Databehandleravtale

Databehandleravtale

Databehandleravtale for Kunder med Pindena

Sist endret dato: 23.03.2021
Se liste over endringer siden publisert dato 05.03.2021 her.

(Standard kontraktsbestemmelser)

Etter artikkel 28(3) i forordning 2016/679 (GDPR)
(som basert på Opinion 14/2019 av Personvernrådet).

Mellom
Kunden (behandlingsansvarlig)
og
Pindena AS  (databehandler)
Org. nr.: 999 183 719
Bjellandveien 24
3172 VEAR
Norge

1. Innhold

Hver omtalt som en «part» eller sammen som «partene»

Databehandleravtale gjelder for alle Kunder ved Kontraktinngåelse.

2. Innledning

  1. Disse standard kontraktsbestemmelser (Kontraktsbestemmelsene) regulerer rettigheter og plikter for behandlingsansvarlig og databehandler, når det behandles personopplysninger på vegne av den behandlingsansvarlige. 
  2. Kontraktsbestemmelsene er utformet for å sikre partenes overholdelse med artikkel 28(3) i Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning – GDPR). 
  3. I forbindelse med leveranse av Pindena Påmeldingssystem, vil databehandleren behandle personopplysninger på vegne av den behandlingsansvarlige i henhold til Kontraktsbestemmelsene.
  4. Kontraktsbestemmelsene skal ha forrang over andre tilsvarende bestemmelser i andre avtaler mellom partene. 
  5. Fire vedlegg er inntatt i Kontraktsbestemmelsene og anses som omfattet av Kontraktsbestemmelsene.
  6. Vedlegg A inneholder detaljer om behandlingen av personopplysninger, herunder behandlingens formål og art, typen personopplysninger, kategorier av registrerte og varigheten av behandlingen.
  7. Vedlegg B inneholder den behandlingsansvarliges vilkår for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere godkjent av den behandlingsansvarlige.
  8. Vedlegg C inneholder den behandlingsansvarliges instrukser for behandlingen av personopplysninger, minimum sikkerhetstiltak som skal implementeres av databehandleren og hvordan revisjoner av databehandleren og eventuelle underdatabehandlere skal gjennomføres.
  9. Vedlegg D inneholder regulering av andre aktiviteter som ikke er dekket av Kontraktsbestemmelsene.
  10. Kontraktsbestemmelsene skal ikke frita databehandleren fra plikter som databehandleren skal følge etter personvernforordningen (GDPR) eller annen lovgivning.

3. Behandlingsansvarliges rettigheter og plikter

  1. Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger utføres i samsvar med GDPR (se artikkel 24 i GDPR), personvernreglene i gjeldende EU eller Medlemsstats personvernregler og Kontraktsbestemmelsene.
  2. Den behandlingsansvarlige har rett og plikt til å fatte beslutninger om formålene med og midlene for behandlingen av personopplysninger.
  3. Den behandlingsansvarlige skal være ansvarlig, for blant annet, å sikre at behandlingen av personopplysninger, som databehandleren er instruert om å utføre, har et rettslig grunnlag.

4. Databehandleren skal handle etter instrukser 

Databehandleren skal behandle personopplysninger bare på dokumenterte instrukser fra den behandlingsansvarlige, med mindre det kreves i henhold til unionsretten eller Medlemsstatenes nasjonale rett som databehandleren er underlagt. Slike instrukser skal være spesifisert vedlegg A og C. Senere instrukser kan også gis av den behandlingsansvarlige i løpet av behandlingen av personopplysninger, men slike instrukser skal alltid være dokumenterte og oppbevares i skriftlig form, herunder elektronisk, i overensstemmelse med Kontraktsbestemmelsene.

Databehandleren skal omgående underrette den behandlingsansvarlige dersom vedkommende mener at en instruks gitt av den behandlingsansvarlige er i strid med GDPR eller andre bestemmelser om vern av personopplysninger i unionsretten eller Medlemsstatenes nasjonale rett.

5. Konfidensialitet

  1. Databehandleren skal kun gi tilgang til personopplysninger som behandles på vegne av den behandlingsansvarlige til personer som er under databehandlerens myndighet og som er forpliktet til konfidensialitet eller er underlagt egnet lovfestet taushetsplikt og kun som har nødvendig behov for tilgang. Listen over personer som har tilgang til personopplysningene skal regelmessig gjennomgås. Som følge av gjennomgang skal tilgang til personopplysningene bli trukket tilbake dersom slik tilgang ikke lenger er nødvendig for personene. 
  2. Databehandleren skal på anmodning fra den behandlingsansvarlige påvise at de involverte personene under databehandlerens myndighet er omfattet av ovennevnte konfidensialitetsplikt. 

6. Sikkerhet ved behandlingen

  1. Artikkel 32 i GDPR angir at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål av behandlingen og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. 

