Databehandleravtale 2.0

Databehandleravtale 2.0

Databehandleravtale for kunder av Pindena AS gjeldene for kunder registrert etter 13.01.2022.

Sist oppdatert: 13.01.2022
Avtalen er basert på Digitaliseringsdirektoratets standard databehandleravtale

Kilde til avtalen

Standard kontraktsbetemmelser

Mellom
Kunden (behandlingsansvarlig)
og
Pindena AS  (databehandler)
Org. nr.: 999 183 719
Klinestadmoen 10
3241 SANDEFJORD
Norge

1. Formålet med denne Databehandleravtalen

  1. Denne avtalen («Databehandleravtalen») fastsetter partenes rettigheter og plikter når Databehandleren behandler personopplysninger på vegne av den Behandlingsansvarlige som del av leveransene under Hovedavtalen. Databehandleravtalen har som formål å sikre at partene etterlever Gjeldende personvernregler. 
    Databehandleravtalen består av dette dokumentet, samt Bilag A, B, C, og D.
  2. Ved motstrid mellom Hovedavtalen og Databehandleravtalen, har Databehandleravtalen forrang når det gjelder forhold spesifikt knyttet til behandling av personopplysninger. Ved motstrid mellom Databehandleravtalen og dens bilag, har bilagene forrang.
  3. Databehandleravtalens Bilag A inneholder nærmere beskrivelse av behandlingen som skal foretas, herunder om behandlingsformål, kategorier av personopplysninger og registrerte, regler for sletting og tilbakelevering, partenes kontaktpersoner, samt hvilken eller hvilke underliggende avtaler behandlingen av personopplysninger er knyttet til (se definisjonen av Hovedavtalen nedenfor). 
  4. Databehandleravtalens Bilag B inneholder betingelser for bruk av Underdatabehandlere, samt en oversikt over godkjente Underdatabehandlere. 
  5. Databehandleravtalens Bilag C inneholder spesifikke instrukser for behandling av personopplysninger under Hovedavtalen, herunder sikkerhetstiltak og Behandlingsansvarliges rett til innsyn og revisjon av Databehandler og eventuelle Underdatabehandlere, samt sektorspesifikke bestemmelser om behandling av personopplysninger.
  6. Databehandleravtalens Bilag D inneholder endringer til standardteksten og eventuelle senere avtalte endringer i Databehandleravtalen.

2. Definisjoner

Gjeldende personvernregler: Den til enhver tid gjeldende versjon av EUs personvernforordning (2016/679) («personvernforordningen»), samt lov om behandling av personopplysninger av 15.06. 2018 (personopplysningsloven) med tilhørende forskrifter mv., samt eventuell annen relevant lovgivning som gjelder behandling og vern av personopplysninger og som er angitt i Bilag C, punkt C.7.

Hovedavtalen: En eller flere avtaler mellom Behandlingsansvarlig og Databehandler om levering av tjenester som innebærer behandling av personopplysninger, som nærmere angitt i Bilag A. Databehandleravtalen kan gjelde flere underliggende avtaler.

Underdatabehandler: Annen virksomhet som benyttes av Databehandler som underleverandør til behandling av personopplysninger under Hovedavtalen.

For personvernbegreper som ikke er definert i denne Databehandleravtalen gjelder definisjonene i personvernforordningen artikkel 4.

3. Behandlingsansvarliges plikter og rettigheter

Behandlingsansvarlige har ansvaret for at behandlingen av personopplysninger skjer i samsvar med Gjeldende personvernregler. Behandlingsansvarlige skal i den forbindelse særskilt sørge for at:

  1. Behandlingen av personopplysninger er formålsbestemt og basert på et gyldig rettsgrunnlag;
  2. De registrerte har mottatt nødvendig informasjon om behandlingen av personopplysningene;
  3. Behandlingsansvarlig har gjennomført tilstrekkelige risikovurderinger; og
  4. Databehandler til enhver tid har tilstrekkelige instrukser og informasjon for å oppfylle sine plikter i henhold til Databehandleravtalen og Gjeldende personvernregler.

