Hjem Administrasjon og sikkerhet Datasikkerhet og personvern i PIA

Datasikkerhet og personvern i PIA

Denne artikkelen forklarer hvordan PIA ivaretar datasikkerhet og personvern i tråd med gjeldende lover og beste praksis for håndtering av personopplysninger.
Formålet er å gi administratorer, ledere og superadministratorer trygghet for at data om ansatte, læringsprosesser og kompetanseutvikling behandles forsvarlig, sikkert og i samsvar med GDPR.

Grunnprinsipp

Sikkerhet og personvern i PIA bygger på fire grunnpilarer:

  1. Tillit – brukernes data skal aldri misbrukes eller deles uten samtykke.
  2. Kontroll – organisasjonen eier selv sine data.
  3. Sporbarhet – alle endringer og handlinger kan etterspores.
  4. Etterlevelse – PIA følger europeisk personvernregelverk (GDPR) og norsk lov.

1. Dataansvar og rollefordeling

RolleAnsvar
KundeorganisasjonenEr behandlingsansvarlig. Har ansvar for hvordan data samles inn, brukes og lagres.
Peer-it ASEr databehandler. Har ansvar for sikker drift, teknisk beskyttelse og etterlevelse av databehandleravtalen.
BrukerenEr registrert personopplysningseier. Har rett til innsyn, retting og sletting av egne data.

Alle kundeorganisasjoner inngår en Databehandleravtale (DPA) med Peer-it AS som regulerer ansvar, prosesser og sikkerhetsnivå.

2. Teknisk sikkerhet

PIA er bygget på moderne skyinfrastruktur og følger anerkjente sikkerhetsstandarder (ISO 27001-prinsipper).
Sikkerheten omfatter både forebyggende og detekterende tiltak:

Kryptering og datalagring

  • All kommunikasjon mellom klient og server skjer via TLS 1.3 (ende-til-ende-kryptert).
  • Data lagres kryptert i hvile (at rest) og under overføring (in transit).
  • Servere er lokalisert innenfor EU/EØS med datasentre som oppfyller krav til høy tilgjengelighet og ISO-sertifisering.

Tilgangskontroll

  • Systemet bruker rollebasert tilgangskontroll (RBAC) for å hindre uautorisert innsyn.
  • Innlogging skjer via sikker passordpolicy med krav til styrke og hyppig fornyelse.
  • Mulighet for tobakk (2FA) på forespørsel for organisasjoner med høyere sikkerhetskrav.
  • Sesjoner avsluttes automatisk ved inaktivitet.

Sikkerhetskopiering og gjenoppretting

  • Automatisk daglig sikkerhetskopi av alle databaser.
  • Kopier lagres i kryptert form i separate datasentre.
  • Full gjenopprettingsrutine (RTO under 24 timer).

Sikker kode og systemtesting

  • Kildekode gjennomgår kontinuerlig kode-revisjon og sårbarhetstesting (OWASP-basert).
  • Nye versjoner testes i lukket staging-miljø før produksjonssetting.
  • Regelmessige penetrasjonstester utføres av ekstern sikkerhetspartner.

3. Personvern og databehandling

Behandlingsgrunnlag

PIA behandler personopplysninger på grunnlag av:

  • Berettiget interesse (kompetanseutvikling, veiledning, dokumentasjon av opplæring)
  • Samtykke (frivillig deltakelse i refleksjon og veiledning)
  • Avtale (mellom arbeidsgiver og ansatt der PIA brukes som læringsverktøy)

Datatyper som behandles

PIA lagrer kun data som er nødvendige for formålet:

DatatypeEksemplerFormål
Grunnleggende identitetNavn, e-post, rolleBrukeradministrasjon
Organisatorisk tilknytningAvdeling, enhet, prosjektKnytte data til riktig organisasjon
UtviklingsdataRefleksjoner, observasjoner, ferdighetsvurderingerDokumentasjon av læring og progresjon
Tekniske loggerTidspunkt, IP-adresse, systemhendelserSikkerhet og revisjon

Ingen sensitive helseopplysninger behandles.

Dataminimering og sletting

  • PIA lagrer kun informasjon som er relevant for kompetanseutvikling.
  • Brukerdata slettes automatisk etter definert inaktivitet (som angitt i DPA).
  • Administrator kan manuelt deaktivere eller slette brukere ved behov.
  • Sletting er permanent og omfatter tilhørende personopplysninger.

