Vi tar personvernsikkerhet på alvor

Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Rettet til personvern og privatliv er så sterk at den ikke bare er forankret i norsk lov, men også i den europeiske menneskerettighetskonvensjonen.

Som systemleverandør, databehandler for IT-løsninger og behandler av personopplysninger, tar vi personopplysningssikkerhet på alvor. Vi er opptatt av at du som kunde, skal være trygg på at vi tar våre forhåndsregler og at vi passer godt på dine opplysninger.

Du som øverste leder i bedriften er behandlingsansvarlig. Det betyr at du er ansvarlig for personopplysningene dere samler inn og oppbevarer. Som kunde av våre løsninger i PBL Mentor, vil du derfor være behandlingsansvarlig for alle personopplysninger dere laster inn i våre PBL Mentor-løsninger. Det betyr at du må sikre trygg lagring av personopplysningene og at disse blir passet godt på.

Vi vet at personopplysningssikkerhet og informasjonssikkerhet er et vanskelig fagfelt å få oversikt over. For å hjelpe deg har vi laget en oversikt over hvilke sikkerhetstiltak vi gjør med våre løsninger og dine personopplysningsdata.

 

Databehandleravtale

Vi er ansvarlig for å ha tilstrekkelige sikkerhetstiltak og rutiner knyttet til våre løsninger. Vi sender ut en databehandleravtale til alle kunder, hvor vi skriftlig signerer og forplikter oss til å ivareta sikkerheten. Denne avtalen beskriver også mer detaljert hvilket ansvar vi har og hvilke rettigheter du som behandlingsansvarlig har overfor oss. Det er viktig at du kjenner til våre sikkerhetstiltak, slik at du kan være trygg på at alle data du lagrer i våre systemer, er godt ivaretatt. Dersom du ikke har mottatt databehandleravtale fra oss, eller du ikke finner den, kan du hente ut en ny her.

 

Last ned norsk versjon av databehandleravtale for PBL Mentor-produktene

 

Last ned engelsk versjon av databehandleravtale for PBL Mentor-produktene

Når vi utvikler nye funksjoner i våre løsninger, er det et krav at vi skal tenke på personvern og sikkerhet hele veien i utviklingsløpet. Vi er opptatt av at sikkerheten ivaretas og at du som bruker skal være trygg på at dine data er sikkert lagret hos oss. Samtidig ser vi at sikkerhetskravene noen ganger gå på bekostning av brukervennligheten i en løsning. Vi bruker derfor mye tid på finne løsninger som er brukervennlige og som tilfredsstiller sikkerhetskravene. Dette gjør vi:

 

  • Opplæring.

Alle våre medarbeidere som jobber med utvikling og drift av produktene har opplæring og kunnskap om IT-sikkerhet og innebygd personvern.

 

  • Personvernombud

Vi har etablert eget personvernombud i vår virksomhet som vi drøfter personvern og informasjonssikkerhet med.

 

  • Internkontroll

Vi har etablert egne rutiner for informasjonssikkerhet knyttet til utvikling og drift av PBL Mentor-produktene. Alle våre sikkerhetsrutiner lagres i et eget internkontrollsystem.

 

  • Protokoll

Vi fører protokoll over alle kategorier av behandlingsaktiviteter vi utfører på vegne av våre kunder.

 

  • Vi ivaretar dataportabilitet

Du som kunde og behandlingsansvarlig kan når som helst ta kontakt med oss for å få utlevert data om registrerte personer eller brukere av våre løsninger.

 

  • Retten til å bli glemt.

I alle våre løsninger har vi vektlagt behovet for sletting og retten en registrert part har til å bli slettet. Når brukere og registrerte personer eller firma slettes fra våre løsninger, vil data bli slettet, eller anonymisert, slik at viktig bedriftsdata ikke forsvinner.

 

  • Vi velger strengeste mulig personverninnstilling.

Når vi lager nye funksjoner, velger vi alltid den strengeste personverninnstillingen som standard, så lenge det ikke forringer viktige funksjoner i systemene.

