Denne artikkelen forklarer hvordan PIA ivaretar datasikkerhet og personvern i tråd med gjeldende lover og beste praksis for håndtering av personopplysninger.
Formålet er å gi administratorer, ledere og superadministratorer trygghet for at data om ansatte, læringsprosesser og kompetanseutvikling behandles forsvarlig, sikkert og i samsvar med GDPR.
Grunnprinsipp
Sikkerhet og personvern i PIA bygger på fire grunnpilarer:
- Tillit – brukernes data skal aldri misbrukes eller deles uten samtykke.
- Kontroll – organisasjonen eier selv sine data.
- Sporbarhet – alle endringer og handlinger kan etterspores.
- Etterlevelse – PIA følger europeisk personvernregelverk (GDPR) og norsk lov.
1. Dataansvar og rollefordeling
| Rolle | Ansvar |
|---|---|
| Kundeorganisasjonen | Er behandlingsansvarlig. Har ansvar for hvordan data samles inn, brukes og lagres. |
| Peer-it AS | Er databehandler. Har ansvar for sikker drift, teknisk beskyttelse og etterlevelse av databehandleravtalen. |
| Brukeren | Er registrert personopplysningseier. Har rett til innsyn, retting og sletting av egne data. |
Alle kundeorganisasjoner inngår en Databehandleravtale (DPA) med Peer-it AS som regulerer ansvar, prosesser og sikkerhetsnivå.
2. Teknisk sikkerhet
PIA er bygget på moderne skyinfrastruktur og følger anerkjente sikkerhetsstandarder (ISO 27001-prinsipper).
Sikkerheten omfatter både forebyggende og detekterende tiltak:
Kryptering og datalagring
- All kommunikasjon mellom klient og server skjer via TLS 1.3 (ende-til-ende-kryptert).
- Data lagres kryptert i hvile (at rest) og under overføring (in transit).
- Servere er lokalisert innenfor EU/EØS med datasentre som oppfyller krav til høy tilgjengelighet og ISO-sertifisering.
Tilgangskontroll
- Systemet bruker rollebasert tilgangskontroll (RBAC) for å hindre uautorisert innsyn.
- Innlogging skjer via sikker passordpolicy med krav til styrke og hyppig fornyelse.
- Mulighet for tobakk (2FA) på forespørsel for organisasjoner med høyere sikkerhetskrav.
- Sesjoner avsluttes automatisk ved inaktivitet.
Sikkerhetskopiering og gjenoppretting
- Automatisk daglig sikkerhetskopi av alle databaser.
- Kopier lagres i kryptert form i separate datasentre.
- Full gjenopprettingsrutine (RTO under 24 timer).
Sikker kode og systemtesting
- Kildekode gjennomgår kontinuerlig kode-revisjon og sårbarhetstesting (OWASP-basert).
- Nye versjoner testes i lukket staging-miljø før produksjonssetting.
- Regelmessige penetrasjonstester utføres av ekstern sikkerhetspartner.
3. Personvern og databehandling
Behandlingsgrunnlag
PIA behandler personopplysninger på grunnlag av:
- Berettiget interesse (kompetanseutvikling, veiledning, dokumentasjon av opplæring)
- Samtykke (frivillig deltakelse i refleksjon og veiledning)
- Avtale (mellom arbeidsgiver og ansatt der PIA brukes som læringsverktøy)
Datatyper som behandles
PIA lagrer kun data som er nødvendige for formålet:
| Datatype | Eksempler | Formål |
|---|---|---|
| Grunnleggende identitet | Navn, e-post, rolle | Brukeradministrasjon |
| Organisatorisk tilknytning | Avdeling, enhet, prosjekt | Knytte data til riktig organisasjon |
| Utviklingsdata | Refleksjoner, observasjoner, ferdighetsvurderinger | Dokumentasjon av læring og progresjon |
| Tekniske logger | Tidspunkt, IP-adresse, systemhendelser | Sikkerhet og revisjon |
Ingen sensitive helseopplysninger behandles.
