Copyright © Pholio AS

Tekniske og organisatoriske tiltak (TOMs)

Oppdatert 22.06.2026

1 - Formål

Dette dokumentet beskriver overordnede tekniske og organisatoriske sikkerhetstiltak etablert av Pholio.

Tiltakene skal bidra til:

  • konfidensialitet
  • integritet
  • tilgjengelighet
  • motstandsdyktighet

2 - Tilgangsstyring

Pholio arbeider for å sikre at:

  • tilgang begrenses til autoriserte personer
  • tilganger tildeles etter tjenstlig behov
  • tilganger fjernes ved avsluttet behov
  • administrative tilganger beskyttes særskilt

Tiltak kan inkludere:

  • rollebasert tilgang
  • autentisering
  • multifaktorautentisering
  • tilgangslogger

3 - Logging og overvåkning

Systemhendelser og sikkerhetsrelaterte aktiviteter kan loggføres for:

  • feilsøking
  • sikkerhet
  • hendelseshåndtering
  • misbruksdeteksjon

Loggdata oppbevares i henhold til etablerte retention-rutiner.

4 - Kryptering

Pholio benytter relevante sikkerhetstiltak, herunder kryptering under overføring og der relevant ved lagring.

5 - Backup og gjenoppretting

Pholio benytter periodiske backup-rutiner for å redusere risiko for datatap.

Backup-data:

  • lagres sikkert
  • begrenses i tilgang
  • slettes/overskrives i henhold til etablerte rutiner

6 - Sikkerhetshendelser

Pholio har rutiner for:

  • identifisering
  • vurdering
  • håndtering
  • dokumentasjon
  • og varsling

…av sikkerhetshendelser.

7 - Leverandøroppfølging

Leverandører vurderes basert på:

  • sikkerhet
  • personvern
  • tilgangsstyring
  • relevans for tjenestene

Relevante leverandører underlegges:

  • avtaler
  • personvernkrav
  • sikkerhetskrav

8 - Tredjelandsoverføringer

Ved overføring utenfor EU/EØS arbeider Pholio for å sikre:

  • gyldig overføringsgrunnlag
  • relevante avtaler
  • egnede tekniske og organisatoriske tiltak

Tilgang til personopplysninger begrenses til autoriserte ansatte og leverandører med tjenstlig behov.

9 - Opplæring og bevisstgjøring

Ansatte med tilgang til systemer eller personopplysninger skal:

  • kjenne grunnleggende sikkerhetskrav
  • forstå konfidensialitet
  • vite hvordan sikkerhetshendelser håndteres

10 - Revisjon og forbedring

Pholio arbeider kontinuerlig med forbedring av:

  • sikkerhet
  • personvern
  • rutiner
  • compliance-arbeid

Tiltak vurderes løpende basert på:

  • risiko
  • teknologi
  • tjenesteutvikling
  • relevante krav