green grass with bokeh lights

Databehandleravtale

1. Bakgrunn

  1. Voit AS er Databehandler og Behandler Personopplysninger på vegne av Kunden, som er Behandlingsansvarlig. Kunden er den som mottar tjenester hos Databehandler.
  2. Denne Avtalen regulerer Behandlingen av Personopplysninger som Databehandler gjør på vegne av Behandlingsansvarlig. Databehandler skal behandle Personopplysninger kun i henhold til de angitte og avtalte spesifiserte formål etter denne Avtalen.
  3. Den norske personopplysningsloven med forskrifter, og EU-forordning 2016/679, inneholder krav til reguleringen av forholdet mellom Databehandler og Behandlingsansvarlig, og til sikkerhets-tiltak og andre organisatoriske tiltak som må implementeres for å sørge for lovlig og sikker behandling av Personopplysninger. Denne Avtalen er derfor inngått for å sikre at Personopplysninger kun behandles i henhold til gjeldende lover og regler, og kun etter instruks fra Behandlingsansvarlig.

2 Definisjoner

Begrepene i denne avtalen er definert i Personopplysningsloven Artikkel 4.

3. Behandling av personopplysninger

3.1 Personopplysninger som behandles

Databehandler skal bistå Behandlingsansvarlig med behandling av Personopplysninger på vegne av Behandlingsansvarlig når den leverte tjenesten lagrer eller gjør bruk av Personopplysninger.

3.2 Formålet med Behandling av Personopplysninger

Formålet med Databehandlers Behandling av Personopplysninger etter denne Avtalen, er å gjennomføre det som omtales i tjenestebeskrivelsen.

4. Behandlingsansvarliges plikter

Behandlingsansvarlig bekrefter at:

  1. Det foreligger tilstrekkelig behandlingsgrunnlag for Behandling av Personopplysninger;
  2. Behandlingsansvarlig har rett til å benytte Databehandler til å behandle Personopplysninger på vegne av seg;
  3. Behandlingsansvarlig har ansvaret for nøyaktigheten, integriteten, innholdet, påliteligheten og lovligheten av Personopplysningene som Behandles; og
  4. Behandlingsansvarlig har informert de Registrerte i henhold til de til enhver tid gjeldende lovkrav.

Behandlingsansvarlig skal sørge for at Personopplysninger behandles i henhold til GDPR, svare på henvendelser fra de Registrerte og sørge for å implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre Personopplysningene som Behandles, jfr. GDPR artikkel 32.

Behandlingsansvarlig har plikt til å melde avvik til aktuelle tilsynsmyndigheter og eventuelt til de Registrerte uten ugrunnet opphold i henhold til GDPR.

5. Databehandlers forpliktelser

5.1 Grunnleggende forpliktelser

Databehandler skal bare behandle Personopplysninger på, og i samsvar med, instruks fra Behandlingsansvarlig og i tråd med GDPR.

Databehandler skal ikke uten forutgående skriftlig avtale med Behandlingsansvarlig eller skriftlige instrukser fra Behandlingsansvarlig behandle Personopplysninger utover det som er nødvendig for de formålene som er spesifisert i denne Avtalen.

Databehandler skal bistå Behandlingssansvarlig i å sikre og dokumentere at Behandlingsansvarlig overholder sine forpliktelser i henhold til GDPR.

Databehandler skal varsle Behandlingsansvarlig om Databehandler mottar instruks fra Behandlingsansvarlig som er i strid med GDPR.

5.2 Informasjonssikkerhet

Databehandler skal ved planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet, og tilgjengelighet i forbindelse med Behandling av Personopplysninger i samsvar med GDPR artikkel 32.

Databehandlers sikkerhetstiltak er generelt beskrevet i Tjenestebeskrivelsen. Ytterligere detaljer vedrørende tiltakene og internkontrolldokumentasjonen gjøres tilgjengelig for Behandlingsansvarlig på forespørsel. Databehandler skal følge instruks om håndtering av personopplysninger som er inntatt i Tjenestebeskrivelsen.

