FORMÅL, SYSTEMER, KONTROLL OG ANSVAR
RETNINGSLINJER FOR DATABESKYTTELSE OG INFORMASJONSSIKKERHET
Skriðr AS
Org.nr: 995 287 625
1. FORMÅL OG OMFANG
1.1 Disse retningslinjene beskriver hvordan Skriðr AS sikrer og beskytter informasjon og data i vår virksomhet.
1.2 Retningslinjene gjelder for alle ansatte, konsulenter og samarbeidspartnere som har tilgang til Skriðrs systemer og data.
1.3 Dokumentet er utarbeidet i samsvar med GDPR, Personopplysningsloven og Digitalsikkerhetsloven.
2. SYSTEMER OG DATABEHANDLING
2.1 Systemportefølje og lagringstider:
- Odoo: Websider, salg, kunderegister, chat og nyhetsbrev (2 års lagring)
- Office 365: Fildeling og e-post
- Tripletex: Regnskap (5 års lagring), forsikring (2 år)
- Logistra: Transport/post (2 års lagring)
- LinkedIn: Markedsføring (2 års lagring)
- Adminkit: Personalsystem
2.2 Tilgangskontroll
- Alle systemer er beskyttet med to-faktor autentisering
- Tilgang gis basert på tjenstlig behov ("need-to-know" prinsippet)
- Regelmessig gjennomgang av tilgangsrettigheter
- Automatisk deaktivering av kontoer ved avsluttet arbeidsforhold
3. DATAOVERFØRINGER OG SIKKERHET
3.1 Internasjonale overføringer:
- USA: Data Privacy Framework
- Andre tredjeland: Standard Contractual Clauses (SCC)
3.2 Tekniske sikkerhetstiltak:
- Kryptert datalagring og kommunikasjon
- Regelmessig sikkerhetskopiering
- Automatisk logging av systemaktivitet
- Oppdaterte brannmurer og antivirusprogrammer
4. ANSVAR OG ORGANISERING
4.1 Roller og ansvar:
- Behandlingsansvarlig: Lars Petter Lilleng
- Personvernansvarlig: Lars Petter Lilleng (personvern@skridr.no)
- IT-sikkerhetsansvarlig: [Navn]
4.2 Opplæring og bevisstgjøring:
- Årlig sikkerhetsopplæring for alle ansatte
- Løpende oppdateringer om nye trusler og sårbarheter
- Signering av taushetserklæring ved ansettelse
HENDELSESHÅNDTERING
5.1 Ved sikkerhetsbrudd:
- Umiddelbar rapportering til personvernansvarlig
- Logging og dokumentasjon av hendelsen
- Varsling til Datatilsynet innen 72 timer ved alvorlige hendelser
- Iverksetting av skadebegrensende tiltak
5.2 Beredskapsplan:
- Definerte prosedyrer for ulike typer hendelser
- Regelmessige øvelser på hendelseshåndtering
- Oppdatert kontaktliste for kritiske situasjoner
UNDERLEVERANDØRER OG DATABEHANDLERAVTALER
6.1 Godkjente underleverandører:
- Tripletex AS
- Odoo SA
- Microsoft Corp
- Logistra AS
6.2 Krav til underleverandører:
- Signerte databehandleravtaler
- Dokumentert GDPR-etterlevelse
- Regelmessig revisjon av sikkerhetsnivå
DOKUMENTASJON OG ETTERLEVELSE
7. DOKUMENTASJON OG ETTERLEVELSE
7.1 Internkontroll:
- Årlig revisjon av retningslinjer
- Løpende risikovurderinger
- Dokumentert behandlingsprotokoll (GDPR art. 30)
7.2 Personvernrettigheter:
- Prosedyrer for innsyn og dataportabilitet
- Rutiner for sletting og retting
- Håndtering av samtykke
SPESIELLE SIKKERHETSTILTAK FOR FORHANDLER
8.1 Tilgang til systemer:
- Separate brukerkontoer for hver forhandler
- Begrenset tilgang basert på partneravtale
- Logging av all aktivitet i forhandlerportal
8.2 Dropshipping og logistikk:
- Kryptert overføring av bestillingsdata
- Sikker håndtering av kundeinformasjon
- Anonymisert emballasje ved direktelevering
REVISJON OG OPPDATERING
9. OPPDATERING OG REVISJON
9.1 Dette dokumentet skal:
- Gjennomgås årlig
- Oppdateres ved vesentlige endringer
- Godkjennes av ledelsen
9.2 Endringslogg:
- Versjon 2.3 (23.03.2025)