Omega 365 Personvernerklæring

Omega 365 behandler personopplysninger på en lovlig og sikker måte iht. General Data Protection Regulation (GDPR), og som er nødvendig for å oppnå formålet med behandlingen.

Publisert: 20. juli 2023

Omega 365 behandler personopplysninger på en lovlig og sikker måte iht. General Data Protection Regulation (GDPR), og som er nødvendig for å oppnå formålet med behandlingen.

Formålet med behandlingen  

Behandling av personopplysninger i Omega 365 har følgende formål: 

• Sikre utførelsen av arbeid: Omega 365 skal ivareta, tilrettelegge for, og å sikre virksomhetsstyring, prosjektgjennomføring og prosjektstyring. 
• Loggføring: Omega 365 skal bidra til å sikre dokumentasjon, validitet og sporbarhet av planer, godkjenninger, og avgjørelser i virksomheten og prosjekter. 
• Kontrakthåndtering: Omega 356 skal tilrettelegge for tydelighet og etterprøvbarhet under kontraktforvaltningsfasen for å redusere risiko for konflikt og tvister. 
• Opplæring- og erfaringsarkiv: Omega 356 skal fungere som et opplærings- og erfaringsarkiv for fremtidige prosjekter.

Det rettslige grunnlaget for behandlingen 

Behandlingsgrunnlaget for å behandle personopplysningene er personvernforordningen artikkel 6 nr. 1 f) berettiget interesse.  

Virksomheten har foretatt en trinnvis interesseavveining for å avgjøre om den enkeltes personvern veier tyngre enn virksomhetens berettigede interesse. Virksomheten har konkludert med at det foreligger berettiget interesse i å behandle angitte personopplysninger for å oppnå ovenfornevnte formål.  

Det foreligger en klar interesse for virksomhetens kunder i å benytte et prosjektstyrings-, virksomhetsstyring- og gjennomføringsverktøy, og å redusere mengden uavklarte spørsmål og tvistepunkter i virksomheten, kontrakt og i prosjekter. En dokumentasjonslogg som sikrer sporbarhet, validitet og etterprøvbarhet vil bidra til å tilrettelegge for tydelighet og samarbeid mellom virksomheten og leverandørene, og redusere risiko for uenigheter og tvister ettersom at planer, endringer, godkjenninger og beslutninger er dokumentert. Et system som sikrer dokumentasjon direkte i systemet reduserer også risikoen for menneskelig svikt i interne arkiveringsrutiner.   

Det foreligger en rekke ulike lovkrav knyttet til dokumentasjonsplikt på ulike fagområder, f.eks. innen regnskap og sikkerhet. Systemet kan bidra til å dokumentere etterlevelsen av disse. Bransjepraksis for dokumentasjonskrav på ulike, aktuelle fagområder er allerede etablert.  

Det foreligger også en klar interesse i å etablere en erfaringslogg som er uavhengig av fagressursene fra tidligere prosjekter og uavhengig av interne arkiveringssystemer på ulike prosjekter. Erfaringsloggen vil kunne bidra store besparelser, faglig utvikling, og reduksjon av risiko.  

Hvilke personopplysninger behandles  

For alle moduler i Omega 365 samles det inn personopplysninger gjennom opprettelse av brukerkontoer og stillingsbeskrivelse. Opplysningskategoriene er forklart nærmere under, og gjelder generell kontakt- og bruksinformasjon, samt statistikk om bruken av tjenesten. Personopplysningene som registreres vil være knyttet til den registrertes arbeidsforhold, herunder den ansattes telefonnummer og e-postadresse som er utstedt av arbeidsgiver. Når en kunde bruker en funksjonalitet som integrerer flere systemer, vil personopplysninger bli overført mellom disse systemene. Formålet med overføringen er å sikre integritet i datagrunnlaget som utveksles mellom løsningene. Personopplysningen som overføres er begrenset til navnet på personen som har opprettet et bestemt dataobjekt (for eksempel en sak, et dokument, en aktivitet, en risiko, osv.), og dette navnet vil også være synlig i det systemet dataene overføres til.

Følgende opplysninger samles inn i forbindelse med brukerkontoer i Omega 365:

• Navn
• E-post adresse
• Arbeidsgiver
• Arbeidsgivers organisasjonsnummer
• Arbeidslokasjon
• Bruker aktivitet knyttet til brukerkonto

I tillegg er det mulig å supplere med hvem har tilgang til personopplysningene, samt fødselsdato, telefonnummer, fagområder og funksjonsroller/stillingsbeskrivelse.

