Din tillid er vores mest værdifulde aktiv

TravelPerk overholder gældende databeskyttelseslove, såsom EU’s GDPR, UK’s GDPR og Californiens CCPA. Vi har implementeret passende tekniske og organisatoriske foranstaltninger for at sikre personlige data, der deles med os. Dette inkluderer at sikre, at data er krypteret både i transit og i hvile, inden for platformen og ved slutpunkter. For at sikre overholdelse modtager TravelPerk-personale relevant træning, og vi har centraliserede politikker på plads. Før de får adgang til personlige data, gennemgår hver enkelt person og virksomhed en form for due diligence-vurdering og er bundet af fortrolighedsforpligtelser. Databehandlingsaftaler er på plads med alle vores underbehandlere, med de seneste standardkontraktbestemmelser for internationale overførsler udstedt af Europa-Kommissionen den 4. juni 2021, hvor det er relevant.

Vores ledelsessystem for informationssikkerhed (ISMS) er i overensstemmelse med ISO 27001-retningslinjerne for tekniske og operationelle kontroller af fortrolig og personlig datasikkerhed. Derudover er vores platform hostet på Amazon Web Services (AWS) i datacentre placeret i EU med branchedefinerede sikkerhedsprotokoller.

Vi har implementeret en række kontroller for at overholde GDPR. For at sikre privacy by design og by default fokuserer vi på livscyklussen for kundernes data. Vi anvender tekniske, organisatoriske og fysiske sikkerhedsforanstaltninger fra det øjeblik, personlige data overdrages til os, til de destrueres på sikker vis. Disse kontroller spænder fra avanceret Endpoint Detection & Response (EDR) til cloud-sikkerhed og -overvågning. Vores kontorer er også beskyttet med en række foranstaltninger, herunder 24/7 sikkerhedsvagter og CCTV. For flere detaljer henvises til vores Security Whitepaper og Security Measures (TOMs) dokument.

Ja, det er det. I dag er kryptering en af de mest grundlæggende sikkerhedsforanstaltninger til beskyttelse af fortrolige data. Vi bruger AES-256 til at kryptere dine data i hvile, herunder backups. For data i transit håndhæver vi et minimum af TLS v1.2 og understøtter ikke ældre versioner.

Til opbevaring af adgangskoder følger vi NIST’s anbefalede standarder med vores valg af hashing-algoritme og mekanisme til strækning af adgangskoder. Vores e-mailsystem er også automatisk krypteret med S/MIME, hvor det understøttes.

Ja, vi har flere sikkerhedspolitikker, herunder en informationssikkerhedspolitik som en del af vores Information Security Management System (ISMS). Disse politikker er i overensstemmelse med anerkendte globale best practices inden for informations- og cybersikkerhed, såsom ISO27001, ISO27005 og OWASP, og giver strategisk retning for opretholdelsen af vores ISMS.

Ja, vi har et træningsprogram til bevidstgørelse af personalet om bedste praksis inden for privatliv og sikkerhed. Vi tror på at ændre adfærd til det bedre, ikke bare at sætte kryds i en compliance-boks med årlig online-træning, hvilket er grunden til, at vi tilbyder internt designet træning til alle medarbejdere, nyansatte og relevante entreprenører. Vi gennemfører også phishing-simulationer, brugerdefinerede awareness-plakater, “Capture the Flag”-lignende events og meget mere. Vi implementerer også rollebaseret adgangskontrol hos TravelPerk – det betyder, at kun et begrænset antal af vores medarbejdere har adgang til kundedata, baseret på jobrollen og på et strengt need-to-know-grundlag.

Dine betalingsdata er sikre, når du foretager betalinger på TravelPerk-platformen. Vi har indgået et samarbejde med Stripe om sikker opbevaring af dine kreditkortoplysninger og behandling af dine betalingsanmodninger. TravelPerk vil aldrig se, gemme eller behandle dine betalingskortoplysninger – de administreres altid af Stripe; vi bruger blot unikke og anonymiserede referencenumre til at oprette forbindelse til Stripe og opkræve dig for bookinger og tjenester. Stripe behandler kundedata som en uafhængig controller – tjek venligst Stripes privatlivspolitik for mere information om, hvordan de beskytter dine personlige data.