4. Behandlingsansvarliges instrukser til Databehandleren 

  1. Databehandleren skal behandle personopplysningene i samsvar med Gjeldende personvernregler og den Behandlingsansvarliges dokumenterte instrukser, jf. punkt 4.2. Hvis annen behandling er nødvendig for å oppfylle forpliktelser som Databehandler er underlagt i henhold til gjeldende rett, skal Databehandleren underrette den Behandlingsansvarlige så langt dette er tillat ved lov, jf. personvernforordningen artikkel 28 (3) (a).
  2. Behandlingsansvarliges instrukser fremgår av Hovedavtalen og Databehandleravtalen med bilag. Databehandler skal omgående underrette den Behandlingsansvarlige, dersom vedkommende mener at instruksene er i strid med Gjeldende personvernregler, jf. personvernforordningen artikkel 28 (3) (h). 
  3. Eventuelle endringer i instrukser skal varsles til Databehandler gjennom oppdatering av Bilag D, og skal implementeres av Databehandler innen det tidspunkt Partene avtaler eller, om ingen konkret frist er avtalt, innen rimelig tid. Databehandler kan kreve at Behandlingsansvarlig dekker dokumenterte kostnader som påløper i forbindelse med implementeringen av slike endringer eller forholdsmessig justering av vederlaget under Hovedavtalen dersom den endrede instruksen innebærer løpende ekstra kostnader for Databehandleren. Det samme gjelder merkostnader som følge av endring av Gjeldende personvernregler som gjelder den Behandlingsansvarliges virksomhet.

5. Konfidensialitet og taushetsplikt

  1. Databehandleren skal sikre at ansatte og andre som har tilgang til personopplysninger er autorisert til å behandle slike personopplysninger på Databehandlers vegne. Dersom slik autorisasjon utløper eller trekkes tilbake, skal tilgangen til personopplysningene opphøre uten ugrunnet opphold. 
  2. Databehandleren skal kun autorisere personer som trenger tilgang til personopplysningene i forbindelse med arbeid for å kunne oppfylle Hovedavtalen, Databehandleravtalen og eventuelt annen behandling som er nødvendig for å oppfylle forpliktelser som Databehandler er underlagt i henhold til gjeldende rett, se punkt 4.1 siste setning.
  3. Databehandleren skal sikre at personer som er autorisert til å behandle personopplysninger på vegne av den Behandlingsansvarlige er underlagt taushetsplikt gjennom avtale eller lov. Taushetsplikten skal bestå også etter avtalens og/eller ansettelsesforholdets opphør. 
  4. Databehandleren skal kunne dokumentere at de relevante personer er underlagt ovennevnte taushetsplikt på forespørsel fra den Behandlingsansvarlige.
  5. Ved opphør av Databehandleravtalen plikter Databehandleren å avvikle alle tilganger til personopplysninger som behandles under avtalen.

6. Bistand til Behandlingsansvarlig

  1. Databehandleren skal på forespørsel bistå Behandlingsansvarlig med oppfyllelse av de registrertes rettigheter etter personvernforordningens kapittel III gjennom egnede tekniske eller organisatoriske tiltak. Plikten til å bistå gjelder likevel bare i den utstrekning dette er mulig og hensiktsmessig sett hen til karakteren og omfanget av behandlingen av personopplysninger under Hovedavtalen. 
  2. Databehandler skal uten ugrunnet opphold videresende alle henvendelser som Databehandler eventuelt mottar fra den registrerte vedrørende den registrertes rettigheter i henhold til Gjeldende personvernregler til Behandlingsansvarlig. Slike henvendelser kan kun besvares av Databehandler når dette er skriftlig godkjent av Behandlingsansvarlig. 
  3. Databehandleren skal bistå den Behandlingsansvarlige med å overholde kravene til personopplysningssikkerhet i personvernforordningen artikkel 32-36, herunder yte bistand ved personvernkonsekvensvurdering og forhåndsdrøftinger med Datatilsynet, sett hen til karakteren og omfanget av behandlingen av personopplysninger under Hovedavtalen.
  4. Hvis Databehandler på Behandlingsansvarliges forespørsel yter bistand som nevnt i punkt 6.1 eller  6.3, og bistanden går ut over det som er nødvendig for at Databehandleren skal oppfylle sine egne forpliktelser etter Gjeldende personvernregler, kan Databehandler kreve dekket sine dokumenterte kostnader knyttet til bistanden. Arbeid dekkes i henhold til prisbestemmelsene i Hovedavtalen.

7. Sikkerhet ved behandlingen

  1. Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå sett hen til behandlingens karakter og omfang, den tekniske utviklingen, implementeringskostnader og aktuelle risikoer for fysiske personers rettigheter og friheter. Databehandleren skal som minimum iverksette de tiltak som er spesifisert i Databehandleravtalens Bilag C.
  2. Databehandleren skal foreta risikovurderinger for å sikre at et egnet sikkerhetsnivå opprettholdes til enhver tid. Databehandleren skal herunder sørge for jevnlig testing, analyse og vurdering av sikkerhetstiltakene, særlig med hensyn til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og -tjenester, samt evne til raskt å gjenopprette tilgjengeligheten av personopplysningene ved hendelser. 
  3. Databehandler skal dokumentere risikovurderingen og sikkerhetstiltakene, og gjøre dem tilgjengelig for Behandlingsansvarlige på forespørsel, samt gi adgang til slik revisjon som er avtalt mellom partene, jf. Databehandleravtalens punkt 11.

