DATABEHANDLERAVTALE

Innholdsfortegnelse

1. Partene 2
2. Definisjoner og begreper
3. Formål, tolkning og rang
4. Behandlingsansvarliges plikter
5. Databehandlers plikter
6. Bruk av Underdatabehandler
7. Taushetsplikt og tilgangsstyring
8. Sikkerhet
9. Sikkerhetsrevisjoner
10. Erstatningsansvar
11. Avtalens varighet
12. Ved opphør
13. Meddelelser
14. Lovvalg og verneting
 
 
 

1. Partene

Partene i denne avtalen er Avtalepartner som Behandlingsansvarlig og ISPHuset Nordic AS som Databehandler, samlet omtalt som Partene.

2. Definisjoner og begreper

I denne avtalen menes med:
a) Artikkel (Art.), henvisning til en bestemmelse i personvernforordningen gitt ved forordning (EU) nr. 2016/679 innlemmet i EØS-avtalen, General Data Protection Regulation (GDPR).
b) Personopplysning, enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»), jf. Art. 4, 1).
c) Behandling, enhver operasjon eller rekke av operasjoner som gjøres med Personopplysninger, jf. Art. 4, 2).
d) Behandlingsansvarlig, en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med Behandlingen av Personopplysninger og hvilke midler som skal benyttes, jf. Art. 4, 7).
e) Databehandler en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler Personopplysninger på vegne av den Behandlingsansvarlige, jf. Art. 4, 8).
f) Databehandleravtale, denne avtalen som regulerer rettigheter og plikter vedrørende Partenes behandling av Personopplysninger.
g) Tjenesteavtale, en eller flere avtaler mellom Partene om leveranse av tjenester («Tjenesten») som omfatter behandling av Personopplysninger.
h) Personverlovgivning, gjeldende personvernregler i Norge, herunder forskrifter og personvernforordningen GDPR når den har trådt i kraft og er gitt virkning som norsk lov.
i) Underdatabehandler, en underleverandør som er databehandler for Databehandleren etter denne avtale.
 
 

3. Formål, tolkning og rang

Databehandleravtalen skal sikre at Personopplysninger om den registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
 
Avtalen regulerer Databehandlers bruk av Personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. 
 
Partene har inngått en Tjenesteavtale, eventuelt flere Tjenesteavtaler, om leveranse av Tjenesten. Denne Databehandleravtalen har som formål å regulere Partenes rettigheter og plikter på en slik måte at Personvernlovgivningen overholdes. Ved tvil skal det tolkningsalternativet som ligger nærmest personvernreglenes normalordning velges, se særlig prinsippene for behandling av Personopplysninger i Artikkel 5.
 
Dersom GDPR ikke har trådt i kraft eller er gitt virkning som norsk lov når nærværende Databehandleravtale trer i kraft, skal GDPR anses som en del av denne Databehandleravtalen og ha trinnhøyde over denne ved tolkningstvil.
 
Databehandleravtalen innebærer ingen endringer i de kommersielle betingelsene i Tjenesteavtalen. Overholdelse av Databehandleravtalen gir i utgangspunktet heller ikke partene krav på ytterligere vederlag utover det som fremkommer av Tjenesteavtalen. Overholdelse av Personvernlovgivningen skal som hovedregel anses priset inn i Tjenesten.
Brudd på Databehandleravtalen vil kunne utløse og være grunnlag for krav om erstatning.
 
Tredjemann som ikke er Part i denne avtalen kan ikke gjøre krav gjeldende direkte overfor noen av Partene basert på vilkår som fremkommer her.
 
Kategorier av registrerte, typer personopplysninger, samt informasjon om selve behandlingsmåten, er nærmere beskrevet i Vedlegg A.
 
 

4. Behandlingsansvarliges plikter

Behandlingsansvarlig har overfor den registrerte ansvar for at Behandling skjer innenfor gjeldende regelverk. Behandlingsansvarlig skal medvirke og samarbeide med Databehandler for å oppnå dette.
 
5. Databehandlers plikter
Databehandler garanterer overfor Behandlingsansvarlig for at det vil gjennomføres egnede tekniske og organisatoriske tiltak som sikrer at Behandlingen oppfyller kravene i Personvernlovgivningen og vern av den registrertes rettigheter, jf. Artikkel 28, nr. 1.
 
