Endringslogg Databehandleravtale
Oppdatert liste med endringer som er fortatt i Databehandleravtalen for kunder av Pindena.
Endringer publisert 27.05.2024
Skrevet mer tekst i A.4.: De registrerte som Databehandler behandler personopplysninger om, kan være kunder, leverandører, ansatte, studenter, besøkende, medlemmer, deltagere eller enhver annen gruppe av fysiske personer, som definert av Behandlingsansvarlig.
Endringer publisert 18.04.2024
- Oppdatert avsnitt om tilgjengelighet i bilag C 2.2, da vi ikke tar backup av filer som er lastet opp i systemet på Amazon server.
Endringer publisert 05.03.2024
- Lagt til avsnitt om opplæring av ansatte i sikkerhet i bilag C pkt. 2.2.
- Endret adresse til Østre Kullerød 5.
Endringer etter 13.01.2022
- Endret underleverandører ifm bytte til den norske e-post leverandøren Make AS:
- Fjernet Twilio SendGrid i B2 og C4
- Fjernet MailJet i B2 og C4
- Lagt til Make AS i B2
- Endret tekst om e-posttjeneste knyttet til valg av server i B2
Endringer publisert 13.01.2022 i Databehandleravtale 2.0.
Endringer i hovedavtalen er ikke lagt inn i endringsloggen da det er det samme innholdet som har byttet rekkefølge.
Bilag A
Pkt. A.2 Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige
- Endret til mer utdypende tekst
Pkt. A.3 Typer av personopplysninger
- Endret tekst slik at det er tydeligere hvilke opplysninger som kan hentes inn og at det er Behandlingsansvarliges ansvar å vite hvilke opplysninger de kan samle inn. Linket til GDPR.
Bilag B
Pkt. B.1 Behandlingsansvarliges godkjennelse av bruk av Underdatabehandlere
- Endring: Databehandler kan endre bruk av Underdatabehandlere hvis den Behandlingsansvarlige underrettes med 1 måneds varsel og gis mulighet til å motsette seg endringene.
Pkt. B.2 Godkjente Underdatabehandlere
- Delt listen for Underdatabehandlere i to; Drift og administrativt
- La til generell forklarende tekst
- Endret tekst i beskrivelse av behandling og la til link til avtaler
- La til MailJet
- Fjernet:
- Empatix AS – Slått sammen med CoreTrek
- ISP-huset – Slått sammen med Miss Hosting/lagrer ikke personopplysninger
- Miss Hosting – Lagrer ikke personopplysninger
- Apple – Lagrer ikke personopplysninger
- App i Google – Lagrer ikke personopplysninger
Bilag C
Pkt. C.2. Sikkerhet ved behandlingen
- Byttet til digdir standard, som innebærer oppdeling i C.2.1 og C.2.2
- C.2.1 Tydeliggjort sikkerhetsnivå og linket til GDPR
- C.2.2 Endret ordlyd eller utdypet sikkerhetstiltak
- C.2.2 Slått sammen punkt om integritet og konfidensialitet
- C.2.2 Fjernet Tiltak for å sikre robusthet i behandlingssystemene og -tjenestene
- C.2.2 Fjernet Tiltak for å sikre personopplysningenes integritet
Pkt. C.3 Dokumentasjon
- Tidligere tekst om Bistand til den behandlingsansvarlige, er dekket i DBA pkt 6.
- Byttet til digdir standardtekst
Pkt. C.4 Overføring av personopplysninger – Lokasjon for behandling og tilgang
- Tidligere Fremgangsmåte for lagringstid/sletting, er dekket i pkt. C.6.
- Amazon: Endret ordlyd, la til at krypteringsnøkkel er generert i Amazon KMS
- Twilio SendGrid: Forkortet tekst
- La til MailJet
- Fjernet HelpScout
Pkt. C.5 Rutiner for revisjon og tilsyn
- Tidligere Behandlingssted, er dekket i pkt. B.2.
- Detaljert fremgangsmåte er lagret som en rutine i Pindenas styringssystem
- Byttet til digdir standardtekst
Pkt. C.6 Sletting og tilbakelevering av personopplysninger ved avtalens opphør
- Tidligere Instrukser for overføring av personopplysninger tredjestat, er dekket i pkt. C.4.
- Fjernet “ca.” og “automatisk”
- La til sletting (90 dager)
- La til backup (10 dager)
Pkt. C.7 Sektorspesifikke bestemmelser om behandling av personopplysninger
- Tidligere Fremgangsmåte ved revisjoner som utføres av Databehandleren, er dekket i C.5
Pkt C.8 Kontaktinformasjon
- Tidligere Fremgangsmåte ved revisjoner som utføres av Underdatabehandlere, er dekket i C.5
- Lagt til kontaktinformasjon, tidligere dekket i pkt. 15.
- Lagt til telefonnummer
Endringer i databehandleravtale etter lansering 05.03.2021
- 11.11.2021: Oppdatert adresse for underleverandør CoreTrek
- 11.05.2021: La inn OnePageCRM som en underleverandør.
- 23.03.2021: Punkt C.2 – Endret «data er dermed “in transit”» til «data “in transit” er dermed kryptert.»
- 22.03.2021: Punkt C.6 – La til at det kun er AWS som benytter SendGrid.
- 09.03.2021: La inn en tekst for å tydeliggjøre at kunder på Deploi server, ikke sender epost via SendGrid.
- 08.03.2021: Oppdatert adresser i tabellen over underdatabehandlere. La også til at CoreTrek er vår underleverandør for nettside.