Hos TravelPerk er vi forpligtet til løbende at forbedre sikkerheden i vores systemer ved at styrke og opdatere vores eksisterende sikkerhedsforanstaltninger. Selvom vi bestræber os på at opfylde vores forpligtelser i henhold til databeskyttelseslovgivningen, kan vi ikke acceptere individuelle kunders sikkerhedspolitikker. Som en global SaaS-virksomhed inden for rejseadministration med en bred vifte af kunder skal vi opretholde konsekvente og omfattende sikkerhedspolitikker for at sikre passende beskyttelse og konsistens i vores tilgang.

Du kan dog være sikker på, at vi med glæde besvarer sikkerheds- og revisionsspørgeskemaer efter anmodning. Dette vil hjælpe dig med at bekræfte, at TravelPerk opfylder sine forpligtelser med hensyn til sikkerheden af personlige data. Vi forstår vigtigheden af at opretholde det højeste sikkerhedsniveau for vores kunder og er dedikerede til at opfylde disse standarder.

Vores underbehandlere har en kontraktlig forpligtelse til at overholde tilsvarende tekniske og organisatoriske sikkerhedsforanstaltninger (TOM’er) som dem, vi tilbyder vores kunder. Vores opdaterede sikkerheds-TOM’er er tilgængelige her.

Vi anmoder underdatabehandlere om at levere tilstrækkelige tekniske og operationelle sikkerhedsforanstaltninger samt foranstaltninger til at sikre overholdelse af relevante databeskyttelseslove. Alle underdatabehandlere og leverandører, der hoster kundedata, gennemgår grundige sikkerhedsrevisioner og risikovurderinger udført af både vores informationssikkerhedsteam og vores privatlivsteam for at sikre overholdelse af disse krav. Vi bruger også løbende sikkerhedsovervågning til at holde styr på vores leverandører.

Sårbarhedsstyring. Periodiske penetrationstests er simpelthen ikke nok i et hurtigt skiftende miljø som vores. Så vi tager vores sårbarhedsstyring meget længere. Vi udfører daglige dynamiske sårbarhedsscanninger af vores webapplikation, mens vores mobilapplikation også scannes dagligt med en række statiske, dynamiske og interaktive tests. Dette, kombineret med eventuelle indsendelser til bug bounty-programmer eller penetrationstestresultater, bliver hurtigt gennemgået og handlet på alt efter alvorlighed.

Forebyggelse af malware. Som man kan forvente af en international virksomhed som vores, udnytter vi verdensklasse endpoint detection and response tooling. Ved hjælp af adfærdsregistrering hjælper det os med at holde os beskyttet mod næste generations angreb, som signaturbaserede systemer ikke kan genkende. Vores hurtige og effektive forbindelsesmuligheder gør os i stand til at reagere prompte på endpoint-hændelser overalt i verden. Vi har også forskellige løsninger på plads for at sikre, at ondsindet software ikke kommer ind i vores systemer eller rejseapplikationer.

Overvågning. Vi indsamler aktivitets- og adgangslogfiler og vigtige oplysninger fra en række forskellige kilder. Når vi modtager advarsler eller andre udløsende faktorer, inspicerer og undersøger vores team straks den mistænkte hændelse. Hvor det er muligt, er vores værktøjer konfigureret til at opdage mistænkelig aktivitet og gøre os opmærksomme på det uden forsinkelse. Dette omfatter overvågning og alarmer fra hele vores egen IT-masse og værktøj, ud over vores forretningsrejseapplikationer.

Vores sikkerhedsteam er trænet i at tage føringen ved enhver sikkerhedshændelse, der måtte opstå, få de rigtige mennesker ind i lokalet og koordinere enhver reaktion, der kræves, ved at følge vores Incident Response Plan. Vi introducerer ikke bias tidligt ved at antage en alvorlighedsgrad ud fra, hvad der i starten kan være begrænset information. I stedet behandler vi alle hændelser med lige høj prioritet og vigtighed, indtil vi har oplysninger, der beviser det modsatte.

