Skip to main content

Databehandleravtale

Definisjoner

Leverandøren: Med Leverandøren menes den juridiske enheten som leverer ytelser til Kunden hvor Leverandøren på en eller annen måte behandler personopplysninger på vegne av Kunden, og dermed blir Leverandøren en databehandler for Kunden.

Databehandler: Den virksomheten som behandler personopplysninger på vegne av Behandlingsansvarlig.

Kunden: Med Kunden menes den juridiske enheten som kjøper ytelser fra Leverandøren hvor Leverandøren på en eller annen måte behandler personopplysninger på vegne av Kunden.

Behandlingsansvarlig: Den virksomheten som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.

Part: Kunden eller Leverandøren.

Partene: Kunden og Leverandøren, se informasjon om Partene konkretisert i Vedlegg 1 pkt. 1.

Databehandleravtalen: Disse vilkårene med vedlegg og eventuelle endringer og oppdateringer som er skriftlig avtalt mellom Partene (elektronisk likestilles med skriftlig). Databehandleravtalen er utarbeidet i henhold til personopplysningsloven, veileder fra Datatilsynet og GDPR. Databehandleravtalen gjelder mellom Kunden som Behandlingsansvarlig og Leverandøren som Databehandler i GDPRs forstand. Databehandleravtalen skal være skriftlig, herunder elektronisk.

Personopplysning: Enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte).

Behandling: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

GDPR: EUs generelle personvernforordning. (Europaparlaments- og Rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF) som gjelder som norsk lov i kraft av personopplysningsloven av 2018.

Databehandleravtalens hensikt

Databehandleravtalens hensikt er å regulere rettigheter og plikter etter gjeldende personopplysningslov i Norge med tilhørende regelverk. Databehandleravtalens oppfyller minstekrav i personopplysningsloven og GDPR.

Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Databehandleravtalen regulerer Databehandlers bruk av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

Databehandleravtalens formål

Formålet med Databehandleravtalen er å presisere at Leverandøren som Kundens databehandler kan behandle personopplysninger innenfor det som er avtalt med Kunden, herunder foreta de behandlinger som følger av Hovedavtalen, for å foreta de behandlinger som Kunden ber Leverandøren bistå Kunden med eller for å fullføre Leverandørens avtaleforhold med Kunden slik det er til enhver tid. Partene er enige om at nye formål/behandlinger må dokumenteres (skriftlig på en eller annen måte – elektronisk aksepteres som skriftlig).

Databehandleren og enhver person som handler for Databehandleren som har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter dokumentert instruks fra Behandlingsansvarlig. Partene er enige i at det som angis i denne Databehandleravtalen skal anses som slike instrukser fra Behandlingsansvarlig.

Hvilke personopplysninger som skal behandles: Alle personopplysninger som ikke er særlige kategorier personopplysninger som Leverandøren gis tilgang til av Kunden, eller på annen måte behandler gjennom avtaleforholdet med Kunden. Hvilke personopplysninger som behandles i henhold til denne Databehandleravtalen, er nærmere spesifisert i Vedlegg 1.

Kategorier av registrerte: Kundens egne ansatte, Kundens innleide personer, Kundens eiere og ledelse, kontaktpersoner tilknyttet Kundens leverandører eller kunder, Kundens øvrige kontraktsparter som benytter løsningen fra Leverandøren etter Hovedavtalen samt og andre sluttbrukere Kunden tilknytter Leverandørens tilbudte produkter eller tjenester. Kategorier av registrerte er nærmere beskrevet i Vedlegg 1 pkt. 3 til denne Databehandleravtalen.

Hvilke behandlinger som omfattes av Databehandleravtalen: De behandlinger som er nødvendige for at Leverandøren kan oppfylle sine forpliktelser som Leverandør til Kunden og som databehandler etter gjeldende regelverk samt den behandling som følger av Hovedavtalen og det løpende avtaleforholdet mellom Partene. Databehandler skal også ha rett til å behandle personopplysningene i den grad slik behandling er nødvendig som følge av det løpende avtaleforholdet mellom Partene etter Hovedavtalen, for statistikkformål og for å forbedre Databehandlerens tjenester, herunder for å kunne gi råd til Behandlingsansvarlig vedrørende type abonnement og annet som kan forbedre tjenestene som leveres etter Hovedavtalen. Behandlinger som omfattes av denne Databehandleravtalen, er nærmere beskrevet i Vedlegg 1 pkt. 3.