2. Den behandlingsansvarlige skal vurdere risikoen til rettigheter og friheter for fysiske personer som omfattes av behandling og implementere tiltak for å redusere risikoen. Avhengig av relevans, kan slike tiltak omfatte følgende: 

  • Pseudonymisering og kryptering av personopplysninger,
  • evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene,
  • evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse,
  • en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.
  1. I henhold til artikkel 32 i GDPR, skal databehandleren også – uavhengig fra den behandlingsansvarlige – vurdere risikoen til rettigheter og friheter for fysiske personer som omfattes av behandlingen og implementere tiltak for å redusere risikoen. For dette formål skal den behandlingsansvarlige tilveiebringe databehandleren med all informasjon som er nødvendig for å identifisere og vurdere slik risiko. 
  2. Videre skal databehandleren bistå den behandlingsansvarlige i å sikre overholdelse av den behandlingsansvarliges plikter etter artikkel 32 i GDPR, ved å bl.a. å sørge for at den behandlingsansvarlige får informasjon om tekniske og organisatoriske tiltak som er implementert av databehandleren i henhold til artikkel 32 i GDPR sammen med all annen informasjon som er nødvendig for den behandlingsansvarlige til å overholde dennes plikter under artikkel 32 i GDPR.

Dersom det i ettertid – ved vurderingen foretatt av den behandlingsansvarlige – viser seg at den identifiserte risiko krever implementering av ytterligere tiltak av databehandleren enn de tiltak som allerede er implementert av databehandleren etter artikkel 32 i GDPR, skal den behandlingsansvarlige spesifisere disse ytterligere tiltak som skal implementeres i Vedlegg C.

7. Bruk av underdatabehandlere

1. Databehandleren skal overholde kravene inntatt i artikkel 28(2) og (4) i GDPR for å engasjere en annen databehandler (en underdatabehandler).

2. Databehandleren skal derfor ikke engasjere annen databehandler (underdatabehandler) for oppfyllelse av Kontraktsbestemmelsene uten at det på forhånd er innhentet generell skriftlig tillatelse fra den behandlingsansvarlige.

3. Databehandleren er gitt generell tillatelse fra den behandlingsansvarlige for å engasjere underdatabehandlere. Databehandleren skal skriftlig underrette den behandlingsansvarlige om eventuelle planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere minst 1 måned på forhånd, og dermed gi den behandlingsansvarlige muligheten til å motsette seg slike endringer før underdatabehandler(e) engasjeres. Ytterligere tid for underrettelse for spesifikk underdatabehandling kan inntas i Vedlegg B. Liste over underdatabehandlere som allerede er godkjent av den behandlingsansvarlige kan inntas i Vedlegg B.
4. Dersom databehandleren engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal de samme forpliktelsene som er fastsatt i Kontraktsbestemmelsene bli pålagt underdatabehandleren ved avtale eller et annet rettslig dokument i henhold til unionsretten eller Medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i Kontraktsbestemmelsene og GDPR.
Databehandleren skal derfor være ansvarlig for at underdatabehandleren minimum overholder de forpliktelser som databehandleren er pålagt etter Kontraktsbestemmelsene og GDPR.

5. En kopi av slik underdatabehandleravtale og etterfølgende endringer skal – på den behandlingsansvarliges forespørsel – oversendes den behandlingsansvarlige, og dermed gi den behandlingsansvarlige muligheten til å sikre at de samme plikter for behandling av personopplysninger pålegges underdatabehandleren. Bestemmelser for kommersielle forhold som ikke har betydning for behandling av personopplysninger under underdatabehandleravtalen, er ikke omfattet plikten til oversendelse til den behandlingsansvarlige.

6. Dersom underdatabehandleren ikke oppfyller sine forpliktelser for databehandling, skal databehandleren overfor den behandlingsansvarlige ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser. Dette har ikke betydning for de rettigheter den registrerte har under GDPR – spesielt de rettigheter som er forutsatt i artikkel 79 og 82 i GDPR – overfor den behandlingsansvarlige og databehandleren, inkludert underdatabehandleren.

8. Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner

  1. Enhver overføring av personopplysninger til tredjestat eller internasjonale organisasjoner av databehandleren skal kun finne sted på grunnlag av dokumenterte instrukser fra den behandlingsansvarlige og skal kun skje i overensstemmelse med kapittel V i GDPR.
  2. Dersom overføring til tredjestat eller internasjonale organisasjoner, som databehandleren ikke er blitt instruert til å foreta av den behandlingsansvarlige, som er påkrevet etter unionsretten eller Medlemsstatenes nasjonale rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, med mindre de rettslige kravene av hensyn til viktige allmenne interesser forbyr en slik underretning.
  3. Uten dokumenterte instrukser fra den behandlingsansvarlige, kan databehandleren derfor ikke innenfor disse Kontraktsbestemmelser:
    1. overføre personopplysninger til en behandlingsansvarlig eller databehandler i en tredjestat eller en internasjonal organisasjon
    2. overføre behandlingen av personopplysninger til en underdatabehandler i en tredjestat
    3. la personopplysningene behandles av en databehandler i en tredjestat
  4. Den behandlingsansvarliges instrukser vedrørende overføring av personopplysninger til en tredjestat inkludert, hvis relevant, overføringsgrunnlagene etter kapittel V i GDPR som de er basert på, skal inntas i Vedlegg C.6.
  5. Kontraktsbestemmelsene skal ikke forstås som standard personvernbestemmelser etter artikkel 46(2)(c) og (d) i GDPR, og Kontraktsbestemmelsene kan ikke benyttes som overføringsgrunnlag etter kapittel V i GDPR.

9. Bistand til den behandlingsansvarlige

  1. Hensyntatt arten av behandling, skal databehandleren bistå den behandlingsansvarlige ved hjelp av egnede tekniske og organisatoriske tiltak, i den grad det er mulig, med å oppfylle den behandlingsansvarliges plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III i GDPR.

Dette omfatter at databehandleren, i den grad det er mulig, skal bistå den behandlingsansvarlige med den behandlingsansvarliges overholdelse av:

  • Retten til å bli informert ved innsamling av personopplysninger fra den registrerte
  • retten til å bli informert dersom personopplysninger ikke har blitt samlet inn fra den registrerte
  • retten til innsyn av den registrerte
  • retten til retting
  • retten til sletting («retten til å bli glemt»)
  • retten til begrensning av behandling 
  • underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling 
  • retten til dataportabilitet
  • retten til å protestere mot å omfattes av automatiserte individuelle avgjørelser, inkludert profilering
  1. I tillegg til databehandlerens plikt til å bistå den behandlingsansvarlige i henhold til punkt 6.3., skal databehandleren videre, hensyntatt arten av behandlingen og informasjon som er tilgjengelig for databehandleren, bistå den behandlingsansvarlige med overholdelse av:
    1. Den behandlingsansvarliges plikt til uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde brudd på personopplysningssikkerheten til vedkommende tilsynsmyndighet, Datatilsynet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter, 
    2. den behandlingsansvarliges plikt til å underrette om brudd på personopplysningssikkerheten til den registrerte, om det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter,
    3. den behandlingsansvarliges plikt til å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (en vurdering av personvernkonsekvenser), 
    4. den behandlingsansvarliges plikt til å rådføre seg med vedkommende tilsynsmyndighet, Datatilsynet, før behandling hvor en vurdering av personvernkonsekvensene som tilsier at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen.
  2. Partene skal angi i Vedlegg C egnede tekniske og organisatoriske tiltak som databehandleren skal bistå den behandlingsansvarlige med i tillegg til omfang og om bistand er påkrevet. Dette gjelder de plikter som er forutsatt i punkt 9.1. og 9.2. 

10. Melding om brudd på personopplysningssikkerheten

  1. I tilfelle brudd på personopplysningssikkerheten, skal databehandleren uten ugrunnet opphold etter å ha fått kjennskap til det, underrette den behandlingsansvarlige om bruddet på personopplysningssikkerheten.
  2. Databehandlerens underretning til den behandlingsansvarlige skal, om mulig, skje innen 36 timer etter databehandleren har fått kjennskap til bruddet på personopplysningssikkerheten for å overholde den behandlingsansvarliges plikt til å melde bruddet på personopplysningssikkerheten til relevant tilsynsmyndighet, jf. artikkel 33 i GDPR.
  3. I henhold til punkt 9(2)(a), databehandleren skal bistå den behandlingsansvarlige i å melde bruddet på personopplysningssikkerheten til vedkommende tilsynsmyndighet, hvilket omfatter at databehandleren skal bistå i å innhente informasjonen nedenfor som, i henhold til artikkel 33(3) i GDPR, skal inntas i den behandlingsansvarliges melding til vedkommende tilsynsmyndighet:
    1. Arten av personopplysninger, herunder når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt,
    2. de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
    3. de tiltak som er truffet eller foreslått å bli tatt av den behandlingsansvarlige for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger.
  4. Partene skal angi i Vedlegg D det databehandleren skal tilveiebringe når denne bistår den behandlingsansvarlige i meldingen av bruddet på personopplysningssikkerheten til tilsynsmyndigheten.

11. Sletting og retur av data

  1. Databehandleren påtar seg å kun behandle personopplysninger for det formål og for den varighet som pålegges etter nevnte bestemmelser og kun under de betingelser som bestemmelsene setter. Ved opphør av bestemmelsene om tjenestene knyttet til behandling av personopplysninger, er databehandleren forpliktet til å slette alle personopplysninger som er behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at dette er gjort.