Databehandler skal følge de rutiner og instrukser for Behandlingen som Behandlingsansvarlig til enhver tid har bestemt at skal gjelde. Databehandler skal bare behandle personopplysninger på dokumentert instruks fra Behandlingsansvarlig, herunder med hensyn til overføring av Personopplysninger til en tredjestat eller en internasjonal organisasjon. Databehandler forbeholder seg retten til å nekte behandling av personopplysninger som bryter med loven, og plikter å varsle Kunden om dette.
 
Databehandler kan ikke behandle Personopplysningene for egne formål, ei heller utlevere eller på annen måte gi utenforstående tilgang til disse. For det tilfellet at det foreligger en lovpålagt plikt til å utlevere eller gi tilgang til Personopplysningene, skal Behandlingsansvarlig konsulteres før det gis tilgang og få anledning til å vurdere det rettslige grunnlaget.
 
Databehandler plikter å gi Behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, samt bistå slik at Behandlingsansvarlig kan ivareta sitt eget ansvar, herunder kunne foreta en informert og adekvat vurdering av personvernkonsekvenser. 
 
Behandlingsansvarlig har rett til tilgang og innsyn i Personopplysningene som behandles, herunder systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Databehandler skal på oppfordring fra Behandlingsansvarlig bistå ved innsynsanmodninger fra den registrerte. Dersom Databehandler blir kontaktet direkte skal Behandlingsansvarlig underrettes umiddelbart.
 
Databehandleren skal løpende føre protokoll over sin behandling av personopplysninger i henhold til Artikkel 30. Databehandler plikter til enhver tid å gi behandlingsansvarlig tilgang til slik protokoll og øvrige sikkerhetsdokumentasjon, samt bistå Behandlingsansvarlig til å ivareta den Behandlingsansvarliges ansvar etter ovennevnte lovgivning og pålegg fra offentlige myndigheter.
 
 

6. Bruk av Underdatabehandler

Dersom Databehandler benytter seg av underleverandør i form av en Underdatabehandler skal dette avtales skriftlig med Behandlingsansvarlig før behandlingen av Personopplysninger starter, se https://www.isphuset.no/personvern 
 
Overfor Behandlingsansvarlig er Databehandler fullt ut ansvarlig for alle forhold knyttet til bruk av Underdatabehandler. 
 
Databehandler skal ikke engasjere en annen Underdatabehandler uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra Behandlingsansvarlig. Dersom det er innhentet en generell skriftlig tillatelse, skal Databehandleren underrette den Behandlingsansvarlig om eventuelle planer om å benytte andre Underdatabehandlere eller skifte ut Underdatabehandlere, og dermed gi Behandlingsansvarlig mulighet til å motsette seg slike endringer, jf. Artikkel 28, nr. 2.
 
Samtlige som på vegne av Databehandler utfører oppdrag der bruk av de aktuelle Personopplysningene inngår, skal være kjent med og oppfylle lovkrav og Databehandlers avtaleforpliktelser overfor Behandlingsansvarlig.
 
Behandlingsansvarlig har rett til innsyn i de til enhver tid gjeldende underdatabehandleravtaler som Databehandler har inngått.
 

7. Taushetsplikt og tilgangsstyring

Databehandler har taushetsplikt om dokumentasjon og Personopplysninger som vedkommende får tilgang til gjennom Tjenesteavtalen eller denne Databehandleravtalen. Databehandler skal sørge for at personell som er involvert i Behandling av Personopplysningene har forpliktet seg til konfidensialitet og/eller er underlagt lovbestemt taushetsplikt. Konfidensialitets- og taushetsplikten etter denne bestemmelse skal gjelde også etter opphøret av denne Avtalen. Se forøvrig bestemmelsene i ekomloven § 2-9.
 
Databehandler skal etablere og følge rutiner for tilgangsstyring og autorisasjon for adgang til Behandlingsansvarliges data.
 
Databehandler skal fortløpende sørge for at bare autorisert personell har tilgang til Personopplysningene som behandles på vegne av Behandlingsansvarlig. Adgang til opplysningene skal straks fjernes dersom autorisasjonen utløper eller blir fratatt den som har fått adgang. Databehandler skal bare autorisere adgang for et nødvendig omfang av personell som har et tjenstlig behov for tilgang til data. 
 
Innlogging, oppslag og interaksjon med Behandlingsansvarliges data skal loggføres automatisk.
 

8. Sikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles i Personverlovgivningen og tilhørende forskrifter. Viktige plikter er ivaretakelse av informasjonssikkerhet, både med hensyn til konfidensialitet, integritet, sporbarhet og tilgjengelighet ved behandling av personopplysninger. 
 
