Skip to main content
Skip table of contents

Databehandleravtale

I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS (databehandler)

Revidert 21. oktober 2024

Avtalens hensikt

Avtalen skal sikre personopplysningenes integritet, konfidensialitet og tilgjengelighet. Avtalen skal sikre at personopplysninger om de registrerte i databehandlerens database ikke brukes urettmessig eller kommer på avveie.

Personopplysningene skal behandles i samsvar med EUs personvernforordning (forordning 2016/67) og for øvrig behandles i samsvar med krav i lover og regler, herunder gjeldende personopplysningslov med eventuelle forskrifter og godkjente adferdsnormer, samlet benevnt «Regelverket».

Avtalen regulerer databehandler sin bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

Formål

Formålet med behandlingen av personopplysninger er å kunne levere service og tjenester i henhold til den tjeneste-/brukeravtale (Tjenesteavtalen) som behandlingsansvarlig (kunden) har inngått med Norsk Byggtjeneste AS, samt å sikre at den aktuelle behandlingen av personopplysninger skjer i samsvar med Regelverket.

Vedlegg 1 til denne databehandleravtalen inneholder en nærmere beskrivelse av formål og omfang for databehandlers behandling av personopplysninger, i tråd med personvernforordningen artikkel 28 (3) og artikkel 30 (2).

Databehandlers plikter

Databehandleren handler etter instruks fra den behandlingsansvarlige.

Databehandler skal oppfylle de krav som stilles etter Regelverket, herunder:

  • sikre at personer som er autorisert til å behandle personopplysninger, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetserklæring, jf. forordningen art. 28 (3) bokstav b.

  • Ikke engasjere en annen databehandler («underdatabehandler») uten særlig eller generell skriftlig tillatelse fra den behandlingsansvarlige, jf. forordningen art 28 (2). Dersom det skal benyttes en annen underleverandør skal det skriftlig gjøres rede for hvilke oppgaver denne utfører og i hvilke land denne befinner seg i. Hvis databehandleren bruker en annen databehandler, og det er gitt tillatelse til dette, må denne pålegges de samme kontraktsvilkårene som kreves etter forordningen art. 28 (3) og den opprinnelige databehandler vil være fullt ut ansvarlig for at andre databehandlere oppfyller sine forpliktelser.

  • Personopplysningene skal kun behandles etter instruks fra den behandlingsansvarlige, herunder ikke overføre personopplysninger til land utenfor EU/EØS (tredjeland) uten etter skriftlig og dokumenterbar instruks fra den behandlingsansvarlige, jf. forordningen art 28 (3) bokstav a.

  • Databehandler skal treffe alle tiltak som er nødvendige for å oppnå et sikkerhetsnivå som står i forhold til den relevante risiko ved behandlingen, jf. forordningen art. 32.

  • Etterkomme pålegg fra den behandlingsansvarlige om å slette eller tilbakelevere alle personopplysninger (inkludert kopier) etter at tjenestene knyttet til behandlingen er avsluttet, med mindre det foreligger lovkrav til at opplysningen skal fortsatt lagres, jf. forordningen art 28 (3) bokstav g.

  • Gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene ovenfor er oppfylt for den behandlingsansvarlige, samt muliggjøre og bidra til revisjoner og inspeksjoner som gjennomføres av den behandlingsansvarlige eller annen på dennes vegne, jf. forordningen art 28 (3) bokstav h.

  • Omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige er i strid med Regelverket, se også forordningen art 28 andre avsnitt.

Databehandler skal sikre at all behandling av personopplysninger som er omfattet av denne avtalen utføres i samsvar med akseptabelt risikonivå og i samsvar med risikovurdering utført av databehandler.

Databehandleren definerer sikkerhetsmål, -strategi, -organisering og ansvar i samsvar med Regelverket og følger opp dette ved bruk av et internkontrollsystem.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon og bistå slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter Regelverket.

Databehandler plikter å sørge for at samtlige personer hos seg som gis tilgang til personopplysninger som behandles på vegne av behandlingsansvarlig er kjent med denne avtalen og er underlagt avtalens bestemmelser.

