GDPR - FAQ

Sidst opdateret: December 2025


Introduktion

Hos Prowi tager vi sikkerheden og beskyttelsen af dine data alvorligt. Denne side giver et overblik over vores sikkerhedspraksis, compliance-status og de foranstaltninger, vi træffer for at beskytte dine oplysninger.

Sikkerhedsoverblik

Prowi er en platform til håndtering af provision og variabel løn, der behandler følsomme finansielle data og medarbejderdata. Vi har implementeret omfattende sikkerhedsforanstaltninger for at sikre fortrolighed, integritet og tilgængelighed af dine data.

Infrastruktursikkerhed

Cloud Hosting
Prowi hostes på Heroku, som kører på Amazon Web Services (AWS) infrastruktur. Alle data opbevares udelukkende inden for EU (Sverige).

Vores infrastrukturleverandører opretholder brancheførende sikkerhedscertificeringer:

  • SOC 1, SOC 2, SOC 3
  • ISO 27001
  • ISO 27017
  • ISO 27018
  • PCI DSS Level 1

Datakryptering

  • Data under overførsel: TLS 1.2/1.3 (HTTPS)
  • Data i hvile: AES-256 kryptering
  • Database-backups: AES-256 kryptering

Netværkssikkerhed

  • DDoS-beskyttelse (leveret af AWS/Heroku)
  • Firewalls og sikkerhedsgrupper på netværksniveau
  • Trafikovervågning og anomalidetektion
  • Intrusion detection-systemer

Applikationssikkerhed

Autentificering

  • To-faktor-autentificering (2FA): Påkrævet for alle brugere
  • Single Sign-On (SSO): Understøttet for enterprise-kunder
  • Stærk adgangskodepolitik: Minimum 12 tegn med kompleksitetskrav
  • Kontospærring: Aktiveret efter flere mislykkede loginforsøg
  • Sessionsstyring: Automatisk timeout ved inaktivitet

Adgangskontrol

  • Rollebaseret adgangskontrol (RBAC): Brugere har kun adgang til de data, de har brug for
  • Tenant-isolation: Hver kundes data er logisk adskilt
  • Princippet om mindste privilegium: Der gives kun den minimalt nødvendige adgang
  • Regelmæssige adgangsgennemgange: Tilladelser gennemgås og justeres efter behov

Sikkerhedsovervågning

  • Aktivitets- og auditlogning
  • Automatiske advarsler ved mistænkelig aktivitet
  • Regelmæssig gennemgang af logfiler
  • Kontinuerlig infrastrukturovervågning (via Heroku/AWS)

Organisatorisk sikkerhed

Intern adgang
Adgang til kundedata inden for Prowi er strengt begrænset:

  • CEO: Fuld adgang (tilsyn)
  • CTO: Fuld adgang (teknisk administration)
  • Customer Success: Admin-adgang på kontoniveau (ingen direkte databaseadgang)

Alle medarbejdere:

  • Er bundet af fortrolighedsforpligtelser i ansættelseskontrakter
  • Modtager databeskyttelsesuddannelse ved onboarding
  • Bruger 2FA til al systemadgang
  • Har fuld diskkryptering aktiveret på enheder

Leverandørsikkerhed

  • Alle underdatabehandlere vurderes for sikkerhed og compliance
  • Databehandleraftaler (DPA'er) kræves for alle leverandører, der behandler persondata
  • Årlig gennemgang af leverandørers compliance og sikkerhedsniveau

Databeskyttelse & Privatlivspolitik

GDPR-compliance
Prowi er fuldt ud i overensstemmelse med databeskyttelsesforordningen (GDPR). Vi fungerer som databehandler på vegne af vores kunder og har implementeret passende tekniske og organisatoriske foranstaltninger til at beskytte persondata.

Vigtig dokumentation:

  • Privatlivspolitik: prowi.io/privacy
  • Databehandleraftale (DPA): prowi.io/dpa
  • Underdatabehandlerliste: prowi.io/dpa

Dataplacering
Alle kundedata opbevares og behandles inden for EU (Sverige). Vi overfører ikke kundedata uden for EU/EØS.

Registreredes rettigheder
Vi understøtter vores kunder i at besvare anmodninger fra registrerede, herunder indsigt, berigtigelse, sletning og dataportabilitet. Kontakt os på legal@prowi.io.

Forretningskontinuitet

IT-beredskabsplan
Vi opretholder en dokumenteret IT-beredskabsplan, der dækker disaster recovery og forretningskontinuitet. Hovedelementerne omfatter:

  • Krisestyringsteam med definerede roller
  • Genoprettelsesprocedurer for kritiske systemer
  • Regelmæssig test gennem simuleringer og øvelser
  • Årlig gennemgang og opdatering

Fuld plan tilgængelig på: prowi.io/en/it-contingency-plan

Backup & Genoprettelse

  • Daglige automatiske backups
  • 90 dages backup-opbevaring
  • Krypterede backups opbevaret i AWS EU-North-1, Stockholm
  • Testede genoprettelsesprocedurer

Høj tilgængelighed

  • Hostet på redundant infrastruktur (AWS)
  • Automatisk failover inden for EU-regionen
  • Ingen dataoverførsel uden for EU ved failover

Certificeringer & Compliance

  • GDPR: Compliant
  • Dansk databeskyttelseslovgivning: Compliant
  • ISAE 3000: Under certificering (forventet 2026)

Vores infrastrukturleverandører har omfattende certificeringer, herunder SOC 2, ISO 27001 og PCI DSS.

