Databehandleravtale

1. Avtalens bakgrunn og hensikt
Denne databehandleravtalen («Databehandleravtalen») er inngått mellom kunden («Behandlingsansvarlig») og Snorre Data AS, org nr. 964 431 299 med registrert adresse («Databehandleren»), i fellesskap omtalt som «Partene».

Den Behandlingsansvarlige bestemmer formålet med behandlingen av personopplysningene og hvilke midler som skal benyttes. Databehandleren har forpliktet seg til å levere de tjenestene som dekkes av avtalen med kunden

Databehandleravtalen er å anse som et vedlegg til Partenes avtale om leveranse av tjenester («Tjenesteavtalen»).

Formålet med denne Databehandleravtalen er å:

a) regulere Partenes roller og ansvar ved behandling av personopplysninger etter personopplysningslovgivningen og GDPR i forbindelse med gjennomføringen av Tjenesteavtalen og

b) sikre at personopplysninger om De registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

2. Definisjoner
Følgende definisjoner gjelder for denne Databehandleravtalen:

«Databehandleravtalen» betyr de bestemmelser som fremgår av denne databehandleravtalen med vedlegg.

«Personopplysning» betyr alle typer opplysninger eller informasjon som anses som personopplysninger etter Personvernlovgivningen og GDPR. Dette omfatter, men er ikke begrenset til, de opplysningene som fremgår av Vedlegg 1.

«Behandling» (av Personopplysninger) betyr enhver bruk av Personopplysninger, for eksempel innsamling, lagring, organisering, endring eller tilpasning, utlevering og/eller overføring.

«GDPR» betyr EU-forordning 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (slik denne blir/er implementert i norsk rett).

«Personvernlovgivning» betyr lov om behandling av personopplysninger av 14. april 2000 nr. 31 med tilførende forskrift og annen lovgivning som implementerer Direktiv 1995/46/EF om behandling og utveksling av personopplysninger og all annen relevant.

«Underleverandør» betyr andre databehandlere som Databehandleren bruker til å behandle Personopplysningene.

«De registrerte» betyr de personene som Personopplysningene knytter seg til.

3. Generelt
Partene skal Behandle Personopplysninger i samsvar med Personvernlovgivningen, GDPR og denne Avtalen.

Databehandleren samler inn, registrerer, sammenstiller, lagrer og behandler Personopplysninger på andre måter på vegne av behandlingsansvarlig for å kunne levere de avtalte tjenestene.

Databehandler kan behandle de Personopplysningene som er nødvendige for å levere de avtalte tjenestene samt administrere avtaleforholdet.

Vedlegg 1 beskriver hvilke typer personopplysninger Databehandleren behandler og formålet med behandlingen. Databehandler skal ikke behandle personopplysninger for andre formål enn det som fremgår her.

4. Den Behandlingsansvarliges plikter
Den Behandlingsansvarlige er ansvarlig for at personopplysninger behandles i henhold til kravene i Personvernlovgivningen og GDPR. Den Behandlingsansvarlige må sikre at det finnes et lovlig grunnlag for behandlingen av Personopplysningene.

Med mindre noe annet er avtalt eller følger av lov har den Behandlingsansvarlige rett til tilgang til og innsyn i de Personopplysningene Databehandleren behandler og de systemene Databehandleren bruker til dette formålet. Databehandler plikter å gi nødvendig bistand til dette.

5. Databehandlerens plikter
Databehandleren skal:

a. kun Behandle Personopplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige;
b. sikre at de personene som er autorisert til å Behandle Personopplysningene er underlagt taushetsplikt;
c. oppfylle de krav til sikkerhetstiltak som følger av Personvernlovgivningen og GDPR, herunder gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak som beskrevet i Vedlegg 2 for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen;
d. bistå den Behandlingsansvarlige med å etterleve kravene til å etablere et egnet sikkerhetsnivå i henhold til GDPR artikkel 32-36, herunder gjennomføre nødvendige tiltak som å varsle om sikkerhetsbrudd, vurdere personvernkonsekvenser og gjennomføre forhåndsdrøftinger, og
e. etter den Behandlingsansvarliges valg, kostnadsfritt slette og/eller tilbakeføre Personopplysningene samt eventuelle kopier av Personopplysningene når i) Databehandleravtalen opphører etter punkt 13 eller ii) den Behandlingsansvarlige krever det (med mindre Personvernlovgivningen, GDPR eller annen lovgivning krever at Personopplysningene skal oppbevares).

Databehandler skal gi den Behandlingsansvarlige tilgang til informasjon som viser at Databehandleren oppfyller sine forpliktelser.

