Slik ivaretar vi opplysninger om deltakere, ansatte og samarbeidspartnere når kommuner og NAV-kontorer bruker Upvia.
Upvia er databehandler når vi behandler personopplysninger på vegne av en kommune, NAV-kontor eller annen behandlingsansvarlig. Før oppstart inngår vi en databehandleravtale (DPA) som regulerer formål, varighet, instrukser, sikkerhet, sletting og bruk av underleverandører.
Vår standardavtale følger Datatilsynets mal og kan tilpasses kommunens egne maler ved behov. Be om DPA før kontraktsinngåelse:
Kryptering
All dataoverføring skjer over TLS 1.2 eller nyere. Data i ro krypteres med AES-256 hos våre databaseleverandører.
Tilgangskontroll
Rollebasert tilgang og prinsippet om minste privilegium. Administrative handlinger logges og kan revideres.
Drift i EU
Primærdata lagres i datasentre innenfor EU/EØS. Overføringer utenfor EØS skjer kun under godkjente mekanismer (SCC).
Sikkerhetskopiering
Daglige automatiske sikkerhetskopier med definert oppbevaringstid. Gjenoppretting testes jevnlig.
Hendelseshåndtering
Rutiner for varsling av brudd innen 72 timer i tråd med GDPR artikkel 33, både til Datatilsynet og berørte virksomheter.
Vi benytter underleverandører for å levere tjenesten. Hver underleverandør har inngått databehandleravtale med oss. Endringer i listen varsles til behandlingsansvarlige med rett til å protestere.
| Leverandør | Formål | Region |
|---|---|---|
| Supabase | Autentisering og databaselagring | EU (Frankfurt) |
| Vercel | Drift av nettsted og applikasjon | EU (Frankfurt) / Global edge |
| Google Analytics | Anonymisert statistikk, kun ved samtykke | EU/USA (SCC) |
Personopplysninger lagres bare så lenge det er nødvendig for formålet, og slettes eller anonymiseres ved kontraktens opphør i tråd med databehandleravtalen. Lovpålagte oppbevaringskrav (for eksempel regnskapsloven) overholdes der det er aktuelt.
Ved mistanke om sikkerhetsbrudd som omfatter personopplysninger varsler vi behandlingsansvarlig uten ugrunnet opphold, og senest innen 72 timer. Vi bistår med å oppfylle plikten til å varsle Datatilsynet og de berørte.
Spørsmål om sikkerhet eller databehandling?
Kontakt oss for sikkerhetsdokumentasjon, DPA, eller for å avtale en gjennomgang før kontraktsinngåelse.
kontakt@upvia.noVi tilbyr en gjennomgang av sikkerhet og databehandling tilpasset deres anskaffelsesprosess.