Om oshure
Sikkerhed hos OSHURE
OSHURE har mange hundrede kunder, der anvender vores platform til systematisk at forbedre deres arbejdsmiljø. Der arbejdes fx med undersøgelser, møder, registrering af nærved-ulykker og meget andet.
Derfor kan de enkelte abonnementer godt indholde personoplysninger. Vores platform er bygget til at kunne håndtere personfølsomme oplysninger, som vores kunder opbevarer i systemet.
Hvis du er kunde kan du altid finde din databehandleraftale under kontooplysninger på administrationsmodulet, eller du kan finde den generiske databehandleraftale her.
OSHURE får årligt foretaget en ISAE 3000 erklæring, som er en som er en erklæring af, at persondata behandles i overensstemmelse med GDPR.
Erklæringen udarbejdes af en uafhængig tredjepart vedrørende OSHUREs overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret samt indholdet af databehandleraftalen.
OSHURE bruger Microsoft Azure til behandling af alle kundedata. Alle vores underdatabehandlere findes her.
Mere om vores sikkerhed
Personoplysninger
I forbindelse med leveringen af løsningerne behandler Oshure personoplysninger på vegne af den dataansvarlige efter gældende regler og i overensstemmelse med indgået datahandleraftale.
Kategorier af personoplysninger
- Kontaktoplysninger, som personnavne, e-mail, telefonnummer og organisation
- Brugeroplysninger, så som brugernavn og lokation
- Data fra besvarelse af spørgeskemaer. Disse kan nogle gange indeholde oplysninger om sociale variable såsom køn, alder og arbejdsfunktion ol.
Data fra runderinger og sagsindberetninger fra medarbejdere kan indeholde tekst og fotodokumentation af arbejdsforhold. Disse kan indeholde personhenførbare data.
Oshure ApS’ behandler som udgangspunkt nedenstående kategorier af registrerede:
- Personer, som er eller har været ansat hos den dataansvarlige.
- Kunder hos den dataansvarlige Instruks fra den dataansvarlige
Oshure ApS behandler kun personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaterne nationale ret, som databehandleren er underlagt. Denne in- struks fremgår af den indgåede databehandleraftale.
Oshure ApS har sikret at der findes skriftlige procedurer, som indeholder krav om, at der alene må foretages behandling af personoplysninger, når der foreligger en instruks.
Risikovurdering
Oshure ApS har foretaget en kortlægning af risikoen for de registrerede rettigheder, herunder en afvejning af risici i forhold til de forholdsregler, som er truffet for at beskytte disse rettigheder. Selve risikovurderingen følger Datatilsynets, Erhvervsstyrelsens og Rådet for Digital Sikkerheds anbefalinger og indeholder:
- En kortlægning af relevante risici og trusler
- Konsekvensvurdering for hver risiko og trusselskategori
- Sandsynlighedsvurdering: For hver risiko- og trusselskategori er der vurderet en forventet sandsynlighed for tab af fortrolighed, tilgængelighed eller integritet vedrørende den relevante risiko- og trusselskategori
- Risikobillede: Baseret på konsekvens- og sårbarhedsvurderingen fastlægges
Tekniske og organisatoriske kontrolforanstaltninger
Behandling af data udgør kernen i den service, som Oshure ApS yder overfor vores kunder. Derfor er vores kunders tillid til at vi kan levere vores service på en sikker og fortrolig vis afgørende for vores forretningsgrundlag.
Følgende foranstaltning er etableret enten hos Oshure eller tilkøbes fra eksterne leverandører:
Fysisk sikkerhed
- kontorlokaler kan aflåses
- alarmsystem til at opdage og bidrage til at forhindre indbrud
- brandalarm og røgdetektorer
- udstyr (herunder PC’er, eventuelle servere mv.) er sikret bag låste døre
- Der er overvågning af bygninger, lokaler og faciliteter eller adgangsveje
Organisatorisk sikkerhed
OSURE ApS har etableret følgende organisatoriske sikkerhedsforanstaltninger:
- Alle medarbejdere er underlagt fortrolighedsforpligtelse, der gælder for alle behandlede personoplysninger.