8. Melding om brudd på personopplysningssikkerheten

  1. Databehandler skal uten ugrunnet opphold skriftlig underrette den Behandlingsansvarlige om eventuelle brudd på personopplysningssikkerheten, samt for øvrig gi slik bistand og informasjon som er nødvendig for at den Behandlingsansvarlige skal kunne melde bruddet til tilsynsmyndigheter i tråd med Gjeldende personvernregelverk.
  2. Underretning etter punkt 8.1 skal meddeles kontaktpunktet for Behandlingsansvarlig i henhold til Bilag C punkt C.9, og skal:
  • beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt,
  • inneholde navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes,
  • beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten, og
  • beskrive de tiltak som Databehandleren har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet. 

Informasjonen kan i den grad det det er nødvendig gis trinnvis uten ytterligere ugrunnet opphold.

  1. Databehandler plikter å gjennomføre alle de tiltak som med rimelighet kan kreves for å utbedre og unngå tilsvarende brudd på personopplysningssikkerheten. Databehandler skal, så langt det er mulig, rådføre seg med Behandlingsansvarlig om de tiltak som skal gjennomføres, herunder vurdere Behandlingsansvarliges eventuelle forslag til tiltak. 
  2. Behandlingsansvarlig er ansvarlig for å underrette Datatilsynet og de berørte registrerte om brudd på personopplysningssikkerheten. Databehandler skal ikke informere tredjeparter om brudd på personopplysningssikkerheten med mindre noe annet er påkrevd etter gjeldende rett eller det følger av uttrykkelig skriftlig instruks fra Behandlingsansvarlig.

9. Bruk av Underdatabehandler

  1. Databehandler kan kun benytte Underdatabehandler etter forutgående generell eller spesifikk skriftlig tillatelse fra Behandlingsansvarlig i samsvar med Databehandleravtalens Bilag B. Oversikt over godkjente Underdatabehandlere fremgår av Databehandleravtalens Bilag B. 
  2. Dersom en Databehandler engasjerer en Underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den Behandlingsansvarlige, plikter Databehandler å inngå skriftlig avtale med Underdatabehandleren som pålegger denne tilsvarende forpliktelser med hensyn til vern av personopplysninger som Databehandleren selv er underlagt etter denne Databehandleravtalen. Se punkt 9.7 med hensyn til bruk av standard tredjepartstjenester.
  3. Databehandler skal kun engasjere Underdatabehandlere som gjennomfører egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene etter Gjeldende personvernregler. Databehandler skal gjennomføre kontroller av Underdatabehandlere for å verifisere at tilfredsstillende tiltak er iverksatt. Databehandler skal kunne fremlegge rapporter fra slike kontroller for Behandlingsansvarlig på forespørsel.
  4. Dersom Behandlingsansvarlig motsetter seg endringer i bruken av Underdatabehandlere etter Databehandleravtalens Bilag B punkt B.1 skal Partene i god tro forhandle med sikte på å enes om en rimelig løsning på hvordan videre levering av tjenestene under Hovedavtalen skal gjennomføres, herunder om fordeling av eventuelle kostnader mellom Partene. Endringen i bruk av Underdatabehandlere kan ikke gjennomføres før Partene har kommet til enighet.
  5. Dersom Underdatabehandleren ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar på samme måte som om Databehandler selv sto for behandlingen.
  6. Databehandler plikter å forelegge avtaler med Underdatabehandlere for Behandlingsansvarlig på forespørsel. Dette gjelder likevel bare de delene av avtalen som er relevant for behandlingen av personopplysningene og med de begrensninger som eventuelt måtte følge av lov eller forskrift. Rent kommersielle vilkår kan uansett ikke kreves fremlagt.
  7. I den utstrekning Databehandleren benytter underleverandør som leverer standardiserte tredjepartstjenester som Behandlingsansvarlig uttrykkelig har akseptert at leveres på underleverandørens standardvilkår i henhold til Hovedavtalen, og som Databehandleren følger opp på Behandlingsansvarliges vegne, kan partene blir enige om at underleverandørens standard databehandleravtale legges til grunn og gjøres gjeldende direkte overfor Behandlingsansvarlig som et direkte databehandlerforhold (altså ikke som Underdatabehandler) forutsatt at den oppfyller kravene i Gjeldende personvernregler. Databehandleren skal følge opp databehandleravtalen med underleverandøren på vegne av Behandlingsansvarlig med mindre annet er avtalt i det enkelte tilfellet.

