Sikkerhet og personvern

Kun brukere du inviterer til din organisasjon får tilgang til dine data. Alle brukere kan aktivere tofaktorautentisering i Bård, og det er også mulig å tvinge tofaktorautentisering på organisasjonsnivå.

Bård lagrer et komplett revisjonsspor som viser hvem som har gjort hva og når.

Våre ansatte som er involvert i teknisk forvaltning av løsningen kan ha midlertidig tilgang til dataene for å kunne utføre sine oppgaver. Dette har vi strenge rutiner for å begrense, og vi overvåker disse tilgangene.

Bård driftes på skyplattformen Microsoft Azure. Data lagres i Norge, og datasenteret er sertifisert i henhold til ISO 27001, ISO 27017, ISO 27018, ISO 20000-1, ISO 22301, ISO 9001 og CSA Star.

Sertifiseringene bekrefter at tjenestene og plattformen møter kravene til sikkerhet, personvern og databeskyttelse for ulike bransjer og jurisdiksjoner.

Vi følger rutiner som er i tråd med industristandarden for å sikre at dine data er trygge til enhver tid. Dataene krypteres mellom nettleseren og Bård-plattformen med TLS 1.3 standarden. I tillegg krypteres dataene på selve maskinvaren den ligger på hos vår tjenesteleverandør (encryption at rest).

Vi følger de retningslinjer som gjelder i GDPR-direktivet for lagring og behandling av personopplysninger. Se vår sluttbrukeravtale og personvernerklæring for mer informasjon om hvordan vi behandler personopplysninger.

Du eier alltid dataene dine i Bård. Vi gir deg mulighet til å enkelt eksportere alle data hvis du trenger dem.

Vi kjører årlige sikkerhetstester av plattformen utført etter OWASP-metodologien, som er den mest komplette metodologien for web-sikkerhet både nasjonalt og internasjonalt.

Testene utføres av Encripto.

Vi har et styringssystem for informasjonssikkerhet som dokumenterer hvordan vi beskytter kundedata og kontinuerlig forbedrer sikkerhetsarbeidet. Dette systemet jobber vi nå for å få sertifisert etter ISO 27001-standarden sammen med en ekstern partner.

Revisjonen og sertifiseringen forventes å være ferdig i løpet av våren 2026. ISO-sertifiseringen vil være en uavhengig bekreftelse på at vi har gode rutiner for kryptering, tilgangsstyring og håndtering av kundedata – og at vi jobber systematisk med å holde sikkerheten oppdatert over tid.