Hva som er rammene for Databehandlers håndtering av personopplysninger: Leverandøren kan håndtere personopplysninger i henhold til rammene gitt av Kunden i Hovedavtalen og i det løpende avtaleforhold mellom Partene til enhver tid, og for å oppfylle Leverandørens ansvar som Databehandler etter gjeldende regelverk.

Databehandlers plikter

Databehandler skal følge de rutiner og instrukser for behandlingen som Behandlingsansvarlig til enhver tid har bestemt skal gjelde.

Databehandleren plikter å gi Behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.

Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandleren plikter å gi nødvendig bistand til dette.

Databehandleren har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne Databehandleravtalen. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør. Databehandleren skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig ved taushetserklæring i ansettelsesavtale eller annen avtale med Databehandler dersom slik person ikke er underlagt en egnet lovfestet taushetsplikt. Videre skal Databehandleren sikre at personer som er autorisert kun skal ha tilgang til personopplysninger de har tjenstlig behov for. Databehandleren skal sørge for å ha en oppdatert liste over hvem som har fått tilgang. Denne listen skal oppdateres jevnlig. Basert på løpende oppdateringer kan tilgang fjernes dersom den enkelte ikke lenger har behov for tilgang, slik at vedkommende ikke lenger har tilgang til personopplysninger.

Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen med behandlingen av personopplysningene samt for å sikre at behandlingen oppfyller kravene i gjeldende personvernlovgivning, herunder kravene som følger av GDPR, og vern av den registrertes rettigheter.

Databehandler skal bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter som den registrerte, i henhold til GDPR kapittel 3.

Databehandler skal bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene Behandlingsansvarlig har etter GDPR artikkel 32-36.

Databehandleren skal omgående underrette Behandlingsansvarlige dersom Databehandleren mener at en instruks fra Behandlingsansvarlig er i strid med GDPR eller andre lovbestemmelser om vern av personopplysninger. Databehandler skal føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av Behandlingsansvarlig i henhold til GDPR art. 30 nr. 2.

Bruk av underleverandør

Dersom Databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos Databehandleren, skal dette avtales skriftlig med Behandlingsansvarlige før behandlingen av personopplysninger starter.

Leverandøren skal ikke engasjere en annen databehandler uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra Kunden siden Kunden er Behandlingsansvarlig for personopplysningene. Dersom det er innhentet en generell skriftlig tillatelse, skal Leverandøren underrette Kunden om eventuelle planer om å benytte andre databehandlere eller skifte ut databehandlere, og dermed gi Kunden muligheten til å motsette seg slike endringer.

Samtlige som på vegne av Databehandleren utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. Samtlige slike underleverandører skal ha signert en databehandleravtale som viderefører pliktene i denne databehandleravtale til underleverandøren.

Dersom underleverandøren ikke oppfyller sine plikter som databehandler, inkludert plikter som følger av denne Databehandleravtalen, er Databehandleren fullt ut erstatningsansvarlig overfor Behandlingsansvarlig for underleverandørens handlinger.

En oversikt over godkjente underleverandører fremgår av Vedlegg 1 pkt. 4 til denne Databehandleravtalen. Vedlegg 1 pkt. 4 skal oppdateres dersom det gjøres endringer i bruk av underleverandører.

Behandlingsansvarliges rettigheter og plikter

Behandlingsansvarlig har rettigheter og plikter som gjeldende lov til enhver tid gir den Behandlingsansvarlige for behandling av personopplysninger. Behandlingsansvarlig har ansvar for at behandling av personopplysninger gjøres i henhold til GDPR og nasjonal personopplysningslovgivning Behandlingsansvarlig har rett og plikt til å fatte avgjørelser om formålet og måten personopplysninger behandles. Behandlingsansvarlig har blant annet ansvar for å sikre at behandling av personopplysninger som gjøres av Databehandler har et gyldig rettslig grunnlag.

Ved brudd på denne Databehandleravtalen eller personopplysningsloven kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Behandlingsansvarlig skal ikke betale for Databehandlers utførelse av plikter som følger av denne Databehandleravtalen når disse pliktene også følger av preseptorisk lovgivning, inkludert GDPR, spesielt artikkel 28-36.

Sikkerhet

Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslovgivning.

