← Forside

Privatlivspolitik for BastionGRC

Version 3 — publiceret 13. April 2026

Dataansvarlig: JH-Compliance v/Jan Hjelvang CVR: 21733296 Adresse: Ågården 38, st.tv, 2635 Ishøj, Danmark Telefon: +45 5250 3020 E-mail: info@jh-compliance.dk Website: bastiongrc.dk

1. Dataansvarlig

JH-Compliance v/Jan Hjelvang er dataansvarlig for behandling af personoplysninger i forbindelse med BastionGRC-platformen ("Platformen"). Denne privatlivspolitik beskriver, hvilke personoplysninger vi indsamler, hvordan vi behandler dem, og hvilke rettigheder du har.

Kontakt vedrørende personoplysninger: info@jh-compliance.dk

2. Hvilke oplysninger indsamler vi

Vi indsamler og behandler følgende kategorier af personoplysninger:

  • Kontooplysninger: E-mailadresse, adgangskode (krypteret med pbkdf2_sha256, aldrig gemt i klartekst), TOTP-hemmelighed til totrinsbekræftelse.
  • Virksomhedsoplysninger: CVR-nummer, virksomhedsnavn, adresse, postnummer, by, land, telefonnummer, virksomheds-e-mail og antal medarbejdere. CVR-oplysninger hentes via CVRAPI ved oprettelse.
  • Betalingsoplysninger: Fakturanummer og betalingsstatus. Vi opbevarer ikke kreditkortoplysninger. Fakturering sker manuelt.
  • Brugsdata: IP-adresse ved accept af juridiske dokumenter, login-tidspunkter og handlingslog (event log) over systemhændelser som oprettelse, CVR-opslag, abonnementsændringer og provisioning.
  • Supporthenvendelser: Tickets og beskeder oprettet i Platformens integrerede ticketsystem.
  • Indholdsdata: Data som Kunden selv indtaster i Platformen, herunder aktiver, kravvurderinger, risicibeskrivelser, evidens, opgaver, auditfindings og VSME-besvarelser.

3. Formål og retsgrundlag

Vi behandler dine oplysninger for at:

  • Oprette og administrere kundekonti og abonnementer (kontraktopfyldelse, GDPR art. 6(1)(b)).
  • Drifte, vedligeholde og sikre Platformen (legitim interesse, art. 6(1)(f)).
  • Gennemføre onboarding af nye kunder, herunder CVR-validering og e-mailverificering (kontraktopfyldelse, art. 6(1)(b)).
  • Afvikle fakturering og betaling (kontraktopfyldelse, art. 6(1)(b)).
  • Yde support via det integrerede ticketsystem (kontraktopfyldelse, art. 6(1)(b)).
  • Logge systemhændelser i auditspor for sikkerhed og sporbarhed (legitim interesse, art. 6(1)(f)).
  • Sende driftsrelaterede meddelelser (legitim interesse, art. 6(1)(f)).
  • Opfylde lovkrav såsom bogføring (retlig forpligtelse, art. 6(1)(c)).

4. Datadeling og databehandlere

Vi deler kun dine data med følgende tredjeparter:

  • Fakturering — Fakturering sker manuelt. Der er ingen integreret betalingsløsning i Platformen.
  • CVRAPI — CVR-opslag ved onboarding. Kun CVR-nummer sendes til tjenesten.
  • Hosting- og databaseudbyder — Drift af servere og databaser med SSL-krypterede forbindelser i EU.

Vi sælger aldrig dine data til tredjeparter. Der er indgået databehandleraftaler med relevante underleverandører.

5. Overførsel til tredjelande

Alle data opbevares inden for EU/EØS.

6. Opbevaring

Data opbevares, så længe din konto er aktiv. Ved sletning af konto fjernes data inden for 30 dage, med undtagelse af data der skal opbevares i henhold til bogføringsloven (5 år) eller anden lovgivning.

Event logs opbevares i op til 24 måneder af sikkerhedshensyn.

7. Sikkerhed

Vi beskytter dine data med:

  • Krypteret forbindelse (TLS) til alle sider.
  • Krypteret databaseforbindelse (SSL/TLS med verify-full).
  • Totrinsbekræftelse (TOTP MFA) tilgængeligt for alle brugere.
  • Adgangskoder gemt med pbkdf2_sha256 — aldrig i klartekst.
  • Isolerede tenant-databaser pr. virksomhed (multi-tenant arkitektur med separat database pr. kunde).
  • Rollebaseret adgangskontrol (RBAC) med roller: owner, admin, user, support og smvciso.
  • Fuld event-logning af systemhændelser for sporbarhed.

8. Dine rettigheder

Som registreret har du følgende rettigheder i henhold til GDPR:

  • Ret til indsigt (artikel 15) — Du kan anmode om at se, hvilke personoplysninger vi behandler om dig.
  • Ret til berigtigelse (artikel 16) — Du kan anmode om at få urigtige oplysninger rettet.
  • Ret til sletning (artikel 17) — Du kan anmode om at få dine oplysninger slettet ("retten til at blive glemt"), medmindre opbevaring er påkrævet ved lov.
  • Ret til begrænsning (artikel 18) — Du kan anmode om at begrænse behandlingen i visse situationer.
  • Ret til dataportabilitet (artikel 20) — Du kan anmode om at modtage dine data i et struktureret, maskinlæsbart format.
  • Ret til indsigelse (artikel 21) — Du kan gøre indsigelse mod behandling baseret på legitim interesse.

Kontakt os på info@jh-compliance.dk for at udøve dine rettigheder. Vi besvarer henvendelser inden for 30 dage.

9. Cookies

Vi bruger kun teknisk nødvendige session-cookies til at holde dig logget ind. Vi bruger ingen tracking- eller tredjeparts-cookies. Se den fulde cookiepolitik på bastiongrc.dk/legal/cookies.

10. Ændringer

Denne privatlivspolitik kan opdateres. Den aktuelle version er altid tilgængelig på bastiongrc.dk/legal/privacy. Ved væsentlige ændringer vil du blive bedt om at acceptere den nye version ved næste login.

11. Klage

Du har ret til at indgive en klage til Datatilsynet (datatilsynet.dk) hvis du mener, at behandlingen af dine personoplysninger er i strid med GDPR.

Senest opdateret: 13. april 2026