Dataminimering og sletting
- PIA lagrer kun informasjon som er relevant for kompetanseutvikling.
- Brukerdata slettes automatisk etter definert inaktivitet (som angitt i DPA).
- Administrator kan manuelt deaktivere eller slette brukere ved behov.
- Sletting er permanent og omfatter tilhørende personopplysninger.
Brukerrettigheter (GDPR)
Alle brukere har rett til:
- Innsyn – se hvilke data som er lagret.
- Rettelse – korrigere feilaktige opplysninger.
- Sletting – be om å bli fjernet fra systemet.
- Dataportabilitet – eksportere egne data.
- Informasjon – få tydelig informasjon om hvordan data brukes.
Disse rettighetene håndteres via organisasjonens administrator eller ved å kontakte Peer-it support.
4. Logging og revisjon
PIA fører automatisk tilgangs- og aktivitetslogger for å sikre sporbarhet.
Dette gjør det mulig å dokumentere hvem som har gjort hva, når og hvorfra.
Loggede hendelser inkluderer:
- Pålogging og utlogging
- Endring av roller og status
- Opprettelse, redigering og sletting av innhold
- Endringer i organisasjonsstruktur
Loggene lagres i tråd med gjeldende personvernregler og brukes kun til sikkerhetsformål.
Les også:
- internlenke 1
- internlenke 2
5. Hendelseshåndtering
Dersom det oppstår en sikkerhetshendelse, følger Peer-it en tydelig prosedyre:
- Oppdagelse og varsling – hendelsen oppdages via overvåkning eller melding fra bruker.
- Isolering og analyse – feilkilden identifiseres, og risiko vurderes.
- Varsling til berørte parter – dersom hendelsen kan påvirke personopplysninger, varsles både kunde og Datatilsynet innen 72 timer.
- Utbedring og forebygging – tiltak iverksettes for å hindre gjentakelse.
Alle hendelser loggføres og rapporteres internt for kontinuerlig læring og forbedring.
6. Ansvar for sikkerhet i organisasjonen
Sikkerhet i PIA er et felles ansvar mellom Peer-it og kunden.
Organisasjonene oppfordres til å:
- Ha en lokal administrator som følger opp brukertilgang og datakvalitet.
- Sørge for at alle ansatte bruker sterke passord og følger interne IT-rutiner.
- Deaktivere kontoer umiddelbart ved fratredelse eller permisjon.
- Ikke lagre personopplysninger utenfor systemet (f.eks. i Excel eller e-post).
- Rapportere uregelmessigheter umiddelbart til Peer-it support.
7. Revisjon og etterlevelse
Peer-it gjennomfører årlig revisjon av sikkerhet og personvern.
Revisjonen omfatter:
- Gjennomgang av tekniske og organisatoriske sikkerhetstiltak.
- Kontroll av tilgangsstyring og logging.
- Oppdatering av databehandleravtaler og prosedyredokumentasjon.
- Samarbeid med ekstern sikkerhetsrådgiver for kvalitetssikring.
Oversiktstabell – hovedansvar og oppgaver
| Oppgave | Ansvarlig | Hvor håndteres det |
|---|---|---|
| Oppdatere databehandleravtale | Superadministrator / Kundeansvarlig | Kontrakt / DPA |
| Sikre passord og tilgang | Administrator | Administrasjon → Brukere |
| Behandle innsyns- og slettesaker | Administrator / Peer-it Support | Etter forespørsel |
| Overvåke logger og hendelser | Peer-it Support | Intern sikkerhetsmonitorering |
| Rapportere sikkerhetshendelser | Peer-it AS | Til Datatilsynet ved behov |
Oppsummering
PIA er utviklet med datasikkerhet og personvern som kjerneprinsipper.
Gjennom kryptert lagring, rollebasert tilgang, logging og tydelige avtaler mellom behandlingsansvarlig og databehandler, sikrer løsningen både trygghet og etterlevelse.
Målet er at alle brukere – fra utøver til leder – skal kunne jobbe i PIA med full tillit til at data håndteres med høyeste grad av sikkerhet og respekt for personvern.