sikre, at vi løbende kan overvåge og beskytte både data og infrastruktur.

Til trods for at vores logning er født ud af et operationelt og sikkerhedsmæssigt behov, er compliance et vigtigt ben i vores logindsamlingspolitik. Skal specifikke logmeddelelser, der indeholder visse personligt identificerbare oplysninger, opbevares i kortere tid, skal de slettes, eller skal nogle af deres felter skal krypteres – og hvor lang tid må vi gemme dem. Alle vores logninger foretages centralt.

Medarbejderbetjening

Et ofte overset sikkerhedsaspekt er det menneskelige aspekt. Vi arbejder løbende med at sikre os, at medarbejderne er godt informeret om virksomhedens sikkerhedsprocedurer og hvorledes de skal reagere i tilfælde af et sikkerhedsbrud.

I henhold til gældende GDPR-lovgivning er vi forpligtet, som organisationen, til at sikre os at vores medarbejdere kun behandler personoplysninger under instruks.

Derfor underviser vi løbende vores medarbejdere i databeskyttelse, databeskyttelsespraksis og håndtering af personoplysninger alt imens vi sikrer os at adgang til, og betjening af, sensitive data er begrænset ud fra jobfunktion.

Undervisning af medarbejdere omkring GDPR, og overholdelse af betjeninginstrukser er dermed et vigtigt element i beskyttelsen af virksomhedens og kundernes personoplysninger mod uautoriseret adgang og brug.

Al medarbejder-adgang til sensitivt data er individuelt defineret ud fra jobfunktion. Lifeguard-platformen understøtter dette ved hjælp af individuelle brugerrettigheder.

En rejse mod ”Secure by default”

”Secure by default” er et udtryk, der oftest bruges til at definere de tilgange og teknologier som garanterer den højeste grad af sikkerhed. Men når det kommer til udvikling af digitale produkter, bliver sikkerheden ofte afvejet ift. et rimelighedskrav.

Dette kan omfatte afvejninger på tværs af:

  • Brugervenlighed
    Sikkerhedsindstillinger kan komme i vejen for brugerens ønske eller evne til at benytte produktet.
  • Risiko
    Høj krav til sikkerhed kan blokere for løsninger som skaber værdi for brugeren.
  • Teknik
    Sikkerheden bliver kompromitteret af interaktion med, eller krav til understøttelse af, forældet udstyr herunder ældre browsere m.m.
  • Økonomi
    Sikkerhed kommer med en pris.

Hos Lifeguard forsøger vi løbende at afveje de valg vi tager ud fra ovenstående hensyn.

Vi arbejder ud fra en holistisk tilgang, hvor vi forsøger at løser sikkerhedsproblemer, hvor de opstår frem for at behandle konsekvenserne hvor de manifestere sig. Sikkerhed hos Lifeguard starter derfor med standardiserede operationsprocedure, undervisning og screening.

Anmod om vores "DPIA v2"
Anmod om vores "Master Policy v4"
Anmod om vores "IT Operational Policy v4"
Anmod om vores "Privatlivs- og sikkerhedspolitik"

persondatapolitik

Vores Persondatapolitik er udarbejdet med henblik på at forklare med fuld gennemsigtighed, hvordan vi behandler dine personlige data. Hvis du ikke finder svaret på dine spørgsmål i dette dokument, er du velkommen til at kontakte os på denne email dpo@life-guard.dk

Læs vores Persondatapolitik

Cookies

7. Cookies (fra vores Persondatapolitik)

...

7.1

Lifeguard Health ApS benytter sig på vores sider af første- og tredjepartscookies til at forbedre brugeroplevelsen samt personalisering af indhold. Ved at bruge vores site godkender du brugen af cookies. Lifeguard Health ApS overholder retninglinierne i "Cookie-bekendtgørelsen" udarbejdet af Erhvervsstyrelsen den 10. december 2019.

7.2

En cookie er en lille datafil, der giver mulighed for at lagre oplysninger eller tilgå allerede lagrede oplysninger på din computer fra den hjemmeside, du besøger. Cookies bruges af langt de fleste hjemmesider i dag. Cookies er med til at sikre, at hjemmesidens funktioner fungerer, som de skal, og de bruges til at kunne genkende din computer ved tilbagevendende besøg. Der lagres ikke nogen personlige informationer i vores cookies, og de kan ikke sprede virus eller andre skadelige programmer.

7.3

Herunder findes en liste over de cookies, som Lifeguard Health Aps bruger for at forbedre brugeroplevelsen:

CookieDomæneTypeBeskrivelse
LifeguardCampaignCookieportal.life-guard.dkTekniskStatistikcookie der indeholder informationer omkring instillinger på hjemmesiden.
laravel_sessionportal.life-guard.dkTekniskTekniske cookies der indeholder informationer omkring brugerinstillinger på portalen
XSRF-TOKENportal.life-guard.dkTekniskTekniske cookies der beskytter mod CSRF angreb fra trediepart.
player.vimeo.comvimeo.comTekniskVimeo video cookies til registering af video opsætning m.m.
__cf_bmvimeo.comTekniskVimeo video Cloadflare cookie til registering af om brugeren er bot.
*SESSIDlife-guard.dkSessionSession cookie til check for login på relevante undersider.
Shop.life-guard.dkShop.life-guard.dkSessionKombineret Session/Teknisk cookie web brug af webshop. (Kun på webshop)
AWSELB, PMLCID, PMLSIDShop.life-guard.dkTekniskBenyttes til sikker betaling ved vores betalingsudbydere. (Kun på webshop)
_ga, _gat_UA-*,portal.life-guard.dkTrackingGoogle Analytics: Bruges til at lave statistik på hvordan brugerne benytter sitet, således at vi løbende kan optimere sitet.

Såfremt du ønsker at inddrage din coockie tilladelse, findes der på Erhvervsstyrelsens hjemmeside en guide til, hvordan dette kan gøres. Fremgangsmåden er forskellig, alt efter hvilken browser man benytter.

Du kan læse mere om de forskellige cookie typer her.

Den 21. september 2022 kom det danske datatilsyn på banen i forhold til Google Analytics og konkluderede, “at værktøjet (“Google Analytics”) ikke kan benyttes lovligt uden videre. En lovlig brug forudsætter implementering af en række supplerende foranstaltninger ud over de indstillinger, Google stiller til rådighed. Vi har derfor fjernet Google analytics og slettet alt data.

Læs mere her

dpo

Paul Nybo Andersen

CTO / Databeskyttelsesrådgiver

pna@life-guard.dk

+45 22219898