Opdateret februar 2025
Databeskyttelse
Garuda lever op til gældende lovgivning om databeskyttelse. Hos Garuda tager vi IT- og datasikkerhed meget alvorligt. På denne side kan du læse mere om hvordan vi lever op til IT-sikkerhed og datahåndtering og sikrer, at dine oplysninger ikke bliver misbrugt af tredjepart.
Revisorerklæring
Hos Garuda indhenter vi årligt en ISAE3000 erklæring. Erklæringen udarbejdes af en uafhængig tredjepart vedrørende Garudas overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret samt indholdet af databehandleraftalen.
ISAE 3000-erklæring, 2021 (september 2021)
ISAE 3000 type II-erklæring, høj sikkerhed, 2022 (november 2022)
ISAE 3000 type II-erklæring, høj sikkerhed, 2023 (november 2023)
ISAE 3000 type II-erklæring, høj sikkerhed, 2024 (januar 2025)
FAQ – ISAE3000 erklæring
Har du spørgsmål til vores ISAE3000 erklæring eller generelle spørgsmål til vores databehandling, vil vi anbefale dig, at kigge forbi vores FAQ. Her finder du hurtigt og nemt svar på de mest gængse spørgsmål.
Databehandleraftale
I ethvert kundeforhold behandler vi personoplysninger på vegne af vores kunder. I denne relation er vores kunder dataansvarlige, og vi er databehandler. Det medfører, at både vi og vores kunder er forpligtet til at indgå en databehandleraftale, der indholdsmæssigt skal opfylde kravene i GDPR. Garuda bruger Datatilsynets standardkontraktsbestemmelser som databehandleraftale. Det giver den fordel, at vi opfylder vores fælles forpligtelse til at indgå en gyldig databehandleraftale.
Du kan se og underskrive vores databehandleraftaler her (opdateret august 2023)
Som det fremgår af databehandleraftalen, benytter vi os af underdatabehandlere for at kunne levere vores løsning til jer i henhold til abonnementsaftalen mellem os og jer.
Ud over at sikre vores egen håndtering af personoplysninger er det også vigtigt for os, at vores samarbejdspartnere som underdatabehandlere gør det samme. Derfor anvender Garuda alene førende underdatabehandlere, som overholder krav til behandlingssikkerhed.
Garuda har overordnet set to typer af underdatabehandlere:
(1) vores leverandør af hosting- og it-driftsydelser, Solarwinds, og
(2) øvrige leverandører af sekundære driftsrelaterede funktioner.
Foruden anvendelsen af egne servere er Solarwinds den underdatabehandler, som behandler den primære data, man som kunde tilføjer til løsningen. De øvrige underdatabehandlere leverer sekundære driftsrelaterede funktioner, og de vil typisk kun behandle begrænsede personoplysninger såsom brugernavn, e-mailadresse, IP-adresse og telefonnummer samt eventuelt andre personoplysninger, som I via jeres aktive brug af de sekundære driftsrelaterede funktioner vælger at tilføje.
