Data Governance — PivoCore
Rammeverk for hvordan PivoCore håndterer, beskytter og styrer kundedata på tvers av alle tjenester og produkter.
Formål: Gi kunder, partnere og interne interessenter et tydelig bilde av hvordan vi forvalter data — og hvilke rettigheter og mekanismer som ligger til grunn.
1. Omfang og gyldighet
Dette rammeverket gjelder for all behandling av kundedata i PivoCore sine systemer, inkludert:
- Datainnsjøer og rapportering
- Maskinlæring og modelltrening
- AI-baserte tjenester (språkmodeller, prediksjonsmodeller)
- Forretningsinnsikt og analyse
Rammeverket er felles for alle kunder og utgjør grunnlaget for individuelle avtalevedlegg (DPA-vedlegg for KI og innsiktstjenester).
2. Grunnprinsipper
| Prinsipp | Beskrivelse |
|---|---|
| Dataseparasjon | Hver kundes data lagres og behandles adskilt. Ingen blanding av data mellom kunder i produksjonssystemer, modeller eller vektordatabaser. |
| Anonymisering før aggregering | Data som brukes på tvers av kunder (f.eks. forretningsinnsikt) anonymiseres først. Anonymiseringen er designet for å være irreversibel. |
| Opt-in for nye bruksområder | Ingen kundedata brukes til nye formål uten skriftlig forhåndsgodkjenning fra kunden. Gjelder spesielt modelltrening, KI-trening og nye analyser. |
| Minimering | Vi samler kun inn og behandler det som er nødvendig for det oppgitte formålet. Ingen «bare i tilfelle»-data. |
| Transparens | Kunden skal til enhver tid kunne vite hva deres data brukes til, hvor det lagres, og hvem som har tilgang. |
| Revisjonsrett | Kunden har rett til å be om innsyn i behandlingen av egne data — inkludert tilgangslogger og aktivitetshistorikk. |
3. Datamiljøer og arkitektur
3.1 Kundespesifikke datainnsjøer
| Element | Beskrivelse |
|---|---|
| Lokasjon | Google Cloud Platform (GCP), EU-region |
| Isolasjon | Fullstendig adskilt per kunde — eget datasett, egen tilgangsstyring |
| Innhold | Rådata fra kundens systemer (HF, Lime, Unit4 m.fl.) |
| Formål | Rapportering, analyse, innsikt — kun for den aktuelle kunden |
| Tilgang | Styrt via Google IAM — kun autoriserte personer |
3.2 Felles anonymisert datasjø
| Element | Beskrivelse |
|---|---|
| Lokasjon | GCP, EU-region |
| Innhold | Anonymiserte datasett fra flere kunder |
| Formål | Forretningsinnsikt, standardrapporter, benchmarking |
| Tilgang | Kun internt hos PivoCore — kunder ser aldri andres data direkte |
3.3 Vektordatabaser (KI-tjenester)
| Element | Beskrivelse |
|---|---|
| Lokasjon | GCP, EU-region |
| Isolasjon | Én vektordatabase per kunde — ingen delte databaser |
| Innhold | Embeddings fra kundens egne data |
| Formål | Kontekstgjenfinning for språkmodeller (f.eks. «Snakk med Pivo») |
| Delt innhold | Offentlige kilder (Lovdata o.l.) i separat, felles database uten kundedata |
4. AI og modelltrening
4.1 Prinsipper for modelltrening
- Kundedata brukes aldri til å trene eller finjustere generelle modeller. Alle språkmodeller kjøres som inferens — ingen omtrening.
- Kundespesifikke modeller (f.eks. kontopredikering) trenes på kundens egne data isolert. Ingen blanding.
- Anonymiserte treningssett fra felles datasjø kan brukes til å forbedre tverrgående modeller — kun etter forhåndsgodkjenning (opt-in).
