GDPR-overensstemmelseserklæring

Version 1.0 – Godkendt 1. februar 2025

1 Ansvarserklæring

Vetnio AB bekræfter sit fulde engagement i at overholde Europa-Parlamentets og Rådets forordning (EU) 2016/679 (Generel forordning om databeskyttelse, 'GDPR') samt al gældende svensk databeskyttelseslovgivning. Bestyrelsen påtager sig det endelige ansvar og kan demonstrere GDPR-overholdelse på tværs af alle behandlinger af personoplysninger. Vetnio AB forpligter sig især til at:

  • Indlejre de syv databeskyttelsesprincipper – lovlighed, rimelighed og gennemsigtighed; formålsbegrænsning; dataminimering; rigtighed; opbevaringsbegrænsning; integritet og fortrolighed; samt ansvarlighed – i design og drift af enhver behandling.
  • Vedligeholde komplette og nøjagtige fortegnelser over behandlingsaktiviteter (ROPA) og gennemføre konsekvensanalyser (DPIA), hvor behandling sandsynligvis medfører høj risiko for registrerede.
  • Implementere passende tekniske og organisatoriske foranstaltninger (TOM'er) i forhold til de risici, der er forbundet med hver behandling.
  • Sikre, at databeskyttelsesrådgiveren (DPO) og udpegede Privacy Champions har tilstrækkelig autonomi, ressourcer og beføjelser.
  • Tilbyde regelmæssig, rollebaseret træning, så alle medarbejdere forstår deres ansvar for databeskyttelse.
  • Overvåge overholdelsen gennem revisioner, nøgletal og ledelsesgennemgange og om nødvendigt iværksætte hurtige afhjælpende tiltag.

Denne erklæring gennemgås mindst årligt eller straks efter væsentlige organisatoriske, teknologiske eller regulatoriske ændringer.

2 Organisationsprofil

Juridisk enhedVetnio AB
Registreringsnummer559494-6807
Registreret adresseGrev Magnigatan 10, 114 55 Stockholm, Sverige
Primære IT-lokationer / DatacentreSverige (primær), Tyskland (sekundær)
TilsynsmyndighedDen svenske Datatilsynsmyndighed (Integritetsskyddsmyndigheten – IMY)
DatabeskyttelsesrådgiverMax Henry Xie – max@vetnio.com

3 Governance for databeskyttelse

3.1 Roller og ansvar

  • Bestyrelsen Sikrer strategisk tilsyn og godkender denne erklæring.
  • Teknisk direktør (CTO) Ansvarlig leder for teknisk compliance; begrænser adgang til optagelser og transskriptioner til CTO og senior teknisk personale efter need-to-know-princippet.
  • Databeskyttelsesrådgiver (DPO) Uafhængig funktion, der rapporterer til bestyrelsen; rådgiver om og overvåger GDPR-overholdelse.
  • Privacy Champions Lokale kontaktpunkter forankret i senior tekniske teams:
    • Emil Franzell
    • Arvid Norström
    • Rakin Ali

Alt personale skal autentificere med multifaktorautentificering (MFA), og adgange tildeles efter mindst privilegium.

3.2 Politikker & procedurer

4 Behandlingsprincipper & hjemler

Vetnio AB behandler kun personoplysninger, når mindst et retsgrundlag i artikel 6 GDPR er opfyldt (fx kontrakt, samtykke, legitime interesser). Følsomme oplysninger (artikel 9) behandles udelukkende med udtrykkelig undtagelse.

5 Fortegnelse over behandlingsaktiviteter (ROPA)

Et fuldstændigt ROPA vedligeholdes i henhold til artikel 30 GDPR og stilles til rådighed for tilsynsmyndigheden efter anmodning. Centrale elementer omfatter:

  • Kategorier af registrerede og personoplysninger.
  • Formål med behandlingen.
  • Modtagere og internationale overførsler.
  • Tekniske og organisatoriske sikkerhedsforanstaltninger.

6 Tekniske & organisatoriske foranstaltninger (TOM'er)

  • Adgangskontrol: Rollebasseret adgang; MFA for alle privilegerede konti.
  • Kryptering: AES-256 i hvile; TLS 1.3 under overførsel.
  • Logning & overvågning: Centraliserede, manipulationssikre logs med SIEM-korrelation.
  • Robusthed & backup: Daglige krypterede backups med kvartalsvise gendannelsestests.
  • Fysisk sikkerhed: Datacenterkontroller i henhold til ISO 27001.
  • Leverandørdue diligence: Risikobaseret onboarding og årlig gennemgang af databehandlere.

7 Håndtering af registreredes rettigheder

Procedurer er etableret for at efterleve alle rettigheder i artiklerne 12–23 GDPR (indsigt, berigtigelse, sletning, begrænsning, dataportabilitet, indsigelse og automatiserede afgørelser). Anmodninger logges og behandles inden for lovbestemte frister.

8 Overførsler til tredjelande & underdatabehandlere

Internationale overførsler sker kun til jurisdiktioner med tilstrækkelighedsafgørelse eller under passende garantier (fx standardkontraktbestemmelser). Et register over godkendte underdatabehandlere offentliggøres på https://vetnio.com/sub-processors.

9 Anmeldelse af brud på persondatasikkerheden

Alle hændelser vurderes inden for 24 timer. Hvor et brud sandsynligvis medfører risiko for personer, underrettes IMY inden for 72 timer, og berørte registrerede informeres uden unødigt ophold i overensstemmelse med artiklerne 33–34 GDPR.

10 Uddannelse & bevidsthed

Alt personale skal gennemføre GDPR- og informationssikkerhedstræning ved ansættelse og derefter årligt.

11 Gennemgang & løbende forbedring

Denne erklæring gennemgås sammen med understøttende politikker mindst årligt og efter væsentlige ændringer i lovgivning, behandlinger eller organisationsstruktur.

12 Godkendelse

Denne GDPR-overensstemmelseserklæring blev godkendt af Vetnio AB's bestyrelse den 1. februar 2025.

Underskrevet på vegne af bestyrelsen

NavnStillingUnderskriftDato
Max Henry XieChief Technology Officer(signed)01-02-2025

Er du interesseret i at lære mere?

Udfyld venligst formularen, så vender vi tilbage til dig inden for kort tid.