Nedenfor følger en skematisk angivelse af alle vores underdatabehandlere, inkl. beskrivelse af deres respektive behandling, overførelsesgrundlag og link til de bindende aftaler, vi har indgået med hver af dem:
| Navn | Land | Beskrivelse af behandling |
|---|---|---|
| OnlineCity ApS CVR: 27364276 |
Danmark | OnlineCity.io anvendes som service for udsendelse af SMS. OnlineCity ApS behandler SMS sendt via løsningen og dermed de registreredes telefonnumre. SMS’en kan indeholde navne og e-mailadresser. Denne behandling af data sker i henhold til deres standard underdatabehandleraftale. |
| Solarwinds MSP CVR: 817292813 |
Tyskland | Solarwinds anvendes til hosting og remote backup af løsningen, herunder lagring og processering af data. Solarwind kan bl.a. behandle navne, e-mailadresser, køn, alder og dokumenter som måtte blive overført fra de registrerede. Denne behandling af data sker i henhold til deres standard underdatabehandleraftale. |
| AWS SES CVR: LU26888617 |
Tyskland | AWS SES anvendes som service for udsendelse af mails. AWS SES behandler indhold af mails, vedhæftninger og e-mailadresser. Denne behandling af data sker i henhold til deres standard underdatabehandleraftale. |
Såfremt der er indgået aftale vedrørende leveringen af licens til værktøjet, JobSpot, anvendes følgende underdatabehandlere:
| Navn | Land | Beskrivelse af behandling |
|---|---|---|
| Solarwinds MSP CVR: 817292813 |
Tyskland | Solarwinds anvendes til hosting og remote backup af løsningen, herunder lagring og processering af data. Solarwind kan bl.a. behandle navne, e-mailadresser, køn, alder og dokumenter som måtte blive overført fra de registrerede. Denne behandling af data sker i henhold til deres standard underdatabehandleraftale. |
| A Bigger Boat CVR: 38684906 |
Tyskland | A Bigger Boat anvendes til generering af video-spots. A Bigger Boat behandler de fotos og videoer som den dataansvarlige ønsker skal indgå i videoen. Denne behandling af data sker i henhold til deres standard underdatabehandleraftale. |
| AWS SES CVR: LU26888617 |
Tyskland | AWS SES anvendes som service for udsendelse af mails. AWS SES behandler indhold af mails, vedhæftninger og e-mailadresser. Denne behandling af data sker i henhold til deres standard underdatabehandleraftale. |
Med tiden kan der forekomme ændringer i anvendelsen af underdatabehandlere, som bruges til at levere vores services. Som dataansvarlig vil du blive underrettet i det omfang, det kræves i henhold til gældende databehandleraftale, og ændringer vil ligeledes fremgå på denne side.
Hvis det ønskes og aktivt tilvælges, kan OpenAI benyttes som underdatabehandler til Garuda AI løsningen i JobSpots. Denne underdatabehandler vil ikke automatisk blive benyttet ved underskrift på abonnents- eller databehandleraftalen, hvorfor et tillæg skal underskrives. Herefter anvendes:
| Navn | Land | Beskrivelse af behandling |
|---|---|---|
| Open AI LLC | USA, 3180 18th St., San Francisco, CA 94110 |
Ved særskilt aktivering af JobSpots funktioner til kunstig intelligens (Garuda AI) benyttes OpenAI’s sprogmodeller til at scanne offentligt tilgængelige jobannoncer, på baggrund af brugerens input i form af link eller tekst. Herefter udtrækker Garuda AI relevant indhold fra det offentlige link ved brug af OpenAI’s sprogmodeller. Indholdet kan efterfølgende aktiveres af brugeren i det aktuelle JobSpots, herunder tekst, kontaktinformationer og billeder. Denne behandling af data sker i henhold til deres standard underdatabehandleraftale. Tillægsaftalen kan underskrives her… |
Sikkerhedsforanstaltninger:
Behandling af data er en integreret del af Garuda, som vi stiller til rådighed for vores kunder. Derfor er vores kunders tiltro og tillid til, at vi kan levere vores service på sikker og fortrolig vis også af helt afgørende betydning for vores forretningsgrundlag. Vi tager derfor sikkerhed meget alvorligt og har et kontinuerligt fokus herpå.
Har du spørgsmål til Garuda og GDPR, så kontakt os på:
datasikkerhed@garuda.dk
| Leverandør | Backup og anti-malware |
|---|---|
| Brug af anerkendte leverandører, der er certificeret til hosting af platform inden for leverandørens EU/EUØ-dataregioner. | Daglig backup og opdateret anti-malware og virus på systemer og enheder. |
| Kryptering | Løbende tjek af platform |
|---|---|
| Fuld kryptering af data i transit. | Løbende tjek af platform og systemer i forhold til OWASP top 10 sårbarheder. |
| Fysisk sikring af lokaliteter | Logning |
|---|---|
| Fysisk sikring af lokaliteter med individuelle adgangsnøglebrikker og koder samt overvågning af faciliteter. | Logning af adgang og handlinger i platformen og systemer. |
| Procedurer | Hardware |
|---|---|
| Procedurer for tilgang til produktionsmiljø og adgang til kundedata. | Genbrug af hardware sker udelukkende ved gendannelse af fabriksindstilling, og destruktion af hardware sker i henhold til markedsstandard. |
