Sikkerhet og compliance i Styreplan
Som leverandør av styreportal har vi et ansvar for at våre kunders sensitive dokumenter oppbevares sikkert. Sikkerhet og personvern er derfor en integrert del av vår virksomhetsstyring, og har vært det siden selskapet ble grunnlagt i oktober 2000. Styreplan er utviklet og videreutvikles av oss, alt utviklingsarbeid skjer i Norge og på norske servere. Støttesystemer vi bruker gjennomgår løpende vurderinger med hensyn til GDPR/personvern, datasikkerhet og bærekraft.
Styreplan AS er sertifisert etter den internasjonalt anerkjente ISO 27001-standarden for informasjonssikkerhet🡕. Sertifiseringen bekrefter vår helhetlige og strukturerte tilnærming til informasjonssikkerhet. Som eneste norske styreportal-leverandør er vi også Miljøfyrtårn-sertifisert🡕 for bærekraft, arbeidsmiljø og HMS.
ISO/IEC 27001:2023-sertifisert
Styreplan AS er sertifisert i henhold til den internasjonale standarden ISO 27001🡕, den mest anerkjente og omfattende standarden for informasjonssikkerhet.
Sertifiseringen er en anerkjennelse av at vi jobber systematisk med å ivareta informasjonssikkerhet med organisatoriske, personellmessige, fysiske og tekniske sikkerhetstiltak.
Sertifiseringen er en anerkjennelse av at vi jobber systematisk med å ivareta informasjonssikkerhet med organisatoriske, personellmessige, fysiske og tekniske sikkerhetstiltak.
Et helhetlig styringssystem for informasjonssikkerhet
ISO 27001 er en nøkkelstandard for virksomheter som tar datasikkerhet på høyeste alvor. Sertifiseringen omfatter hele Styreplan AS og bekrefter at vi blant annet har rutiner for:
- Beskyttelse av konfidensiell og personidentifiserbar informasjon
- Sikring av integritet og tilgjengelighet i databehandling
- Systematisk forebygging og håndtering sikkerhetshendelser
- Gjennomføring av internrevisjoner og ledelsesevalueringer
- Årlig revisjon av eksternt revisjonsorgan
Kontroll, revisjon og kontinuerlig forbedring
Vårt informasjonssikkerhetssystem (ISMS) overvåkes og forbedres løpende. Alle risikoanalyser, retningslinjer, rutiner og tekniske tiltak gjennomgås av både interne og eksterne revisorer. Dette sikrer etterlevelse av krav i standarden og støtter opp under prinsippene om Security by design og Least privilege – to grunnpilarer i hvordan vi utvikler og drifter Styreplan.
Security by design
Sikkerhet bygges inn i alle deler av Styreplan fra første kodelinje til produksjonsmiljø. Ny funksjonalitet designes, testes og godkjennes med fokus på risiko, personvern og compliance hele veien, som innebygget og underliggende fokus for alle punkter i utviklingsprosesser og drift.
Least privilege
Brukere, systemer og komponenter får kun de tilganger som er nødvendige for oppgavene som skal utføres til enhver tid. Dette reduserer risikoen for feil, misbruk og uautorisert innsyn i sensitive data.
Sertifisering og revisjonsorgan
Sertifiseringen, årlige interrimsrevisjoner og resertifiseringer gjennomføres av Kiwa AS🡕, et akkreditert sertifiseringsorgan (Norsk Akkreditering🡕).
Sertifiseringen gjelder hele Styreplan AS. Vårt nyeste sertifikat (oktober 2025) kan åpnes her:
Se ISO 27001-sertifikatSertifiseringen gjelder hele Styreplan AS. Vårt nyeste sertifikat (oktober 2025) kan åpnes her:
Har du behov for mer informasjon? Kontakt vårt ISMS-team her.
Kjernen i vårt sikkerhets- og compliance-arbeid
ISO 27001-sertifiseringen og vårt ISMS er grunnmuren for hvordan vi arbeider med informasjonssikkerhet. Sammen med Miljøfyrtårn-sertifiseringen↲, GDPR-etterlevelse og portalens BankID-integrasjon danner den et helhetlig system for trygg og ansvarlig drift, og sikrer dokumentert compliance
Miljøfyrtårn-sertifisert
Styreplan er en sertifisert Miljøfyrtårn-bedrift. Sertifiseringen er et håndfast bevis på at vi jobber systematisk med miljø, etikk, arbeidsmiljø og bærekraftig drift.