I vurderingen av hvilke tekniske og organisatoriske tiltak som skal implementeres, skal Databehandler i samråd med Behandlingsansvarlig ta i betraktning:

  • Beste praksis
  • Kostnaden ved implementering
  • Karakteren og omfanget av Behandlingen
  • Konteksten og formålet med Behandlingen
  • Alvorlighet av den risiko Behandlingen av Personopplysninger medfører for de Registrertes rettigheter

Databehandler skal, i samråd med Behandlingsansvarlig, vurdere:

  • Implementering av pseudonymisering og kryptering av Personopplysninger
  • Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet og robustheten til systemer for Behandling og tjenester
  • Evnen til å gjenopprette tilgjengelighet og tilgang til Personopplysninger til rett tid i tilfelle fysiske eller tekniske hendelser
  • En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til Behandlingen
5.3 Henvendelser fra de Registrerte

Databehandler skal implementere tekniske og organisatoriske tiltak for å bistå Behandlingsansvarlig med å svare på henvendelser angående utøvelse av de Registrertes rettigheter.

5.4 Bistand til Behandlingsansvarlig

Databehandler skal gi bistand slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift, herunder bistå Behandlingsansvarlig med å:

  • Implementere tekniske og organisatoriske tiltak som nevnt over,
  • Overholde varslingsplikt til tilsynsmyndigheter og Registrerte som følge av avvik,
  • Utføre vurdering av personvernkonsekvenser i henhold til GDPR artikkel 35,
  • Utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig, og

Bistand som nevnt over, skal utføres i den utstrekning det er nødvendig ut fra Behandlingsansvarlig sitt behov, karakteren av Behandlingen og informasjonen tilgjengelig for Databehandler.

5.5 Rutiner og varsling ved sikkerhetsbrudd

Enhver bruk av informasjonssystemene og Personopplysninger i strid med etablerte rutiner, instrukser fra Behandlingsansvarlig eller GDPR, så vel som sikkerhetsbrudd, skal behandles som avvik. Databehandler skal ha rutiner og prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket, og hindre gjentagelse.

Databehandler skal umiddelbart varsle Behandlingsansvarlig om ethvert brudd på denne Avtalen eller utilsiktet, ulovlig eller uautorisert tilgang, bruk eller utlevering av Personopplysninger, eller at Personopplysninger kan ha blitt kompromittert eller brudd på Personopplysningenes integritet.

Databehandler skal gi Behandlingsansvarlig all nødvendig informasjon for å sette Behandlingsansvarlig i stand til å overholde GDPR og sette Behandlingsansvarlig i stand til å besvare henvendelser fra datatilsynsmyndigheter. Det er Behandlingsansvarlig sitt ansvar å melde avvik til Datatilsynet i henhold til GDPR.

5.6 Sletterutiner

Personopplysninger skal slettes av Databehandler når de ikke lenger er nødvendig for å oppnå formålet de var samlet inn for. Behandlingsansvarlig skal definere rutinene for sletting og Databehandler skal følge og utføre disse.

5.7 Sletting ved opphør

Ved avslutning av Avtalen skal Databehandler umiddelbart opphøre Behandling av Personopplysninger på vegne av Behandlingsansvarlig. Databehandler skal, etter instruks fra Behandlingsansvarlig, i slikt tilfelle returnere eller slette alle Personopplysninger som er i Databehandlers besittelse i forbindelse med Behandling under denne Avtalen.

Ved sletting har Databehandler ikke rett til å beholde kopi av Personopplysninger gitt av Behandlingsansvarlig i forbindelse med Avtalen i noe format, og all fysisk og logisk tilgang til slike Personopplysninger eller data skal slettes, med mindre ufravikelig lovgivning pålegger videre lagring.