Vi har et teknisk vagtsystem 24/7, så hvis der opstår en hændelse uden for åbningstiden, der påvirker fortrolighed, integritet eller tilgængelighed, kan vores teknikere reagere, eskalere og hurtigt løse ethvert problem, støttet af vores sikkerhedsteam. Vi følger bedste praksis ved at vedligeholde en hændelsessporing og analysere hændelser bagefter for at sikre, at vi lærer af dem, og at vi foretager eventuelle forbedringer.

Ja, vi har en Incident Response Plan, som er blevet godkendt af CTO. Den beskriver roller, ansvar, kontaktoplysninger og de skridt, der skal tages i tilfælde af en formodet hændelse. Vi har også et Incident Management Team på plads.
Du kan finde flere oplysninger på vores sikkerhedsside, Security Whitepaper og dokumentet Security Measures (TOMs).

Ja, vi inkluderer procedurer for identifikation og rapportering af brud på persondatasikkerheden i sikkerhedstræningen for alle TravelPerk-medarbejdere.

Som databehandler er TravelPerk forpligtet til at underrette de berørte kunder (de dataansvarlige) om brud på persondatasikkerheden, så de kan underrette tilsynsmyndigheden i overensstemmelse med de gældende databeskyttelseslove. I vores meddelelser til kunderne giver vi alle tilgængelige oplysninger i henhold til artikel 33.3 i GDPR.

Som databehandler er TravelPerk forpligtet til at underrette de berørte kunder (de dataansvarlige) om brud på persondatasikkerheden, så de kan underrette tilsynsmyndigheden i overensstemmelse med de gældende databeskyttelseslove. I vores meddelelser til kunderne giver vi alle tilgængelige oplysninger i henhold til artikel 33.3 i GDPR.

Vi kan overføre data til modtagere i tredjelande, dvs. til lande uden for EØS uden en afgørelse om tilstrækkeligheden af beskyttelsesniveauet fra EU-Kommissionen. For eksempel kan vi overføre data til underbehandlere, der hjælper os med at levere vores tjenester (se vores opdaterede liste over underbehandlere), eller til rejseleverandører som flyselskaber, hoteller eller andre transport- og indkvarteringsudbydere.

Når vores underdatabehandlere befinder sig i tredjelande, benytter vi os primært af de seneste standardkontraktbestemmelser for internationale overførsler, der blev udstedt af Europa-Kommissionen den 4. juni 2021, for at sikre overførslen. Vi udfører også en sikkerhedsvurdering af alle vores leverandører, og hvor det er nødvendigt, implementerer vi supplerende foranstaltninger (i henhold til “post-Schrems II” EDPB-anbefalinger 01/2020) for at sikre, at de overførte data ydes et tilstrækkeligt beskyttelsesniveau i henhold til EU- og GDPR-standarder. Du kan finde flere oplysninger i vores Whitepaper om internationale dataoverførsler.

Den proces, vi følger, hver gang vi har brug for at dele kundernes data med en leverandør i et tredjeland, består af 7 trin:

1. Vi identificerer og kortlægger alle vores begrænsede overførsler (dvs. alle overførsler af data til ikke-tilstrækkelige lande).
2. Vi kræver, at potentielle leverandører udfylder et grundigt spørgeskema om privatlivets fred, som vurderes af vores informationssikkerheds- og privatlivsteam.
3. Vi indgår en databehandlingsaftale med sælgeren, som fastsætter de samme eller tilsvarende databeskyttelsesforpligtelser som dem, der er fastsat i DPA med vores kunder.
4. Vi indfører de seneste standardkontraktbestemmelser for internationale overførsler, der blev udstedt af Europa-Kommissionen den 4. juni 2021, med alle leverandører, der behandler personoplysninger i tredjelande.
5. Vi vurderer lovgivningen i leverandørens opbevaringsland, med særlig vægt på USA.
6. Vi identificerer og vedtager eventuelle supplerende foranstaltninger og proceduremæssige skridt, der er nødvendige for at bringe beskyttelsesniveauet for de overførte data op til EU-standarder.
7. Vi revurderer vores vurderinger med jævne mellemrum for at sikre, at de internationale overførsler forbliver sikre over tid.

Ja, Europa-Kommissionen opfordrer dataansvarlige og databehandlere til at give yderligere garantier for overførsel af personoplysninger til udlandet med supplerende kontraktlige forpligtelser, der giver et beskyttelsesniveau, der i det væsentlige svarer til EU’s standarder.