12. Revisjon og inspeksjoner

  1. Databehandleren skal gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise overholdelse av pliktene som følger av artikkel 28 og Kontraktsbestemmelsene, og tillate og bidra til revisjoner, inkludert inspeksjoner, utført av den behandlingsansvarlige eller annen revisor bemyndiget av den behandlingsansvarlige.
  1. Fremgangsmåter for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, av databehandleren og underdatabehandlere er regulert nærmere i Vedlegg C.7 og C.8.
  2. Databehandleren skal være pålagt å gi tilsynsmyndigheter, som etter relevant lovgivning skal ha tilgang til den behandlingsansvarliges og databehandlers lokaler, eller representanter som handler på vegne av slike tilsynsmyndigheter, tilgang til databehandlerens fysiske lokaler ved fremleggelse av egnet identifikasjon. 

13. Ytterligere bestemmelser

Partene kan avtale ytterligere bestemmelser vedrørende behandling av personopplysninger som spesifiserer f.eks. ansvar, så lenge disse ikke er i direkte eller indirekte motstrid med Kontraktsbestemmelsene eller forringer de grunnleggende rettigheter og friheter for registrerte og den beskyttelse som GDPR gir. 

14. Start og opphør

  1. Kontraktsbestemmelsene skal gjelde når de er signert av begge parter. Kunden signerer Kontrakten.
  2. Begge parter skal ha rett til å kreve at Kontraktsbestemmelsene reforhandles dersom det skjer endringer i rettslige forhold eller uventede forhold gir grunn til slik reforhandling.
  3. Kontraktsbestemmelsene skal gjelde for så lenge det leveres tjenester fra databehandleren knyttet til behandling av personopplysninger. Så lenge det leveres tjenester for behandling av personopplysninger kan ikke Kontraktsbestemmelsene sies opp dersom ikke andre bestemmelser om behandling av personopplysninger er avtalt mellom partene. 
  4. Dersom behandling av personopplysninger opphører, og personopplysningene slettes eller tilbakeleveres til den behandlingsansvarlige etter punkt 11.1. og Vedlegg C.4, kan Kontraktsbestemmelsene sies opp med skriftlig varsel fra en av partene til den andre part. 

15. Den behandlingsansvarliges og databehandlers kontaktopplysninger

  1. Databehandler kan kontaktes ved følgende kontakter/kontaktpunkter:
    post@pindena.no 
  2. Behandlingsansvarlig sin kontakt er den som allerede har fylt ut Kontrakten.
  3. Partene skal være forpliktet til å fortløpende informere hverandre om endringer i kontakter/kontaktpunkter.

Vedlegg A Informasjon om behandlingen

A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlig:

Databehandler leverer løsning for påmeldingssystem hvor Behandlingsansvarlig kan samle inn informasjon til alt av aktiviteter (f eks påmeldinger, kurs, møter, reiser, fest, nettbutikk, racerbane osv.). Lagrer alle data som kunden samler inn fra sine deltagere. 

Funksjoner for å sende e-post, invitasjoner, sms, kursbevis og lignende.  Funksjoner for å opprette og sende spørreundersøkelser.  Funksjoner for kortbetaling, faktura sendt fra systemet, faktura sendt via Tripletex, faktura sendt via EHF-ordre til andre fakturasystemer.

A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal i hovedsak relatere seg til (behandlingens gjenstand):

Behandlinger rundt gjennomføring av aktiviteter, se punkt A.1

A.3. Behandlingen omfatter de følgende typer personopplysninger om de registrerte:

Databehandler Pindena AS registrerer selv kun sine kunder, her er personopplysninger info om kontaktperson, orgnummer og faktura info. 

Behandlingsansvarlig registrerer alle som de ønsker i sine egne påmeldingsskjema. Behandlingsansvarlig velger selv 100 % hvilke personopplysninger de ønsker å samle inn. Databehandler setter ingen grenser på hva behandlingsansvarlig kan samle inn. Det er som regel alltid navn, epost, telefon, allergi, adresse. Og det kan også være informasjon i forbindelse med betaling, som orgnummer, adresse til bedrift, mva pliktig, og referanse som kobles til betalingsleverandøren. Litt mer spesielle påmeldinger kan f eks samle inn informasjon om fødselsnummer, passnummer, type medlemskap, medlem i organisasjoner, foreninger, trening. Kan i enkelte tilfeller samles inn sensitive personopplysninger, som feks: opplysninger om helse, medlemskap i foreninger, medlemskap som angir seksuell legning etc. 

A.4. Behandlingen omfatter følgende kategorier registrerte:

Databehandler Pindena AS registrerer selv kun sine kunder. 

Behandlingsansvarlig registrerer alle som de ønsker i sine egne påmeldingsskjema. 