Partene skal umiddelbart varsle hverandre dersom den ene parten mener at instrukser eller krav fra den andre parten er i strid med Personvernlovgivningen eller GDPR.

6. Databehandlerens bruk av underleverandører
Enhver tredjepart som behandler Personopplysninger på vegne av Databehandleren regnes som en underleverandør. De Underleverandørene som Databehandleren benytter i forbindelse med Tjenesteavtalen er beskrevet i Vedlegg 3. Den Behandlingsansvarlige aksepterer at Databehandler benytter disse underleverandørene.

Databehandleren skal sikre at Underleverandørene er kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfyller disse kravene.

Den Behandlingsansvarlige aksepterer at Databehandleren benytter andre underleverandører enn dem som er beskrevet i Vedlegg 3 forutsatt at Databehandleren underretter den Behandlingsansvarlige i før behandlingen tar til. Den behandlingsansvarlige har i så fall rett til å motsette seg slik bruk

7. Databehandlerens overføring av personopplysninger til utlandet
Databehandleren kan overføre de Personopplysningene Databehandleren behandler på vegne av den Behandlingsansvarlige til de land der Databehandleren og Underleverandørene driver sin virksomhet og lagre dem her.

Den Behandlingsansvarlige er kjent med dette og godtar denne overføringen så lenge den er nødvendig for å gjennomføre de avtalte leveransene.

Den Behandlingsansvarlige godtar at Personopplysningene behandles utenfor Norge. Databehandler skal likevel ikke overføre Personopplysninger til land ikke sikrer et tilstrekkelig beskyttelsesnivå etter GDPR artikkel 45 uten et forutgående skriftlig samtykke fra den Behandlingsansvarlige.

Dersom den Behandlingsansvarlige godtar overføring til andre tredjeland, skal Databehandleren sørge for at overføringen omfattes av nødvendige garantier etter GDPR artikkel 46 eller bindende virksomhetsregler etter GDPR artikkel 47.

8. Partenes ansvar for å håndtere De registrertes rettigheter
Den Behandlingsansvarlige skal være kontaktpunkt for De registrerte og gi nødvendig informasjon om behandlingen.

Den Behandlingsansvarlige er ansvarlig for å håndtere krav om innsyn, retting, sletting, begrensning, dataportabilitet mv. samt sikre at slike krav imøtekommes.

Databehandler skal medvirke til at den Behandlingsansvarlige kan oppfylle sine forpliktelser knyttet til De registrertes rettigheter.

9. Partenes ansvar for avvikshåndtering og varsling
Enhver bruk av informasjonssystemer i strid med Databehandlers fastlagte rutiner, den Behandlingsansvarliges instrukser, Personvernlovgivningen eller GDPR, samt ethvert annet sikkerhetsbrudd, skal håndteres som et avvik.

Partene skal etablere og opprettholde rutiner og systematiske tiltak for oppfølging av avvik, herunder tiltak for gjenoppretting av normaltilstand, fjerning av årsaken til avviket og hindre gjentakelse.

Partene skal, så snart de får kunnskap om et avvik, uten ugrunnet opphold informere hverandre om eventuelle sikkerhetsbrudd og umiddelbart iverksette alle nødvendige og hensiktsmessige tiltak for å gjenopprette normaltilstand.

Den Behandlingsansvarlige er ansvarlig for å sende avviksmelding til Datatilsynet og De registrerte. Databehandleren skal, om nødvendig, bistå den Behandlingsansvarlige ved en slik varsling.

10. Sikkerhetsrevisjoner
Den Behandlingsansvarlig har rett til å gjennomføre jevnlige sikkerhets¬revisjoner av de systemer mv. som omfattes av denne avtalen. Dette skal skje etter avtale med Databehandleren.

Databehandler skal gi nødvendig bistand i forbindelse med gjennomføringen.

11. Taushetsplikt
Databehandleren har taushetsplikt om de Personopplysninger og dokumentasjon som Databehandler får tilgang til gjennom Databehandleravtalen.

Databehandleren skal innhente taushetserklæring fra egne ansatte og andre som gis tilgang til opplysningene.

Databehandleren skal ikke levere ut eller gi tilgang til Personopplysningene til andre enn egne ansatte, egne databehandlere eller til ansatte hos Behandlingsansvarlig, uten at dette er avtalt skriftlig med Behandlingsansvarlig eller følger av lov, forskrift mv.

12. Avtalens varighet
Avtalen gjelder så lenge Databehandleren behandler Personopplysninger på vegne av den Behandlingsansvarlige.

13. Ved opphør
Når Databehandleravtalen opphører skal Databehandleren levere tilbake alle Personopplysninger som omfattes av Databehandleravtalen eller slette dem.