Våre forpliktelser som Miljøfyrtårn
- Redusere klima- og miljøavtrykk fra egen drift, og velge leverandører også med hensyn til dette
- Ivareta helse og sikkerhet for våre ansatte, og et godt arbeidsmiljø
- Sikre etisk forretningspraksis
- Rapportere årlig på forbedringstiltak
En viktig del av vårt helhetlige styringssystem for ansvar og etterlevelse
Sertifiseringen dekker mer enn klima og miljøpåvirkning. Den innebærer at vi har et ledelsesforankret system for kontinuerlig forbedring – med gode rutiner for HMS, arbeidsmiljø og ansvarlig drift.
Sammen med ISO 27001 danner Miljøfyrtårn en helhetlig struktur for sikkerhet, kvalitet og bærekraft.
Sammen med ISO 27001 danner Miljøfyrtårn en helhetlig struktur for sikkerhet, kvalitet og bærekraft.
Sertifikat
Som for ISO 27001, gjennomføres årlige oppfølgingsrevisjoner med eksternt sertifiseringsorgan, og en grundig Miljøfyrtårn-resertifisering hvert tredje år. Vi ble resertifisert senest i 2025. Resertifiseringen ble gjennomført av Certnor AS🡕, et sertifiseringsorgan godkjent av Stiftelsen Miljøfyrtårn🡕. Vår sertifisering gjelder hele Styreplan AS. Vårt nyeste sertifikat (februar 2025) kan åpnes her:
Hvis du ønsker mer informasjon kan du lese om Styreplan og ESG & bærekraft her eller kontakte vår Miljøfyrtårnansvarlig.
GDPR og personvern i Styreplan
Styreplan etterlever kravene i personopplysningsloven, herunder EUs personvernforordning (GDPR). Vi beskytter kundedata gjennom tydelige roller, dokumenterte rutiner og sikre tekniske løsninger.
Klare roller og ansvar
Styreplan opptrer som databehandler på vegne av kundene våre, som selv er behandlingsansvarlige for informasjonen som lagres i portalen. Alle kunder inngår en Databehandleravtale som beskriver formål, sikkerhetstiltak og rettigheter i tråd med artikkel 28 i GDPR.
Lagring og behandling i Norge og EØS
Applikasjon, data og backup, herunder kunders dokumenter, behandles og oppbevares i Norge på servere hos Microsoft Azure (Norge, region øst).
Data knyttet til meldingsutsendelser, BankID-autentisering og geolokalisering håndteres av nøye utvalgte, anerkjente og spesialiserte leverandører i Danmark og Østerrike.
Data knyttet til meldingsutsendelser, BankID-autentisering og geolokalisering håndteres av nøye utvalgte, anerkjente og spesialiserte leverandører i Danmark og Østerrike.
Rettigheter og kontroll i styreportalen
Styreplan behandler personopplysninger på vegne av Kunde (virksomhet) som er behandlingsansvarlig. Vi legger til rette for at behandlingsansvarlig kan ivareta sine plikter og brukernes rettigheter etter GDPR gjennom sikker teknisk funksjonalitet og tydelig sporbarhet i portalen. Eksempler på praktiske tiltak som støtter opp under dette:
- Tydelig rolle- og tilgangsstyring: Kunden definerer hvem som har tilgang til hvilke data, og tilganger kan styres granulært for den enkelte bruker
- Sporbarhet og revisjonsspor: Alle relevante handlinger logges og lar Kunde dokumentere endringer og etterleve krav til ansvarlighet (GDPR art. 5-2)
- Sikker lagring og sletting: Data lagres på servere i Norge og slettes eller anonymiseres i tråd med Tjenesteavtalen for Styreplan eller i tråd med avtalte rutiner mellom Kunde og Styreplan AS
Kunden beholder full kontroll over formål, grunnlag og innhold i behandlingen av data. Styreplan sørger for at databehandlingen gjennomføres i et sikkert miljø bygget i tråd med det til enhver tid gjeldende regelverk.