A.5. Databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig kan utføres når Kontraktsbestemmelsene får virkning. Behandlingen har følgende varighet:

Frem til avtaleslutt.

Vedlegg B Godkjente underdatabehandlere

B.1. Godkjente underdatabehandlere

Ved inngåelse av Kontraktsbestemmelsene gir den behandlingsansvarlige tillatelse til engasjement av følgende underdatabehandlere:

NAVNORGANISASJONSNR.ADRESSEBESKRIVELSE AV BEHANDLINGEN
Empatix AS987 895 993Bjellandveien 24, 3172 VEARUtvikling og design (slått sammen med CoreTrek)
CoreTrek984 587 406Nordre Kullerød 1,3241 SANDEFJORDUtvikling, design og nettside
Webhuset981 532 484Nygårdsgaten 114, 5008 BERGENLeie av virtuelle servere (utgående leverandør)
Deploi922 105 006Enebakkveien 117,0680 OSLOLeie av virtuelle servere
Amazon Web Services Inc.410 Terry Avenue North, Seattle, WA 98109-5210, USA.Leie av virtuelle servere
ISP-huset985 838 186Arups gate 18, 3015 DRAMMENDomener (slått sammen med Miss Hosting)
Miss Hosting985 838 186Filipstad brygge 1,0252 OSLODomener 
Twilio SendGrid 1801 California Street, Suite 500, Denver, CO 80202, USAE-post utsendelse
Help Scout100 City Hall Square Suite 510, Boston, MA 02108, USAKundestøtte for brukere av systemet 
Link Mobility AS992 434 643Langkaia 1, 0150 OSLOSMS utsendelse
Atlassian/JIRA1098 Harrison St, San Francisco, CA 94103 USALagring av saker ifm utvikling.
Google LLC 1600 Amphitheatre Parkway, Mountain View, CA 94043, USAE-post, lagring av dokumenter og bruk av kalender. Kan nedlaste vår QR-app
Apple’s iOS App StoreApple1 Infinite LoopCupertino, CA 95014-2084Kan nedlaste vår QR-app


Den behandlingsansvarlige skal ved inngåelse av Kontraktsbestemmelsene gi tillatelse til bruk av de ovennevnte underdatabehandlere for behandlingen beskrevet for denne. Databehandleren skal ikke ha rett til – uten den behandlingsansvarliges eksplisitte skriftlige tillatelse – å engasjere en underdatabehandler for «annen» behandling enn den som er blitt avtalt eller benytte en annen underdatabehandler til å foreta den beskrevne behandlingen.

B.2. Forutgående varsel for tillatelse for underdatabehandlere

Se punkt 7.3.

Vedlegg C Instrukser for bruk av personopplysninger

C.1. Omfanget av/instrukser for behandlingen

Databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig skal bli utført av databehandleren på følgende måte:

Data behandles iht GDPR og alt som står i denne avtalen.

C.2. Sikkerhet ved behandlingen

Sikkerhetsnivået skal ta hensyn til:

«At behandlingen omfatter et stort omfang av personopplysninger som omfattes av artikkel 9 i GDPR om ‘særlige kategorier personopplysninger’ som er årsaken til et ‘høyere’ nivå av sikkerhet bør etableres.»

Databehandleren skal heretter ha rett til å ta beslutninger om tekniske og organisatoriske sikkerhetstiltak som skal iverksettes for å sørge for det nødvendige (og avtalte) sikkerhetsnivå. 

Databehandleren skal allikevel – i alle tilfelle og minimum – implementere de følgende tiltak som er avtalt med den behandlingsansvarlige:

Krypteringstiltak

Definisjon og forklaring: Kryptering er prosessen med koding av data på en slik måte at bare autoriserte personer har tilgang til opplysningene.

På Deploi server: I databasen så er alle data lagret i klartekst, bortsett fra passord som er kryptert. 

På Amazon server: Her er hele databasen og opplastede filer kryptert. 

Tilgang til databasene er med passord, og kunnskap for å håndtere det. 

Databehandler benytter HTTPS, data “in transit” er dermed kryptert. 

Tiltak for å sikre personopplysningenes fortrolighet (konfidensialitet)

Definisjon og forklaring: Eksempler kan være tiltak for å kontrollere tilgang, og for å skille opplysningene fra opplysninger som Databehandler behandler på vegne av andre behandlingsansvarlige.


Kun kunden (Behandlingsansvarlig) sine ansatte som de har gitt brukere får se hva som fylles ut. Om man velger lisens Enterprise, kan man fordele både brukere og aktiviteter i ulike avdelinger, og kan dermed ha visse aktiviteter med muligens mer sensitive opplysninger skjult fra alle bortsett fra brukere som har tilgang til avdelingen. Fra Databehandler sin side, er det ansatte med taushetsplikt, som heller ikke logger seg inn med mindre det gjelder Support, oppgradering og annen hjelp. 