Personopplysningene skal kun slettes etter skriftlig instruks fra den Behandlings¬ansvarlige.

Partene avtaler nærmere hvordan overføring eller sletting konkret skal skje.

Databehandleren skal skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter Databehandleravtalen opphører.

14. Lovvalg og verneting
Avtalen er underlagt norsk rett. Partene vedtar Nedre Romerike Tingrett som verneting.

 

Vedlegg 1 – beskrivelse av personopplysningene og formålet med behandlingen

Kategorier personopplysninger Kategorier av registrerte Formålet med behandlingen

 

Typer tjenester dette er relevant for
Personalia (navn, alder, stilling, kjønn mv.) Ansatte hos Behandlingsansvarlig – Kommunikasjon med og oppfølging av den Behandlingsansvarlige 1,2,3,4,5,6,7,8,9,10
Kontaktinformasjon (mobilnr. e-postadresse, adresse fastnr. adresse mv.) Ansatte hos Behandlingsansvarlig – Kommunikasjon med og oppfølging av den Behandlingsansvarlige

 

1,2,3,4,5,6,7,8,9,10
Metadata (IP-adresse, tidspunkt, lokasjon mv.) Ansatte hos Behandlingsansvarlig – Levere avtalte tjenester

 

1,2,3,9,10
Innhold kunden gir SNORRE Data tilgang til Ansatte hos Behandlingsansvarlig og andre personer den Behandlingsansvarlige har opplysninger om – Levere avtalte tjenester

– Utføre andre oppgaver på vegne av den Behandlingsansvarlige slik som gjenoppretting av filer

1,2,3,4,6,8
Loggdata og annen sikkerhetsrelatert data (brukernavn, passord mv.) Ansatte hos Behandlingsansvarlig – Levere avtalte tjenester

– Autentisere bruker og etablere andre logiske sikkerhets tiltak

1,2,3,4,6,7,8,9

 

 

Tjeneste Nummer
ASP/HOSTING 1
Fjerndrift 2
Vedlikehold 3
Office 365 4
Cylance Protect 5
WEB hotell/domene håndtering 6
Symantec 7
Online Backup/BAAS/DRAAS 8
Support 9
WLAN drift/support 10

 

Vedlegg 2 – tekniske og organisatoriske tiltak for å etablere informasjonssikkerhet

 

Fysisk adgangskontroll

SNORRE data skal implementere nødvendige tiltak, selv eller ved bruk av en tredjepart, for å forhindre uvedkommende fysisk tilgang til de personopplysningene som Databehandler behandler på vegne av Behandlingsansvarlig. Dette inkluderer, men er ikke begrenset til, tiltak som bruk av sikkerhetspersonell, og bruk av sikre bygninger og lokasjoner.

 

Systemadgangskontroll

SNORRE data skal implementere hensiktsmessige tiltak for å forhindre at personopplysninger behandles urettmessig. Disse tiltakene vil variere med behandlingen og inkluderer, men er ikke begrenset til, autentisering med brukernavn og passord, tofaktor autentisering, dokumenterte autorisasjonsprosesser, dokumenterte endringshåndteringsprosesser og logging på flere nivåer.

 

Overføringskontroll

SNORRE data skal, så langt det er praktisk gjennomførbart, implementere hensiktsmessige tiltak for å forsikre at det er mulig å overføre data til rette vedkommende uten at dataene kan leses, kopieres, endres eller slettes uautorisert under dataoverføringen.

 

 

Backup

Backup foretas i tråd med Tjenesteavtalen. For tjenester som ikke inkluderer backup står Kunden selv ansvarlig for å besørge hensiktsmessig backup.

 

Logisk separasjon

Data fra ulike Kunder er logisk separert i SNORRE Data sine systemer for å sikre at personopplysninger som registreres for ulike formål kan behandles hver for seg.

 

Vedlegg 3 – oversikt over databehandlerens underleverandører

Navn på selskap Org.nr. Adresse Kontaktinformasjon Type tjeneste Behandlings-/lagringssted (land)
SYSE AS NO 981 535 286 MVA Møllegaten 12, 3111 Tønsberg, Norge Telefon: 33 34 97 00

E-post: post@syste.no

Web-hosting Norge
Microsoft NO 957 485 030 MVA Lysaker torg 45
1366 Lysaker, Norge
Telefon: 23 50 05 00

 

Office 365 EU/EØS
Data Design AS NO 911 197 146 MVA Fossveien 532,
2337 Tangen, Norge
Telefon: 62 58 71 00

E-post: info@webmercs.com

Web shop EU/EØS