4.2 Språkmodeller (LLM)
| Element | Beskrivelse |
|---|---|
| Leverandører | Google (Gemini), Anthropic (Claude) |
| Infrastruktur | Google Cloud Vertex AI, EU-region |
| Trening på kundedata | Nei — ren inferens |
| Enterprise-avtaler | Begge leverandører bekrefter at kundedata ikke brukes til modelltrening |
| Datalagring | Ingen kundedata lagres hos leverandør utover behandlingsøyeblikket |
4.3 Prediksjonsmodeller
| Modell | Beskrivelse | Datagrunnlag |
|---|---|---|
| Fakturatolking | Tokenisering av varelinjer for tolkning | Kundedata, anonymisert |
| Kontopredikering | Predikering av regnskapskonto | Kundens eget datasett |
| VOLVE (vannskade) | Sannsynlighet for vannskade i bygg | Under utredning — se eget punkt |
5. Tilgangsstyring
5.1 Interne tilganger
| Rolle | Tilgang | Begrunnelse |
|---|---|---|
| Magnus Osberg (konsulent, data) | Kundespesifikke datainnsjøer | Drift og vedlikehold |
| Samuel (AI) | Treningsdatasett (anonymiserte) | Modellutvikling |
| Ludwig (dataforvaltning) | Alle datainnsjøer | Overordnet ansvar |
| Jon (ledelse) | Rapporter og oversikt | Styring |
5.2 Kundetilganger
- Kunder ser kun egne data — teknisk umulig å se andres
- Tilgang styres via Google-brukere hos kunden
- Nye tilganger godkjennes av autorisert person hos kunden
5.3 Godkjenningsprosess for nye tilganger
- Kunden sender forespørsel via sin kontaktperson
- Autorisert person hos kunden godkjenner
- PivoCore tildeler tilgang via Google IAM
- Tilgang loggføres med dato, formål og ansvarlig
6. Overvåkning og logging
6.1 Dagens situasjon
- Aktivitet i datainnsjøene logges
- Manuelle rapporter kan genereres per bruker
- Ingen automatisert varsling ved unormal aktivitet (per i dag)
6.2 Planlagte tiltak
| Tiltak | Beskrivelse | Tidsramme |
|---|---|---|
| Automatisk tilgangslogging | Alle spørringer og datauttak logges automatisk — hvem, når, hva | Q2 2026 |
| Varsling ved unormal aktivitet | Store datauttak eller aktivitet utenfor arbeidstid trigger varsel | Q2 2026 |
| Månedlig tilgangsrapport | Automatisk rapport til kundens kontaktperson med aktivitetsoversikt | Q2 2026 |
7. Retningslinjer for rapportering
7.1 Kundespesifikke rapporter
- Kjøres utelukkende mot kundens egen data
- Ingen synlige data fra andre kunder
7.2 Tverrgående rapporter (benchmarking)
- Basert på anonymisert felles datasjø
- Aggregeres slik at enkeltkunder ikke kan identifiseres
- Ved rapporter som viser «største leverandører» eller «topp 5» — vurderes risiko for reidentifisering
7.3 Begrensninger
- Rapporter som potensielt kan identifisere enkeltkunder gjennom aggregering (f.eks. små markeder) merkes og begrenses
- Kunden varsles dersom deres data inngår i rapporter som presenteres for andre
8. Håndtering av personopplysninger
- Prinsipp: PivoCore skal ikke behandle personopplysninger dersom formålet kan oppnås med anonymiserte eller aggregerte data.
- DPA: Alle kunder har en databehandleravtale som regulerer behandling av personopplysninger.
- KI-spesifikt: Bruk av personopplysninger i KI-tjenester reguleres gjennom eget DPA-vedlegg (se eget dokument).
- VOLVE-prosjektet: Ingen behandling av personopplysninger igangsettes uten skriftlig avklaring med kunden og eventuell DPIA.
9. Roller og ansvar
| Rolle | Ansvar |
|---|---|
| Jon R. Grimsbo | Overordnet ansvar for data governance, kundedialog |
| Ludwig | Dataforvaltning, tilgangsstyring, datainnsjø-drift |
| Samuel | AI-modeller, anonymisering, treningsprosesser |
| Magnus Osberg | Drift datainnsjøer, teknisk tilgangsstyring |
| Kundens kontaktperson (Usbl: Tor-Johnny) | Godkjenning av tilganger, opt-in-beslutninger |
10. Endringshåndtering
- Dette dokumentet revideres minst kvartalsvis eller ved større endringer i arkitektur eller tjenestetilbud.
- Endringer kommuniseres til alle kunder som berøres.
- Ved uoverensstemmelse mellom dette dokumentet og individuelle avtaler, går avtalen foran.
11. Kontakt
Spørsmål om data governance rettes til:
Jon Røtvold Grimsbo Manager AI & Automatisering, BBL Datakompetanse AS (BBL Pivotal) jrg@bblpivotal.no
Kundekontakt (Usbl): Tor-Johnny Teknisk kontaktperson for datainnsjø og tilgangsstyring
Dokumentet er utarbeidet som grunnlag for felles styringsmodell på tvers av alle PivoCore-kunder. Det suppleres av individuelle DPA-vedlegg for KI og innsiktstjenester.
Sist oppdatert: 9. april 2026 — Utkast v1