1. Hjemmel for behandling av personopplysninger

Voit AS behandler personopplysninger for å opprette og vedlikeholde kundeforholdet, og for å yte nødvendige Tjenester til Behandlingsansvarlig sin virksomhet.

2. Kategorier av personopplysninger

Voit AS behandler personopplysninger som navn, epost, telefonnummer for å håndtere brukertilganger og yte konsulentbistand. Behandlingsansvarlig sine brukere benytter Tjenester til å behandle andre personopplysninger enn spesifisert her i sin virksomhet.

3. Pseudonymiseringstiltak

Vi benytter pseudonymisering der det er hensiktsmessig for å redusere personvernrisiko, særlig i utviklings-, test- og analyseformål. Pseudonymisering gjennomføres ved å erstatte direkte identifiserbare opplysninger, som navn og kontaktinformasjon, med konsistente erstatningsverdier eller nøkkelkoder, slik at data ikke uten videre kan knyttes til en enkeltperson uten tilleggsinformasjon. Tilgang til koblingsnøkler og opprinnelige data er strengt begrenset til autorisert personell og lagres atskilt i sikrede systemer. Målet er å sikre at personopplysninger behandles med høy grad av beskyttelse, selv i tilfeller hvor full anonymisering ikke er mulig.

4. Krypteringstiltak

Vi benytter moderne krypteringstiltak for å ivareta konfidensialitet og integritet i all databehandling. All datakommunikasjon mellom systemer og brukere skjer over krypterte forbindelser, primært via TLS (HTTPS). Lagring av data skjer kryptert der det er relevant, inkludert kryptert lagring av e-post og filer. Tilgang mellom interne tjenester og backup-systemer er sikret med ende-til-ende-kryptering via WireGuard VPN. E-postkommunikasjon støtter STARTTLS og DANE for transportkryptering. Kryptering benyttes også i løsninger for dokumentbehandling og fildeling, der både data i ro og under overføring er sikret med sterke krypteringsalgoritmer, for eksempel AES-256 ved lagring og TLS 1.2 eller høyere ved datakommunikasjon.

5. Fortrolighet, konfidensialitet

For å sikre fortrolighet (konfidensialitet) av personopplysninger og annen sensitiv informasjon, benytter vi strenge tilgangskontroller og organisatoriske tiltak. Tilgangen til systemer og data er begrenset til autorisert personell med tjenstlig behov, basert på et rolle- og ansvarsbasert prinsipp. Alle med tilgang til personopplysninger er underlagt taushetsplikt. Vi gjennomfører jevnlige vurderinger av tilgangsrettigheter og interne rutiner for å sikre at kun nødvendige opplysninger er tilgjengelige for de rette personene til rett tid.

6. Integritet

For å motvirke utilsiktet endring eller sletting av personopplysninger benytter vi systemer som støtter automatisk versjonshistorikk for dokumenter, slik at tidligere versjoner kan gjenopprettes ved behov. I tillegg oppbevares slettede filer midlertidig i et separat område før permanent fjerning, noe som gir brukeren mulighet til å angre slettinger. Det tas også regelmessige sikkerhetskopier, noe som sikrer at informasjon kan gjenopprettes i tilfelle feil, tap eller manipulering. Disse tiltakene gir et ekstra lag med beskyttelse for å sikre at innhold forblir korrekt og uendret gjennom hele behandlingsperioden.

7. Tilgjengelighet

For å sikre tilgjengelighet til personopplysninger tar vi regelmessige sikkerhetskopier av både systemer vi drifter og skyløsninger i bruk hos behandlingsansvarlig. Backup gjennomføres automatisk med mulighet for gjenoppretting ved behov. For skyløsninger gjennomføres sikkerhetskopiering uavhengig av leverandørens innebygde funksjoner, slik at data kan gjenopprettes selv ved feil eller sletting i den primære løsningen.

8. Robusthet og fysisk sikring

Våre underdatabehandlere benytter robuste og redundant infrastruktur med geografisk distribusjon og aktiv-aktiv konfigurasjon for å sikre kontinuerlig drift og høy motstandsevne mot feil. Data lagres med høy grad av replikering og automatiske selvhelingsmekanismer som sikrer datadurabilitet og rask gjenoppretting ved maskinvarefeil eller andre hendelser. I tillegg har datasentrene strenge fysiske sikkerhetstiltak, inkludert adgangskontroll med kort og biometriske systemer, videoovervåkning, samt avansert beskyttelse mot brann, overspenning og klimarisiko. Samlet sikrer disse tiltakene høy tilgjengelighet, robusthet og trygg oppbevaring av data.

9. Bruk av personopplysninger til statistikk

Voit AS gjør ingen bruk av personopplysninger til statistiske formål.

10. Sletting av personopplysninger

Behandlingsansvarlig har ansvaret for å slette personopplysninger i egne systemer når dette er nødvendig, og skal varsle oss dersom brukerkontoer eller data skal slettes fra våre tjenester. Vi gjennomfører sletting i henhold til mottatte instrukser og sørger for at data fjernes på en sikker og fullstendig måte innen avtalte tidsfrister. Automatisk sletting settes opp ved behov.

11. Andre sikkerhetstiltak

Vi overvåker kontinuerlig alle servere for kapasitet, ytelse og nødvendige oppdateringer ved hjelp av avanserte overvåkingsverktøy. Dette gjør det mulig å oppdage og håndtere potensielle problemer raskt. I tillegg gjennomfører vi løpende vedlikehold, minst én gang i uken, for å sikre at systemene alltid er oppdaterte, stabile og sikre.