External Compliance Summary (ECS)

Oppdatert: 12.06.2026

1. Om dette dokumentet

Dette dokumentet gir en overordnet beskrivelse av Pholio AS sine tiltak og rutiner knyttet til:

• personvern
• informasjonssikkerhet
• leverandørstyring
• GDPR-etterlevelse
• ansvarlig bruk av teknologi

Dokumentet er utarbeidet for kunder, potensielle kunder, samarbeidspartnere og andre som gjennomfører sikkerhets- eller compliance-vurderinger av Pholio.

Dokumentet inneholder ikke sensitiv eller sikkerhetskritisk informasjon. Mer detaljert dokumentasjon kan vurderes delt ved behov og etter nærmere vurdering.

2. Om Pholio

Pholio AS er en uavhengig systemleverandør som tilbyr digitale arbeidsflyt- og integrasjonsløsninger for bestilling, produksjon, levering og administrasjon av boligfoto og annet markedsføringsmateriell til eiendomsbransjen.

Pholio arbeider kontinuerlig med å videreutvikle selskapets praksis innen:

• personvern
• informasjonssikkerhet
• leverandøroppfølging
• risikostyring

Sikkerhetstiltak tilpasses virksomhetens størrelse, tjenestetype og risikobilde, med mål om å opprettholde et dokumenterbart og hensiktsmessig modenhetsnivå.

3. Personvern og GDPR

Pholio arbeider for å etterleve kravene i:

• personvernforordningen (GDPR)
• personopplysningsloven
• øvrige relevante regulatoriske krav

Avhengig av tjenesten kan Pholio opptre både som behandlingsansvarlig og databehandler.

For å understøtte etterlevelse har Pholio etablert:

• personvernerklæring
• databehandleravtale (DPA)
• tekniske og organisatoriske tiltak (TOMs)
• behandlingsprotokoll (RoPA)
• rutiner for håndtering av sikkerhetshendelser
• rutiner for håndtering av registrertes rettigheter

4. Informasjonssikkerhet

Pholio arbeider systematisk med informasjonssikkerhet gjennom tekniske og organisatoriske tiltak.

Tiltak omfatter blant annet:

• tilgangsstyring basert på tjenstlig behov
• rollebasert tilgangskontroll
• autentiseringsmekanismer og multifaktorautentisering der det er relevant
• logging av relevante hendelser
• backup- og gjenopprettingsrutiner
• begrensning av tilgang til data
• oppfølging av sentrale leverandører
• rutiner for håndtering av sikkerhetshendelser

Tilgang til systemer og informasjon gis kun til personer som har et legitimt tjenstlig behov.

5. Håndtering av sikkerhetshendelser

Pholio har etablerte rutiner for identifisering, vurdering og håndtering av sikkerhetshendelser.

Ved hendelser vurderes blant annet:

• omfang
• konsekvenser
• behov for varsling
• nødvendige risikoreduserende tiltak
• videre oppfølging

Ved personvernbrudd vurderes varsling til kunder, registrerte og relevante myndigheter i samsvar med gjeldende lovgivning.

6. Leverandører og underdatabehandlere

Pholio benytter utvalgte leverandører og samarbeidspartnere for blant annet:

• hosting og infrastruktur
• kommunikasjonstjenester
• analyseverktøy
• drift og support
• produksjonsrelaterte tjenester

Leverandører vurderes blant annet basert på:

• informasjonssikkerhet
• personvern
• stabilitet
• tilgangskontroll
• relevans for tjenesteleveransen

Se vår oversikt over sentrale underdatabehandlere og tredjepartsleverandører.

7. Tredjelandsoverføringer

Dersom personopplysninger behandles utenfor EU/EØS, arbeider Pholio for å sikre gyldig overføringsgrunnlag i samsvar med GDPR.

Tiltak kan omfatte:

• EU Standard Contractual Clauses (SCC)
• vurdering av leverandører og behandlingsland
• tekniske og organisatoriske sikkerhetstiltak
• begrensning av tilgang til personopplysninger

8. Åpenhetsloven og ansvarlig leverandørstyring

Pholio arbeider med ansvarlig leverandøroppfølging og risikobaserte aktsomhetsvurderinger.

Dette inkluderer vurderinger knyttet til:

• menneskerettigheter
• arbeidsforhold
• leverandørpraksis
• informasjonssikkerhet
• etterlevelse av relevante krav

For relevante leverandører og samarbeidspartnere benyttes en Supplier Code of Conduct eller tilsvarende kravdokumentasjon.

9. AI og databruk

Pholio arbeider for ansvarlig bruk av teknologi og AI-relaterte tjenester.

AI-generert innhold som formidles videre til kunder og hvor det kan forekomme avvik fra faktiske forhold, merkes som AI-generert innhold når dette vurderes som relevant.

Kundedata, kundeinnhold eller oppdragsdata benyttes ikke til trening av generelle AI-modeller uten særskilt avtale eller annet gyldig behandlingsgrunnlag.

Ved bruk av tredjeparts AI-tjenester vurderes blant annet:

• datatilgang
• personvern
• informasjonssikkerhet
• overføringsgrunnlag
• kontraktsmessige forhold

Pholio arbeider for å begrense deling av personopplysninger og konfidensiell informasjon til det som er nødvendig for det aktuelle formålet.

10. Dokumentasjon tilgjengelig ved forespørsel

Pholio kan etter nærmere vurdering dele relevant dokumentasjon, herunder:

• dokumentasjon knyttet til SCC og tredjelandsoverføringer
• overordnede sikkerhetsbeskrivelser
• compliance-spørreskjemaer
• annen relevant dokumentasjon

Detaljert sikkerhetsinformasjon deles normalt ikke offentlig.

11. Begrensninger

Dette dokumentet er en overordnet oppsummering og utgjør ikke:

• juridisk rådgivning
• garanti for absolutt sikkerhet
• fullstendig teknisk dokumentasjon

Sikkerhets- og compliance-arbeid er kontinuerlige prosesser som vurderes og oppdateres ved behov.

12. Kontaktinformasjon

Spørsmål om personvern, sikkerhet eller compliance kan rettes til:

Pholio AS
E-post: privacy@pholio.no
Nettside: pholio.no

Personvernhenvendelser behandles av Pholios utpekte kontaktperson for personvern og compliance.