10. Overføring av personopplysninger til land utenfor EØS-området

  1. Personopplysninger kan bare overføres til et land utenfor EØS-området (‘Tredjestat’) eller til internasjonal organisasjon hvis Behandlingsansvarlig skriftlig har godkjent slik overføring og vilkårene i punkt 10.3 er oppfylt. Som overføring regnes blant annet å:
  • behandle personopplysningene i datasentre o.l. som er lokalisert i Tredjestat eller av personell som er lokalisert i Tredjestat (ved fjerntilgang);
  • overlate behandlingen av personopplysninger til Underdatabehandler i Tredjestat; eller 
  • utlevere personopplysningene til en Behandlingsansvarlig i Tredjestat eller i en internasjonal organisasjon.
  1. Databehandler kan likevel overføre personopplysninger dersom det kreves i henhold til gjeldende rett i EØS-området. I slike tilfeller skal Databehandler underrette Behandlingsansvarlig så langt dette er tillat ved lov.
  2. Overføring til Tredjestater eller internasjonale organisasjoner kan kun finne sted dersom det foreligger nødvendige garantier for et tilstrekkelig beskyttelsesnivå for personvern i henhold til Gjeldende personvernregler. Med mindre annet er avtalt mellom Partene kan slik overførsel kun finne sted med grunnlag i:
  • en av EU-kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå i henhold til personvernforordningen artikkel 45; eller
  • en Databehandleravtale som inkorporerer standard personvernbestemmelser som angitt i personvernforordningen artikkel 46 (2) (c) eller (d) (EU Model clauses); eller
  • bindende virksomhetsregler (Binding Corporate Rules) i henhold til personvernforordningen artikkel 47.

4. Den Behandlingsansvarliges eventuelle godkjennelse av at personopplysninger overføres til en Tredjestat eller internasjonal organisasjon skal fremgå av Databehandleravtalens Bilag B.

11. Generelt om revisjon

  1. Databehandler skal på forespørsel gjøre tilgjengelig for den Behandlingsansvarlige, all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i personvernforordningen artikkel 28 og denne Databehandleravtalen er oppfylt.
  2. Databehandler skal muliggjøre og bidra ved inspeksjoner og revisjoner som gjennomføres av eller på oppdrag fra Behandlingsansvarlig. Databehandler skal også muliggjøre og bidra ved inspeksjoner fra aktuelle tilsynsmyndigheter. Den Behandlingsansvarliges tilsyn med eventuelle Underdatabehandler skal skje gjennom Databehandleren med mindre annet er særskilt avtalt. Nærmere rutiner for gjennomføring av revisjoner fremgår av bilag C punkt C.5.
  3. Dersom en revisjon avdekker avvik fra forpliktelsene i Gjeldende personvernregler eller Databehandleravtalen, skal Databehandler så snart som mulig utbedre avviket. Behandlingsansvarlig kan kreve at Databehandleren midlertidig stopper hele eller deler av behandlingsaktivitetene frem til utbedringen er godkjent av Behandlingsansvarlig. 
  4. Hver av Partene dekker sine egne kostnader forbundet med en årlig revisjon. Hvis en revisjon avdekker vesentlige brudd på forpliktelsene etter Gjeldende personvernregler eller Databehandleravtalen, skal Databehandleren likevel dekke Behandlingsansvarliges rimelige kostnader forbundet med revisjonen.

12. Sletting og tilbakelevering av opplysninger

  1. Ved opphør av denne Databehandleravtalen plikter Databehandler å tilbakelevere og slette alle personopplysninger som behandles på vegne av Behandlingsansvarlig under Databehandleravtalen i samsvar med bestemmelsene i Bilag C punkt C.6. Dette gjelder også eventuelle sikkerhetskopier. 
  2. Behandlingsansvarlig bestemmer hvordan en eventuell tilbakelevering av personopplysninger skal skje. Behandlingsansvarlig kan kreve tilbakelevering skjer på et strukturert og alminnelig anvendt maskinlesbart format. Behandlingsansvarlig skal dekke Databehandlerens dokumenterte kostnader til tilbakelevering med mindre dette er inkludert i vederlaget under Hovedavtalen.
  3. Hvis det benyttes delt infrastruktur eller backup der direkte sletting ikke er teknisk mulig, skal Databehandler sørge for at personopplysningene gjøres utilgjengelige inntil de er overskrevet. 
  4. Databehandler skal bekrefte skriftlig overfor Behandlingsansvarlig at sletting eller utilgjengeliggjøring er foretatt og skal på forespørsel dokumentere hvordan det er gjennomført. 
  5. Nærmere bestemmelser om sletting og tilbakeleveringer fremgår av bilag C.