Den enkelte bruker av Styreplan har eierskap til og kontroll over sine egne personopplysninger (navn og kontaktinformasjon) i portalen. Dette i tråd med intensjonen i personopplysningsloven / GDPRs artikkel 25 om innebygget personvern og personvern som standardinnstilling i systemer og løsninger (Datatilsynet🡕).
ISMS og tekniske tiltak
Personvern og informasjonssikkerhet henger naturligvis tett sammen, og også på teknisk side har vi robuste, dokumenterte rutiner og prosedyrer på begge deler. Alle Kundens data i Styreplan krypteres under overføring (TLS 1.3). Tilgang til kundedata krever skriftlig tillatelse fra Kunde, og vil alltid skje i samråd med Kunde og begrenses så langt som mulig.
Least privilege-prinsippet gjelder også her. Tekniske tiltak er en integrert del av vårt ISO 27001-styringssystem.
Least privilege-prinsippet gjelder også her. Tekniske tiltak er en integrert del av vårt ISO 27001-styringssystem.
Et sentralt element i sikkerhets- og compliance-strukturen
GDPR-compliance og personvern er, sammen med ISO 27001, Miljøfyrtårnsertifiseringen og integrasjonen av BankID både for innlogging og dokumentsignering i portalen, en viktig del av Styreplans helhetlige arbeid med sikkerhet og ansvarlig drift.
Både behandlingsansvarlig Kunde og den enkelte sluttbruker av Styreplan kan være trygge på at deres informasjonssikkerhet er en integrert design og programmering av tjenesten, basert på risikovurderinger.
Både behandlingsansvarlig Kunde og den enkelte sluttbruker av Styreplan kan være trygge på at deres informasjonssikkerhet er en integrert design og programmering av tjenesten, basert på risikovurderinger.
Mer informasjon om personvern og Styreplan
Her finner du mer utfyllende og detaljert informasjon om hvordan Styreplan AS håndterer og ivaretar ditt personvern på våre plattformer, samt gjeldende Databehandleravtale og Tjenesteavtale.
Samleside for lenker til personvern og GDPR på nett og i applikasjon
Samleside for lenker til personvern og GDPR på nett og i applikasjon
Trygg identifisering og signering med BankID
Styreplan har innlogging og dokumentsignatur med både norsk og svensk BankID integrert i portalen, uten ekstra kostnader. I denne seksjonen finner du informasjon om norsk BankID – som er mest i bruk hos oss. Vi benytter samme leverandør for begge BankID-tjenester. For mer informasjon om svensk BankID, kontakt vårt sikkerhetsteam.
Sømløs integrasjon, ikke dyr ekstrafunksjon
Styreplan benytter BankID for sikker identifisering av brukeren og elektronisk signering av dokumenter. For brukeren er det effektivt og enkelt å logge seg inn og signere styredokumentene, og for selskapet gir det trygghet at styreportalen har kvalifisert elektronisk signaturmetode🡕 inkludert som standard – ikke som en tilleggstjeneste man må betale ekstra for.
Autentisering og signering i Styreplan skjer på samme infrastruktur som brukes av norske banker, med høyeste sikkerhetsnivå for både Kunde og sluttbruker. Vi benytter oss av leverandøren Idura🡕 for innlogging og signering med BankID. Idura (tidl. Criipto ApS) er et dansk datterselskap av Stø AS (tidl. BankID BankAxept AS), som igjen er eid av norske banker med DNB, SB-1, Balder Betaling, Eika Gruppen og Nordea som største eiere.
At BankID er standardmetode for innlogging og signering i Styreplan, er i tråd med Security by Design-prinsippet. BankID er sikrere enn brukernavn, passord og engangskoder på mail, og derfor er det naturlig for oss å ha BankID som standard.
Autentisering og signering i Styreplan skjer på samme infrastruktur som brukes av norske banker, med høyeste sikkerhetsnivå for både Kunde og sluttbruker. Vi benytter oss av leverandøren Idura🡕 for innlogging og signering med BankID. Idura (tidl. Criipto ApS) er et dansk datterselskap av Stø AS (tidl. BankID BankAxept AS), som igjen er eid av norske banker med DNB, SB-1, Balder Betaling, Eika Gruppen og Nordea som største eiere.