Autentisering og brukertilganger

For å kunne samhandle i Omega 365, må bruker opprettes. Brukere oppretter egne passord, eller autentiseres via Office365 / Azure AD. Når en bruker opprettes, blir navn, telefonnummer, e-postadresse, arbeidsgiver og evt. tittel registrert på brukeren.  

Brukere opprettes og eksisterer i systemet uten å være tilknyttet en enhet, et prosjekt eller rolle i systemet. Det innebærer at brukere kan se andre brukere og ovenfornevnte personopplysninger, på tvers av roller, enheter og prosjekter. Omega365 omtaler dette som et dels åpent register, og anser dette som nødvendig for å oppnå formålene. De registrertes rettigheter er ivaretatt i form av minimerende tiltak, som beskrevet nedenfor.  

Det er en informasjonsteknisk nødvendighet at brukere kan eksistere i systemet uavhengig av tilgang til roller eller enheter i virksomheten, som f.eks. ett prosjekt. Etter opprettelsen av en bruker kan vedkommende tildeles en eller flere roller, enheter, eller prosjekter. Videre kan brukeren flyttes mellom enheter, prosjekter og roller, tilganger kan endres, eller brukeren kan eksistere i systemet uten tildelinger dersom vedkommende ikke er engasjert i en enhet eller et prosjekt på det aktuelle tidspunktet. Dette gjør systemet effektivt og brukervennlig, samtidig som formålene med behandlingen oppnås.  

Dersom brukeren måtte vært tilknyttet spesifikke enheter i virksomheten, prosjekter eller roller, ville brukeren måtte bli opprettet flere ganger tilsvarende antall enheter, prosjekter og roller vedkommende var engasjert i. Dette ville vært upraktisk og tidkrevende, samt åpnet for stor grad av menneskelig svikt ettersom at det ville vært flere brukere for samme person. Det ville spesielt vært problematisk ved ressursstyring, hvor kunden vil være avhengig av å ha oversikt over hvilke ressurser som eksisterer, hvilken tilgjengelighet de har, og hvilke roller, enheter eller prosjekter de er engasjert i eller kan engasjeres i. Videre ville det vært problematisk dersom en bruker ble slettet når en enhet, et prosjekt eller en rolle ble slettet eller endret, eller at en bruker ikke kunne flyttes mellom enheter eller prosjekter.  

Systemet sørger dermed for at enkeltpersoner ikke må opprettes manuelt, og evt. gjentatte ganger, når konkrete behov oppstår. Tilgjengeligheten til andre brukere skaper i tillegg mulighet for å effektivt agere, stille spørsmål, dokumentere, foreta avklaringer, innhente godkjenninger mm, blant annet i forbindelse med saksbehandling, fremdriftsplaner og grensesnitt.  

Nedenfor fremstilles de minimerende tiltakene som er foretatt for å ivareta de registrertes rettigheter i det dels åpne registeret. 

Ett av de minimerende tiltakene er at personopplysningene som er tilgjengelig for andre brukere er begrenset til navn, telefonnummer og e-postadresse som er utstedt arbeidsgiver, arbeidsgiver, og evt. tittel. Disse opplysningene er normal allerede offentlig tilgjengelig. Systemet ber ikke om de ansattes private e-postadresse eller telefonnummer. Et annet minimerende tiltak er at brukere kan opprettes med utløpsdato, slik at kunden sikrer begrenset tilgang og sletting i samsvar med det tildelte enhet eller prosjektets levetid.  

Ett tredje minimerende tiltak er at brukeradministrasjon kan tildeles på ulike nivå i løsningen, slik at brukeren tildeles roller der de har tjenstlig behov. Systemet innehar en hierarkisk organisasjonsstruktur som innebærer at det kun er enkelte brukere som kan se hvilke enheter, prosjekter og roller en annen bruker er tildelt, samt hvilke handlinger vedkommende foretar seg i systemet. Vedkommende som tildeles en slik administratorrolle vil ha tilgang til data om roller, enheter, prosjekter og handlinger nedover i strukturen i forhold til hvor vedkommende er gitt tilgang i organisasjonsstrukturen, men ikke sidelengs eller oppad i strukturen. Kunden vil organisere egne tilganger i løsningen for sine ansatte og leverandører.  

