Oplysninger efter artikel 28 i EU Data Act
| Version | Ændring | Ændringsdato |
| 1.0 | Tilføjet | 18-06-26 |
Introduktion
Om BDO’s Software as a Service løsninger
Jurisdiktion for IKT-infrastruktur
Foranstaltninger mod ulovlig international statslig adgang eller overførsel
Ændringer og opdateringer
Kontakt
Oplysninger efter artikel 28 i EU Data Act på www.bdo.dk
Introduktion
Denne side indeholder oplysninger om BDO’s Software as a Service (SaaS) løsninger i henhold til artikel 28 i Europa-Parlamentets og Rådets forordning (EU) 2023/2854 om harmoniserede regler om fair adgang til og anvendelse af data (“Data Act”/“Dataforordningen”).Oplysningerne vedrører den IKT-infrastruktur, der anvendes til databehandling i forbindelse med brugen af BDO’s Software as a Service løsninger, samt de tekniske, organisatoriske og kontraktuelle foranstaltninger, som BDO har etableret med henblik på at forhindre international statslig adgang til, eller overførsel af, andre data end persondata lagret i EU/EØS, hvis en sådan overførsel vil være i strid med gældende EU-ret eller relevant national ret.
Om BDO’s Software as a Service løsninger
BDO leverer diverse Software as a Service løsninger (“Systemet”).Er Systemet en lokal løsning, anvendes der udelukkende danske IT-operatører.
Er det en cloudbaseret løsning, vil Systemet være baseret på Microsoft Azures underliggende cloudinfrastruktur, platformskomponenter, datalagring, søgefunktioner, automatiseringsfunktioner, integrationskomponenter og øvrige tekniske services, som BDO anvender som led i den løbende drift, vedligeholdelse og videreudvikling af Systemet. Om relevant kan systemet også være baseret på agenter, der anvender OpenAI GPT-5.2 som underliggende model til alment brug. Agenterne vil i givet fald være tilpasset Systemets formål ved at blive opkoblet på relevante data og funktioner, og vil blandt andet anvende Azure AI Foundry, Azure AI Search og Azure OpenAI API.
Systemet kan konfigureres inden for de rammer, som BDO stiller til rådighed, og kan efter særskilt aftale integreres med Kundens egne systemer, datakilder eller øvrige tekniske miljø. Eventuelle integrationer, kundespecifikke tilpasninger eller udvidelser udgør ikke en forudsætning for anvendelsen af Systemet, medmindre dette udtrykkeligt er aftalt.
Systemet tilgås som udgangspunkt via en webbaseret brugergrænseflade og kræver ikke installation af lokal software hos Kunden, medmindre andet fremgår af Aftalen eller Systemets dokumentation.
For nærmere oplysninger om de datastrukturer og dataformater samt de relevante standarder og åbne interoperabilitetsspecifikationer, hvori de eksporterbare data skal være tilgængelige, henvises til BDO’s onlineregister, hvor også BDO’s vilkår for eksportering af data ved anmodning om skift af databehandlingstjeneste kan hentes.
Jurisdiktion for IKT-infrastruktur
Er systemet en lokal løsning, anvendes der udelukkende danske it-operatører, og jurisdiktionen for IKT-infrastrukturen vil være dansk.Hvis Systemet derimod afvikles på Microsoft Azure, er IKT-infrastrukturen, der anvendes til databehandling i forbindelse med Systemet, herunder applikation, API-lag, agent-endpoints og eventuel AI-behandling, søgning, lagring, logning, overvågning samt backup, placeret inden for EU/EØS, men kan også være placeret ved Microsofts underleverandører, der blandt andet ligger i USA. Oplysninger kan derfor blive tilgået fra lande uden for EU/EØS.
Foranstaltninger mod ulovlig international statslig adgang eller overførsel
BDO har etableret tekniske, organisatoriske og kontraktuelle foranstaltninger med henblik på at forhindre ulovlig international offentlig myndighedsadgang til eller overførsel af andre data end persondata lagret i EU/EØS, hvis sådan adgang eller overførsel ville være i strid med EU-retten eller relevant national ret. For overførsel af persondata henvises til den indgåede Databehandleraftale og databeskyttelsesforordningen.
Tekniske foranstaltninger
BDO anvender tekniske sikkerhedsforanstaltninger, der skal understøtte fortrolighed, integritet og tilgængelighed i Systemet. Foranstaltningerne omfatter blandt andet:
- kryptering af data under transmission ved anvendelse af sikre kommunikationsprotokoller,
- kryptering af data lagret i Systemet ved anvendelse af anerkendte krypteringsstandarder,
- rolle- og rettighedsbaseret adgangskontrol,
- logisk adskillelse af data,
- begrænsning af adgang til drifts- og administrationsmiljøer efter princippet om mindst mulige rettigheder,
- logning af væsentlige systemhandlinger og afviste adgangsforsøg,
- løbende overvågning af drift, kapacitetsudnyttelse og sikkerhedshændelser,
- regelmæssig patching og teknisk vedligeholdelse af Systemets komponenter, og
- backup med henblik på reetablering ved driftsforstyrrelser.
Organisatoriske foranstaltninger
BDO har interne procedurer for håndtering af anmodninger fra offentlige myndigheder, herunder anmodninger fra myndigheder uden for EU/EØS.Hvis BDO modtager en anmodning om adgang til eller overførsel af data, foretages der en vurdering af anmodningens gyldighed, omfang og forholdsmæssighed. BDO vil, hvor det er lovligt og praktisk muligt, orientere den berørte kunde og henvise den anmodende myndighed til kunden.
BDO udleverer alene data, hvis der foreligger et lovligt grundlag og udlevering ikke er i strid med EU-retten eller relevant national ret, og hvis anmodningen efter sit formål er saglig og legitim. Hvor udlevering er retligt påkrævet, vil BDO søge at begrænse udleveringen til de oplysninger, der er nødvendige efter anmodningens indhold og formål.
Kontraktuelle foranstaltninger
BDO’s aftaler med kunder fastlægger, at data alene behandles med henblik på levering, drift, vedligeholdelse, sikkerhed og support af de aftalte tjenester.BDO stiller krav til relevante underleverandører om, at data alene må behandles med henblik på levering af de aftalte tjenester til BDO og BDO’s kunder. Relevante underleverandøraftaler indeholder bestemmelser om fortrolighed, informationssikkerhed, begrænsning af adgang og håndtering af anmodninger fra offentlige myndigheder.
Ændringer og opdateringer
BDO opdaterer denne side, hvis der sker væsentlige ændringer i den IKT-infrastruktur, de jurisdiktioner eller de foranstaltninger, der er beskrevet ovenfor.Kunder opfordres til løbende at orientere sig på denne side samt i de til enhver tid gældende aftalevilkår og relevante bilag.