At BankID er standardmetode for innlogging og signering i Styreplan, er i tråd med Security by Design-prinsippet. BankID er sikrere enn brukernavn, passord og engangskoder på mail, og derfor er det naturlig for oss å ha BankID som standard.
Digital signatur med klar juridisk gyldighet
En BankID-signatur har lenge tilfredsstilt kravene i EUs eIDAS-forordning 910/2014🡕 til avansert elektronisk signatur. Fra høsten 2025 er BankID også godkjent av EU som leverandør av kvalifisert elektronisk signatur, det høyeste sikkerhetsnivået på digital identifikasjon i Europa, etter endringsbestemmelsene i eIDAS 2024/1183🡕.
Signering med BankID er juridisk bindende etter norsk og europeisk rett. Hver signatur inneholder en unik signeringslogg og tidsstempel som dokumenterte hvem som signerte, når, og på hvilket dokument. Ektheten kan alltid verifiseres av BankID sentralt. Dette gir full sporbarhet og eliminerer enhver tvil om behov for manuelle signaturprosesser.
Her er hva BankID selv sier om kvalifisert elektronisk signering:
Signering med BankID er juridisk bindende etter norsk og europeisk rett. Hver signatur inneholder en unik signeringslogg og tidsstempel som dokumenterte hvem som signerte, når, og på hvilket dokument. Ektheten kan alltid verifiseres av BankID sentralt. Dette gir full sporbarhet og eliminerer enhver tvil om behov for manuelle signaturprosesser.
Her er hva BankID selv sier om kvalifisert elektronisk signering:
Hva er fordelene med kvalifiserte signaturer?
Kvalifiserte elektroniske signaturer oppfyller strenge krav til etterlevelse som gjelder for hele EU/EØS. Det vil si at signeringer kan gjøres på tvers av landegrenser innad i Europa og fremdeles være juridisk gyldige. Digitale signaturer er juridisk likestilte med håndskrevne signaturer. Enkle e-signaturer, som å klikke "godta" eller å skrive navn i et skjema, gir langt svakere bevisverdi i en eventuell tvist, siden koblingen mellom dokument og faktisk person er svakere.
(Kilde: bankid.no🡕)
(Kilde: bankid.no🡕)
En del av vår helhetlige tilnærming til sikkerhet
Innlogging og dokumentsignering med BankID er for oss en naturlig komponent i Security by design-prinsippet. Sikkerhet er innebygget i våre prosesser og i Styreplan, ikke en ettertanke eller en ekstrafunksjon. Sammen med vår ISO/IEC 27001:2023-sertifisering og vår eksplisitte etterlevelse av GDPR / personopplysningsloven, danner BankID-integrasjonen grunnlaget for sikker identifikasjon, dataintegritet og juridisk etterprøvbarhet i styrearbeidet hos våre kunder.
Enkelt og trygt for brukeren
Integrasjonen med BankID er et robust sikkerhetstiltak, men også en forenkling for den enkelte bruker av portalen. Aldri mer glemt passord, aldri mer usikkerhet rundt e-post eller brukernavn. Rask og sikker tilgang og gjenkjennbar signeringsprosess hver gang.
- Rask og trygg innlogging med BankID (norsk og svensk)
- Elektronisk signering av protokoller, årsregnskap, styrets beretning, og alle andre dokumenter direkte i styreportalen, både i nettleser og i Styreplan-appen (iOS & Android)
- Revisjonsspor og logg tilgjengelig for administrator hos Kunde
- Oversiktlig tilgang og enkel eksport av relevante dokumenter for Kundes revisor (les mer om vårt samarbeid med Revisorforeningen her)
Hosting og datalagring i Norge
All data som behandles i Styreplan lagres og håndteres på servere i Norge, i fullt henhold til GDPR-krav om lagring innenfor EØS som standard. Dette er et viktig punkt i vår etterlevelse av KIT-prinsippene (konfidensialitet, integritet, tilgjengelighet) som står sentralt i vår håndtering av informasjonssikkerhet.
