Oppdatert november 2023
Beskyttelse av personopplysninger
Garuda overholder gjeldende personvernlovgivning.
Hos Garuda tar vi IT- og datasikkerhet svært alvorlig.
På denne siden kan du lese mer om hvordan vi overholder IT-sikkerhet og datahåndtering og sikrer at informasjonen din ikke misbrukes av tredjeparter.
Revisors beretning
Hos Garuda innhenter vi en årlig ISAE3000-erklæring.
Erklæringen utarbeides av en uavhengig tredjepart om Garudas overholdelse av personvernforordningen, personvernbestemmelser i annen EU-lovgivning eller medlemsstatenes nasjonale lovgivning og innholdet i databehandleravtalen. ISAE 3000-erklæring (september 2021) ISAE 3000 type II-erklæring, høy sikkerhet (November 2022) ISAE 3000 type II-erklæring, høy sikkerhet (november 2023)
Vanlige spørsmål – ISAE3000-erklæring
Hvis du har spørsmål om vår ISAE3000-erklæring eller generelle spørsmål om vår databehandling, anbefaler vi at du tar en titt på våre vanlige spørsmål. Finn svar på de vanligste spørsmålene raskt og enkelt.
Databehandleravtale
I ethvert kundeforhold behandler vi personopplysninger på vegne av kundene våre.
I dette forholdet er kundene våre behandlingsansvarlige, og vi er databehandlere.
Det betyr at både vi og kundene våre er forpliktet til å inngå en databehandleravtale, og innholdet i denne må oppfylle kravene i GDPR.
Garuda bruker Datatilsynets standardkontraktsklausuler som databehandleravtale.
Dette har den fordelen at vi oppfyller vår felles forpliktelse til å inngå en gyldig databehandleravtale. Du kan se og signere våre databehandleravtaler her (oppdatert august 2023) Som det fremgår av databehandleravtalen, bruker vi underdatabehandlere for å levere løsningen vår til deg i henhold til abonnementsavtalen mellom oss og deg.
I tillegg til å sikre vår egen håndtering av personopplysninger, er det også viktig for oss at våre samarbeidspartnere som underdatabehandlere gjør det samme.
Derfor bruker Garuda kun ledende underdatabehandlere som overholder kravene til databehandlingssikkerhet.
Garuda har generelt to typer underdatabehandlere: (1) vår leverandør av hosting- og IT-driftstjenester, Solarwinds, og (2) andre leverandører av sekundære driftsfunksjoner.
I tillegg til å bruke egne servere, er Solarwinds den underprosessoren som behandler de primære dataene som kundene legger til i løsningen.
De andre underbehandlerne leverer sekundære driftsfunksjoner, og de vil vanligvis bare behandle begrensede personopplysninger som brukernavn, e-postadresse, IP-adresse og telefonnummer, samt eventuelle andre personopplysninger som du velger å legge til gjennom din aktive bruk av de sekundære driftsfunksjonene.
Nedenfor finner du en skjematisk oversikt over alle våre underdatabehandlere, inkludert en beskrivelse av deres respektive behandling, overføringsgrunnlag og lenke til de bindende avtalene vi har inngått med hver av dem:
| Landets navn | Land | Beskrivelse av behandlingen |
|---|---|---|
| OnlineCity ApS CVR: 27364276 | Danmark | OnlineCity.io brukes som en tjeneste for sending av SMS. OnlineCity ApS behandler SMS som sendes via løsningen og dermed registrantenes telefonnumre. SMSene kan inneholde navn og e-postadresser. Denne behandlingen av data skjer i henhold til deres standard underdatabehandleravtale. |
| Solarwinds MSP CVR: 817292813 | Tyskland, Tyskland | Solarwinds benyttes til hosting og ekstern backup av løsningen, herunder lagring og behandling av data. Solarwind kan behandle navn, e-postadresser, kjønn, alder og dokumenter som eventuelt overføres fra de registrerte. Denne behandlingen av data skjer i henhold til deres standard underdatabehandleravtale. |
| AWS SES CVR: LU26888617 | Tyskland, Tyskland | AWS SES brukes som en tjeneste for sending av e-post. AWS SES behandler e-postens innhold, vedlegg og e-postadresser. Denne behandlingen av data gjøres i henhold til deres standard underdatabehandleravtale. |
