Sikkerhet og personvern
Trygt å bruke SHAsystem som prosjekthotell for SHA
Denne siden er vedlikeholdt av SHAsystem for å svare på vanlige sikkerhets- og personvernspørsmål fra innkjøpere, IT-avdelinger og byggherrer. Den er ikke en uavhengig sertifisering, men en faktisk oversikt over kontroller som er aktivert i produktet i dag.
Kontroller som er aktivert
Hosting i EU
Applikasjon og database driftes hos infrastrukturleverandører med datasenter i EU. Ingen lagring av prosjektdata utenfor EU/EØS i drift.
Kryptering i transit og hvile
All trafikk over TLS 1.2+. Databaser og filer krypteres i hvile (AES-256 hos underleverandør). Hemmeligheter lagres i secret-tjeneste, ikke i kildekode.
Rollebasert tilgang
Brukere får tilgang per prosjekt og per rolle (byggherre, KU, KP, entreprenør, leser). Endringer logges med bruker, tidspunkt og handling.
Autentisering
E-post + passord med hashing (bcrypt-familie) hos identitetsleverandør, samt sosial pålogging (Google). Sesjonshåndtering via signerte tokens.
Sikkerhetskopi og gjenoppretting
Automatiske daglige sikkerhetskopier hos databaseleverandør, med point-in-time recovery. Gjenoppretting testes periodisk.
Logger og sporbarhet
Koordinatorloggen i SHAsystem er signaturklar: bruker, handling og tidspunkt for hver endring i SHA-planen — kan eksporteres til revisjon.
Databehandling og personvern
- Hva vi behandler
- Prosjektdata (SHA-planer, risikovurderinger, koordinatorlogg, vedlegg) og kontaktinformasjon for prosjektdeltakere (navn, e-post, telefon, rolle, firma).
- Hvorfor
- Levere SHA-funksjonalitet etter Byggherreforskriften — varsler, koordinering, dokumentasjon og rapportering.
- Rettsgrunnlag
- Avtale med kunden (byggherre/koordinator) og legitime interesser ved sikkerhetslogging. Behandlingen reguleres av databehandleravtale (DPA).
- Lagringstid
- Prosjektdata lagres så lenge kundeforholdet består + avtalt arkivperiode. Slettes på forespørsel etter prosjektslutt med mindre lovkrav krever arkivering.
- Dataeksport
- Kunder kan når som helst eksportere SHA-plan, vedlegg og logg som PDF/ZIP for arkiv eller overlevering.
Databehandleravtale (DPA) signeres med alle kunder før produksjonsbruk. Be om utkast på post@shasystem.no.
Underleverandører (subprocessors)
| Leverandør | Formål | Region |
|---|---|---|
| Lovable Cloud / Supabase | Database, autentisering, fillagring | EU |
| Lovable AI Gateway | KI-assistanse (utkast til risiko/tiltak) | EU/EØS-ruting der mulig |
| Cloudflare | CDN, DDoS-beskyttelse, edge-kjøring | Global edge, EU-prioritert |
| E-postleverandør (transaksjonell) | Varsler, invitasjoner, passord-reset | EU |
Endringer i listen varsles kunder iht. DPA før de tas i bruk.
KI og dataminimering
- KI brukes som assistent for koordinator — endelig SHA-plan er alltid menneskelig godkjent.
- Prompts og prosjektdata brukes ikke til å trene tredjeparts modeller.
- Du kan slå av KI-funksjoner per prosjekt hvis innkjøpsavtale krever det.
Hendelseshåndtering
- 1
Oppdagelse
Alarmer fra infrastruktur, sikkerhetslogger og kundehenvendelser konsolideres på security@shasystem.no.
- 2
Vurdering
Hendelse triages innen 24 timer; brudd som omfatter personopplysninger eskaleres umiddelbart.
- 3
Varsling
Berørte kunder varsles uten ugrunnet opphold — i tråd med GDPR art. 33–34 og inngått DPA.
- 4
Etterarbeid
Rotårsaksanalyse, tiltak og oppdatering av kontroller. Læring deles med kunder ved behov.
Meld sårbarhet
Send funn til security@shasystem.no. Vi bekrefter mottak innen 2 virkedager og samarbeider om ansvarlig avsløring.
Dokumenter for innkjøp
- Databehandleravtale (DPA) — sendes på forespørsel
- Underleverandørliste — denne siden er oppdatert oversikt
- Sikkerhetsbeskrivelse for anbud — se Anbudskrav for SHA-system
- Rolle- og tilgangsmatrise — på forespørsel