Databehandleravtale
I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS (databehandler)
Revidert 8. april 2019
Avtalens hensikt
Avtalen skal sikre personopplysningenes integritet, konfidensialitet og tilgjengelighet. Avtalen skal sikre at personopplysninger om de registrerte i databehandlerens database ikke brukes urettmessig eller kommer på avveie.
Personopplysningene skal behandles i samsvar med EUs personvernforordning (forordning 2016/67) og for øvrig behandles i samsvar med krav i lover og regler, herunder gjeldende personopplysningslov med eventuelle forskrifter og godkjente adferdsnormer, samlet benevnt «Regelverket».
Avtalen regulerer databehandler sin bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.
Formål
Formålet med behandlingen av personopplysninger er å kunne levere service og tjenester i henhold til den tjeneste-/brukeravtale (Tjenesteavtalen) som behandlingsansvarlig (kunden) har inngått med Norsk Byggtjeneste AS, samt å sikre at den aktuelle behandlingen av personopplysninger skjer i samsvar med Regelverket.
Vedlegg 1 til denne databehandleravtalen inneholder en nærmere beskrivelse av formål og omfang for databehandlers behandling av personopplysninger, i tråd med personvernforordningen artikkel 28 (3) og artikkel 30 (2).
Databehandlers plikter
Databehandleren handler etter instruks fra den behandlingsansvarlige.
Databehandler skal oppfylle de krav som stilles etter Regelverket, herunder:
sikre at personer som er autorisert til å behandle personopplysninger, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetserklæring, jf. forordningen art. 28 (3) bokstav b.
Ikke engasjere en annen databehandler («underdatabehandler») uten særlig eller generell skriftlig tillatelse fra den behandlingsansvarlige, jf. forordningen art 28 (2). Dersom det skal benyttes en annen underleverandør skal det skriftlig gjøres rede for hvilke oppgaver denne utfører og i hvilke land denne befinner seg i. Hvis databehandleren bruker en annen databehandler, og det er gitt tillatelse til dette, må denne pålegges de samme kontraktsvilkårene som kreves etter forordningen art. 28 (3) og den opprinnelige databehandler vil være fullt ut ansvarlig for at andre databehandlere oppfyller sine forpliktelser.
Personopplysningene skal kun behandles etter instruks fra den behandlingsansvarlige, herunder ikke overføre personopplysninger til land utenfor EU/EØS (tredjeland) uten etter skriftlig og dokumenterbar instruks fra den behandlingsansvarlige, jf. forordningen art 28 (3) bokstav a.
Databehandler skal treffe alle tiltak som er nødvendige for å oppnå et sikkerhetsnivå som står i forhold til den relevante risiko ved behandlingen, jf. forordningen art. 32.
Etterkomme pålegg fra den behandlingsansvarlige om å slette eller tilbakelevere alle personopplysninger (inkludert kopier) etter at tjenestene knyttet til behandlingen er avsluttet, med mindre det foreligger lovkrav til at opplysningen skal fortsatt lagres, jf. forordningen art 28 (3) bokstav g.
Gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene ovenfor er oppfylt for den behandlingsansvarlige, samt muliggjøre og bidra til revisjoner og inspeksjoner som gjennomføres av den behandlingsansvarlige eller annen på dennes vegne, jf. forordningen art 28 (3) bokstav h.
Omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige er i strid med Regelverket, se også forordningen art 28 andre avsnitt.
Databehandler skal sikre at all behandling av personopplysninger som er omfattet av denne avtalen utføres i samsvar med akseptabelt risikonivå og i samsvar med risikovurdering utført av databehandler.
Databehandleren definerer sikkerhetsmål, -strategi, -organisering og ansvar i samsvar med Regelverket og følger opp dette ved bruk av et internkontrollsystem.
Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon og bistå slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter Regelverket.
Databehandler plikter å sørge for at samtlige personer hos seg som gis tilgang til personopplysninger som behandles på vegne av behandlingsansvarlig er kjent med denne avtalen og er underlagt avtalens bestemmelser.
Den behandlingsansvarliges plikter
Behandlingsansvarlig skal påse at de aktuelle personopplysningene kan behandles. Nærmere bestemt skal behandlingsansvarlig
sørge for at det foreligger et tilstrekkelig hjemmelsgrunnlag,
sørge for at de avtaler som inngås med den registrerte og de samtykker som utformes er i samsvar med og muliggjør den behandling av personopplysninger som fremgår av Vedlegg 1, og
ha ansvaret for at overføringer av personopplysninger til databehandler lovlig kan skje
Bruk av underleverandør
Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter.
Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
Samtykker til at aktiviteter eller oppdrag utføres av nye underleverandører, eller endringer i driftssted, finner sted ved oppdatering av Vedlegg 2.
Databehandler er ansvarlig for underleverandørens utførelse av oppgaver for behandlingsansvarlig, på samme måte som om databehandler sto for utførelsen selv.
Krav om forhåndssamtykke fra behandlingsansvarlig gjelder også de tilfeller der databehandler og/eller underleverandørers behandling omfatter overføring av personopplysninger til land utenfor EU/EØS (Tredjeland). Slik overføring forutsetter gyldig overføringsgrunnlag i samsvar med Regelverket.
For en oversikt over Underdatabehandleravtaler, se Vedlegg 2.
Sikkerhet
Databehandler skal ha en tilfredsstillende teknisk og fysisk sikring på den løsningen som benyttes.
Kun ansatte og andre som opptrer på databehandlers vegne, og som har tjenstlig behov for tilgang til personopplysningene kan gis slik tilgang.
Databehandler skal ha klare rutiner for logging av feil og avvik som er av betydning og som er omfattet av denne avtalen. Dersom det avdekkes slike feil eller avvik, skal databehandler så snart som mulig varsle behandlingsansvarlig om dette.
Behandlingsansvarlig kan revidere databehandlers personopplysningssikkerhet ved bruk av en tredjepart godkjent av databehandler. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøver, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Slike revisjoner kan kun gjøres etter skriftlig forhåndsvarsel fra behandlingsansvarlig. De som utfører revisjon må forholde seg til databehandlers rimelige instrukser ved adgang til databehandlers lokaler, og for øvrig akseptere databehandlers saklige behov for konfidensialitet. Revisjoner skal skje på en effektiv måte og skal i minst mulig utstrekning forstyrre databehandlers arbeid.
Databehandler skal etablere tiltak og rutiner for å avdekke avvik fra personvernsikkerhet og andre sikkerhetsbrudd, samt ha rutiner og iverksette tiltak for å følge opp og rette avvik. Databehandler plikter å bistå behandlingsansvarlig med oppfølgingen av avvik, samt fremskaffe den nødvendige informasjon om avviket som følger av Regelverket.
Eventuelle avvik skal skriftlig meldes til behandlingsansvarlig uten ugrunnet opphold og senest innen 24 timer etter at databehandler fikk mistanke om avviket, selv om Databehandler ikke har all påkrevet informasjon tilgjengelig. Melding til behandlingsansvarlig om eventuelle avvik skal ikke utsettes i påvente av undersøkelser rundt årsak, omfang og konsekvens. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til avviket.
Avtalens varighet
Denne databehandleravtalen følger varigheten til den tilknyttede Tjenesteavtalen. Databehandleravtalen gjelder imidlertid uansett så lenge databehandler behandler eller har tilgang til personopplysninger på vegne av behandlingsansvarlig.
Ved påvist brudd på denne databehandleravtalen, relevante forhold i Tjenesteavtalen og/eller Regelverket, kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av personopplysningene med øyeblikkelig virkning.
Dersom brudd på denne databehandleravtale ikke rettes innen rimelig tid, kan Behandlingsansvarlig si opp databehandleravtalen helt eller delvis etter forutgående skriftlig varsel. Ved helt eller delvis opphør av denne databehandleravtale, vil ytelser etter Tjenesteavtalen også opphøre.
Ved opphør
Databehandler skal, etter den Behandlingsansvarliges valg, slette (anonymisere) eller tilbakelevere alle personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og slette (anonymisere) eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres.
Dette omfatter også sletting av logger, sikkerhetskopier og lignende, som databehandler ikke selv har behandlingsgrunnlag for å oppbevare.
Databehandler skal skriftlig dokumentere at sletting er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. Etter dette opphører databehandlers ansvar.
Henvendelser vedrørende avtalen
Alle henvendelser vedrørende denne databehandleravtalen, herunder melding av avvik, skal skje til partens oppgitte kontaktpunkter i Tjenesteavtalen, med mindre annet er avtalt i Vedlegg 1.
Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting.
Dette gjelder også i tilfelle av konflikter etter opphør av avtalen.