Databehandler skal på forespørsel gi Behandlingsansvarlig en skriftlig erklæring, hvoretter Databehandler garanterer at alle Personopplysninger har blitt returnert eller slettet i henhold til Behandlingsansvarliges instrukser, og at Databehandler ikke har beholdt noen kopi, utskrift eller beholdt Personopplysninger i annet medium.

5.8 Taushetsplikt

Databehandler har taushetsplikt om Personopplysninger. Databehandler skal sikre at alle som utfører arbeid for Databehandler, enten ansatte eller innleide, som har tilgang til eller er involvert i Behandling av Personopplysninger etter Avtalen (i) er underlagt taushetsplikt og (ii) er informert om og overholder forpliktelsene etter denne Avtalen. Taushetsplikten gjelder også etter opphør av Avtalen.

5.9 Årlige sikkerhetsrevisjoner

Behandlingsansvarlig kan gjennomføre årlig revisjon av Databehandlers Behandling av Personopplysninger. Databehandler skal legge til rette for dette. Behandlingsansvarlig har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart, som utarbeider en rapport som vil bli overlevert Behandlingsansvarlig på forespørsel. Databehandler kan beregne seg en særskilt godtgjørelse for gjennomføringen av revisjonen.

Databehandler vil jevnlig foreta sikkerhetsrevisjoner for systemer og lignende som er relevant for Behandlingen av Personopplysninger som omfattes av denne Avtalen. Behandlingsansvarlig kan be om tilgang til rapporter som dokumenterer sikkerhetsrevisjoner.

6. Bruk av underleverandører

6.1 Bruk av underleverandører

Enhver underleverandør skal godkjennes skriftlig av Behandlingsansvarlig før underleverandøren kan behandle Personopplysninger. Databehandler skal underrette Behandlingsansvarlig om eventuelle planer om å benytte andre eller skifte ut underleverandører. Databehandler skal inngå skriftlige avtaler med Underleverandører i henhold til punkt 5.2 og 5.3 nedenfor.

6.2 Avtale med underleverandører

Databehandler skal påse at underleverandører ikke Behandler Personopplysninger omfattet av Avtalen på annen måte enn det som er nødvendig for å levere tjenesten, og at Personopplysningene ikke overlates til andre for Behandling uten at dette følger av Avtalens eller på forhånd er skriftlig avtalt med Behandlingsansvarlig.

Databehandler skal påse at enhver avtale med en underleverandør inneholder de nødvendige bestemmelser om Behandling av Personopplysninger i henhold til GDPR artikkel 28. Databehandler er ansvarlig for at underleverandør Behandler Personopplysninger i henhold til kravene som følger av GDPR.

6.3 Særlig om underleverandører med infrastruktur utenfor EU/EØS

Dersom Databehandler skal inngå avtale med underleverandører i land utenfor EU/EØS, skal dette kun skje i henhold til EUs modellavtaler for overføring av personopplysninger til tredjeland eller annet til enhver tid gjeldende grunnlag for overføring til tredjeland i henhold til GDPR kapittel 5. Det samme gjelder selv om Personopplysninger oppbevares eller lagres i EU/EØS når personell med tilgang til Personopplysninger befinner seg utenfor EU/EØS.

7. Varighet

Denne Avtalen skal gjelde fra startdato for tjenester fra Databehandleren og inntil Databehandlers plikt til ytelse av tjenester til Behandlingsansvarlig opphører i henhold til tjenesteavtalen, med unntak av de bestemmelser i Avtalen som fortsetter å løpe etter avslutning. Forpliktelsene etter pkt. 4.8 skal fortsette å gjelde etter avslutning. Videre skal bestemmelsene i Avtalen gjelde fullt ut for eventuelle Personopplysninger beholdt av Databehandler i strid med pkt. 4.7.

8. Lovvalg og jurisdiksjon

Avtalen er underlagt norsk rett. Partene vedtar Midtre Hålogaland tingrett som verneting.

Copyright © Voit AS