Privatlivspolitik

KISMS leveres af Conscient Systems A/S, CVR 41842358, Danmark. Vi er dataansvarlige for personoplysninger om de brugere, der opretter konti og logger ind på platformen.

For personoplysninger som kommunen behandler i KISMS-platformen (eksempelvis fortegnelser, risikovurderinger, hændelses-data), er kommunen dataansvarlig, og Conscient Systems A/S er databehandler. Se vores databehandleraftale.

Spørgsmål kan rettes til info@cscloud.dk.

Når du opretter en konto eller logger ind på KISMS, behandler vi:

• E-mailadresse (krævet til OTP-login og notifikationer)
• Navn (valgfrit, vist i kommunens egen brugerliste)
• Den kommune (tenant) du tilknyttes + din rolle der
• Tekniske logs (IP-adresse, browser-type, hændelsestidspunkter) til sikkerheds-formål
• Indhold af interaktioner i platformen (Spørgeramme-svar, risikovurderinger, dokumenter) — dette er kommunens data, vi er kun databehandler

Vi indsamler ikke kreditkort-oplysninger. Fakturering sker via Dinero/NemHandel til kommunens EAN-lokationsnummer.

Behandlingen er baseret på:

• Opfyldelse af aftale (GDPR art. 6(1)(b)) — at levere KISMS-tjenesten du har tilmeldt dig
• Legitime interesser (GDPR art. 6(1)(f)) — sikkerhedslogning, misbrugs-forebyggelse
• Retlige forpligtelser (GDPR art. 6(1)(c)) — fx bogføringskrav

KISMS er en multi-tenant SaaS. Hver kommune har sit isolerede datalag. Vi anvender to-lags isolation:

• App-lag: hver request fra en bruger filtreres automatisk på vedkommendes tenant_id — ingen endpoint kan returnere data fra anden kommune.
• DB-lag: Postgres Row Level Security (RLS) håndhæver isolation direkte i databasen — selv hvis en programmør laver en fejlbehæftet query, kan den ikke krydse tenants.

Det betyder også: vi (Conscient Systems-medarbejdere) kan IKKE rutinemæssigt se kommunens indhold. Adgang til en kommunes data sker udelukkende via en kontrolleret superadmin-funktion der logges i audit-trail og kun aktiveres til konkret support efter eksplicit anmodning fra kommunen.

Al data hostes fysisk i Danmark i et k3s-cluster styret af Conscient Systems A/S. Backup-data ligger ligeledes i Danmark (Synology NAS). Vi overfører ikke personoplysninger til tredjelande (uden for EU/EØS).

Se også sikkerheds-en-pager.

KISMS anvender ingen underdatabehandlere. Vi hoster hele løsningen internt på egen infrastruktur i Danmark — inkl. database, fil-storage, backup og mail-relay til OTP-koder og notifikationer.

Skulle det undtagelsesvist blive nødvendigt at engagere en underdatabehandler, varsles kunderne med minimum 30 dages varsel og kan gøre indsigelse.

• Aktive konti: så længe abonnementet er aktivt
• OTP-koder: 15 minutter (slettes ved brug eller udløb)
• Sikkerhedslogs (audit-trail): minimum 5 år (opbevares uforfalskeligt)
• Backup: 30 dage rullende, plus ugentligt og månedligt
• Ved opsigelse: data eksporteres til kommunen i åbent format (JSON + PDF + XLSX) inden for 30 dage. Derefter slettes data inden for yderligere 90 dage.

Du har efter GDPR ret til:

• Indsigt i dine personoplysninger (art. 15)
• Berigtigelse af urigtige oplysninger (art. 16)
• Sletning, hvor det er foreneligt med lovkrav (art. 17)
• Begrænsning (art. 18) og indsigelse (art. 21)
• Dataportabilitet (art. 20) — dine data leveres i JSON
• Klage til Datatilsynet

Henvendelser sendes til info@cscloud.dk og besvares inden for 30 dage.

KISMS bruger kun strengt nødvendige cookies + localStorage til at opretholde din login-session (JWT-token). Vi bruger ingen tracking-cookies, ingen analytics fra tredjeparter, ingen reklame-pixler.

Væsentlige ændringer offentliggøres her og varsles via e-mail til alle tenant_admins med minimum 30 dages varsel.