Databehandler skal gjennomføre jevnlige kontroller av egen virksomhet og innhente dokumentasjon av tilsvarende kontroller hos Underdatabehandlerne. Databehandler skal foreta en samlet vurdering av om informasjonssikkerheten er tilfredsstillende og eventuelt iverksette nødvendige tiltak.
 
Databehandler skal dokumentere både rutiner og tiltak for å oppfylle kravene i Personvernlovgivningen. Dokumentasjonen skal på kort varsel være tilgjengelig på forespørsel fra Behandlingsansvarlig.
 
Databehandler skal bistå Behandlingsansvarlig med å sikre overholdelse av Artikkel 33 om melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten. Ved sikkerhetsbrudd, herunder enhver hendelse som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til Personopplysninger som er overført, lagret eller på annen måte behandlet under denne Databehandleravtalen, skal Databehandleren varsle Behandlingsansvarlig uten ugrunnet opphold. Behandlingsansvarlig har ansvaret for å sende avviksmelding til Datatilsynet innen 72 timer etter at Behandlingsansvarlig får kjennskap til bruddet.
 
Varselet skal beskrive arten av bruddet, herunder kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt. Ytterligere skal Databehandler bidra til å beskrive de sannsynlige konsekvensene av hendelsen eller avviket, samt de tiltak som er tatt eller foreslås tatt for å håndtere hendelsen i henhold til personvernlovgivningen, herunder foreslå eventuelle tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
 

9. Sikkerhetsrevisjoner

Databehandler skal sørge for at det gjennomføres årlige sikkerhetsrevisjoner, gjerne ved hjelp fra en tredjepart. Revisjonen bør omfatte gjennomgang av rutiner, stikkprøvekontroller, stedlig kontroll og andre egnede kontrolltiltak.
 
Rapport med resultatet av revisjonen skal oversendes til Behandlingsansvarlig. På bakgrunn av rapporten skal Databehandler av eget tiltak iverksette utbedringer for å avhjelpe eventuelle mangler og feil i datasikkerheten.
 
I tillegg til nevnte kontroll kan Behandlingsansvarlig avtale med Databehandler at Behandlingsansvarlig selv gjennomfører sikkerhetsrevisjon for egen kostnad. Behandlingsansvarlig, eller dennes representant, skal under Databehandlers tilsyn gis tilgang til både datasystemer og lokaler, samt intervjue Databehandlers personell som er autorisert for arbeid med Behandlingsansvarliges systemer.
 
 

10. Erstatningsansvar

Databehandler kan stilles solidarisk ansvarlig med Behandlingsansvarlig for økonomisk tap den registrerte blir påført som følge av brudd på Databehandleravtalen og Personverlovgivningen. Personvernlovgivningens regler om rett til erstatning og erstatningsansvar for Databehandler får ellers anvendelse.
 
Eventuelle begrensninger av erstatningsansvar i Tjenesteavtalen kommer til anvendelse for erstatningsansvar under nærværende Databehandleravtale.
 
Behandlingsansvarlig skal holde Databehandler skadesløs for brudd på Personvernlovgivningen som forårsakes av Behandlingsansvarliges bruk av Tjenesten, herunder brudd som følge av Behandlingsansvarliges konfigurasjon og integrasjon med andre systemer og tjenesteleverandører.
 

11. Personvernombud

Databehandler har oppnevnt Benny Samuelsen som personvernombud.
 
Telefon: +47 3226 0200
 
Kontaktinformasjonen oppdateres til enhver tid på https://www.isphuset.no/personvern.
 

12. Avtalens varighet

Avtalen gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig.
 
Ved brudd på denne avtalen eller Personopplysningslovgivningen kan Behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
 

13. Ved opphør

Ved opphør av denne avtalen plikter Databehandler å tilbakelevere alle Personopplysninger som er mottatt på vegne av den Behandlingsansvarlige og som omfattes av denne avtalen. 
 
Videre kan det avtales at det skal gis en utskrift og kopi av alt innhold i databaser og lignende med data som er omfattet. Kostnader ved dette, eller om opplysningene skal leveres i et særskilt format, kan også inngå i en slik avtale.
 
Det skal avtales at Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier. Avtalen bør spesifisere på hvilken måte sletting og/eller destruksjon skal skje etter avtalens opphør. 
 
Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.
 

14. Meddelelser

Meddelelser etter denne avtalen skal sendes skriftlig til: support@isphuset.no 
 

15. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Drammen tingrett som verneting. Dette gjelder også etter opphør av avtalen.
 
 
 
 
Liste over godkjente Underdatabehandlere