1. Fortegnelse over behandlingsaktiviteter

Påkrævet under art. 30 GDPR — også for små virksomheder. Dokumenter: hvilke data, formål, retsgrundlag, opbevaringsperiode, modtagere. En simpel tabel er tilstrækkelig. PlotonIQ genererer automatisk dette overblik.

2. Databehandleraftaler (DBA)

Påkrævet med hver cloud-tjeneste, der behandler dine kundedata: regnskabssoftware, e-mail-værktøjer, hosting, branchesoftware. PlotonIQ leverer en DBA. Anmod om en fra alle dine andre udbydere.

3. Privatlivspolitik

Specifik: hvilke cookies, hvilke analyseredskaber, hvilke tredjeparter, kontaktoplysninger til dataansvarlig.

4. EU-servere

Kundedata på amerikanske servere er problematisk efter Schrems II. Sikreste: tyske servere. PlotonIQ: Hetzner Falkenstein, ISO 27001-certificeret. Ingen overførsler til tredjelande.

5. Opbevaringsperioder

Skatteret: 10 år for fakturaer, 6 år for forretningskorrespondance. Byggepladsfotos: slet efter projekt + garantiperiode. Jobansøgerdata: 6 måneder efter afslag.

6. Kryptering

Transit: TLS 1.2+ (helst 1.3). Lagring: AES-256. Adgangskoder: bcrypt eller Argon2. API-nøgler: krypteret, aldrig klartekst.

7. Adgangskontrol

Ikke alle montører behøver adgang til alle fakturaer. Rollesystem: Admin (alt), Kontor (kunder, tilbud, fakturaer), Montør (egne job, tidsregistrering).

8. Fotos kun i administrerede apps

Byggepladsfotos på private telefoner = kundedata på ikke-administrerede enheder. Løsning: optag i PlotonIQ-app — krypteret upload, aldrig gemt på enhed.

9. Erstat WhatsApp

WhatsApp deler metadata med Meta. Ikke GDPR-kompatibel uden Business API + DBA. Til godkendelser: PlotonIQ kundeportal med digital godkendelse og tidsstempel.

10. Konsekvensvurdering for geofencing

GPS-sporing af montører kræver en databeskyttelses-konsekvensvurdering under art. 35 GDPR. Dokumenter: formål, retsgrundlag, sikkerhedsforanstaltninger. Medarbejdere skal informeres.