Hendelsesplan

Sist oppdatert: 19. april 2026

1. Formål og omfang

Denne planen beskriver hvordan Deles.no (driftet av Redor AS) oppdager, håndterer og gjenoppretter etter sikkerhetshendelser og databrudd som påvirker plattformen og brukernes personopplysninger.

2. Definisjoner

Sikkerhetshendelse: Ethvert brudd på konfidensialitet, integritet eller tilgjengelighet i systemet.
Databrudd: Hendelse som medfører uautorisert tilgang til, tap av eller endring av personopplysninger (iht. GDPR).

3. Alvorlighetsgrader

Nivå	Beskrivelse	Eksempel
S1 — Kritisk	Bekreftet lekkasje av personopplysninger eller fullstendig systemnedetid.	Databaselekkasje, autentiseringsfeil som gir tilgang til andres data.
S2 — Alvorlig	Potensiell eksponering av data eller delvis tjenesteforstyrrelser.	Feilkonfigurert tilgang, uvanlig trafikkmønster, kompromittert API-nøkkel.
S3 — Mindre	Ingen personopplysninger eksponert, begrenset påvirkning.	Midlertidig treg responstid, feil i ikke-kritisk funksjon.

4. Oppdagelse og rapportering

Hendelser kan oppdages gjennom:

Automatisk overvåking (feilsporing, oppetidssjekker)
Aktivitetslogg og uvanlige mønstre
Ekstern rapportering — send til sikkerhet@deles.no

5. Responsprosedyre

Fase 1: Bekreftelse (0–1 time)

Verifiser hendelsen, klassifiser alvorlighetsgrad og varsle ansvarlige internt.

Fase 2: Begrensning (1–4 timer for S1/S2)

Isoler berørte systemer, sikre bevis, begrense videre skade. Rotér kompromitterte nøkler og tokens.

Fase 3: Utbedring (4–24 timer for S1/S2)

Identifiser og fjern rotårsaken. Implementer fiks og verifiser at sårbarheten er lukket.

Fase 4: Gjenoppretting (24–48 timer for S1/S2)

Gjenopprett normal drift. Verifiser dataintegritet og overvåk for gjentagelse.

Fase 5: Evaluering (innen 5 virkedager)

Gjennomfør intern evaluering. Dokumenter hendelsesforløp, tiltak og læringspunkter. Oppdater sikkerhetstiltak ved behov.

6. GDPR-varsling ved databrudd

Datatilsynet varsles innen 72 timer iht. GDPR artikkel 33.
Berørte brukere varsles uten ugrunnet opphold dersom bruddet medfører høy risiko for deres rettigheter og friheter.
Varsling inkluderer: hva som skjedde, hvilke data som er berørt, tiltak som er iverksatt, og kontaktinformasjon for oppfølging.

7. Forebyggende tiltak

TLS-kryptering på all trafikk
Rollebasert tilgangskontroll
Sikkerhetsheadere (CSP, HSTS, X-Frame-Options)
Avhengighetsskanning og oppdateringer
Dataminimering — vi samler bare det vi trenger
All infrastruktur i EU

8. Roller og ansvar

Hendelseskoordinator: Leder responsen, tar beslutninger om eskalering og kommunikasjon.
Utviklingsteam: Teknisk analyse, begrensning og utbedring.
Personvernansvarlig: Vurderer GDPR-konsekvenser og håndterer varsling til Datatilsynet og berørte.

9. Gjennomgang og oppdatering

Denne planen gjennomgås årlig og oppdateres etter enhver S1- eller S2-hendelse. Siste gjennomgang: 19. april 2026.

10. Kontakt

Rapporter sikkerhetshendelser til sikkerhet@deles.no. For personvernspørsmål: personvern@deles.no.