Med dette har ulike enheteseiere, prosjekteiere, prosjektdeltakere og roller kun tilgang til begrenset persondata om andre brukere. Brukere kan ikke se hva andre brukere foretar seg dersom de tilhører en annen virksomhet, eller dersom de tilhører samme virksomhet, men ikke er gitt konkret tillatelse for dette.   

Retten til innsyn og retting  

Alle registrerte har rett til innsyn i egne personopplysninger. Dersom opplysninger i Omega 365 er feil, vil det være adgang til å varsle om dette for å få de rettet eller slettet. Alle brukere kan rette egne opplysninger om navn, e-post og telefonnummer. Andre endringer kan gjennomføres via systemforvalter. 

Informasjonssikkerhet og lagring  

Omega 365 har etablert rutiner, prosesser, prosedyrer og revisjoner iht. ISO 27001. Disse omfatter hvordan sikkerhetsbrudd oppdages og behandles, inkludert sikkerhetsbrudd som berører personopplysninger. Omega 365-løsningen blir minst en gang i året sikkerhetstestet av ekstern sikkerhetsleverandør, og rapport blir gjort tilgjengelig for kunde. Ved vesentlige endringer eller innføring av ny funksjonalitet avtales ny sikkerhetstest. 

Omega 365 har satt opp tjenesten «sårbarhetsanalyse» som overvåker infrastrukturen og varsler relevant personell. Alle eventuelle funn blir registrert og fulgt opp i Omega 356 sin ISMS løsning. Det er etablert følgende sikkerhetstiltak: 

• Sikker autentisering med mulighet for to-faktor eller via tredjepart (Feks. Microsoft Azure AD)
• All informasjonsutveksling skjer med sterk kryptering og over HTTPS (SSL/TLS)
• Søknadsprosess for utvidet tilgang
• Logging av endringer på infrastruktur
• Endringsprosedyre som ivaretar evaluering av personvern i løsningen
• Risikorammeverk som inkluderer evaluering av personvern i løsningen

Omega 365 leverer tjenesten i samarbeid med Microsoft Azure på datasenter lokalisert kun i EU/EØS. Infrastruktur- og datalokasjon er plassert i et sikkert driftssenter som ivaretar personopplysningssikkerheten og personopplysningsloven, og General Data Protection Regulation (GDPR). 

Omega 365 skal ikke utlevere de registrertes personopplysninger uten at vedkommende som ber om innsyn ha rettslig kjennelse eller hjemmel i lov for utleveringen. Vedkommende som ber om innsyn, skal sende den rettslige kjennelsen eller en skriftlig beskrivelse av lovhjemmel til Omega 365. Vurderingen av innsyn skal foretas av dagligleder, avdelingsleder, konsernleder, eller juridisk ansvarlig. 

Sletting 

Personopplysningene lagres så lenge det er nødvendig for å oppnå de formålene som personopplysningene ble samlet inn for. Det er virksomhetens berettigede interesse i å behandle personopplysningene som avgjør lagringstiden. Formålet om å sikre utførelsen av arbeid tilsier at personopplysningene skal lagres så lenge arbeidet på den primære kontraktsgjenstanden pågår.   

Formålet om loggføring og kontraktshåndtering tilsier at personopplysningene bør lagres så lenge den primære kontraktsgjenstanden er i drift, f.eks. et bygg eller anlegg. Årsaken er at systemet skal dokumentere planene, inspeksjonene, beslutningene, godkjenningene, mm som har vært foretatt, og hvilken beslutningsmyndighet vedkommende hadde. Behovet gjør seg gjeldende så lenge uenigheter og tvister kan oppstå, herunder under hele kontraktsgjenstandens levetid.  

Formålet kan ikke oppnås dersom personopplysningene anonymiseres eller pseudonymiseres.  Ved pseudonymisering vil det være så vanskelig å identifisere den aktuelle personen og dens beslutningsmyndighet, at formålet om loggføring og kontraktshåntering ikke kan oppnås.  

Etter kontraktsgjenstandens levetid er formålet med systemet kun å danne et opplærings- og erfaringsarkiv. Formålet kan da oppnås uten å lagre personopplysninger, og på dette tidspunktet vil personopplysninger slettes.  

Underdatabehandlere