13. Mislighold og pålegg om stans

  1. Ved brudd på Databehandleravtalen og/eller Gjeldende personvernregler, kan Behandlingsansvarlig og aktuelle tilsynsmyndigheter pålegge Databehandler å stoppe hele eller deler av behandlingen av opplysningene med øyeblikkelig virkning.
  2. Dersom Databehandler ikke overholder sine plikter i henhold til denne Databehandleravtale og/eller Gjeldende personvernregler, vil dette anses som mislighold av Hovedavtalen, og de plikter, frister, sanksjoner og ansvarsbegrensninger som følger av Hovedavtalens regulering av Leverandørens mislighold kommer til anvendelse, med mindre annet er uttrykkelig avtalt mellom partene i Bilag D.

14. Varighet og opphør

  1. Databehandleravtalen gjelder fra den er signert av begge Parter. Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Den gjelder også for eventuelle personopplysninger som måtte finnes hos Databehandler eller noen av dennes Underdatabehandler etter Hovedavtalens opphør. 
  2. Reglene om oppsigelse i Hovedavtalen gjelder tilsvarende for Databehandleravtalen, så langt det passer. Databehandleravtalen kan ikke sies opp så lenge Hovedavtalen består med mindre den avløses av en ny databehandleravtale.

15. Lovvalg og verneting

Avtalen er underlagt norsk rett. Tvister løses i samsvar med Hovedavtalens bestemmelser, herunder eventuelle bestemmelser om verneting.

Bilag A – Opplysninger om behandlingen

A.1 Hovedavtalen og formålet med behandlingen av personopplysninger 

Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige er knyttet til å levere tjenester som beskrevet i Hovedavtalen. 

Med Hovedavtalen menes følgende avtale inngått mellom partene:

  • Lisensavtale Pindena AS

Behandlingen har følgende formål:

  • Samle inn informasjon for å kunne gjennomføre arrangement

A.2 Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige 

Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige omhandler:

  • Innsamling av personopplysninger
  • Kommunikasjon med de registrerte pr e-post og sms
  • Sende spørreundersøkelse/evaluering
  • Behandle betaling, sende ordre til fakturasystemer
  • Lagre, organisere og oppbevare personopplysninger i påmeldingssystemet

A.3 Typer av personopplysninger

Behandlingsansvarlig må selv vurdere og ta ansvar for hvilke personopplysninger som skal innhentes ved bruk av systemet ihht GDPR artikkel 9. System levert av Databehandler legger ingen begrensning på personopplysninger som kan innhentes.

Behandlingsansvarlig vil som regel innhente standard personopplysninger som navn, e-post, telefonnummer, og ved behov informasjon om betaling eller arbeidssted.

Behandlingsansvarlig kan ved saklig behov innhente personopplysninger som fødselsnummer, passnummer eller annen identifikasjon for sikker identifisering.

Behandlingsansvarlig kan unntaksvis og ved lovlig grunnlag innhente personopplysninger i henhold til GDPR artikkel 9 (1) som rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

A.4 Kategorier av registrerte

Behandlingsansvarlig registrerer personopplysninger i fritt valgte kategorier.

A.5 Varighet av behandlingen

Databehandlers behandling av personopplysninger under Hovedavtalen kan påbegynne når Databehandleravtalen har trådt i kraft. Behandlingen er ikke tidsbegrenset, og varer frem til opphør av Hovedavtalen.

Ved opphør (av avtalen eller en behandling) skal personopplysninger tilbakeleveres og slettes i samsvar med Databehandleravtalen punkt 12 og instruksjonene i Bilag C.

Bilag B – Betingelser for Databehandlerens bruk og endring av eventuelle Underdatabehandlere

B.1 Behandlingsansvarliges godkjennelse av bruk av Underdatabehandlere

Ved inngåelse av Databehandleravtalen godkjenner Behandlingsansvarlig bruk av de Underdatabehandlere som er oppført i punkt B.2.

For endringer i bruk av Underdatabehandlere er det i tillegg avtalt følgende:

Databehandler kan gjennomføre endringer i bruken av Underdatabehandlere forutsatt at den Behandlingsansvarlige underrettes og gis mulighet til å motsette seg endringene. En slik underretning skal være mottatt av Behandlingsansvarlig senest 1 måned før endringen trer i kraft, med mindre annet er avtalt skriftlig mellom partene. 

