Vår tilnærming
Databehandling og personvern
Vi jobber ofte med data som er kommersielt sensitiv eller inneholder personopplysninger. Det forplikter — både juridisk og praktisk. Denne siden beskriver hvordan vi behandler data dere deler med oss i løpet av et oppdrag, og hvilke rammer som gjelder.
All vår behandling av personopplysninger skjer i tråd med personvernforordningen (GDPR) og personopplysningsloven, og etter veiledning fra Datatilsynet.
Vår rolle som databehandler
I de fleste oppdrag er Insight Analytics AS databehandler, mens kunden er behandlingsansvarlig. Det betyr at dere som kunde eier dataene og bestemmer formålet med behandlingen — vi behandler dem på deres vegne, etter avtalte rammer.
For alle oppdrag som involverer personopplysninger inngår vi en databehandleravtale basert på Datatilsynets standardmal, tilpasset oppdragets natur.
Hvor data lagres
Lokasjon
Data lagres i Norge eller innenfor EU/EØS — aldri i USA eller andre tredjeland uten eksplisitt avtale og lovlig overføringsgrunnlag.
Infrastruktur
Vi bruker etablerte skyplattformer (Microsoft Azure, Oracle Cloud) eller kundens egen infrastruktur, avhengig av hva oppdraget krever.
Segregering
Kundedata lagres adskilt fra andre kunders data.
Kryptering
All overføring og lagring skjer kryptert.
Når data ikke skal forlate kundens miljø
For oppdrag der dataene er særlig sensitive — eller der kundens egne sikkerhetskrav tilsier det — jobber vi direkte i kundens infrastruktur. Det betyr at vi bruker utstyr, systemer og tilganger som kunden stiller til rådighet, og at ingen data forlater kundens miljø.
Denne arbeidsformen er vanlig i finans, helse og offentlig sektor, og er ofte et krav fra kundens egen IT- eller compliance-funksjon. Vi har erfaring med å arbeide innenfor strenge sikkerhetsregimer fra tidligere arbeid i forsikring og kapitalmarkeder, der hele arbeidsflyten foregikk i kundens egne systemer. Vi tilpasser oss kundens rutiner — ikke omvendt.
Tilgang og behandling
- Tilgang til kundedata er begrenset til de som faktisk jobber på oppdraget.
- Vi behandler kundedata kun til de formålene som er avtalt i oppdraget.
- Kundedata brukes ikke til å trene generelle modeller eller deles med tredjeparter.
- Utviklingsmiljø, testdata og produksjonsdata holdes adskilt.
- All tilgang er beskyttet med tofaktorautentisering og logges der oppdraget krever det.
Sletting og retur
Ved oppdragets slutt slettes alle kundedata fra våre systemer, med unntak av det som må oppbevares av regnskaps- eller juridiske grunner. Dere kan også be om at dataene returneres til dere før sletting.
Sletterutiner og oppbevaringsfrister avtales i forkant og dokumenteres i databehandleravtalen.
Taushetsplikt
Alle oppdrag dekkes av taushetspliktavtale som omfatter både prosjektinformasjon, forretningssensitiv data og personopplysninger. Taushetsplikten gjelder både under og etter at oppdraget er avsluttet.
Bruk av AI-verktøy
Vi bruker AI-verktøy som en del av arbeidsflyten — for kode, dokumentasjon og analyse. Kundedata legges aldri inn i offentlige AI-tjenester som ChatGPT, Claude eller tilsvarende.
Når AI benyttes på oppdrag som involverer kundedata, skjer det enten lokalt på kundens infrastruktur eller via lukkede tjenester der det foreligger databehandleravtale med leverandøren. Bruken av AI-verktøy avklares med kunden i forkant der det er relevant.
Underleverandører
Vi benytter etablerte skyleverandører (Microsoft Azure, Oracle Cloud) som underdatabehandlere. Eventuelle andre underleverandører avklares med kunden i forkant og dokumenteres i databehandleravtalen.
Tilpasning til regulerte sektorer
For oppdrag i finans, helse og energi tilpasser vi rutinene til kundens egne sikkerhetskrav, inkludert relevante krav fra:
– Finanstilsynet (bank, forsikring, verdipapirforetak)
– Helsetilsynet og Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten
– NVE og kraftberedskapsforskriften
– Nasjonal sikkerhetsmyndighet (NSM) sine grunnprinsipper for IKT-sikkerhet
Vi har erfaring med å arbeide innenfor strenge compliance-rammer fra tidligere arbeid i forsikring og kapitalmarkeder, blant annet med MiFID II- og EMIR-rapportering.
Avvik og hendelser
Ved sikkerhetshendelser eller mistanke om brudd varsles kunden uten ugrunnet opphold, og senest innen 24 timer fra hendelsen ble oppdaget. Vi bistår kunden i håndtering og eventuell rapportering til Datatilsynet i tråd med GDPR artikkel 33.
Den registrertes rettigheter
Personer som er registrert i data vi behandler på vegne av kunden, har rettigheter etter GDPR — blant annet rett til innsyn, retting, sletting og dataportabilitet. Slike henvendelser rettes til kunden som behandlingsansvarlig. Vi bistår kunden i håndteringen så langt det er nødvendig for å oppfylle disse rettighetene.
Spørsmål?
Vi svarer gjerne på spørsmål om hvordan vi håndterer data — særlig før et oppdrag starter. Ta kontakt for en gjennomgang tilpasset deres bransje og sikkerhetskrav.