Norsk drift underlagt strenge krav
Applikasjon, kundens data og backup behandles og oppbevares i Norge på servere hos Microsoft Azure (Norge, region øst).
Microsoft Azure innehar en rekke tredjepartssertifiseringer, herunder:
Microsoft Azure innehar en rekke tredjepartssertifiseringer, herunder:
For en uttømmende oversikt over compliance i Azure, se Microsofts samlesider🡕. Du kan også se og laste ned Azures ISO-sertifikater, revisjonsrapporter og relevant dokumentasjon her🡕.
Styreplan overvåkes kontinuerlig og vi har robuste systemer for sikker drift og hendelseshåndtering. I Microsoft har vi en trygg, langsiktig partner som jobber for å sikre konfidensialitet, integritet og tilgjengelighet for våre Kunders data.
Vi har veletablerte rutiner for avvikshåndtering, som alle gjennomgår jevnlige revisjoner både av tredjepart og av internrevisorer.
Styreplan overvåkes kontinuerlig og vi har robuste systemer for sikker drift og hendelseshåndtering. I Microsoft har vi en trygg, langsiktig partner som jobber for å sikre konfidensialitet, integritet og tilgjengelighet for våre Kunders data.
Vi har veletablerte rutiner for avvikshåndtering, som alle gjennomgår jevnlige revisjoner både av tredjepart og av internrevisorer.
Redundans og tilgjengelighet
Styreplan er bygget og videreutvikles med høy grad av redundans og jevnlig backup av system og data. I vår standard Tjenesteavtale (kap 2) garanterer vi en oppetid på minimum 99,9 % årlig.
Siden 2022 har oppetiden vært på 99,98 %. Dette inkluderer planlagt nedetid for større oppdateringer og endringer, som i hovedsak skjer på nattestid og etter tydlig informasjon til Kunder.
Siden 2022 har oppetiden vært på 99,98 %. Dette inkluderer planlagt nedetid for større oppdateringer og endringer, som i hovedsak skjer på nattestid og etter tydlig informasjon til Kunder.
Beredskap og katastrofeplaner
I tillegg til backuprutiner har Styreplan veletablerte beredskaps- og gjenopprettingsplaner (disaster recovery-rutiner) som testes og revideres minimum årlig.
Ved eventuelle hendelser kan data raskt gjenopprettes.
Ved eventuelle hendelser kan data raskt gjenopprettes.
Grunnlaget for trygg og langsiktig drift
Trygg oppbevaring og håndtering av data og informasjon er i bunn og grunn det Styreplan er bygget for, og har vært et kjernefokus for oss i over 25 år. ISO 27001-standarden, våre retningslinjer, rutiner og leverandørvalg bidrar til en robust og sikker løsning for Kunde.
Tilgangsstyring og brukerroller
Styreplan gir Kunde full kontroll over hvem som har tilgang til møter, dokumenter og mapper. Tilgangsstyringen er enkel å administrere, og sikrer at sensitiv informasjon kun deles med riktige personer inne i portalen.
Kunden har alltid kontroll
Administratorer hos Kunde gir og fjerner brukertilganger, og har også kontroll over den granulære tilgangsstyringen inne i Styreplan.
For å få innsyn i en gruppe i Styreplan (styret, ledergruppen, valgkomitéen, AMU, osv.) må en bruker eksplisitt inviteres til gruppen av administrator hos Kunde. En bruker som er invitert inn i ledergruppen og AMU men ikke styret, vil ikke se spor av styregruppen i sin Styreplan.
Tilganger i Styreplan styres altså overordnet på gruppenivå, men deretter per entitet innad i gruppen. Det vil si at medlem i en gruppe i utgangspunktet har full tilgang til all informasjon i den spesifikke gruppen, men kan nektes tilgang til spesifikt innhold i gruppen.
Eksempelet under viser hvordan skjermbildet i Biblioteket (Styreplans virtuelle datarom) ser ut for et gruppemedlem som har tilgang til alle mapper i datarommet, og for et gruppemedlem som ikke har tilgang til én av mappene i datarommet:
Brukeren med tilgang til mapper som er skjult for andre, ser tydelig at noe av innholdet er skjult for andre gruppemedlemmer. Trykker vedkommende på infomeldingen, vises en oversikt over hvem som ikke har tilgang til hva.