Felt som er merket av kunden som ‘sensitiv data’ skal ikke sendes via e-post. 

Om kunden har benyttet innstillinger for sletting på vanlige felt og sensitive felt, så skal dette gjennomføres basert på innstillinger. 

Tiltak for å sikre personopplysningenes integritet

Kunden henter selv inn informasjonen, og må selv passe på hva og hvordan dette gjøres. Databehandler overvåker ingen informasjon. Om Databehandler oppdager informasjon som er brudd på personvernloven, kan det varsles til Datatilsynet. 

Tiltak for å sikre tilgjengeligheten til personopplysningene

Databehandler tar daglig backup av alle serverne, både filer og databaser. Databehandler har også rutiner for gjenoppretting.

Tiltak for å sikre robusthet i behandlingssystemene og -tjenestene

Det er backup, det betyr at data dermed kan gjenopprettes fra backup. Det er ikke valgt redundante servere, så vi velger ikke selv lokale som serverne er i. Her har hver av serverleverandørene mange tiltak, disse kan leses nærmere i Sikkerhetsdokumentet til Databehandler. 

Tiltak for fysisk sikring av lokaler hvor data behandles

Databehandler sine servere i Sverige står i Stockholm, og de i Norge er i Oslo. Her har hver av serverleverandørene mange tiltak, disse kan leses nærmere i Sikkerhetsdokumentet til Databehandler. 

Andre datasikkerhetstiltak:

Databehandler har opprettet rutine for revisjon av underdatabehandlere. Dette er allerede en rett som er sikret i egne Databehandleravtaler, og vil tre i kraft hvis Databehandler eller Databehandler sine kunder skal ha ønske om å utføre revisjon. Dette er for å forsikre seg om at de følger våre Databehandleravtaler som respektive underdatabehandlere.

C.3. Bistand til den behandlingsansvarlige

Databehandleren skal såfremt det er mulig – innenfor omfanget og i den grad bistanden er spesifisert nedenfor – bistå den behandlingsansvarlige i henhold til punkt 9.1 og 9.2 ved å implementere de følgende tekniske og organisatoriske tiltak:

Databehandler skal ikke utlevere personopplysninger til tredjeparter uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig. Unntak gjelder for eventuelle godkjente underdatabehandlere (se vedlegg B) når de har behov for opplysningene for å kunne utføre sine oppgaver.

Databehandler sikrer at kun de personer som er autorisert til å behandle personopplysninger, har tilgang til personopplysningene som behandles på vegne av Behandlingsansvarlig.

Det er et internkontrollsystem for internsikkerhet og personvern. For tekniske tiltak se vedlegg C.2 

Databehandler bistår kunden i å oppfylle deres registrertes rettigheter ved behov. 

C.4. Fremgangsmåte for lagringstid/sletting

For Databehandler: Personopplysninger skal lagres så lenge kundeforholdet varer + ca 2 uker (angretid/ventetid) hvoretter personopplysninger skal automatisk slettes av Databehandleren. Ved oppsigelse av bestemmelser om tjenester knyttet til behandlingen av personopplysninger, skal databehandleren enten slette eller tilbakelevere personopplysninger i henhold til punkt 11.1, hvis ikke den behandlingsansvarlige – etter inngåelse av avtalen – har endret den behandlingsansvarliges opprinnelige valg. Slik endring skal dokumenteres og oppbevares skriftlig, herunder elektronisk, i tilknytning til Kontraktsbestemmelsene.

For Behandlingsansvarlig: Det er opp til Behandlingsansvarlig å benytte innstillinger databehandler har gjort tilgjengelig for å bestemme hvor lenge de ønsker at personopplysninger skal lagres før de slettes. 

C.5. Behandlingssted

Behandling av personopplysninger etter Kontraktsbestemmelsene skal ikke utføres på andre lokasjoner enn de følgende uten at det foreligger skriftlig forhåndssamtykke fra den behandlingsansvarlige:

Amazon Web Services server – Sverige

Deploi server – Norge

C.6. Instrukser for overføring av personopplysninger tredjestat

Dersom den behandlingsansvarlige verken i Kontraktsbestemmelsene eller i det etterfølgende gir dokumenterte instrukser vedrørende overføring av personopplysninger til en tredjestat, skal Databehandleren ikke ha rett til å overføre personopplysninger til tredjestat innenfor rammene av Kontraktsbestemmelsene.

Twilio SendGrid

Benyttes kun på AWS server.
Epostbekreftelse med ordreinformasjon sender ikke felt som Kunden har markert som sensitiv data på epost, via SendGrid. 

