Sikkerhed & drift
I lægger følsomme oplysninger i Verkta — whistleblowersager, APV-svar og persondata. Her er præcis, hvordan vi passer på dem. Ingen omsvøb, ingen småt.
Hosting og infrastruktur
Hele platformen drives i EU. Applikationen hostes hos Vercel med drift i Frankfurt, databasen ligger hos Neon i Frankfurt, og filer opbevares i EU. Ingen kundedata opbevares uden for EU/EØS som led i den normale drift.
Underleverandører
Vi bruger fire underdatabehandlere — hverken flere eller færre: Vercel (hosting, EU/Frankfurt), Neon (database, EU/Frankfurt), Resend (transaktionelle e-mails) og Stripe (betaling, selvstændigt dataansvarlig for kortdata). Den fulde liste med lokationer og overførselsgrundlag står i databehandleraftalen, og ændringer varsles 30 dage forud.
Kryptering og datasikkerhed
- Al trafik krypteres med TLS 1.2+; data krypteres i hvile hos databaseleverandøren (AES-256).
- Kodeord hashes med bcrypt. Adgangsnøgler og tokens gemmes kun som SHA-256-hashværdier — aldrig i klartekst.
- Digitale underskrifter forsegles med SHA-256-hash og tidsstempel, så dokumentet ikke kan ændres efterfølgende.
- APV-besvarelser indsamles anonymt — uden navn, e-mail eller IP-adresse.
- Whistleblowersager er teknisk afgrænset til de brugere, I selv har udpeget som ansvarlige, med fuld aktivitetslog.
Backup og gendannelse
Databasen har løbende point-in-time-gendannelse hos Neon, så data kan føres tilbage til et vilkårligt tidspunkt inden for opbevaringsvinduet. Gendannelse testes som en del af driften.
Dataeksport og exit
Jeres data er jeres. Administratorer kan til enhver tid eksportere alle virksomhedens data som en samlet fil direkte fra Indstillinger — uden at spørge os først. Ved opsigelse kan I eksportere i 90 dage, hvorefter alle personoplysninger slettes eller anonymiseres.
Adgangsstyring og logning
- Rollebaseret adgang: administrator, bruger og whistleblower-ansvarlig har hver deres rettigheder.
- Revisionssikker aktivitetslog på følsomme handlinger — hvem gjorde hvad, hvornår.
- Rate-limiting på alle offentlige indgange (indberetning, underskrift, spørgeskemaer).
- Kun personer med arbejdsbetinget behov hos os har adgang til produktionsdata, under fortrolighedsforpligtelse.
Databehandleraftale
Vores standard-databehandleraftale efter GDPR artikel 28 er en del af handelsbetingelserne og gælder automatisk for alle kunder. Vil I have et underskrevet eksemplar med jeres virksomhedsoplysninger, sender vi det gerne.
Hvis noget går galt
Ved brud på persondatasikkerheden underretter vi jer uden unødig forsinkelse og senest 48 timer efter, vi er blevet bekendt med bruddet — med de oplysninger I skal bruge til en eventuel anmeldelse til Datatilsynet.
Ansvarlig sårbarhedsrapportering
Har du fundet en sårbarhed? Skriv til security@verkta.com — vi svarer hurtigt, og vi retter hurtigt. Se også /.well-known/security.txt.
Spørgsmål til sikkerheden?
Skal jeres IT-afdeling eller databeskyttelsesrådgiver bruge mere dokumentation, svarer vi gerne på leverandørspørgeskemaer og due diligence.