Hvis Behandlingsansvarlig motsetter seg endringen skal Databehandler underrettes så snart som mulig. Den Behandlingsansvarlige kan ikke motsette seg endringen uten saklig grunn.

B.2 Godkjente Underdatabehandlere

Dette er en generell Databehandleravtale for alle kunder. Vær oppmerksom på hvilke Underdatabehandlere som er valgt ved kontraktsinngåelse. 

Som standard benyttes Amazon-server i Stockholm og Twilio SendGrid for utsendelse av e-post. MailJet vil gradvis erstatte Twilio SendGrid.


Dersom man velger server i Norge (Deploi), vil e-post sendes med innebygd e-posttjeneste direkte fra serveren. 
Den Behandlingsansvarlige har godkjent bruk av følgende Underdatabehandlere
ifm drift av systemet:

NavnOrg.nrAdresseBeskrivelse av behandling
Amazon Web Services Inc.410 Terry Avenue North,
Seattle, WA 98109-5210, USA
Standard leverandør for for leie av virtuelle servere hvor programvare kjøres.
Data lagres på servere i Stockholm.
Mer info i Vedlegg C punkt C.4.
Twilio SendGrid 1801 California Street, Suite 500,
Denver, CO 80202, USA
E-post-utsendelse ifm arrangementer.
Mer info i Vedlegg C punkt C.4.
Mailjet SAS4, rue Jules Lefebvre
Paris, 75 75009, FR
E-post-utsendelse ifm arrangementer.
Mer info i Vedlegg C punkt C.4.
Link Mobility AS992 434 643Langkaia 1,
0150 OSLO
SMS utsendelse ifm arrangementer. Personvern.
Deploi922 105 006Enebakkveien 117
0680 OSLO
Alternativ leverandør for leie av virtuelle servere hvor programvare kjøres. Data lagres på servere,  som eies og driftes av Deploi, i Oslo. Databehandleravtale (inkl. i vilkår).

Det kan forekomme behandling av personopplysninger hos Underdatabehandlere
ifm utvikling og oppfølging av kunder. Den Behandlingsansvarlige har godkjent bruk av følgende Underdatabehandlere:

NavnOrg.nrAdresseBeskrivelse av behandlingen
Help Scout100 City Hall Square Suite 510, Boston, MA 02108, USATjenesten brukes til oppfølging av kundehenvendelser på e-post, chat og telefon. Databehandleravtale.
OnePageCRMUnit 30A, Kilkerrin Park 1
Liosban Industrial Estate,
Galway H91 XY29, Ireland
CRM system- Customer Relationship Management. Databehandler benytter denne tjenesten for å lagre kontaktinformasjon, samt henvendelser til og fra kunder.
Databehandleravtale (inkl. i vilkår).
Atlassian/JIRA1098 Harrison St, San Francisco, CA 94103 USADatabehandler bruker tjenesten for prosjektstyring ifm forbedring/utvikling. Databehandleravtale.
Google LLC 1600 Amphitheatre Parkway, Mountain View, CA 94043, USADatabehandler bruker tjenesten Google Workspace for e-post, kalender og lagring av dokumenter. Databehandleravtale.
CoreTrek984 587 406Klinestadmoen 10
3241 SANDEFJORD
Leverandør av utvikling og design, kun tilgang til personopplysninger ved tjenestebehov.

Databehandleren kan ikke bruke den enkelte Underdatabehandleren til en annen behandling enn avtalt eller la en annen Underdatabehandler utføre den beskrevne behandlingen i andre tilfeller enn det som følger av Bilag B, punkt B.1 om skifte av Underdatabehandler.

Bilag C – Instruks vedrørende behandling av personopplysninger

C.1 Behandlingens omfang og formål

Personopplysningene skal utelukkende behandles i det omfang og for de formål som er beskrevet i 

  • Hovedavtalen 
  • Databehandleravtalen med bilag

Databehandler har ikke råderett over personopplysningene utover det som er nødvendig for å oppfylle sine plikter etter Databehandleravtalen, og kan ikke behandle disse til egne formål.

C.2 Sikkerhet ved behandlingen

C.2.1 Angivelse av sikkerhetsnivå

Ut fra en vurdering av omfanget av personopplysninger som blir behandlet, typen opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt at behandlingen krever et høyt sikkerhetsnivå.
Begrunnelse for at behandlingen krever et høyt sikkerhetsnivå:

Behandlingen kan omfatte særlige kategorier av personopplysninger ihht artikkel 9 i GDPR, som krever særlig beskyttelse.

