Som en del av våre prosedyrer for overholdelse av personvernreglene har vi utarbeidet denne sikkerhetspolicyen for å gi deg et sammendrag av de sikkerhetstiltakene og -retningslinjene som gjelder; dessuten krever vi at våre partnere og ansatte overholder disse standardene og iverksetter de samme sikkerhetstiltakene når de samarbeider med oss.

DENNE SIKKERHETSPOLICYEN BESKRIVER SELSKAPETS GJELDENDE SIKKERHETSPRAKSIS PER DATOEN FOR “SIST OPPDATERT” SOM ER ANGITT OVENFOR. VI VIL FORTSETTE Å OPPDATERE DISSE RETNINGSLINJENE FRA TID TIL ANNEN, I HENHOLD TIL GJELDENDE LOVER OG VÅRE INTERNE RETNINGSLINJER.

Selskapets database er kun tilgjengelig for et minimalt antall av selskapets ansatte og personell, og alle har kun tilgang fra selskapets kontor. Tilgangen til systemene er begrenset og er basert på prosedyrer som sikrer at nødvendige godkjenninger kun gis i den utstrekning det er nødvendig. I tillegg er fjerntilgang og trådløs databehandling begrenset og krever både bruker- og systemsikkerhetstiltak. Systemene er også beskyttet, og kun autoriserte ansatte har tilgang til systemene ved hjelp av et bestemt passord og brukernavn.

Selskapet sikrer all fysisk tilgang til sine kontorer. Selskapet sikrer tilgangen til sine kontorer og sørger for at kun autoriserte personer, for eksempel ansatte, har tilgang. Alle besøkende og personer utenfor selskapet som besøker selskapets lokaler, ledsages til enhver tid av selskapets ansatte. Selskapet samarbeider med iWeb Web Services-datasenter som sin viktigste databehandler, og hvis du trenger mer informasjon, anbefaler selskapet at du går inn på https://iweb.com/legal/gdpr. Når personopplysningene overføres til de aktuelle serverne, gjøres det alltid på en sikker og kryptert måte. Videre har selskapet inngått gjeldende og bindende databehandleravtaler med sine leverandører og kunder.

All tilgang til en database, et system eller en lagringsplass er kun med autorisasjon og passordbeskyttelse. Videre er tilgangen til personopplysningene begrenset til de ansatte som “trenger å vite”, og er beskyttet av passord og brukernavn. Tilgangen til personopplysningene er sikret og strengt kontrollert ved hjelp av retningslinjer for tilgangskontroll. Selskapet bruker sikkerhetstiltak på høyt nivå for å sikre at personopplysningene ikke blir åpnet, endret, kopiert, brukt, overført eller slettet uten spesifikk autorisasjon. Selskapet kontrollerer all tilgang til databasen, og all autorisert tilgang rapporteres og håndteres umiddelbart. Hver ansatt kan kun utføre handlinger i henhold til de tillatelsene som er fastsatt av selskapet. Hver tilgang logges og overvåkes, og all uautorisert tilgang rapporteres automatisk. Videre foretar selskapet løpende gjennomganger av hvilke ansatte som har autorisasjoner, for å vurdere om det fortsatt er behov for tilgang. Selskapet inndrar tilgangen umiddelbart etter at ansettelsesforholdet er avsluttet. Autoriserte personer har kun tilgang til personopplysninger som er opprettet i deres individuelle profiler.

Selskapet utdanner sine ansatte, tjenesteleverandører, konsulenter og entreprenører, øker bevisstheten og gjennomfører risikovurderinger med hensyn til all behandling av personopplysninger. Interne sikkerhetstester gjennomføres regelmessig. Selskapets IT-team sørger for sikkerhet for all maskinvare og programvare ved å installere programvare mot skadelig programvare på datamaskiner for å beskytte mot ondsinnet bruk og ondsinnet programvare samt virusdeteksjon på endepunkter, skanning av e-postvedlegg, skanning av systemoverensstemmelse, informasjonshåndteringsalternativer for dataeksportøren basert på datatype, nettverkssikkerhet og skanning av system- og applikasjonssårbarhet, bruk av sikker e-postoverføring osv. Det er den enkelte medarbeider i hele selskapet som har ansvaret for å overholde disse rutinene og standardene.

Formålet med overføringskontrollen er å sikre at personopplysninger ikke kan leses, kopieres, endres eller fjernes av uautoriserte parter under den elektroniske overføringen av dataene eller under transport eller lagring i det aktuelle datasenteret. Videre er all overføring av data (enten mellom serverne, fra klientsiden til serversiden eller mellom selskapets utpekte partnere) sikret (HTTPS) og kryptert.

Selskapets servere har en automatisert sikkerhetskopieringsprosedyre. Selskapet har et sikkerhetskopieringskonsept som omfatter automatiserte daglige sikkerhetskopieringer. Det utføres periodiske kontroller for å fastslå om sikkerhetskopieringen har funnet sted. Selskapet har sørget for at alle dokumenter, inkludert, men ikke begrenset til, avtaler, personvernerklæringer, nettvilkår osv. er i samsvar med GDPR. Vårt juridiske team har sørget for at vår juridiske dokumentasjon er oppdatert for å gjenspeile eventuelle endringer og for å inkludere de obligatoriske bestemmelsene som kreves i GDPR.

Ansatte, kunder og aktuelle databehandlere har alle inngått bindende avtaler som alle inneholder gjeldende databestemmelser og datasikkerhetsforpliktelser. Som en del av ansettelsesprosessen gjennomgår de ansatte en screening og får tilgang til databasen kun etter opplæring for å sikre at de er godt utdannet og ansvarlige for å håndtere personopplysningene. Ansatte er forpliktet til å overholde denne sikkerhetspolicyen i tillegg til interne sikkerhetspolicyer og -prosedyrer, og brudd på eller manglende overholdelse av disse skal føre til disiplinærtiltak. For å sikre at de ansatte holder seg informert og oppdatert om gjeldende retningslinjer og lovgivning, gjennomfører selskapet årlige samsvarskurs som omfatter opplæring i datasikkerhet.