Databehandleren skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på forespørsel fra den Behandlingsansvarlige.

Både Behandlingsansvarlig og Databehandler skal vurdere risikoen for fysiske personers rettigheter og friheter som følger av behandlingen og gjennomføre tiltak for å minimere risikoen. For å oppnå dette skal Databehandleren gi Behandlingsansvarlig all den informasjonen som er nødvendig for å identifisere og vurdere slik risiko.

En oversikt over Databehandlerens tekniske og organisatoriske sikkerhetstiltak følger av Vedlegg 2 til denne Databehandleravtalen. De tekniske og organisatoriske sikkerhetstiltak kan forbedres og videreutvikles i samsvar med den teknologiske utviklingen. I slike tilfeller har Databehandleren adgang til å implementere oppdaterte tekniske og organisatoriske sikkerhetstiltak, så lenge sikkerhetsnivået for de aktuelle sikkerhetstiltak forblir uendret eller endres til et høyere sikkerhetsnivå. Hvis Behandlingsansvarlig vurderer det slik at identifisert risiko krever at Databehandleren gjennomfører flere tiltak enn de Databehandleren allerede har gjennomført i henhold til GDPR artikkel 32, skal Behandlingsansvarlig spesifisere slike ytterligere tiltak i Vedlegg 2.

Dersom det skjer et avvik skal Databehandleren informere Behandlingsansvarlig om avviket uten unødig opphold. Helst skal Databehandleren informere Behandlingsansvarlig om eventuelle avvik innen 48 timer.

Databehandleren skal hjelpe Behandlingsansvarlig med å skaffe informasjonen i listen under, som i henhold til GDPR artikkel 33 nr. 3 skal inkluderes i Behandlingsansvarliges avviksmelding til Datatilsynet:

  1. beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt,
  2. inneholde navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes,
  3. beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
  4. beskrive de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet

Avviksmelding skal skje ved at Databehandleren melder avviket til Behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes til Datatilsynet.

Sikkerhetsrevisjoner

Databehandler skal på forespørsel gjøre tilgengelig all informasjon som er nødvendig for at Behandlingsansvarlig kan bevise at Behandlingsansvarlig overholder pliktene i GDPR artikkel 28. Behandlingsansvarlig skal avtale med Databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne Databehandleravtalen. Databehandler skal på forespørsel muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Behandlingsansvarlig eller en annen inspektør på fullmakt fra Behandlingsansvarlige.

Med 30 dagers skriftlig varsel, og ikke mer enn en gang årlig, kan Behandlingsansvarlig kreve at Databehandler gjør ytterligere informasjon om Databehandlers behandling av personopplysninger tilgjengelig. Behandlingsansvarlig kan kreve slik informasjon som er rimelig for at de skal kunne bekrefte at Databehandleren behandler personopplysninger i tråd med sine forpliktelser etter denne avtalen, både sikkerhetstiltak og andre nødvendige tiltak. Databehandler skal gjøre Sikkerhetsansvarlig, eller en annen person med tilsvarende kunnskap og posisjon i selskapet, tilgjengelig for Behandlingsansvarlig for å bistå med informasjon om Databehandlerens sikkerhet og behandlingsaktiviteter. Dette er tilstrekkelig til å oppfylle Databehandlerens plikt til å gjøre mulig revisjon, og for Behandlingsansvarliges plikt til å vise at dette er gjort (inkludert eventuell rett til revisjon i Standard Contractual Clauses inngått mellom Partene, så langt det passer). Det er likevel ikke til hinder for myndighetenes rett til å gjennomføre revisjon og kontroll i henhold til gjeldende personvernlovgivning.

Databehandler skal på forespørsel gjøre tilgjengelig for Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne Databehandleravtalen er oppfylt.

Databehandlers dokumenterbare utgifter som følge av Behandlingsansvarliges sikkerhetsrevisjoner og inspeksjoner kan faktureres Behandlingsansvarlig på neste faktura fra Databehandler.

Avtalens varighet

Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, og Databehandleravtalen følger samme regler for opphør som følger av Hovedavtalen.

Ved opphør

Etter Behandlingsansvarliges valg, skal Databehandler slette eller tilbakelevere alle personopplysninger mottatt på vegne av Behandlingsansvarlig til Behandlingsansvarlig etter at tjenestene knyttet til behandlingen er levert (ved opphør av denne Databehandleravtalen).