 

  • Testing av sikkerhet

Når vi utvikler nye versjoner av produktet, tester vi alltid personvernsikkerheten på samme måte som vi tester for feil, før vi lanserer oppdateringen for brukerne våre.

Vi har en egen IT-avdeling som drifter våre løsninger og de tekniske sikkerhetstiltakene knyttet til PBL Mentor-produktene.  Disse tekniske sikkerhetstiltakene er etablert og følges opp av oss:

 

  • Sikkerhet knyttet til personell

Hvem som har adgang til PBL Medlemsservice AS sine lokaler og datasenter kontrolleres av et adgangskontrollsystem i PBL-huset. Videoovervåking brukes i bygningens inngangsparti. Det er ikke mulig å få adgang til PBL Medlemsservice AS datasenter uten å være under tilsyn av personell som er autorisert av IT driftsavdelingen i PBL Medlemsservice AS.

  

  • Fysisk og miljømessig sikkerhet

Alle data i PBL Mentor lagres på sikrede servere som ligger i PBL-huset i Bodø. Datasentret er sikret både av mennesker og av tekniske sikkerhetstiltak. Adgangen til datasentrene administreres eksklusivt av PBL Medlemsservice AS IT-avdeling.

PBL Mentors nettverk er satt opp i samsvar med den beste sikkerhetspraksisen, med separate, isolerte nettverkssoner for ulike deler av systemet. Nettverksovervåking gir løsningen stabilitet og robusthet. Overvåkningen sender oss varsler dersom inntrengere prøver å bryte seg inn i systemene.

Alle serverer er koblet til redundante strømforsyninger. Redundante kjølesystemer brukes for å sikre stabile temperatur- og driftsforhold i serverrommet. Brannverntiltak er iverksatt i anlegget. I tillegg er det utarbeidet en nødgjenopprettingsplan for å sikre rask gjenoppretting ved behov.

Redundante kjølesystemer brukes for å sikre stabile temperatur- og driftsforhold i serverrommet. Brannverntiltak er iverksatt i anlegget. I tillegg er det utarbeidet en nødgjenopprettingsplan for å sikre rask gjenoppretting ved behov.

PBL Mentor webapplikasjonen driftes på et sett med virtualiserte servere. Serverne er bygget med komplett redundans på alle nivåer, inkludert redundante strømforsyninger med separat avbruddsfri strømforsyning, RAID-speiling av alle disker og redundante nettverkskort.

Alle PBL Mentor-serverne og -nettverkene overvåkes døgnet rundt, hele uken.

Dokumenter som arkiveres i PBL Mentor, lagres i PBL Medlemsservice AS datasenter i Bodø.

 

  • Nettverksstyring

Alle nettverk beskyttes med redundante brannmurer. Kommunikasjon mellom steder sikres av et kryptert VPN.

 

  • Kryptering

All kommunikasjon mellom serverne våre og kundene som har tilgang til området vårt, krypteres med SSL (Secure Socket Layer). All kommunikasjon mellom PBL Mentors mobilapplikasjoner og serverne, krypteres også med SSL.

 

  • Beskyttelse mot skadelig programvare

Sentralt administrert antivirusprogramvare installeres på alle servere og på stasjonære datamaskiner som brukes internt. PBL Mentor-miljøet skannes for sårbarheter daglig, og alle beskyttelsesverktøy oppdateres kontinuerlig.

 

  • Sikkerhetskopi

Alle dataene sikkerhetskopieres hver kveld og lagres i to separate sikre miljøer i et eget datasenter. Backup-taper oppbevares i brannsikker safe. I tillegg har vi fire rullerende full backup-taper som hentes og oppbevares av Nokas AS i Bodø hver uke.

PBL Mentor er basert på to typer datalagring:

  • Microsoft SQL Server Database
  • Filarkiver

Data for ulike kunder holdes helt atskilt fra hverandre. Alle databaser har en femdagers tidspunktbasert sikkerhetskopiering. Dette betyr at man kan gjenopprette data fra en bestemt dato eller et bestemt klokkeslett innen de siste fem dagene. I tillegg utføres en ukentlig sikkerhetskopiering som lagres i fire uker.