Med dette i tankerne foretager TravelPerk en grundig vurdering af alle databehandlere og underdatabehandlere i tredjelande for at bestemme effektiviteten af standardkontraktbestemmelserne i hvert enkelt tilfælde. Baseret på vurderingsresultaterne beder vi sådanne leverandører om at indarbejde yderligere kontraktlige forpligtelser i den relevante databehandlingsaftale. Vores fokus er både på de sikkerhedsforanstaltninger, som leverandøren har implementeret, og på specifikke sikkerhedsforanstaltninger for at forhindre eller mindske risikoen for potentielle anmodninger om videregivelse af personoplysninger til offentlige myndigheder eller retshåndhævende myndigheder i leverandørens land, især i USA i henhold til love og bestemmelser som FISA Section 702, Executive Order 12333 eller CLOUD Act.

Afhængigt af sagen og baseret på resultaterne af vores vurdering anmoder vi vores leverandører om at overholde nogle yderligere kontraktlige forpligtelser, hvis de modtager sådanne anmodninger om videregivelse. For eksempel beder vi dem om at kontrollere, om anmodningen om videregivelse er lovlig og passende, herunder med hensyn til de ønskede data og den relevante jurisdiktion, og om at udfordre anmodningen i overensstemmelse med GDPR-principperne og kontraktlige forpligtelser om anmodninger om offentlig adgang, jf. artikel 14 og 15 i SCC, hvis det er relevant. Vi pålægger også vores leverandører at give så få oplysninger som muligt, når de besvarer en anmodning om offentliggørelse, at implementere passende tekniske og organisatoriske foranstaltninger for at sikre persondataenes sikkerhed, herunder beskyttelse mod utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret offentliggørelse eller adgang til disse data, og at afstå fra at oprette bagdøre eller lignende programmering, der kan bruges af retshåndhævende myndigheder eller offentlige myndigheder til at få adgang til systemerne og/eller persondataene.

Tredjeparter har ikke adgang til vores kunders systemer og behandlingsfaciliteter. TravelPerk kan dog dele kundedata med tredjepartsudbydere (underbehandlere og rejseleverandører) for at levere tjenester til forretningsrejser (f.eks. den rejsendes navn og kontaktoplysninger med et flyselskab eller hotel for at bekræfte en reservation). Alle sådanne tredjeparter gennemgår sikkerhedsvurderinger og har relevante DPA’er og/eller kontraktklausuler på plads for at sikre sikkerheden og fortroligheden af de overførte personoplysninger.

Ja, vi har standardkontraktbestemmelserne for internationale overførsler udstedt af Europa-Kommissionen den 4. juni 2021 på plads med alle underbehandlere, der er placeret uden for EØS i ikke-tilstrækkelige lande, f.eks. dem, der er placeret i USA.

I øjeblikket er vores underdatabehandlere placeret i EU/EØS, Storbritannien, USA, Filippinerne, Indien, Japan, Australien, El Salvador og Israel. Du kan finde vores opdaterede liste over underdatabehandlere her.

Hvis du er (eller ønsker at blive) kunde hos TravelPerk: svaret er NEJ. Som en EU-baseret virksomhed, der behandler personoplysninger i henhold til GDPR, er TravelPerk ikke forpligtet til at bruge standardkontraktbestemmelserne for internationale overførsler udstedt af Europa-Kommissionen den 4. juni 2021 (SCC’er) mellem os og vores kunder.

Hvis TravelPerk har brug for at overføre dine personoplysninger til vores underdatabehandlere i tredjelande (f.eks. USA), kan du være sikker på, at sådanne overførsler allerede er reguleret af SCC’er, der er indgået mellem TravelPerk og den respektive underdatabehandler.

Hvis du er en leverandør uden for EU/EØS eller Storbritannien i et land, der ikke er anerkendt som passende beskyttelse af privatlivets fred af Europa-Kommissionen (liste over passende lande tilgængelig her): svaret er JA – vi skal indgå i standardkontraktbestemmelserne for internationale overførsler udstedt af Europa-Kommissionen den 4. juni 2021 for at kunne levere en tjeneste til TravelPerk, der kræver behandling af personlige data.