Databehandleren skal heretter ha rett og plikt til å ta beslutninger om tekniske og organisatoriske sikkerhetstiltak som skal iverksettes for å sørge for det nødvendige og avtalte sikkerhetsnivå.

C.2.2 Styringssystem for informasjonssikkerhet

Databehandleren skal ha et egnet styringssystem for informasjonssikkerhet. Databehandleren skal etablere og forvalte tilstrekkelige sikkerhetstiltak for å ivareta informasjonssikkerheten for behandling av personopplysningene, herunder sikkerhetstiltak som beskrevet nedenfor.

Krypteringstiltak

Definisjon og forklaring: Kryptering er en metode for koding av data på en slik måte at bare autoriserte personer har tilgang til opplysningene.

Databehandler bruker server-side kryptering på databaser i Amazon RDS og på filer som lastes opp til Amazon S3. Krypteringsnøkkelen er generert og lagret i Amazon KMS (Key Management Service).

På Deploi-servere krypteres ikke databaser eller filer.

Databehandler bruker https på alle installasjoner for å kryptere trafikken mellom nettleser og server. På de fleste servere tillates bare TLS1.3, men noen av de eldre har også TLS1.2.

Tiltak for å sikre personopplysningenes integritet og konfidensialitet

Definisjon og forklaring: Eksempler kan være tiltak for å kontrollere tilgang, samt sikre opplysningenes integritet.
Tilgang til personopplysninger begrenses ved at Behandlingsansvarlig har en egen installasjon hvor kun brukere har tilgang. Brukere kan aktivere tofaktorautentisering. Med Enterprise lisens, kan det benyttes avdelinger for å begrense antall brukere med tilgang.

Opplysninger som merkes som sensitive data i skjema, vil ikke sendes på e-post. 

Systemet har innstillinger for automatisk sletting av sensitive data og sletting av deltagere.

Ansatte hos Databehandler og Underleverandører som kan behandle personopplysninger har signert taushetserklæring. Tilgang til opplysningene skal skje ut fra et tjenestemessig behov. 

Databehandler sikrer integritet ved å logge hvem som gjør endringer i installasjonen og når.

Tiltak for å sikre tilgjengeligheten til personopplysningene

Databehandler tar daglig backup av alle serverne, både filer og databaser. Databehandler har også rutiner for gjenoppretting. 

Tiltak for fysisk sikring av lokaler hvor data behandles

Databehandler har to serverleverandører, AWS og Deploi, som hver har mange tiltak for fysisk sikring av data. Blant annet:

  • Låssystemer med tilgang for et begrenset antall personer
  • Brannsikring med varsling og brannhemmende tiltak
  • Avbruddsfri strømforsyning og dieselaggregat for reservestrøm
  • Temperatur- og fuktkontroll

Her finner du mer informasjon om fysisk sikring av data for AWS datasenter og Deploi datasenter.

Databehandlers kontorlokaler er sikret med låssystemer som krever adgangskort og kode utenfor arbeidstiden. Ansattes datamaskiner er sikret med passord og automatisk låsing når man går fra maskinen.

C.3 Dokumentasjon

Databehandler skal dokumentere de rutiner og tiltak som er iverksatt for å oppfylle kravene som kommer frem av Gjeldende personvernregler og Databehandleravtalen, herunder kravene til informasjonssikkerhet. Slik dokumentasjon skal oppbevares og ajourholdes så lenge Databehandleravtalen består, og gjøres tilgjengelig for Behandlingsansvarlig eller tilsynsmyndigheter på forespørsel.

C.4 Overføring av personopplysninger – Lokasjon for behandling og tilgang

Behandling av de personopplysninger som avtalen omfatter er beskrevet for hver Underdatabehandler som benyttes ifm drift av systemet og med lokasjon i tredjeland.

Amazon Web Services

Databehandler lagrer data fra installasjoner i påmeldingssystemet på servere i Stockholm, Sverige. Databehandler har avtale med Amazon Web Services EMEA SARL i Luxemburg, Europa, underlagt amerikanske lover. Data lagret («at rest») og data som er under overføring til og fra AWS («in transit») er kryptert, og krypteringsnøkkelen er generert og lagret i Amazon KMS (Key Management Service) slik at både lagring og henting av informasjon skal gå raskt nok.

Twilio SendGrid

Tjenesten brukes til utsendelse av e-post fra påmeldingssystemet og er standard dersom man velger Amazon-server. Risiko for tilgang til personopplysninger kan begrenses ved å merke felter i påmeldingsskjema som sensitiv informasjon. Disse feltene vil ikke sendes via e-post og blir ikke behandlet av SendGrid.