- Medarbejdernes adgang til personoplysninger i Organisationens systemer og på eventuelle fysiske me- dier eller faciliteter er begrænset, sådan at det kun er de relevante medarbejdere, der har adgang til de relevante personoplysninger.
- Medarbejdere med adgang til følsomme personoplysninger (såkaldte ‘følsomme’ personoplysninger) el- ler kritiske it-systemer er sikkerhedsgodkendt inden ansættelse.
- Medarbejderes behandling af personoplysninger logges helt eller delvis og kan kontrolleres efter behov.
- Dokumenteret procesbeskrivelse for brud på persondatasikkerheden, der minimum tages op til revidering årligt.
- IT-sikkerhedspolitik.
- Medarbejdere dokumenterer og rapporterer – hvis nødvendigt – brud på datasikkerheden eller risici herfor.
Teknisk sikkerhed
Adgang til og beskyttelse af systemer
For at sikre fortrolighed og integritet af Oshure ApS’ IT-systemer er der etableret følgende sikkerhedsforanstaltninger:
- Systemer har logisk adgangskontrol ved brugernavn og adgangskode eller anden autorisation.
Der benyttes antivirusprogrammer, som jævnligt opdateres.
Der foretages logning og kontrol af uautoriserede eller gentagne mislykkede forsøg på log-in på organi- - sationens systemer.
- Der er procedure(r) for tilbagekaldelse af tilladelser, når en medarbejder stopper i organisationen eller
- skifter afdeling.
- Der er procedurer for tildeling af autorisationer til IT-systemer ved en medarbejders ansættelse.
- Organisationen anvender firewall til at forhindre adgang og beskytte netværksressourcer
Adgang til og beskyttelse af personoplysninger
For at sikre fortrolighed og integritet af personoplysninger har Oshure ApS etableret følgende sikkerhedsforan- staltninger:
- Der foretages regelmæssig gennemgang af systemkontrol
- Tildeler enkelte eller grupper af brugere autorisationer til at tilgå, ændre og slette behandlede personoplysninger.
- Der foretages regelmæssig gennemgang og kontrol af brugerautorisationer til specifikke systemer.
- Der foretages logning og kontrol af uautoriserede eller gentagne mislykkede forsøg på adgang til data.
- Der foretages logning og kontrol af uautoriserede eller gentagne mislykkede forsøg på sletning af data.
- Der er sporbarhed af adgang til, ændring af og sletning af data foretaget af individuelle brugere.
Tilgængelighed og robusthed
Alle Oshure ApS’ IT-systemer hostes hos Microsoft Azure.
Kontrol af transmission
For at sikre at uautoriserede personer ikke kan læse, kopiere, modificere eller slette personoplysninger ved trans- mission, har Oshure ApS etableret sikkerhedsforanstaltninger.
Anvendelse af underdatabehandlere
Der er etableret procedurer, der sikrer at der kun anvendes godkendte underdatabehandlere.
Når Oshure gør brug af en underdatabehandler i forbindelse med en konkret behandlingsaktivitet på vegne af den dataansvarlige sikres kontraktmæssigt, at underdatabehandlere har de samme beskyttelsesforpligtelser, som dem, der fremgår at databehandleraftalen mellem Oshure og den dataansvarlige.
Oshure foretager årligt kontrol med underdatabehandlere.
Overførsel af personoplysninger
Oshure overfører kun oplysninger til godkendte underdatabehandlere i EU.
Oshure har en underdatabehandler udenfor EU (Userpilot – online tutorials til systemet). Overførsel sker i henhold til Standard Contractual Clause. Der overføres kun e-mail, navn og brugshistorik fra systemet.