Hændelseshåndtering

I tilfælde af en sikkerhedshændelse eller databrud:

  • Øjeblikkelig inddæmning og undersøgelse
  • Meddelelse til berørte kunder inden for 48 timer
  • Meddelelse til tilsynsmyndighed inden for 72 timer (hvor påkrævet)
  • Gennemgang efter hændelsen og udbedring

GDPR FAQ

Hvor opbevares mine data?
Alle data opbevares i AWS EU-North-1, Stockholm og forlader aldrig EU.

Er mine data krypteret?
Ja, alle data er krypteret under overførsel (TLS 1.2/1.3) og i hvile (AES-256).

Hvem har adgang til mine data?
Kun autoriseret Prowi-personale med et forretningsmæssigt behov. Adgang logges og gennemgås.

Udfører I penetrationstest?
Vores infrastrukturleverandør (Heroku/AWS) gennemgår regelmæssig penetrationstest. Efterhånden som Prowi vokser, planlægger vi at gennemføre uafhængig penetrationstest på applikationsniveau.

Hvordan kan jeg rapportere et sikkerhedsproblem?
Kontakt venligst legal@prowi.io omgående med eventuelle sikkerhedsproblemer.

Har I eksterne konsulenter uden for EU som kan tilgå data?
Nej

Hvor hurtigt vil I kunne gendanne backup hvis der sker fejl?
Database er der daglig backup af. Restore kan ske med øjeblikkelig virkning.

Hvor ofte tester I jeres restore procedure?
Årligt

Hvad gør i for at forhindre DDoS?
Vi ligger på en managed service hos Heroku, som har det yderste ansvar. De skriver flg. omkring deres DDoS Mitigation.

Our infrastructure provides DDoS mitigation techniques including TCP Syn cookies and connection rate limiting in addition to maintaining multiple backbone connections and internal bandwidth capacity that exceeds the Internet carrier supplied bandwidth.  We work closely with our providers to quickly respond to events and enable advanced DDoS mitigation controls when needed.

Foruden det “grove” lag, som vores udbyder varetager, så har vi selv implementeret request throttling på applikations-niveau.

Prowi benytter AWS WAF ( Web Application Firewall).

Kan vi få SSO med Microsoft ell. lignende, så vi nemt kan styre sikkerhedsadgange, f.eks. når medarbejder stopper?
Ja – det er en integreret del af vores løsning.

Kan vi få en kopi af jeres databehandleraftale så vi kan gennemlæse den?
Vores altid opdaterede DPA kan du finde på https://prowi.io/dpa/ og den bliver også vedhæftet som bilag til den kontrakt, vi indgår med jer.

Hvor lang tid lagrer I data på vores medarbejdere og omsætning?
Det slettes efter 5 år – medmindre I selv aktivt sletter data.

Hvilke data bliver gemt og hvor? (Sælger, IP, produkter, omsætning, emails?)
Alt gemmes på platformen (app.prowi.io) det lagres på AWS EU-North-1, Stockholm.

Vi gemmer kun de data, der skal bruges ifm. udregning af grundlaget for jeres bonus og provisionsopgørelser. Hvad angår personfølsomme data iht. GDPR fremgår dette af vores DPA under punkt 2.2 men kan opsummeres til:

  • Grundløn
  • Individuelle Mål
  • Email
  • Navn

Er dataen adskilt eller samlet ét sted?
Alt data er, som de typisk er på en SaaS løsning, samlet i én database med multi-tenancy på række-niveau. Samtlige entiteter har et kunde ID, som en del af kernen i applikationen er globalt scopet. Dvs. kunder på ingen måde kan tilgå hinandens data.

Bliver der gemt data på andet end vores medarbejderes omsætning – som f.eks. telefonnumre på opkald eller navne på kunder?
Vi gemmer kun det data, som I selv sender ind, og som er nødvendigt til at beregne jeres modeller. Kundenavn er ofte en identifikationsmarkør, der bruges til at forstå og kommunikere den beregnede og opgjorte bonus og provision.

Hvordan krypteres vores (kundens) data?
Jeres data er encrypted “at rest” I databasen. Derudover er alt trafik til og fra Prowi SSL krypteret.

Hvem har adgang til vores data?
Det har jeres dedikerede Prowi konsulent og ledelsen

Bliver vi informeret når I indgår aftale med ny underdatabehandler?
Ja I bliver informeret. Dette fremgår af punkt 10 i vores DPA.

Bruger i vores data til marketing, videresalg etc.?
Vi vil gerne have lov til at bruge jeres logo som reference på vores hjemmeside og meget gerne lave en god kundehistorie, når I har været i drift i et stykke tid og oplevet de gode effekter. Derudover er der ikke noget af jeres data eller viden om jeres virksomhed, der bliver brugt i markedsføringsøjemed eller kommunikeret udadtil. Dette fremgår også af vores standard Terms of use.

Hvad er jeres beredskabsplan ved brud på IT-sikkerhed?
Læs vores beredskabsplan ved et IT-sikkerhedsbrud på https://prowi.io/it-beredskabsplan/

Hvem er vores kontaktperson ved indsigt på databehandleraftale og generelle forespørgsler på sletning/håndtering af data?

Rasmus Godske

Prowi CTO

rasmus@prowi.io

Har i backup servere/forbindelser ved nedbrud på tilgængeligheden af de forskellige dele af jeres  IT Supply Chain?
Ja, det har vi. Dette er for nuværende et simpelt setup, da prowi pt. Kun består af en enkelt monolith applikation, men der tages løbende backup, som hurtigt kan re-etableres.

Trænes medarbejdere i GDPR og IT-sikkerhed?
Ja, alle medarbejdere i Prowi kommer igennem grundlæggende IT-sikkerhedsøvelser og træning i GDPR under deres onboarding forløb.

Er der en SLA?
Ja – vi har en 99,5% oppetid indtil i dag og dette er vores service level.