 

  • Tilgangskontroll til PBL Mentor-tjenester

All uautorisert tilgang til PBL Mentor-området blokkeres automatisk av en brannmur. SSL-kryptering (Secure Socket Layer) og brukerautentisering beskytter informasjonen og sørger for at bare brukere i kundens organisasjon har tilgang til data.

 

  • Tilgangskontroll til operativsystem

Bare autorisert systempersonell har tilgang til og kan utføre operativsystemavhengig administrasjon på PBL Mentor-serverne. Alle oppdateringer av operativsystemet og operativsystemavhengig programvare utføres så snart de nye oppdateringene er lansert og testet i et testmiljø.

 

  • Revisjonsspor og systemtilgang

All webtilgang til området registreres både i databasen og i loggfilene. Loggfilene sikkerhetskopieres daglig, og det er mulig å gå tilbake i tid for å finne informasjon om hvem som hadde tilgang til en PBL Mentor-side på et bestemt tidspunkt.

Bare autorisert personell får tillatelse til å administrere loggfiler og endre tilgangsnivåer i systemet. Pålogginger og bruk av systemrettigheter logges på servere. Pålogginger registreres med et brukernavn og en kilde-IP-adresse.

PBL Mentor varsler om all planlagt nedetid minst 24 timer i forveien.

Tjenestenes kapasitet og ytelse overvåkes døgnkontinuerlig. På den måten kan vi enkelt forutse behovet for oppgraderinger av servere og infrastruktur. Vi vil alltid bestrebe at driftsmessige påvirkninger hos våre kunder er minst mulig. Oppdateringer av systemkritiske problemer utføres så snart som mulig.

Hva gjør vi dersom sikkerhetsbrudd oppstår?

Dersom vi mistenker sikkerhetsbrudd, vil vi informere deg som behandlingssansvarlig om dette. I slike tilfeller vil vi sende ut følgende informasjon om sikkerhetsbruddet:

  • Hva sikkerhetsbruddet går ut på
  • Kontaktinformasjon til oss
  • Konsekvensene av sikkerhetsbruddet
  • Tiltakene vi gjør for å rette opp avviket

Ved alvorlige sikkerhetsbrudd er du som behandlingssansvarlig pliktig til å melde sikkerhetsbruddet som et avvik til datatilsynet.

Behandling av personopplysninger i pblmentor.no

Når du bruker nettsiden vår og/eller er i kontakt med oss i forbindelse med opprettelse av demotilganger, påmelding til nyhetsbrev eller ringer oss, vil i PBL Mentor behandle personopplysninger om deg. Nedenfor finner du derfor informasjon om personopplysninger som samles inn, hvorfor vi gjør dette og dine rettigheter knyttet til behandlingen av personopplysningene.Behandlingsansvarlig for personopplysningene vi behandler er PBL Medlemsservice daglig leder, Ole Reidar Sollund.

Kontaktinformasjonen til PBL Medlemsservice er:Adresse: Prinsens gate 91E-post: pbl@pbl.noTelefon: 75553900Organisasjonsnummer: 884 071 232

For spørsmål du måtte ha om vår behandling av dine personopplysninger kan du kontakte vårt personvernombud, advokat Tor Eitran på e-post tor@pbl.no.

1. Hvorfor samler vi inn personopplysninger og hva slags informasjon samler vi inn

Vi samler inn og bruker dine personopplysninger til ulike formål avhengig av hvem du er og hvordan vi kommer i kontakt med deg. Vi samler inn følgende personopplysninger til formålene angitt her:

