CrewPlan overholder alle GDPR reglerne

Da vi gik i gang med at udvikle CrewPlan var GDPR loven fra EU lige ved at træde i kraft, derfor har vi fra de allerførste linjer kode haft øje for Best Practice indenfor GDPR samt datasikkerhed.

Alle brugerdata opbevares ALTID krypteret - uden undtagelse!
I de fleste systemer bruges en såkaldt database til at opbevare alle de data som brugerne indtaster, samt eksempelvis oplysninger om hvilke vagter der er oprettet, beskeder afsendt og den slags informationer. Databasen gør det hele muligt praktisk talt, uden den ville det ikke ævre muligt at lave systemet som CrewPlan, FaceBook, e-boks eller noget andet. Men der er en risiko for at databasen bliver kompromitteret og der stjæles brugeroplysninger, kodeord, bankoplysninger eller personfølsomme oplysninger. Det er baggrunden for GDPR lovgivningen, som stiller høje krav til alle leverandører som opbevarer personoplysninger, alt fra emailadresser til CPR-numre eller endnu mere følsomme oplysninger om sygdom, seksualitet eller religion. 

Kryptering "At Rest"
Under udviklingen af CrewPlan har vi hele tiden brugt Best Practice inden for kryptering samt opbevaring, det betyder at ALLE brugeroplysninger ligger krypterede i databasen på ethvert tidspunkt. Det vil sige at hverken emailadresser, telefonnumre eller noget andet er muligt at "stjæle" fra systemet. Vi bruger pier-reviewed Crypto biblioteker som bruger AES-256 kryptering med "rullende" krypteringsnøgler.
Alle forbindelser imellem brugerens enhed og vores servere, er altid krypteret med SSL kryptering ala netbank. Det sikrer at ingen udefra kan opsnappe eller ændre på data. Ligeledes bruges vi anerkendte teknikker til at sikre imod angreb via XSS og sqlangreb.


Vores SSL kryptering scorer højeste score A+ hos SSLlabs.

Alle data opbevares i EU
I henhold til EU lovgivningen GDPR er vi forpligtet til at opbevare alle oplysninger om vores brugere på systemer inden for EU's grænser.
Alle vores samarbejdspartnere er EU baseret, primært har vi alle vores servere og backupsystemer hos Digital Ocean i Frankfurt.

Backuprutiner og datasikkerhed
Når brugere uploader dokumenter bliver de krypteret øjeblikkeligt, sådan at kun brugeren selv samt frivillige fra den organisation de er tilknyttet kan hente dokumentet ukrypteret. Vi logger i databasen når en bruger eller admin henter et krypteret dokument.

Alle filer i CrewPlan bliver der lavet backup af sådan at de altid kan gendannes, skulle der ske en fejl på en af vores servere.

Alle databaser bliver hver 6. time automatisk sikkerhedskopieret til Amazon S3 i et krypteret drev, det betyder at vores allerede krypterede data nu ekstrakrypteres før de forlader vores egne servere. Backupfilerne slettes automatisk efter 90 dage og kan derefter ikke genskabes.

Databehandleraftale
Vi indgår databehandleraftale med vores kunder baseret på Dansk Industri's standardaftale, dog kan vi også indgå andre aftaler eks. Kombit's standardaftale hvis kunder kræver dette.

Du kan hente vores standard databehandleraftale her CrewPlan DK Databehandleraftale.pdf.

Læs mere om GDPR loven og reglerne der skal overholdes

Justitsministeriets "Frivillige foreningers behandling af personoplysninger" (pdf)

Datatilsynets sider om lovgivningen for databeskyttelsesområdet.

Link til Retsinformations sider om databeskyttelsesloven