Vedlegg 1
Formålet med behandlingen
Databehandler skal kun behandle personopplysninger i den utstrekning det er nødvendig for å oppfylle sine oppgaver og forpliktelser etter Tjenesteavtalen.
Personopplysninger behandles hos databehandleren ved normal bruk av produkter og tjenester, herunder når behandlingsansvarlig benytter produktene eller tjenestene til
å legge inn / redigere kontaktopplysninger
å innhente samtykke til videre behandling fra den enkelte registrerte
Personopplysninger behandles også ved support og feilretting, herunder ved bruk av underleverandør i tredjeland. Behandlingsansvarlig gir databehandler en rett til å inngå avtale med underleverandør i tredjeland på vegne av behandlingsansvarlig. Det vises her til Vedlegg 2.
Type personopplysninger som behandles
Databehandler behandler følgende personopplysninger på vegne av behandlingsansvarlig:
Fornavn og etternavn
E-postadresse
Telefonnummer
Land
Tilhørighet til firma/organisasjon
Kategori av registrerte
Databehandler vil behandle personopplysninger om følgende kategorier av registrerte:
Brukere av programvare/tjenester, ansatte og kontakter
Avtalte kontaktpunkter, jf. Databehandleravtalen punkt 9
Med mindre annet er avtalt, skal alle henvendelser vedrørende denne databehandleravtalen, herunder melding av avvik, skje til partens oppgitte kontaktpunkter i Tjenesteavtalen.
Varigheten av behandlingen
Varigheten av behandlingen vil være så lenge avtaleforholdet mellom partene består. Ved opphør av Tjenesteavtalen vil Databehandler lagre opplysninger i maksimalt 5 år.
De opplysninger som må oppbevares av hensyn til regnskapsloven, vil lagres så lenge dette kreves, typisk i fem år.
Vedlegg 2
Oversikt over underleverandører
Oversikten omfatter alle godkjente underleverandører.
Navn på leverandør, samt lokasjon | Hvilke tjenester utføres av underleverandør (Formål) | Hvilke personopplysninger behandles av underleverandør | Eventuelle merknader |
Conscensia A/S Danmark/Ukraina | Utvikling av ny funksjonalitet og versjoner/teknisk vedlikehold Feilsøking og teknisk andrelinje-support ved behov. | Alle som nevnt i vedlegg 1 punkt 2 | Tredjelandsavtale påkrevd. Behandlingsansvarlig gir databehandler rett til å inngå slik avtale på vegne av behandlingsansvarlig. |
Inmeta AS Oslo | Utvikling av ny funksjonalitet og versjoner/teknisk vedlikehold Feilsøking og teknisk andrelinje-support ved behov. | Alle som nevnt i vedlegg 1 punkt 2 | |
Aurum AS Oslo | Utvikling av ny funksjonalitet og versjoner/teknisk vedlikehold Feilsøking og teknisk andrelinje-support ved behov. | Alle som nevnt i vedlegg 1 punkt 2 | |
Techpros AS Oslo | Utvikling av ny funksjonalitet og versjoner/teknisk vedlikehold Feilsøking og teknisk andrelinje-support ved behov. | Alle som nevnt i vedlegg 1 punkt 2 | |
Braathe Gruppen AS Oslo | Leie av servere, drift av servere, backup, hosting | Alle som nevnt i vedlegg 1 punkt 2 | |
Microsoft Corporation USA / Nederland | Drift av servere, backup, hosting i Azure | Alle som nevnt i vedlegg 1 punkt 2 | |
SendGrid, Inc. USA | Utsendelser av e-post | Navn, e-postadresser og informasjon om utsendelser, (levert/feilet.) | Selskapet er sertifisert i henhold til Privacy Shield-rammeverket. |
Auth0, Inc. USA | Brukeradministrasjon og autentisering | Alle som nevnt i vedlegg 1 punkt 2 | Selskapet er sertifisert i henhold til Privacy Shield-rammeverket. |
Penetrace Oslo | Utsendelse av brukerundersøkelser | Navn, e-postadresser og informasjon om utsendelser og svar på undersøkelser | |
Logiq Oslo | Overføring av transaksjoner | Alle som nevnt i vedlegg 1 punkt 2 | |
EcoOnline Tønsberg | Stoffkartotek | Alle som nevnt i vedlegg 1 punkt 2 | |