Flexshoppen
Dataetik
Dataetik
Dette beskriver Flexshoppen A/S's dataetiske overvejelser i forbindelse med vores eksternt rettede aktiviteter. Vi behandler data med respekt for mennesket — det er altid de registrerede og deres interesser, der er i centrum. Det er udarbejdet i henhold til god dataskik og er godkendt af virksomhedens ledelse.
Vores aktiviteter og databehandling
Flexshoppen A/S driver en B2B-platform til CYOD/bruttolønsordninger, hvor virksomheders medarbejdere kan bestille it-udstyr. Vores eksternt rettede aktiviteter er:
- Webshop-portal (login.flexshoppen.dk) — bestillingsportal for medarbejdere hos vores kundevirksomheder
- Databehandling på vegne af kunder — vi behandler medarbejderdata som databehandler for vores kunder
- Hjemmeside (flexshoppen.dk) — med cookiebaseret B2B-trackingservice (Leadinfo)
- E-mailkommunikation via Twilio SendGrid — transaktionelle e-mails til medarbejdere
Opsummering
|
6
Kontinuerlig proces etableret
|
7
Foranstaltninger implementeret
|
1
Nogle overvejelser
|
4
Ikke relevant
|
Dataetiske overvejelser
For hvert spørgsmål angiver vi vores status og beskriver de konkrete overvejelser og foranstaltninger vi har truffet.
| Nr. | Spørgsmål | Status | Overvejelser og foranstaltninger |
| A – Menneskelig autonomi og værdighed | |||
| A1 | Respekterer vores databehandling den registreredes ret til frie og informerede valg? | Kontinuerlig proces | Medarbejdere informeres via brugervilkår der accepteres aktivt ved første login. Cookiepolitik er opdateret med samtykke-banner. Samtykke til Leadinfo kan til enhver tid trækkes tilbage. |
| A2 | Undgår vi at manipulere brugernes adfærd via data eller algoritmer? | Implementeret | Vi anvender ikke algoritmer eller AI til at påvirke brugernes produktvalg. Produktsortimentet fastlægges af kundevirksomheden. Leadinfo anvendes udelukkende til B2B-salgsidentifikation, ikke adfærdspåvirkning. |
| A3 | Sikrer vi, at databehandlingen ikke fører til uretfærdig behandling af enkeltpersoner? | Implementeret | Vi behandler ikke særlige kategorier af personoplysninger. Skatteoplysninger (top/mellemskat) anvendes udelukkende til beregning af bruttolønsfordel og deles ikke videre. Ingen profilering eller scoring. |
| B – Gennemsigtighed og ansvarlighed | |||
| B1 | Er vores databehandling transparent overfor de registrerede? | Kontinuerlig proces | Oplysningspligten opfyldes via brugervilkår ved login, databehandleraftale med kunder og opdateret cookiepolitik med klagevejledning til Datatilsynet. Underdatabehandlere er listet i databehandleraftalens Bilag C. |
| B2 | Kan vi til enhver tid redegøre for hvilke data der behandles, med hvilket formål og på hvilken hjemmel? | Kontinuerlig proces | Kortlægning af data og it-systemer dokumenterer behandlingens formål, kategorier, hjemmel og opbevaringstid. Kortlægningen er ledelsesgodkendt og revideres årligt. |
| B3 | Har vi en klar ansvarsfordeling for dataetik og databeskyttelse? | Kontinuerlig proces | Anders Vedel er udpeget som ansvarlig for it-sikkerhed og ansvarlig dataanvendelse med direkte rapportering til ledelsen. Ansvarsfordelingen er dokumenteret og indgår i vores awareness-træningsprogram. |
| C – Dataminimering og formålsbegrænsning | |||
| C1 | Indsamler vi kun de data, der er nødvendige for det angivne formål? | Implementeret | Behandlede personoplysninger er begrænset til: navn, e-mail, mobilnummer, skattekategori og evt. lønnummer/afdeling — alle nødvendige for at levere bruttolønsordningen. |
| C2 | Bruges data kun til de formål de er indsamlet til, og deles de ikke videre uden hjemmel? | Kontinuerlig proces | Data deles kun med underdatabehandlere der er nødvendige for leverancen. Der sker ingen videresalg af data eller deling til markedsføring hos tredjeparter. |
| C3 | Sletter vi data, når de ikke længere er nødvendige? | Implementeret | Opbevaringstid er fastsat til 12 måneder efter aftaleophør eller 12 måneder efter udløb af den registreredes aftaleperiode — det tidligste af de to. Dokumenteret i databehandleraftalens Bilag A. |
| D – Sikkerhed og beskyttelse | |||
| D1 | Har vi truffet passende tekniske og organisatoriske foranstaltninger for at beskytte de registreredes data? | Kontinuerlig proces | MFA på alle systemer, IP-begrænsning på backend, TLS-kryptering, Microsoft Intune (enhedsstyring), Microsoft Defender (anti-malware), 3-lags backup (Azure, dansk datacenter, GitHub), adgangsstyring efter least-privilege. |
| D2 | Har vi en procedure for håndtering af databrud? | Implementeret | It-beredskabsplan er udarbejdet med databrudsprocedure inkl. 72-timers frist til Datatilsynet og underretning af kunder og registrerede. Hændelseslog til dokumentation er en del af planen. |
| D3 | Gennemfører vi løbende risikovurderinger af vores databehandling? | Implementeret | Risikovurdering er udarbejdet og ledelsesgodkendt. Revideres minimum én gang om året og ved væsentlige ændringer i systemer eller behandlingsaktiviteter. |
| E – Konsekvenser for mennesker og samfund | |||
| E1 | Har vi overvejet, hvilke konsekvenser databehandlingen kan have for de registrerede på kort og langt sigt? | Nogle overvejelser | Behandlede data er af begrænset følsomhed. Den primære risiko er uautoriseret adgang til medarbejderdata. Skatteoplysninger er særligt beskyttet via adgangsstyring. Formel langsigtet risikovurdering er planlagt til næste revision. |
| E2 | Overvejer vi løbende, om ny dataanvendelse kan have negative konsekvenser for brugerne? | Implementeret | Ny databehandling og systemændringer gennemgås som del af vores dokumenterede udviklingsproces. Sikkerhedsrelevante ændringer kræver godkendelse af begge ejere inden deployment. |
| E3 | Tager vi hensyn til sårbare grupper i vores databehandling? | Ikke relevant | Flexshoppens services er rettet mod erhvervslivet (B2B). Brugerne er virksomheders fastansatte medarbejdere. Der er ingen tjenester rettet mod mindreårige, ældre eller andre sårbare grupper. |
| F – Algoritmer og automatiserede beslutninger | |||
| F1 | Anvender vi algoritmer eller AI til at træffe beslutninger om enkeltpersoner? | Ikke relevant | Flexshoppen anvender ikke algoritmer eller AI i sine produkter og services rettet mod brugere. AI anvendes udelukkende internt som udviklingsværktøj. |
| F2 | Er der menneskeligt tilsyn med automatiserede processer der påvirker brugerne? | Ikke relevant | Ingen automatiserede beslutningsprocesser der berører registrerede. Alle beslutninger om produktsortiment, priser og tilbud til medarbejdere træffes af mennesker. |
Næste revision: Dette spørgeskema revideres minimum én gang om året samt ved væsentlige ændringer i Flexshoppens aktiviteter. Punkt E1 følges op med en formaliseret langsigtet risikovurdering ved næste revision (Q1 2027).