Er XFlow GDPR-compliant?

Ja. XFlow indhenter årligt en ISAE 3000-erklæring og arbejder efter Datatilsynets standardkontrakter for databehandleraftaler. Data hostes i EU i ISO-certificerede datacentre.

Hvem er dataansvarlig når vi bruger XFlow?

Jeres organisation er dataansvarlig. XFlow er databehandler og handler udelukkende efter jeres instruks i overensstemmelse med den indgåede databehandleraftale.

Kan vi indgå en databehandleraftale med XFlow?

Ja. XFlow anvender Datatilsynets standardkontraktsbestemmelser som databehandleraftale for både SaaS- og On-Premise-løsninger. Aftalen kan tilgås og underskrives digitalt.

Hvor hostes data i XFlow?

Data hostes i EU i ISO-certificerede datacentre hos anerkendte leverandører. XFlow er en del af Visma-koncernen og lever op til alle relevante krav om datasikkerhed.

Understøtter XFlow automatiske sletteregler?

Ja. XFlow har indbyggede automatiske sletteregler der sikrer at personoplysninger ikke opbevares længere end nødvendigt i overensstemmelse med GDPR.

Opfylder XFlow WCAG 2.1-kravene?

Ja. XFlow arbejder aktivt med webtilgængelighed og opfylder WCAG 2.1-kravene, hvilket er et krav for offentlige digitale løsninger i Danmark.

XFlow og GDPR - databeskyttelse du kan stole på

Vi lever op til gældende lovgivning om databeskyttelse og tager IT- og datasikkerhed meget alvorligt. Her kan du læse om hvordan vi sikrer at dine oplysninger ikke misbruges af tredjepart.

Dokumentation

Databeskyttelse

Vi lever op til gældende lovgivning om databeskyttelse, og vi tager IT- og datasikkerhed meget alvorligt. Her kan du læse mere om, hvordan vi lever op til IT-sikkerhed og datahåndtering og sikrer, at dine oplysninger ikke bliver misbrugt af tredjepart.

GDPR-compliance

Vi indhenter årligt en ISAE3000 erklæring.

Erklæringen udarbejdes af en uafhængig tredjepart vedrørende vores overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret samt indholdet af databehandleraftalen.

Download ISAE3000 erklæring

Download ISAE3000 erklæring - juli 2025/2026

Download ISAE3000 erklæring - juli 2024/2025

Download ISAE3000 erklæring - juni 2023/2024

Vejledning til komplementerende kontroller

Download Vejledning til komplementerende kontroller

Afvigelser i ISAE3000-erklæring - 2023/2024

Afvigelser i ISAE3000-erklæring - 2024/2025

Abonnementsvilkår

Download vores abonnementsvilkår her

Databehandleraftale

I ethvert kundeforhold behandler vi personoplysninger på vegne af vores kunder. I denne relation er vores kunder dataansvarlige, og vi er databehandler.
Det medfører, at både vi og vores kunder er forpligtet til at indgå en databehandleraftale, der indholdsmæssigt skal opfylde kravene i GDPR.

Vi bruger Datatilsynets standardkontraktsbestemmelser som databehandleraftale. Det giver den fordel, at vi opfylder vores fælles forpligtelse til at indgå en gyldig databehandleraftale.

XFlow SaaS

Du kan tilgå og underskrive vores databehandleraftaler for SaaS-løsningen her

XFlow on-premise

Du kan tilgå og underskrive vores databehandleraftaler for On premise-løsningen her

XFlow underdatabehandlere

Læs mere om vores brug af underdatabehandlere her

IT-sikkerhed

Leverandører
Brug af anerkendte leverandører, der er certificeret til hosting af platform inden for leverandørens EU/EUØ-dataregioner.

Vi tager sikkerhed meget alvorligt og har et kontinuerligt fokus på at beskytte vores kunders data.

Sikkerhedsforanstaltninger

Backup og anti-malware
Daglig backup og opdateret anti-malware og virus på systemer og enheder.

Brug af Multi Factor Authentication-login
Mulighed for Multi Factor Authentication-login til platformen.

Fysisk sikring af lokaliteter
Fysisk sikring af lokaliteter med individuelle adgangsnøglebrikker og koder samt overvågning af faciliteter.

Procedurer
Procedurer for tilgang til produktionsmiljø og adgang til kundedata.

Hardware
Genbrug af hardware sker udelukkende ved gendannelse af fabriksindstilling, og destruktion af hardware sker i henhold til markedsstandard herfor, så gendannelse af data er ikke mulig.

Kryptering
Fuld TLS- og HTTPS-kryptering af data i transit.

Netværk
Segmenteret og krypteret netværk samt tilkobling til Security Operation Center (SOC) via hostingleverandør.

Løbende tjek af platform
Løbende tjek af platform og systemer i forhold til OWASP top 10 sårbarheder, herunder lejlighedsvis brug af “ethical hacker”.

Logning
Logning af adgang og handlinger i platformen og systemer.

Baggrundstjek
Baggrundstjek af medarbejdere.

Har du spørgsmål om GDPR og datasikkerhed?

Kontakt os direkte - vi hjælper jer med dokumentation, databehandleraftaler og alt hvad I har brug for.

Kontakt os