På grund af arten af vores SaaS-tjeneste er det ikke muligt at implementere geolokationsbegrænsninger på kundebasis. Vores SaaS-miljø og alle tilknyttede drifts- og sikkerhedsprocesser er designet til at være standardiserede og ikke skræddersyede til specifikke kunder. Derfor leveres adgang til og brug af vores SaaS “som den er” og i overensstemmelse med vores eksisterende processer, procedurer og vilkårene i aftalen mellem os og vores kunder.

Du kan være sikker på, at vi lever op til de højeste sikkerhedsstandarder i vores branche. Vores drift revideres med succes i overensstemmelse med branchens standarder. Vores datacenterudbyder, Amazon Web Services Ireland (med et reservested i Tyskland), er ISO 27001-certificeret. Den har også ISO 27017 og ISO 27018, SOC 1, SOC 2 og SOC 3, PCI DSS Level 1 og BSI’s C5-certificering.

Som en SaaS-platform engagerer vi ikke underbehandlere til individuelle kunder. Vores brug af underbehandlere er en integreret del af vores serviceleverance, og alle tredjepartsudbydere er på forhånd engageret og under kontraktlige forpligtelser med os. Før vi engagerer en tredjepartsudbyder, udfører vi omfattende sikkerhedsvurderinger for at sikre, at de opfylder vores strenge sikkerhedsstandarder. Derudover har alle underbehandlere relevante databeskyttelsesaftaler på plads for at garantere sikkerheden og fortroligheden af personlige data, der behandles på vegne af vores kunder. Det giver os mulighed for at opretholde et højt niveau af sikkerhed og privatlivsbeskyttelse, samtidig med at vi leverer pålidelige og effektive tjenester til vores kunder.

Vi har en omfattende koncernintern databehandlingsaftale, der regulerer alle interne overførsler, og som omfatter de seneste standardkontraktbestemmelser for internationale overførsler, der blev udstedt af Europa-Kommissionen den 4. juni 2021. Denne aftale giver en robust ramme for at sikre, at alle dataoverførsler inden for vores organisation overholder de relevante databeskyttelsesregler og opfylder de højeste standarder for sikkerhed og fortrolighed. Ved at bruge disse standardkontraktbestemmelser er vi i stand til at opretholde et højt niveau af databeskyttelse, selv når vi overfører personoplysninger på tværs af grænser, hvilket giver vores kunder den ro i sindet, de har brug for til at betro os deres værdifulde oplysninger.

Hvis du er TravelPerk-bruger: Som databehandler hjælper vi gerne vores kunder (dataansvarlige) med at håndtere anmodninger fra de registrerede (DSR) fra deres brugere. TravelPerk-brugere skal sende anmodninger fra registrerede til deres virksomheds TravelPerk-kontoadministrator, som repræsenterer den dataansvarlige. Administratorer vil kunne selvbetjene sletning af data (instruktioner her) og opdatering direkte fra TravelPerk-platformen eller anmode om yderligere oplysninger fra os, hvis de mener, at det er passende.

Hvis du er en potentiel kunde, produkttester, deltager i et TravelPerk-arrangement eller en besøgende på TravelPerks hjemmeside: Du kan udøve dine databeskyttelsesrettigheder via denne formular.

TravelPerk indsamler personoplysninger fra vores brugere via vores platform eller kundeservice for at levere tjenester til forretningsrejser. Hvis du er en rejsende, hvis virksomhed er kunde hos TravelPerk, kan vi behandle personoplysninger, herunder dit navn, virksomhedens e-mailadresse, telefonnummer og oplysninger om identitetskort eller pas. Derudover kan vi håndtere data såsom rejsetilknytningskort, betalingsmetoder, booking- og rejseoplysninger samt kundeplejeanmodninger eller klager efter behov for at lette vores tjenester til administration af forretningsrejser og gøre det muligt for dig at foretage rejsebookinger.

Hvis du er TravelPerk-bruger og ønsker at slette din brugerkonto, bedes du sende din anmodning til din virksomheds TravelPerk-kontoadministrator. Virksomhedsadministratorer kan slette brugerkonti fra TravelPerk-platformen ved at følge trinnene i denne artikel (under afsnittet “Slet bruger”). Administratorer kan også ændre brugerdata fra People directory, som er tilgængelig på TravelPerk-platformen.