Brukeren som er nektet tilgang til en mappe ser ingen spor av den aktuelle mappen, men har fortsatt full tilgang til alt hen skal ha tilgang til ellers i portalen.
Samme logikk som i dette eksempelet gjelder for alt annet et gruppemedlem kan nektes innsyn i:
- Møter
- Saker
- Saksdokumenter
- Enkeltdokumenter i Biblioteket
Oversikt og revisjonsspor
Alle handlinger knyttet til dokumentdeling, herunder opp- og nedlasting og signering, logges automatisk og løpende i våre tekniske logger. Dette gir etterrettelighet og sporbarhet rundt alle sensitive dokumenter og forenkler dokumentasjonen rundt hvem som har hatt tilgang til hva og på hvilket tidspunkt.
Et viktig lag i sikkerhetsarkitekturen
Tilgangsstyring er et kjerneelement i Styreplans sikkerhetsmodell. Vi legger aktivt opp til at Kunde, som behandlingsansvarlig og eier av virksomhetsdata, enkelt kan sørge for å beholde full kontroll over egne data.
Sikker utvikling og testing
Styreplan videreutvikles og vedlikeholdes med sikkerhet som en integrert del av hele livssyklusen. Alle nye funksjoner og oppdateringer vurderes med hensyn til risiko, kvalitet og personvern før de i det hele tatt er påbegynt, og deretter løpende gjennom utviklingsprosess og frem til utrulling.
Målsetningen er enkel, og har vært den samme siden selskapets oppstart: funksjonalitet vi leverer i Styreplan skal være stabil og sikker, og tåle høye krav til etterlevelse og drift over tid.
Målsetningen er enkel, og har vært den samme siden selskapets oppstart: funksjonalitet vi leverer i Styreplan skal være stabil og sikker, og tåle høye krav til etterlevelse og drift over tid.
Trygg utvikling fra start
Sikkerhet hensyntas allerede i planleggings- og designfasene. Nye funksjoner planlegges med fokus på databeskyttelse, tilgangsstyring og integrasjon i en helhetlig, robust arkitektur.
Vi bruker heller lengre tid på å ferdigstille ny funksjonalitet enn å kaste oss rundt og lansere noe før vi har vurdert sikkerheten nøye. Det at vi har dette som ryggraden i utviklingsarbeidet, har over tid ført til at videreutvikling av systemet er blitt mer effektivt. Når vi bygger noe nytt, vet vi at det vi bygger på er robust, og kan fokusere fullt og helt på selve integrasjonen av ny funksjonalitet på sikkert vis.
Testing og kvalitetskontroll
Før nye Styreplan-versjoner tilgjengeliggjøres for Kunde, gjennomføres automatiske og manuelle tester som verifiserer funksjonalitet, ytelse og stabilitet.
Alle oppdateringer må godkjennes av relevant personell internt før de publiseres for bruk hos Kunder.
Alle oppdateringer må godkjennes av relevant personell internt før de publiseres for bruk hos Kunder.
Kontinuerlig forbedring og oppdateringer
Alle systemer, både Styreplan og støtte- og arbeidssystemer i bruk hos oss, overvåkes kontinuerlig for å identifisere svakheter eller uvanlig aktivitet. All programvare vi bruker, og selve Styreplan, oppdateres jevnlig med feilrettinger og sikkerhetsforbedringer, for å holde både utviklingsmiljø og produksjonsmiljø oppdatert mot kjente trusler.
Dette arbeidet inngår som en sentral del i vårt pågående ISO 27001-arbeid, både som risikohåndtering og som et rettet tiltak for kontinuerlig forbedring på styringssiden.
Dette arbeidet inngår som en sentral del i vårt pågående ISO 27001-arbeid, både som risikohåndtering og som et rettet tiltak for kontinuerlig forbedring på styringssiden.