Dersom det er inngått avtale om levering av lisens for verktøyet JobSpot, benyttes følgende underdatabehandlere:
| Landets navn | Land | Beskrivelse av behandlingen |
|---|---|---|
| Solarwinds MSP CVR: 817292813 | Tyskland, Tyskland | Solarwinds benyttes til hosting og ekstern backup av løsningen, herunder lagring og behandling av data. Solarwind kan behandle navn, e-postadresser, kjønn, alder og dokumenter som eventuelt overføres fra de registrerte. Denne behandlingen av data skjer i henhold til deres standard underdatabehandleravtale. |
| A Bigger Boat CVR: 38684906 | Tyskland, Tyskland | A Bigger Boat brukes til å generere videospots. A Bigger Boat behandler bildene og videoene som den behandlingsansvarlige ønsker å inkludere i videoen. Denne behandlingen av data skjer i henhold til deres standard underdatabehandleravtale. |
| AWS SES CVR: LU26888617 | Tyskland, Tyskland | AWS SES brukes som en tjeneste for sending av e-post. AWS SES behandler e-postens innhold, vedlegg og e-postadresser. Denne behandlingen av data gjøres i henhold til deres standard underdatabehandleravtale. |
Over tid kan det skje endringer i bruken av underdatabehandlere som brukes til å levere tjenestene våre.
Som behandlingsansvarlig vil du bli varslet i den grad det kreves i henhold til gjeldende databehandleravtale, og endringer vil også vises på denne siden.
Om ønskelig og aktivt valgt, kan OpenAI benyttes som underdatabehandler for Garuda AI-løsningen i JobSpots.
Denne underdatabehandleren vil ikke automatisk bli benyttet ved signering av abonnent- eller databehandleravtalen, og det må derfor signeres et tillegg.
Heretter vil den bli brukt:
| Landets navn | Land | Beskrivelse av behandlingen |
|---|---|---|
| Open AI LLC | USA, 3180 18th St., San Francisco, CA 94110 | Når JobSpots funksjoner for kunstig intelligens (Garuda AI) aktiveres separat, brukes OpenAIs språkmodeller til å skanne offentlig tilgjengelige stillingsannonser basert på brukerens innspill i form av lenker eller tekst. Garuda AI trekker deretter ut relevant innhold fra den offentlige lenken ved hjelp av OpenAIs språkmodeller. Innholdet kan deretter aktiveres av brukeren i de aktuelle JobSpots, inkludert tekst, kontaktinformasjon og bilder. Denne behandlingen av data skjer i henhold til deres standard underdatabehandleravtale. Tilleggsavtalen kan signeres her… |
Sikkerhetstiltak: Databehandling er en integrert del av Garuda som vi stiller til rådighet for kundene våre.
Derfor er våre kunders tillit til at vi kan levere våre tjenester på en sikker og konfidensiell måte også avgjørende for vårt forretningsgrunnlag.
Vi tar derfor sikkerhet på største alvor og har et kontinuerlig fokus på det.
Hvis du har spørsmål om Garuda og GDPR, kan du kontakte oss på: datasikkerhed@garuda.dk
| Leverandør | Sikkerhetskopiering og anti-malware |
|---|---|
| Bruk av anerkjente leverandører som er sertifisert for plattformhosting innenfor leverandørens dataregioner i EU/EØS. | Daglig sikkerhetskopiering og oppdatert anti-malware og virus på systemer og enheter. |
| Kryptering | Kontinuerlige plattformkontroller |
|---|---|
| Fullstendig kryptering av data under transport. | Løpende plattform- og systemkontroller for OWASP topp 10-sårbarheter. |
| Fysisk sikring av lokasjoner | Logging |
|---|---|
| Fysisk sikring av lokalene med individuelle nøkkelbrikker og koder og overvåkingsutstyr. | Logging av tilgang og handlinger på plattformen og i systemene. |
| Prosedyrer | Maskinvare |
|---|---|
| Prosedyrer for tilgang til produksjonsmiljøet og tilgang til kundedata. | Gjenbruk av maskinvare gjøres kun ved å gjenopprette fabrikkinnstillingene, og ødeleggelse av maskinvare gjøres i henhold til markedsstandard. |