Brukerrettigheter (GDPR)

Alle brukere har rett til:

  • Innsyn – se hvilke data som er lagret.
  • Rettelse – korrigere feilaktige opplysninger.
  • Sletting – be om å bli fjernet fra systemet.
  • Dataportabilitet – eksportere egne data.
  • Informasjon – få tydelig informasjon om hvordan data brukes.

Disse rettighetene håndteres via organisasjonens administrator eller ved å kontakte Peer-it support.

4. Logging og revisjon

PIA fører automatisk tilgangs- og aktivitetslogger for å sikre sporbarhet.
Dette gjør det mulig å dokumentere hvem som har gjort hva, når og hvorfra.

Loggede hendelser inkluderer:

  • Pålogging og utlogging
  • Endring av roller og status
  • Opprettelse, redigering og sletting av innhold
  • Endringer i organisasjonsstruktur

Loggene lagres i tråd med gjeldende personvernregler og brukes kun til sikkerhetsformål.

Les også:

5. Hendelseshåndtering

Dersom det oppstår en sikkerhetshendelse, følger Peer-it en tydelig prosedyre:

  1. Oppdagelse og varsling – hendelsen oppdages via overvåkning eller melding fra bruker.
  2. Isolering og analyse – feilkilden identifiseres, og risiko vurderes.
  3. Varsling til berørte parter – dersom hendelsen kan påvirke personopplysninger, varsles både kunde og Datatilsynet innen 72 timer.
  4. Utbedring og forebygging – tiltak iverksettes for å hindre gjentakelse.

Alle hendelser loggføres og rapporteres internt for kontinuerlig læring og forbedring.

6. Ansvar for sikkerhet i organisasjonen

Sikkerhet i PIA er et felles ansvar mellom Peer-it og kunden.
Organisasjonene oppfordres til å:

  • Ha en lokal administrator som følger opp brukertilgang og datakvalitet.
  • Sørge for at alle ansatte bruker sterke passord og følger interne IT-rutiner.
  • Deaktivere kontoer umiddelbart ved fratredelse eller permisjon.
  • Ikke lagre personopplysninger utenfor systemet (f.eks. i Excel eller e-post).
  • Rapportere uregelmessigheter umiddelbart til Peer-it support.

7. Revisjon og etterlevelse

Peer-it gjennomfører årlig revisjon av sikkerhet og personvern.
Revisjonen omfatter:

  • Gjennomgang av tekniske og organisatoriske sikkerhetstiltak.
  • Kontroll av tilgangsstyring og logging.
  • Oppdatering av databehandleravtaler og prosedyredokumentasjon.
  • Samarbeid med ekstern sikkerhetsrådgiver for kvalitetssikring.

Oversiktstabell – hovedansvar og oppgaver

OppgaveAnsvarligHvor håndteres det
Oppdatere databehandleravtaleSuperadministrator / KundeansvarligKontrakt / DPA
Sikre passord og tilgangAdministratorAdministrasjon → Brukere
Behandle innsyns- og slettesakerAdministrator / Peer-it SupportEtter forespørsel
Overvåke logger og hendelserPeer-it SupportIntern sikkerhetsmonitorering
Rapportere sikkerhetshendelserPeer-it ASTil Datatilsynet ved behov

Oppsummering

PIA er utviklet med datasikkerhet og personvern som kjerneprinsipper.
Gjennom kryptert lagring, rollebasert tilgang, logging og tydelige avtaler mellom behandlingsansvarlig og databehandler, sikrer løsningen både trygghet og etterlevelse.

Målet er at alle brukere – fra utøver til leder – skal kunne jobbe i PIA med full tillit til at data håndteres med høyeste grad av sikkerhet og respekt for personvern.

Relaterte artikler |

Hendelseshåndtering og sikkerhetsvarsling

Denne artikkelen beskriver hvordan sikkerhetshendelser håndteres i PIA-systemet, og hvordan både administratorer og Peer-it AS følger opp ved avvik. Formålet...

Opprette og endre roller og tilganger

Denne artikkelen beskriver hvordan du kan opprette og endre roller og tilganger i PIA. Formålet er å gi administratorer kontroll...

Roller og tilgangsnivåer i PIA

Denne artikkelen forklarer hvordan tilgangsstyring fungerer i PIA gjennom rollebasert tilgangskontroll (RBAC – Role-Based Access Control). Formålet er å sikre...