Vi bruker tjenesten Twilio SendGrid for utsendelse av epost. Twilio SendGrid er en amerikansk tjeneste og det rettslige grunnlaget for overføring av personopplysninger er Twilio SendGrid Binding Corporate Rules (BCC). For å begrense mengden og typen personopplysninger som behandles av Twilio Sendgrid har vi innført ny funksjonalitet som gir våre kunder mulighet til å huke av for informasjon som av kunden regnes som sensitivt, hvilket vil medføre at denne informasjonen ikke sendes per epost og heller ikke blir behandlet av Twilio SendGrid. Twilio SendGrid bruker TLS kryptering for data «in transit», se https://sendgrid.com/policies/security/ og tjenesten har støtte for tofaktorautentisering. Twilio Send Grid er SOC 2 Type II sertifisert. Twilio SendGrid publiserer løpende «transparency report» om myndigheters forespørsler om tilgang til data, og hvor de opplyser om forespørsler både fra europeiske myndigheter og amerikanske, se deres rapporter på https://www.twilio.com/legal/transparency.

Innholdet i eposten blir lagret hos SendGrid frem til de får sendt eposten, dette kan ta opptil noen dager hvis mottakerens epostserver har midlertidige feil.

Metadata fra e-postene som sendes blir lagret hos vår SendGrid konto i 30 dager, men vi har abonnement slik at vi kun ser de siste 7 dagene. Metadata innebærer her avsenderepostadresse (som regel Pindena sin noreply@pameldingssystem.no med mindre dere har koblet til egen konto), mottaker e-postadresse, tittel på eposten. Det inneholder også tekniske detaljer som API nøkkel, meldings-ID og IP adresse den ble sendt fra. Det vises også historikk på om e-posten er åpnet, når den eventuelt ble åpnet, om den ble blokkert av brannmur og lignende. I Pindena sin SendGrid konto har vi ikke mulighet til å gå inn og se på innholdet i eposter som kunder har sendt. SendGrid lagrer denne metadataen i maksimalt 30 dager.

Pindena har undersøkt og vurdert alternative leverandører for epostutsendelse uten å så langt lykkes med å finne en ren europeisk aktør som leverer tjenester som vil fungerer godt med Pindenas tjenester.

Amazon

Pindenas tjenester leveres ved hjelp av Amazon Web Services. Pindena har inngått avtale med Amazon i Europa ved avtale med Amazon Web Services EMEA SARL i Luxemburg, fortsatt underlagt de amerikanske lover. Amazon lagrer og behandler personopplysninger i Europa. Pindena-data lagret i AWS’ europeiske datasentre («at rest») og Pindena-data som er under overføring til og fra AWS («in transit») er kryptert, og krypteringsnøkkel er lagret i AWS slik at både lagring og henting av informasjon skal gå raskt nok

HelpScout

Vi bruker tjenesten HelpScout for supporthenvendelser. Personopplysninger som behandles som ledd i dette er primært kontaktopplysninger til personer som kontakter oss for å spørre om support. Det blir lagret navn, e-postadresse og hva de skriver i sine e-poster.  Mengde informasjon som blir sendt til HelpScout avhenger av hvor mye informasjon våre kunder skriver i e-poster til oss. Det rettslige overføringsgrunnlaget er SCC (EUs standardavtaler), og de er underlagt FISA 702. Tjenesten bruker AWS. Data «at rest» og data «in transit» er kryptert og tjenesten har støtte for tofaktorautentisering, se https://www.helpscout.com/company/legal/security/.  Vi har vært i kontakt med HelpScout, og fått nyttig innsikt til deres sikkerhet, særlig med tanke på oss som et europeisk selskap.  

C.7. Fremgangsmåte for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, av behandlingen av personopplysninger som utføres av databehandleren

  1. Databehandler skal dokumentere og gjøre tilgjengelig for Behandlingsansvarlig, informasjon som er nødvendig for å påvise etterlevelse av Databehandleravtalen og gjeldende personvernregler. 
  1. Databehandler skal muliggjøre og bidra ved revisjoner av Databehandlers behandlingsaktiviteter som utføres av Behandlingsansvarlig eller av annen inspektør med fullmakt fra Behandlingsansvarlig. Databehandler skal også muliggjøre og bidra ved revisjoner fra tilsynsmyndigheter. 
  1. Databehandleren kan foreta jevnlige revisjoner av sine behandlingsaktiviteter. Dette kan Databehandler gjøre på egen hånd eller via annen inspektør med fullmakt fra Databehandler. Databehandleren kan oversende kopi av revisjonsrapporter fra slike revisjoner til Behandlingsansvarlig om de ønsker. Behandlingsansvarlig skal ha rett til å fremlegge slike revisjonsrapporter til sine eksterne revisorer og tilsynsmyndigheter. 
  2. Om Behandlingsansvarlig krever bruk av ekstern inspektør, må Behandlingsansvarlig selv dekke kostnader for dette.
  3. Databehandleren kan utføre revisjoner av underdatabehandlere. Dette kan sendes Behandlingsansvarlig om de har bedt om en revisjon, eller ønsker å få tilsendt. Tid som medfører å utføre og holde revisjon vil bli fakturert kunden (Behandlingsansvarlig, kunde av Databehandler) pr time til standard timepris.