Det kan ved opphør av Databehandleravtalen avtales at Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, mv., som inneholder opplysninger som omfattes av Databehandleravtalen. Dette gjelder også for eventuelle sikkerhetskopier. Databehandler skal sletter eksisterende kopier av slike personopplysninger, dokumenter og data, med mindre lovgivning krever at personopplysningene eller slike dokumenter/data lagres.

Databehandleren skal skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til Databehandleravtalen innen rimelig tid etter Databehandleravtalens opphør.

Meddelelser

Meddelelser etter denne Databehandleravtalen skal sendes skriftlig til Partenes oppgitte kontaktpersoner som angitt i Hovedavtalen mellom Partene. I Vedlegg 1 pkt. 2 kan andre kontaktpersoner fremgå, og da skal meddelelser etter denne Databehandleravtalen rettes til de i Vedlegg 1 pkt. 2 oppgitte kontaktpersoner.

Ansvar

Partenes erstatningsansvar for skade som rammer den registrerte eller andre fysiske personer og som skyldes overtredelse av GDPR, personopplysningsloven med forskrifter eller annet regelverk som gjennomfører GDPR, følger av bestemmelsene i GDPR artikkel 82. Erstatningsbegrensningen i Hovedavtalen kommer ikke til anvendelse for ansvar som følger av GDPR artikkel 82. Partene er hver for seg ansvarlige for overtredelsesgebyr ilagt i henhold til GDPR art. 83.

Tvisteløsning

Databehandleravtalen skal tolkes og reguleres i henhold til norsk rett. Eventuelle tvister mellom Kunden og Leverandøren knyttet til Databehandleravtalen skal avgjøres ved alminnelige norske domstoler. Søksmål skal i slike tvister reises for Oslo tingrett som Partene vedtar som rett verneting. Dette gjelder også etter opphør av Databehandleravtalen.

Vedlegg 1

Spesifikasjon av hva som omfattes av Databehandleravtalen

Partene

Leverandøren: Cerum AS med org.nr. 922 712 727 og registrert forretningsadresse Midtre gate 5, 8624 Mo i Rana.

Kunden: Virksomheten angitt på Forsiden av Avtalen med Leverandøren.

Kontaktpersoner

Kontaktpersoner er angitt på Forsiden av Avtalen med Leverandøren

Avtalens omfang

Databehandleren skal i henhold til Hovedavtalen levere:

Hovedavtalen er Avtalen mellom Kunden og Leverandøren hvor Leverandøren skal levere Produktet med avtalte Tilleggstjenester med tilhørende tjenester. Ytelsene er nærmere definert i Leveransespesifikasjonen eller Avrop. Mobilapp Cerum Work som Kundens personell skal benytte omfattes også. Løsningen Cerum + som Kundens Admin-bruker og Sluttbruker benytter, omfattes også.

Hvilke personopplysninger som behandles i henhold til Hovedavtalen:

Navn, mobilnummer, adresse, arbeidssted, epostadresse og lignende som Kunden eller Kundens brukere legger inn.

Dersom en ansatt eller annen person på Kundens vegne laster ned en mobilapplikasjon fra Leverandøren, behandles alminnelige personopplysninger som navn, epostadresse og evt. profilbilde når de registreres som sluttbruker av appen gjennom tredjeparts pålogging (eksempelvis Google-id og/eller Apple-id).

Databehandler vil i forbindelse med oppfyllelse av sine forpliktelser etter Hovedavtalen ha tilgang til personopplysninger i Partenes systemer. Disse inkluderer brukerinformasjon som brukernavn og passord.

For å bruke Leverandørens tjenester må Kunden opprette en eller flere brukerkontoer hos Leverandøren, og kontaktperson for Kunden må oppgi brukernavn og passord eller generere et single sign-on token via en tredjepart. Øvrige personopplysninger velger kontaktperson for Kunden å gi til Leverandøren ved registrering eller ved bruk av Leverandørens tjenester.

Personopplysninger som behandles er normalt fornavn, etternavn, epostadresse, arbeidssted og telefonnummer (mobilnummer). Leverandøren kan få tilgang til flere alminnelige personopplysninger for å kunne levere avtalt support.

