Tjenesteavtale

Gjelder ved kjøp av våre tjenester:

Tjenestebeskrivelser:

Databehandleravtale

Oppdatert: 3. desember 2018

1    DEFINISJONER

Relevante definisjoner fra gjeldende personvernlovgiving, det vil si EUs forordning 2016/679 (GDPR) og LOV-2018-06-15-38 Lov om behandling av personopplysninger (personopplysningsloven), gjelder også her.

2    BAKGRUNN OG FORMÅL

Som følge av tjenesteavtalen vil databehandler behandle personopplysninger på vegne av behandlingsansvarlig. Roller og ansvar som behandlingsansvarlig og databehandler følger av gjeldende personvernlovgivning, men er også beskrevet nærmere i denne avtalen.

Denne avtalen skal regulere rettigheter og plikter i tråd med gjeldende personvernlovgivning, for å sikre at ikke personopplysninger kommer uberettigede i hende, eller blir urettmessig brukt, endret, eller slettet. Dette inkluderer behandling av personopplysninger i samband med innsamling, overføring, lagring, prosessering og utgivelse av tilgang.

Databehandler skal kun behandle personopplysninger etter instruks fra behandlingsansvarlig. Instruks for databehandlingen er i hovedsak gitt i tjenesteavtalen, og databehandlingens formål fremgår videre av tjenestebeskrivelsen. Avtalen utelukker likevel ikke at annet juridisk grunnlag kan benyttes for databehandling av andre data til alternative formål, hvor for eksempel samtykke er lovlig innhentet fra den registrerte og databehandler selv inntrer i rollen som behandlingsansvarlig for slike formål.

3    KATEGORIER AV DATA

Personopplysninger som under denne avtalen kan behandles av databehandler, inkluderer:

  • Navn (inkludert kallenavn) på brukere (inkl. for kundens ansatte, konsulenter, partnere);
  • Kontaktopplysninger for brukere (e-post, telefonnummer, etc.);
  • Tekniske data om brukeres klienter (IP-adresse, operativsystem, etc.);
  • Stilling, avdelingstilhørighet, arbeidssted, overordnede for brukere;
  • E-post som analyseres/rapporteres av brukere (inkludert avsender og mottaker(e));
  • Personlig status og progresjon for brukere;
  • Brukeres besvarelser på skjema i tjenesten;
  • Kommunikasjon innenfor tjenesten mellom brukere;
  • Tjenesterelatert kommunikasjon mot brukere;
  • Logger for bruk av tjenesten, inkludert feilmeldinger.

4    DATABEHANDLERS PLIKTER

Databehandler skal forvalte og utøve rutiner og instrukser for behandlingen som er nødvendig for en forsvarlig behandling av personopplysninger i henhold til gjeldende personvernlovgivning.

Databehandler har selv ansvar å sørge for at alle personopplysninger behandles i samsvar med vilkårene i avtalen. Ikke noe i avtalen eller tjenesteavtalen skal forhindre behandlingsansvarlig i å gjøre tiltak som er nødvendige for å være i samsvar med gjeldende personvernlovgivning.

Databehandler skal til enhver tid spesifisere hvor det er lagret personopplysninger på vegne av behandlingsansvarlig. Alle personopplysninger som er omfattet av avtalen skal til enhver tid behandles og lagres innenfor EU/EØS, og skal ikke overføres til land utenfor dette området uten skriftlig forhåndsgodkjenning fra behandlingsansvarlig.

Databehandler skal sørge for å gi behandlingsansvarlig nødvendig assistanse til å overholde sine forpliktelser under gjeldende personvernlovgivning. Dette inkluderer, men er ikke begrenset til, behandlingsansvarliges forpliktelse til å innfri de registrertes rettigheter med tanke på innsyn, retting, sletting, begrensning av behandling og dataportabilitet, i den grad dette er nødvendig for den behandlingsansvarliges oppfyllelse av loven.

Databehandler har taushetsplikt om alle personopplysninger som behandles i henhold til denne avtalen. Denne bestemmelsen skal gjenspeiles videre i kontrakter med ansatte, konsulenter og underleverandører, og gjelder også etter avtalens opphør.

Dersom det er påkrevd av gjeldende lovverk, kan likevel databehandler gi tredjepart innsyn i personopplysninger etter at behandlingsansvarlig er gitt skriftlig melding om at en slikt krav om innsyn er fremstilt, slik at anledning til å motsette seg slikt innsyn er gitt der en mulighet kan eksistere til dette.

5    INFORMASJONSSIKKERHET

Databehandler skal ha implementert passende tiltak for informasjonssikkerhet som tar høyde for type, omfang og formål for behandling av personopplysninger, og samtidig den risiko som er forbundet med slik behandling, etter vurdering av kost/nytte og tiltakenes egnethet til å redusere slik risiko.

Tiltakene skal omfatte tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak egnet til å beskytte personopplysninger som omfattes av tjenesteavtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.

Databehandler skal praktisere en systematisk tilnærming til internkontroll av informasjonssikkerhet i virksomheten, ved hjelp av et styringssystem basert på ISO/IEC 27001 eller tilsvarende. Basert på dette skal blant annet følgende tiltak være implementert:

  • Personlig tilgangskontroll for all tilgang til personopplysninger, underlagt tekniske mekanismer for autorisasjon og prosedyrer for tildeling og fjerning av tilganger;
  • Sikker kommunikasjon ved hjelp av krypterte tilkoblinger for konfidensialitet og integritet ved overføring av personopplysninger i nettverk utenfor databehandlers kontroll;
  • Pseudonymisering og kryptering som vanskeliggjør identifisering av individer og sammenstilling av personopplysninger dersom disse kommer til behandling utenfor autoriserte systemer;
  • Rutiner for vedlikehold og oppdatering av programvare slik at kjente sårbarheter ikke kan utnyttes;
  • Fysisk adgangskontroll for alt utstyr og infrastruktur hvor personopplysninger behandles i en form hvor logisk tilgangskontroll ikke er implementert eller effektiv alene;
  • Prosedyrer for sletting av ukrypterte lagringsmedier etter endt bruk, slik at gjenoppretting gjøres så vanskelig som mulig for uvedkommende;
  • Opplæring i informasjonssikkerhet og behandling av personopplysninger for alle medarbeidere som gis tilgang til systemer hvor slike opplysninger behandles.