Dersom en revisjon avdekker avvik fra forpliktelsene i Databehandleravtalen, skal Databehandler så snart som mulig avhjelpe slike avvik (og, hvis relevant, påse at den relevante underdatabehandler gjør det samme). Behandlingsansvarlig kan kreve at hele eller deler av behandlingsaktivitetene midlertidig opphører til vellykket utbedring er bekreftet. Ved særlig alvorlige brudd kan Behandlingsansvarlig kreve behandlingen stoppet, opplysningene tilbakeføres til Behandlingsansvarlig og terminere Hovedavtalen samt Databehandleravtalen.

Om databehandler utfører revisjon, skal Databehandler betale for dette selv. 

Om behandlingsansvarlig ønsker revisjon, må behandlingsansvarlig selv ta kostnadene for dette. 

Databehandleren skal ved revisjon fra en uavhengig tredjepart vedrørende databehandlerens overholdelse av GDPR, opprettholde de relevante personvernreglene i unionsretten eller Medlemsstatenes nasjonale rett og Kontraktsbestemmelsene. 

Partene avtaler hvilke rapporter som skal innhentes ved eventuell ønske om revisjon/inspeksjon. 

Rapportene skal uten ugrunnet opphold oversendes den behandlingsansvarlige for informasjon. Den behandlingsansvarlige kan bestride omfanget og/eller metodikken for rapporten og kan i slikt tilfelle anmode om ny revisjon/inspeksjon med endret omfang og/eller annen metodikk.

Basert på resultatene av en slik revisjon/inspeksjon, kan den behandlingsansvarlige be om ytterligere tiltak for å sikre overholdelse av GDPR, de relevante personvernreglene i unionsretten eller Medlemsstatenes nasjonale rett og Kontraktsbestemmelsene.

Den behandlingsansvarlig eller den behandlingsansvarliges representanter skal i tillegg ha tilgang til å inspisere, herunder fysisk inspisere, lokasjonene hvor behandlingen av personopplysninger gjennomføres av databehandleren, inkludert fysiske lokaler samt systemer benyttet for og knyttet til behandlingen. Slik inspeksjon skal bli utført når den behandlingsansvarlige anser det påkrevet.

C.8. Fremgangsmåter for revisjoner, inkludert inspeksjoner, av behandlingen av personopplysninger som utføres av underdatabehandlere

Se punkt C.7. 

Databehandleren skal innen rimelig tid på Behandlingsansvarlig sin kostnad  innhente rapporter fra en uavhengig tredjepart vedrørende underdatabehandlerens overholdelse av GDPR, de relevante personvernreglene i unionsretten eller Medlemsstatenes nasjonale rett og Kontraktsbestemmelsene.

Partene har avtalt at de følgende typer rapporter kan benyttes for overholdelse av Kontraktsbestemmelsene: revisorrapporter og inspeksjonsrapporter. 

Rapportene skal uten ugrunnet opphold oversendes den behandlingsansvarlige for informasjon. Den behandlingsansvarlige kan bestride omfanget og/eller metodikken for rapporten og kan i slikt tilfelle anmode om ny revisjon/inspeksjon med endret omfang og/eller annen metodikk.

Basert på resultatene av en slik revisjon/inspeksjon, kan den behandlingsansvarlige be om ytterligere tiltak for å sikre overholdelse av GDPR, de relevante personvernreglene i unionsretten eller Medlemsstatenes nasjonale rett og Kontraktsbestemmelsene.

Den behandlingsansvarlig eller den behandlingsansvarliges representanter skal i tillegg ha tilgang til å inspisere, herunder fysisk inspisere, lokasjonene hvor behandlingen av personopplysninger gjennomføres av underdatabehandleren, inkludert fysiske lokaler samt systemer benyttet for og knyttet til behandlingen. Slik inspeksjon skal bli utført når den databehandleren (eller den behandlingsansvarlige) anser det påkrevet.

Dokumentasjon for slike inspeksjoner skal uten opphold oversendes den behandlingsansvarlige for informasjon. Den behandlingsansvarlige kan bestride omfanget og/eller metodikken for rapporten og kan i slikt tilfelle anmode om ny inspeksjon med endret omfang og/eller annen metodikk.

Vedlegg D Ytterligere bestemmelser avtalt mellom partene

Personvernerklæring er til enhver tid oppdatert på Databehandler sin nettside: https://www.pameldingssystem.no/personvern 

Lisensavtale er på side for Kontraktbestemmelse, og bør leses før signering.

Sikkerhetsdokument kan sendes Kunde ved forespørsel.