Sikkert og tilgangsstyrt utviklingsmiljø
Utviklings- og produksjonsmiljøene er strengt adskilt, og tilganger gis kun til autoriserte medarbeidere, etter least privilege-prinsippet nevnt i ISO 27001-seksjonen lenger opp på siden (gå til seksjon↰).
Endringer i applikasjonen logges og gjennomgår prosesser for godkjenning før flytting til produksjon.
Endringer i applikasjonen logges og gjennomgår prosesser for godkjenning før flytting til produksjon.
Sikkerhet i hverdagen
Sikker utvikling og testing er den delen av sikkerhetsmodellen vår vi møter mest i hverdagen. Jevnlige intern- og tredjepartsrevisjoner sørger for dokumentasjon på vår strukturerte og helhetlige sikkerhetstilnærming, og utvikling er naturligvis en kjerneaktivitet i vår virksomhet. ISO 27001-sertifiseringen er et bevis på at vi har gode rutiner også på dette området, samt at rutinene etterleves i praksis.
Sterk kultur for forbedring
Sikkerhet er ikke et frittstående prosjekt i Styreplan, det er en del av kulturen i selskapet. Vi jobber aktivt med forbedring gjennom læring, deling og ansvar i alle ledd. Hver revisjon, hver tilbakemelding og hver nye erfaring brukes aktivt til å gjøre Styreplan litt tryggere og mer effektiv hver dag, både som produkt og som organisasjon.
Sikkerhet går foran alt
Styreplan AS tar datasikkerhet og personvern på alvor, og sikkerheten veier alltid tyngst. Dette gjelder også sikkerheten til de som besøker nettsidene våre, og de som tar kontakt med oss via kontaktskjema eller chat. Vi velger alltid europeiske leverandører der det er mulig, også når amerikanske eller andre leverandører ville gitt oss markedsmessige fordeler. Som eksempler kan vi nevne:
- Vi benytter oss ikke av Google Analytics for å spore besøkende og handlinger på styreplan.no, vi bruker tyske Plausible. Plausible setter ingen cookies i nettleser, og gir oss dårligere innsikt i hvordan våre nettsider oppleves for besøkende enn hva GA ville gjort. Dette valget har vi likevel tatt fordi vi ønsker å bidra til et tryggere internett, og det veier tyngre enn våre kommersielle egeninteresser.
- Vi bruker franske Crisp for kontaktskjemaer som sendes inn og chatter på nettsiden. Amerikanske løsninger (f.eks. Hubspot) ville gitt oss mye større muligheter til å gjennomføre diverse tiltak på markedssiden, men vi velger likevel europeisk.
Obligatorisk kompetanseheving og tydelig ansvar
Våre rutiner for kvalitet og sikkerhet handler like mye om mennesker som teknologi og systemer. Alle ansatte involveres i regelmessige gjennomganger, og alle får opplæring i informasjonssikkerhet, personvern og risikohåndtering.
Dette skaper en felles forståelse av ansvaret vi sitter på, og en trygghet i hvordan vi hver og én skal håndtere sensitive data i praksis.
Kontinuerlig forbedring er en stor del av grunnlaget for en ISO 27001-sertifisering, og alle ansatte hos oss må sette av et visst antall timer årlig til kompetanseheving knyttet til informasjonssikkerhet. Kurs, seminarer, sertifiseringer, konferanser og bransjetreff er eksempler på tiltak for kontinuerlig forbedring som vi benytter oss aktivt av.
Dette skaper en felles forståelse av ansvaret vi sitter på, og en trygghet i hvordan vi hver og én skal håndtere sensitive data i praksis.
Kontinuerlig forbedring er en stor del av grunnlaget for en ISO 27001-sertifisering, og alle ansatte hos oss må sette av et visst antall timer årlig til kompetanseheving knyttet til informasjonssikkerhet. Kurs, seminarer, sertifiseringer, konferanser og bransjetreff er eksempler på tiltak for kontinuerlig forbedring som vi benytter oss aktivt av.
En del av kulturen i Styreplan AS
Arbeidet med kvalitet og sikkerhet i hverdagen er en viktig bestanddel i vår bedriftskultur. Til syvende og sist handler vår forretningsmodell om å levere en løsning som varer, som tåler myndighetskrav og kundeforventninger, og som gir trygghet for alle som stoler på oss i sitt styrearbeid. Hvis du vil bli bedre kjent med oss som selskap, kan du lese om selskapshistorikken og menneskene i Styreplan her.