Dersom Behandlingsansvarlig ønsker det i avtaleperioden, kan løsningen fra Databehandler også omfatte ytterligere personopplysninger. Partene er enige om at slike ekstra personopplysninger kan være posisjonsdata og andre alminnelige personopplysninger.

Kategorier av registrerte:

Kundens egne ansatte, Kundens innleide personer, Kundens eiere og ledelse, kontaktpersoner tilknyttet Kundens leverandører eller kunder. Kundens øvrige kontraktsparter som benytter løsningen fra Leverandøren etter Hovedavtalen samt andre sluttbrukere Kunden tilknytter Leverandørens tilbudte produkter eller tjenester.

Kategorier av registrerte kan beskrives nærmere i eget vedlegg til denne Databehandleravtalen eller på epost mellom Partenes oppgitte kontaktpersoner.

Hvilke behandlinger som omfattes av Databehandleravtalen:

Partene er enige om at enhver behandling som er nødvendig for at Leverandøren skal kunne oppfylle Leverandørens plikter og rettigheter etter Hovedavtalen, omfattes av Databehandleravtalen.

I tillegg omfattes de de behandlinger som er nødvendige for at Leverandøren skal kunne oppfylle sine rettigheter og plikter etter lov, forskrift eller myndighetspålegg

I tillegg omfattes behandlinger grunnet pålagte plikter, herunder for å informere beslutninger vedrørende type løsning og annet som kan forbedre tjenestene som leveres etter Hovedavtalen, herunder for å foreslå forbedringer av datasikkerheten for personopplysninger som behandles.

Nærmere om rammene for behandlingen:

Leverandøren behandler kun personopplysninger i land innenfor EU/EØS. Dersom Databehandleren planlegger å overføre eller behandle personopplysninger i land utenfor EU/EØS, skal Databehandleren varsle Kunden før slik behandling starter og dokumentere at Databehandleren har inngått databehandleravtale med aktuell underleverandør som oppfyller de krav som stilles for slik overføring/behandling samt at sikkerheten for slik behandling oppfyller kravene i GDPR art. 32.

Oversikt over instrukser fra Behandlingsansvarlig:

Databehandleren og enhver person som handler for Databehandleren som har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter dokumentert instruks fra Behandlingsansvarlig.

Databehandleravtalen anses som slike dokumenterte instrukser. E-post fra kontaktperson hos Behandlingsansvarlig til kontaktperson hos Databehandler anses som slike dokumenterte instrukser. Behandlingsansvarliges krav til innebygd personvern som angitt nedenfor, anses også som slik dokumentert instruks.

Innebygd personvern (privacy by design og privacy by default):

Innebygd personvern skal være en grunnleggende del av Databehandlerens behandling av personopplysninger og alle tjenester Databehandler leverer til Behandlingsansvarlig. Databehandler skal sørge for, og kunne dokumentere, at de etterlever grunnleggende prinsipper om innebygd personvern. Det samme gjelder for alle underleverandører Databehandleren har, og alle systemer Databehandler gjør tilgjengelig for Behandlingsansvarlig i avtalens levetid og som kan behandle personopplysninger Behandlingsansvarlig er ansvarlig for.

Grunnleggende prinsipper om innebygd personvern som Databehandler når relevant:

  1. Vær i forkant, forebygg fremfor å reparere. For å lage en personvernvennlig løsning, er det viktig å vurdere risikoene for personvernet så tidlig som mulig i utviklingsprosessen. Kostnadene ved å rette feil og mangler ved et ferdig system kan være høye. Dersom du tar hensyn til personvernet tidlig i utviklingen, kan du unngå unødvendige krenkelser av personvernet. Eksempler på krenkelse av personvernet er manglende tilgangsstyring, at det samles inn flere personopplysninger enn nødvendig, og manglende sletting av personopplysninger.

  2. Gjør personvern til standardinnstilling. Standardinnstillinger er førende for hvordan et system blir brukt, og hvordan personopplysninger blir lagret. For at et system skal ha innebygd personvern, må standardinnstillingene settes opp slik at ikke flere personopplysninger enn nødvendig samles inn eller vises, at det finnes et lovlig formål med innsamlingen, at det er satt tekniske begrensninger for bruken av opplysningene, at opplysningene slettes når formålet er oppnådd, og at man bare får tilgang til å se hvilke opplysninger som er registrert på seg selv. Et slikt system vil automatisk styre brukeren til en arbeidsmåte som gir bedre personvern.

