Tekniske og organisatoriske sikkerhetstiltak

Tilgang til systemer som inneholder personopplysninger tildeles etter tjenstlig behov. Ansatte og utviklere hos Kult Byrå AS har administratortilgang til medlemsdatabasen i forbindelse med drift og feilretting. Eksterne redaktører og samarbeidspartnere har ikke tilgang til medlemsdata.

Tilganger fjernes umiddelbart når et arbeidsforhold eller oppdrag avsluttes. Dette skjer ved sletting av brukerens Google Workspace/Github-konto, som automatisk fjerner tilgang til alle tilknyttede systemer. Brukeren fjernes i tillegg manuelt fra alle systemer som inneholder personopplysninger, herunder Sanity, Tripletex og øvrige systemer som benyttes til enhver tid.

All tilgang til systemer med personopplysninger skjer via innlogging med Google Workspace eller GitHub. To-faktor autentisering (2FA) er obligatorisk på begge plattformer og gjelder dermed all systemtilgang for ansatte og utviklere. Dette inkluderer Sanity, Tripletex og øvrige systemer som inneholder persondata.

Brukernes passord lagres kryptert og er utilgjengelig for Musikk i Skolens ansatte og underleverandører.

All kommunikasjon mellom bruker og tjeneste skjer over krypterte forbindelser. Data i hvile er kryptert (at rest) hos underleverandørene. All systemtilgang kanaliseres gjennom Google Workspace/GitHub som felles autentiseringspunkt med obligatorisk 2FA, uavhengig av om den ansatte arbeider fra kontor eller hjemmekontor.

Sanity kjører automatisk, løpende sikkerhetskopiering av alle data. I tillegg gjennomføres ekstern daglig backup av Sanity-databasen. Regnskapsdata ivaretas av Tripletex AS i henhold til deres egne backup-rutiner.

Samtlige enheter som benyttes av ansatte er passordbeskyttet. Musikk i Skolen opererer med skybasert infrastruktur — ingen personopplysninger lagres lokalt på enheter. Ansatte arbeider fra både kontor og hjemmekontor; all tilgang til systemer med persondata skjer gjennom den skybaserte infrastrukturen beskrevet i pkt. 2 og 3.

Musikk i Skolen benytter utelukkende underleverandører med datalagring i EU/EØS. Skriftlige databehandleravtaler er inngått med samtlige underleverandører. Oversikt over underleverandører, datatyper og lagringssted er tilgjengelig i Vedlegg B. Rutine for valg og godkjenning av underleverandører er beskrevet i Vedlegg C.

Alle ansatte og underleverandører med tilgang til personopplysninger er underlagt konfidensialitetsplikt i henhold til databehandleravtalen. Musikk i Skolen gjennomfører sikkerhetsgjennomgang av systemer og tilganger minst én gang per år, eller ved vesentlige endringer i infrastruktur eller leverandørsammensetning.