Ressurser og dokumentasjon
Trygghet og åpenhet går hånd i hånd. Vi dokumenterer hvordan Styreplan oppfyller krav til sikkerhet, personvern og kvalitet, og gjør den viktigste informasjonen tilgjengelig for våre kunder. Ikke bare gir det kundene forutsigbarhet, det reduserer også behovet for egne revisjoner.
Sertifikater og policyer
Styreplans sikkerhetsarbeid er bygget på anerkjente standarder (ISO/IEC 27001 & Miljøfyrtårn) og revideres jevnlig av uavhengige tredjeparter. Både ISO 27001 og Miljøfyrtårn innebærer strukturert dokumentasjon på rutiner og kontinuerlig forbedring. Styringsdokumenter og policyer kan deles på forespørsel. Våre sertifikater kan lastes ned her:
ISO 27001:2023-sertifikat Styreplan AS
Miljøfyrtårn-sertifikat Styreplan AS
Standardavtaler
I alle kundeforhold inngår en standard Tjenestebehandleravtale og en Databehandleravtale. Begge avtalene tilsendes Kunde i forbindelse med avtaleinngåelse, og Kunde får egen kopi til oppbevaring.
Tjenesteavtale
Den til enhver tid gjeldende Tjenesteavtalen finner du her. Tjenesteavtalen er også alltid tilgjengelig når du er innlogget i Styreplan, under Dine avtaler.
Databehandleravtale
Databehandleravtalen regulerer Styreplan AS sin forvaltning av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med gjennomføring av Tjenesteavtalen.
Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang eller tap.
Personopplysninger som Databehandler forvalter på vegne av Behandlingsansvarlig skal ikke brukes til andre formål enn levering og administrasjon av de avtalte Tjenestene uten at det på forhånd er godkjent av Behandlingsansvarlig. Den til enhver tid gjeldende Databehandleravtale finner du her.
Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang eller tap.
Personopplysninger som Databehandler forvalter på vegne av Behandlingsansvarlig skal ikke brukes til andre formål enn levering og administrasjon av de avtalte Tjenestene uten at det på forhånd er godkjent av Behandlingsansvarlig. Den til enhver tid gjeldende Databehandleravtale finner du her.
Revisjons- og sikkerhetsvedlegg
Virksomheter med særskilte krav til internkontroll kan få tilgang til supplerende informasjon, inkludert:
- Revisjonsrapporter, ISO 27001
- Bærekraftsrapporter, Miljøfyrtårn
- Oversikt over tekniske tiltak
- Referanser til relevante policyer
Dette deles på forespørsel og etter godkjenning fra oss. Styreplan AS reserverer retten til å nekte innsyn i dokumentasjon vi anser for å inneholde informasjon som av sikkerhetsmessige årsaker for oss eller Kunde(r) er klassifisert som interninformasjon.
Oppdatert og etterprøvbar informasjon
Vi oppdaterer dokumentasjon fortløpende, slik at du alltid får korrekt og gjeldende informasjon. Eventuelle endringer i rutiner, leverandører, avtaler eller standarder innarbeides i våre styringssystemer og kommuniseres til Kunde(r) der det er relevant. Det betyr at både vi og dere alltid jobber på samme, trygge grunnlag, og dere kan vite at både styredokumenter og personinformasjon alltid håndteres på betryggende vis av oss.
Sikkerhet i praksis
I Styreplan får dere dokumentert sikkerhet og en leverandør med over 20 års erfaring. Teknologien, infrastrukturen, rutinene og menneskene hos oss gir deres virksomhet det beste utgangspunktet for trygghet i styrearbeidet. Deres data lagres trygt i Norge, kun autoriserte personer har tilgang, og personvern og informasjonssikkerhet er alltid ivaretatt.
BankID
ISO 27001 & Miljøfyrtårn
Hosting i Norge
Book din demonstrasjon
Har du spesifikke sikkerhetsspørsmål? Kontakt vårt sikkerhetsteam.