SendGrid lagrer metadata som e-postadresse for mottaker, tittel og avsender i maksimalt 30 dager. Twilio SendGrid er en amerikansk tjeneste og det rettslige grunnlaget for overføring av personopplysninger er Twilio SendGrid databehandleravtale.

MailJet

Tjenesten brukes til utsendelse av e-post fra påmeldingssystemet og benyttes kun på Amazon-server. Risiko for tilgang til personopplysninger kan begrenses ved å merke felter i påmeldingsskjema som sensitiv informasjon. Disse feltene vil ikke sendes via e-post og blir ikke behandlet av MailJet.MailJet er et fransk selskap med behandlingssted i Europa, underlagt amerikanske lover. MailJet databehandleravtale.

C.5 Rutiner for revisjon og tilsyn

For å kontrollere etterlevelse av Gjeldende personvernregler og Databehandleravtalen er det avtalt følgende:
Databehandler utfører intern revisjon årlig.
Behandlingsansvarlig har rett til å utføre revisjon på Databehandlers forretningssted for å verifisere Databehandlers etterlevelse av sine plikter i henhold til denne Databehandleravtalen eller Gjeldende personvernregler. 
Slike revisjoner skal:

  • Gjennomføres etter rimelig forhåndsvarsel og maksimalt én gang i året, med mindre sikkerhetsbrudd hos Databehandler eller andre særlige forhold gir grunn for hyppigere revisjoner;
  • Foregå innenfor normal arbeidstid og ikke forstyrre Databehandlers virksomhet unødvendig;
  • Utføres av ansatte hos Behandlingsansvarlig eller av tredjepart som er godkjent av Partene og underlagt taushetsplikt.

Databehandler plikter å stille til rådighet de ressurser som med rimelighet kan kreves for å gjennomføre revisjonen.

Behandlingsansvarlig skal dekke kostnader for eventuelle tredjeparter som benyttes til å gjennomføre revisjonen. For øvrig dekker Partene sine egne kostnader ved gjennomføring av revisjonen. Dersom revisjonen avdekker vesentlige brudd på forpliktelsene etter Gjeldende personvernregler eller Databehandleravtalen, skal Databehandler likevel dekke Behandlingsansvarliges rimelige kostnader ved revisjonen.

Databehandleren skal benytte ekstern revisor til å attestere at sikkerhetstiltak er etablert og virker etter hensikten. Slik revisjon skal:

  • Gjennomføres hvert 3. år
  • utføres i henhold til anerkjente attestasjonsstandarder, for eksempel ISAE 3402. 
  • utføres av en uavhengig tredjepart med tilstrekkelig kunnskap og erfaring

Rapportene skal fremlegges for Behandlingsansvarlig på forespørsel.

Databehandler skal i tillegg gi slik informasjon og bistand som er nødvendig for at Behandlingsansvarlig kan etterleve sine forpliktelser etter Gjeldende personvernregelverk.

C.6 Sletting og tilbakelevering av personopplysninger ved avtalens opphør

Alle personopplysninger som behandles under denne Databehandleravtale, samt eventuell annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig, skal på forespørsel tilbakeleveres ved opphør av Hovedavtalen. Behandlingsansvarlig skal dekke Databehandlers kostnader.

Ved avtalens opphørsdato plikter Databehandler å slette alle personopplysninger og annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlige. Sletting vil bli igangsatt etter 2 uker og deretter gjennomføres uten ugrunnet opphold senest innen 90 kalenderdager. Backup slettes etter ytterligere 10 dager.

Tilbakelevering skal skje på følgende måte: 

Behandlingsansvarlig kan velge om personopplysninger skal tilbakeleveres i Excel-format eller som en databasedump.

C.7 Sektorspesifikke bestemmelser om behandling av personopplysninger

Ingen.

C.8 Kontaktinformasjon

Ved henvendelser i henhold til denne avtalen, eksempelvis ved varsling om brudd på personopplysningssikkerheten eller endring i bruk av Underdatabehandlere, skal følgende kanaler benyttes:

  1. Databehandler kan kontaktes ved følgende kontakter/kontaktpunkter:
    post@pindena.no / tlf. 33 80 65 00
  2. Behandlingsansvarlig sin kontakt er den som har fylt ut Kontrakten.
  3. Partene skal være forpliktet til å fortløpende informere hverandre om endringer i kontakter/kontaktpunkter.

Bilag D – Ytterligere bestemmelser avtalt mellom partene

Databehandler har til enhver tid oppdatert personvernerklæring på nettsiden. Her er også informasjon samt linker til informasjon om sikkerhet. Hovedavtalen finnes i bestillingsskjema, slik at Behandlingsansvarlig leser over før de signerer.