  3. Bygg personvern inn i designet. Personvern skal være innebygd i IT-systemets design og arkitektur, samt i forretningspraksisen. Det bør ikke være en funksjon lagt til i etterkant. Dermed blir personvernet en viktig del av kjernefunksjonaliteten. Det vil si at personvern er en integrert del av systemet uten at det går på bekostning av funksjonaliteten.

  4. Skap full funksjonalitet. Gjennom innebygd personvern ivaretar virksomheten både brukerens personvern, og sine egne behov. Det er viktig å ta hensyn til personvernet fra start for å unngå reparasjoner som går utover funksjonaliteten til løsningen. Noen ganger er det ikke mulig å gjøre endringer i etterkant uten at systemet blir dårligere. Målet er en både-og-tilnærming fremfor en enten-eller, for å ivareta virksomhetens behov og interesser, og samtidig ta hensyn til de registrertes personvern.

  5. Ivareta informasjonssikkerheten fra start til slutt. Informasjonssikkerhet må være del av løsningen. Det betyr at alt som skjer i systemet på forhånd er risikovurdert og hensiktsmessig sikret, helt fra før personopplysningene samles inn, mens de behandles, og til de er slettet. Personopplysningene skal sikres mot uautorisert tilgang, endring, ødeleggelse og spredning.

  6. Vis åpenhet. Det skal være åpenhet om hvordan systemet fungerer, og hvordan personvernet blir ivaretatt. Virksomheten skal sørge for at brukerne får god informasjon og at det legges til rette for innsyn i egne opplysninger. Det skal være mulig å kontrollere at systemet ivaretar personvernet slik leverandøren oppgir.

  7. Respekter brukerens personvern. Fremfor alt krever innebygd personvern at utviklerne, bestillerne og administratorene gir brukerens personvern høy prioritet. Dette vil si å sørge for at personvernet ivaretas gjennom standardinnstillinger, tydelige brukervilkår, og løsninger for at brukeren skal kunne kontrollere opplysningene sine selv.

Underleverandøren

Leverandøren skal gjøre Kunden oppmerksom på forhånd om hver leverandør som Leverandøren ønsker å bruke til å bistå seg med behandling av personopplysninger for Kunden.

UnderleverandørDatabehandleravtaleLandNettsted
ITSJEFEN ASVisNorgehttps://itsjefen.no
EUROBATE AS-Norgehttps://www.eurobate.no/

Vedlegg 2

Generell behandlingssikkerhet

Databehandleren garanterer at egnede tekniske og organisatoriske sikkerhetstiltak til enhver tid er på plass for å sikre tilfredsstillende informasjonssikkerhet slik at personopplysninger beskyttes mot ulovlig eller ufrivillig destruksjon, tap, skade, endring, uautorisert tilgang. Dette gjelder særlig hvor behandlingen involverer overføring av data over et nettverk og for all annen ulovlige former for overføring av data.

Slike tekniske og organisatoriske sikkerhetstiltak inkluderer, men er ikke begrenset til: Fysisk adgangskontroll, digital adgangskontroll via passord og/eller digitale nøkler, tilgangskontroll samt eksterne og interne brannvegger. Se også Leverandørens personvernerklæring.

Dette innebærer at Databehandlere skal implementere tiltak for å sikre at Behandlingsansvarliges personopplysninger holdes konfidensielle, og sikre at personopplysninger ikke gjøres tilgjengelig ulovlig eller tapes. Videre skal Databehandler sette inn tiltak for å unngå uautorisert manipulering eller ødeleggelse av personopplysninger, og tiltak for å stanse virus og andre skadelige programmer. Databehandleren plikter å holde Behandlingsansvarliges personopplysninger separat fra eventuelle tredjeparters data for å redusere risikoen for skade og/eller uautorisert tilgang til personopplysningene. Separat betyr alle tekniske tiltak som er nødvendig for å sikre at personopplysningene er beskyttet fra uautorisert tilgang og ødeleggelse, og at disse gjennomføres og vedlikeholdes. Dersom Databehandlers ansatte, som ikke har tjenstlig behov for tilgang, har tilgang til Behandlingsansvarliges personopplysninger er det å anse som ulovlig tilgang.

Databehandleren skal på forespørsel fra Behandlingsansvarlige gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne Databehandleravtalen er oppfylt.