6    UNDERLEVERANDØRER

Databehandler har kun anledning til å bruke underleverandører til behandling av personopplysninger hvor kunden er behandlingsansvarlig, etter forhåndsgodkjenning fra kunden.

Alle aktører som utfører behandling av slike personopplysninger på vegne av databehandler, er kunngjort på leverandørens nettsider.

Det er databehandler sitt ansvar at det er inngått databehandleravtale med alle slike underleverandører, og at eventuelle underleverandører av disse igjen er godkjent av databehandler for samsvar med både gjeldende personvernlovgivning og ivaretakelse av krav som gjøres gjeldende gjennom denne avtalen. Databehandler skal også forsikre seg om et tilsvarende sikkerhetsnivå hos underleverandøren som i denne avtalen, og må ved forespørsel kunne fremlegge databehandleravtale med aktuelle underleverandører til gjennomsyn for kunden.

7    REVISJON

Databehandler skal etter eget initiativ benytte en systematisk tilnærming til å avdekke og håndtere eventuelle avvik i samband med behandling av personopplysninger, for å sikre kontinuerlig samsvar med denne avtalen og gjeldende personvernlovgivning.

Databehandler skal minimum én gang per år utføre sikkerhetstest av systemer omfattet av tjenesteavtalen, og gi behandlingsansvarlig tilgang til resultater fra slike sikkerhetstester ved forespørsel. Databehandler forplikter seg til å rette eventuelle funn innen rimelig tid med hensyn til det enkelte funnets alvorlighetsgrad og risiko for utnyttelse.

Databehandler skal bistå behandlingsansvarlig i samband med kontroll fra tilsynsmyndigheter, i den grad dette er nødvendig for å vurdere hvorvidt personopplysninger behandles i samsvar med gjeldende personvernlovgivning.

Behandlingsansvarlig skal også ha selvstendig anledning til å gjøre revisjon av databehandler, herunder kunne engasjere uavhengig tredjepart for penetrasjonstest av systemer omfattet av tjenesteavtalen, i den grad databehandlers innsats blir forholdsmessig godtgjort etter avtalte vilkår i tjenesteavtalen.

I tilfeller hvor avvik blir identifisert skal partene umiddelbart gjøre tiltak som gjenoppretter etterlevelse av gjeldende personvernlovgivning.

8    VARSLING OM AVVIK

Dersom det oppstår avvik mellom denne avtalen og krav som følger av gjeldende personvernlovgiving, skal databehandler varsle behandlingsansvarlig om dette.

I tråd med gjeldende personvernlovgivning skal et slikt varsel om avvik gis til behandlingsansvarlig så snart som mulig, og uten ugrunnet opphold.

Varslingsplikten gjelder også der hvor det er mistanke om eller bekreftet at personopplysninger har kommet på avveie. Dersom dette er tilfelle, skal databehandler varsle behandlingsansvarlig senest innen 24 timer etter at mistanke om forholdet er oppstått.

Videre skal databehandler bistå behandlingsansvarlig i håndtering av hendelsen for å begrense personvernkonsekvenser i størst mulig grad, herunder å frembringe informasjon om:

  • Potensielt omfang av personopplysninger som hendelsen gjelder, inkludert estimert antall registrerte som er berørt og mulige konsekvenser for disse;
  • Tiltak som er gjort eller foreslått av databehandler for å håndtere hendelsen, inkludert skadebegrensende tiltak, og plan for gjenoppretting av tjenesten;
  • Kontaktopplysninger for personvernansvarlig hos databehandler.

9    ANSVAR

Databehandler kan holdes ansvarlig for erstatningskrav og bøter rettet mot behandlingsansvarlig, og kostnader relatert til dette, som skyldes databehandlers brudd på avtale om behandling av personopplysninger. Maksimalt erstatningsbeløp som behandlingsansvarlig kan kreve dekket av databehandler er begrenset oppad til maksimalt erstatningsbeløp som følger av tjenesteavtalen.

Behandlingsansvarlig har et selvstendig ansvar for risikovurdering, internkontroll og informasjonssikkerhet i samband med tjenesteutsetting til ekstern databehandler, som gjeldende personvernlovgivning krever.

10    VARIGHET OG OPPHØR

Denne avtalen er gyldig så lenge tjenesteavtalen er opprettholdt, og opphører automatisk ved oppsigelse eller utløp av tjenesteavtalen.

Ved brudd på avtalen eller gjeldende personvernlovgivning kan behandlingsansvarlig pålegge databehandler å stoppe videre behandling av personopplysninger med øyeblikkelig virkning.

Databehandler har ikke anledning til å fortsette behandling av personopplysninger på vegne av behandlingsansvarlig, etter opphør av avtalen.

Ved opphør av avtalen er databehandler pliktig til å slette alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige, og som omfattes av denne avtalen. Databehandler skal, uten ugrunnet opphold etter avtalens opphør, dokumentere skriftlig for behandlingsansvarlig at sletting har blitt utført i samsvar med avtalen.