  1. Vi bruker e-post adressen til våre kunder for å kunne sende ut nyhetsbrev og gi informasjon om vår virksomhet. Denne behandlingen skjer på grunnlag av berettiget interesse. For ikke-kunder innhenter vi e-post adresser basert på samtykke.
  2. Besvare henvendelser som kommer inn til oss. Navn, telefonnummer, e-postadresse og eventuelle personopplysninger som måtte følge av henvendelsen. Behandlingen av personopplysninger skjer på grunnlag av en interesseavveining. Vi har vurdert det slik at dette ofte er nødvendig for å oss for å hjelpe deg med det du lurer på.
  3. PBL benytter Google Analytics, Facebook Pixel og logger for å optimalisere nettstedene våre og for å avdekke feilkilder. Opplysningene brukes i en aggregert form. Når du besøker nettstedene våre lagres din IP-adresse i logger for bruk til innbruddsdeteksjon og feilsøkning. Logger fjernes når de ikke lengre er relevante for de angitt formålene.
  4. For å få informasjon om bruk av våre nettsider benytter vi informasjonskapsler (cookies). Informasjonskapsler er små tekstfiler som nettsidene våre lagrer på datamaskinen din. Disse informasjonskapslene brukes til å fortelle oss om din bruk av våre nettsider. Det registreres hvor ofte du besøker våre nettsider, hva du leser og teknisk informasjon om din nettleser og operativsystem. Utlevering av personopplysninger til andre Les mer om cookies på www.nettvett.no.

Vi gir ikke personopplysningene dine videre til andre tredjeparter.PBL Medlemsservice bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller har vi inngått avtaler for å ivareta informasjonssikkerheten i alle ledd av behandlingen. Vi benytter oss av følgende databehandlere per i dag:

Microsoft Dynamics CRM. Her lagres kontaktinformasjon som adresse, telefonnummer, e-post og kontaktinformasjon til kontaktpersoner.

SendinBlue. Her lagres e-postadresser til alle våre kunder og til de som har samtykket til å motta våre nyhetsbrev.

Facebook pixel. Her lagrer vi IP-adressene som vi innhenter fra dere som besøker nettsidene våre.

All behandling av personopplysninger som vi foretar skjer innenfor EU/EØS-området.

2. Lagringstid

Vi lagrer dine personopplysninger hos oss så lenge det er nødvendig for det formål personopplysningene ble samlet inn for.

3. Dine rettigheter når vi behandler personopplysninger om deg

Du har rett til å kreve innsyn, retting eller sletting av personopplysningene vi behandler om deg. Du har videre rett til å kreve begrenset behandling, rette innsigelse mot behandlingen og kreve rett til dataportabilitet. Du kan lese mer om innholdet i disse rettighetene på Datatilsynets nettside: www.datatilsynet.no.

For å ta i bruk dine rettigheter må du sende oss en e-post på mentor@pbl.no. vil svare på din henvendelse til oss så fort som mulig, og senest innen 30 dager.

Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg – og ikke noen som gir seg ut for å være deg.Du kan til enhver tid trekke tilbake ditt samtykke for behandling av personopplysninger hos oss. Den enkleste måten å gjøre dette på, er å sende oss en e-post på mentor@pbl.no.

4. Klager

Dersom du mener at vår behandling av personopplysninger ikke stemmer med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, så kan du klage til Datatilsynet.Du finner informasjon om hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.

5. Endringer

Hvis det skulle skje endring av våre tjenester eller endringer i regelverket om behandling av personopplysninger, kan det medføre forandring i informasjonen du er gitt her. Hvis vi har dine kontaktopplysninger vil vi gjøre deg oppmerksom på disse forandringene. Ellers vil oppdatert informasjon alltid finnes lett tilgjengelig på vår nettside.

[1] Når behandlingen har grunnlag i en interesseavveining skal den behandlingsansvarlige beskrive den eller de berettigede interessene som virksomheten har i behandlingen.

Trenger du mer informasjon

Vi håper denne oversikten er til hjelp for deg som behandlingsansvarlig når du jobber med internkontrollen og sikkerhetsarbeidet. 

For mer utfyllende informasjon, ta kontakt med oss på mentor@pbl.no eller telefon 75 55 39 00.

Du kan også kontakte vårt personvernombud, advokat Tor Eitran på e-post tor@pbl.no.