Den behandlingsansvarliges plikter

Behandlingsansvarlig skal påse at de aktuelle personopplysningene kan behandles. Nærmere bestemt skal behandlingsansvarlig

  • sørge for at det foreligger et tilstrekkelig hjemmelsgrunnlag,

  • sørge for at de avtaler som inngås med den registrerte og de samtykker som utformes er i samsvar med og muliggjør den behandling av personopplysninger som fremgår av Vedlegg 1, og

  • ha ansvaret for at overføringer av personopplysninger til databehandler lovlig kan skje

Bruk av underleverandør

Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter.

Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

Samtykker til at aktiviteter eller oppdrag utføres av nye underleverandører, eller endringer i driftssted, finner sted ved oppdatering av Vedlegg 2.

Databehandler er ansvarlig for underleverandørens utførelse av oppgaver for behandlingsansvarlig, på samme måte som om databehandler sto for utførelsen selv.

Krav om forhåndssamtykke fra behandlingsansvarlig gjelder også de tilfeller der databehandler og/eller underleverandørers behandling omfatter overføring av personopplysninger til land utenfor EU/EØS (Tredjeland). Slik overføring forutsetter gyldig overføringsgrunnlag i samsvar med Regelverket.

For en oversikt over Underdatabehandleravtaler, se Vedlegg 2.

Sikkerhet

Databehandler skal ha en tilfredsstillende teknisk og fysisk sikring på den løsningen som benyttes.

Kun ansatte og andre som opptrer på databehandlers vegne, og som har tjenstlig behov for tilgang til personopplysningene kan gis slik tilgang.

Databehandler skal ha klare rutiner for logging av feil og avvik som er av betydning og som er omfattet av denne avtalen. Dersom det avdekkes slike feil eller avvik, skal databehandler så snart som mulig varsle behandlingsansvarlig om dette.

Behandlingsansvarlig kan revidere databehandlers personopplysningssikkerhet ved bruk av en tredjepart godkjent av databehandler. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøver, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Slike revisjoner kan kun gjøres etter skriftlig forhåndsvarsel fra behandlingsansvarlig. De som utfører revisjon må forholde seg til databehandlers rimelige instrukser ved adgang til databehandlers lokaler, og for øvrig akseptere databehandlers saklige behov for konfidensialitet. Revisjoner skal skje på en effektiv måte og skal i minst mulig utstrekning forstyrre databehandlers arbeid.

Databehandler skal etablere tiltak og rutiner for å avdekke avvik fra personvernsikkerhet og andre sikkerhetsbrudd, samt ha rutiner og iverksette tiltak for å følge opp og rette avvik. Databehandler plikter å bistå behandlingsansvarlig med oppfølgingen av avvik, samt fremskaffe den nødvendige informasjon om avviket som følger av Regelverket.

Eventuelle avvik skal skriftlig meldes til behandlingsansvarlig uten ugrunnet opphold og senest innen 24 timer etter at databehandler fikk mistanke om avviket, selv om Databehandler ikke har all påkrevet informasjon tilgjengelig. Melding til behandlingsansvarlig om eventuelle avvik skal ikke utsettes i påvente av undersøkelser rundt årsak, omfang og konsekvens. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til avviket.

Avtalens varighet

Denne databehandleravtalen følger varigheten til den tilknyttede Tjenesteavtalen. Databehandleravtalen gjelder imidlertid uansett så lenge databehandler behandler eller har tilgang til personopplysninger på vegne av behandlingsansvarlig.

Ved påvist brudd på denne databehandleravtalen, relevante forhold i Tjenesteavtalen og/eller Regelverket, kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av personopplysningene med øyeblikkelig virkning.

Dersom brudd på denne databehandleravtale ikke rettes innen rimelig tid, kan Behandlingsansvarlig si opp databehandleravtalen helt eller delvis etter forutgående skriftlig varsel. Ved helt eller delvis opphør av denne databehandleravtale, vil ytelser etter Tjenesteavtalen også opphøre.

Ved opphør

Databehandler skal, etter den Behandlingsansvarliges valg, slette (anonymisere) eller tilbakelevere alle personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og slette (anonymisere) eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres.

Dette omfatter også sletting av logger, sikkerhetskopier og lignende, som databehandler ikke selv har behandlingsgrunnlag for å oppbevare.

Databehandler skal skriftlig dokumentere at sletting er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. Etter dette opphører databehandlers ansvar.

Henvendelser vedrørende avtalen

Alle henvendelser vedrørende denne databehandleravtalen, herunder melding av avvik, skal skje til partens oppgitte kontaktpunkter i Tjenesteavtalen, med mindre annet er avtalt i Vedlegg 1.

Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting.

Dette gjelder også i tilfelle av konflikter etter opphør av avtalen.

Vedlegg 1

Formålet med behandlingen

Databehandler skal kun behandle personopplysninger i den utstrekning det er nødvendig for å oppfylle sine oppgaver og forpliktelser etter Tjenesteavtalen.

  • Personopplysninger behandles hos databehandleren ved normal bruk av produkter og tjenester, herunder når behandlingsansvarlig benytter produktene eller tjenestene til

    • å legge inn / redigere kontaktopplysninger

    • å innhente samtykke til videre behandling fra den enkelte registrerte

  • Personopplysninger behandles også ved support og feilretting, herunder ved bruk av underleverandør i tredjeland. Behandlingsansvarlig gir databehandler en rett til å inngå avtale med underleverandør i tredjeland på vegne av behandlingsansvarlig. Det vises her til Vedlegg 2.

Type personopplysninger som behandles

Databehandler behandler følgende personopplysninger på vegne av behandlingsansvarlig:

  • Fornavn og etternavn

  • E-postadresse

  • Telefonnummer

  • Land

  • Tilhørighet til firma/organisasjon

Kategori av registrerte

Databehandler vil behandle personopplysninger om følgende kategorier av registrerte:

Brukere av programvare/tjenester, ansatte og kontakter

Avtalte kontaktpunkter, jf. Databehandleravtalen punkt 9

Med mindre annet er avtalt, skal alle henvendelser vedrørende denne databehandleravtalen, herunder melding av avvik, skje til partens oppgitte kontaktpunkter i Tjenesteavtalen.

Varigheten av behandlingen

Varigheten av behandlingen vil være så lenge avtaleforholdet mellom partene består. Ved opphør av Tjenesteavtalen vil Databehandler lagre opplysninger i maksimalt 5 år.

De opplysninger som må oppbevares av hensyn til regnskapsloven, vil lagres så lenge dette kreves, typisk i fem år.

Vedlegg 2

Oversikt over underleverandører

Oversikten omfatter alle godkjente underleverandører.

Navn på leverandør, samt lokasjon

Hvilke tjenester utføres av underleverandør (Formål)

Hvilke personopplysninger behandles av underleverandør

Eventuelle merknader

Conscensia A/S

Danmark/Ukraina

Utvikling av ny funksjonalitet og versjoner/teknisk vedlikehold

Feilsøking og teknisk andrelinje-support ved behov.

Alle som nevnt i vedlegg 1 punkt 2

Tredjelandsavtale påkrevd.

Behandlingsansvarlig gir databehandler rett til å inngå slik avtale på vegne av behandlingsansvarlig.

Satyr d.o.o.

Kroatia

Utvikling av ny funksjonalitet og versjoner/teknisk vedlikehold

Feilsøking og teknisk andrelinje-support ved behov.

Alle som nevnt i vedlegg 1 punkt 2

Ironstone

Oslo

Utvikling av ny funksjonalitet og versjoner/teknisk vedlikehold

Feilsøking og teknisk andrelinje-support ved behov.

Alle som nevnt i vedlegg 1 punkt 2

Braathe Gruppen AS

Norge

Leie av servere, drift av servere, backup, hosting

Alle som nevnt i vedlegg 1 punkt 2

Microsoft Corporation

USA / Nederland

Drift av servere, backup, hosting i Azure

Alle som nevnt i vedlegg 1 punkt 2

SendGrid, Inc.

USA

Utsendelser av e-post

Navn, e-postadresser og informasjon om utsendelser, (levert/feilet.)

Selskapet er sertifisert i henhold til Privacy Shield-rammeverket.

Auth0, Inc.

USA

Brukeradministrasjon og autentisering

Alle som nevnt i vedlegg 1 punkt 2

Selskapet er sertifisert i henhold til Privacy Shield-rammeverket.

Survey Monkey

USA

Utsendelse av brukerundersøkelser

Navn, e-postadresser og informasjon om utsendelser og svar på undersøkelser

B2S

Norge

Utsendelse av brukerundersøkelser

Navn, e-postadresser og informasjon om utsendelser og svar på undersøkelser

Logiq

Oslo

Overføring av transaksjoner

Alle som nevnt i vedlegg 1 punkt 2

EcoOnline

Tønsberg

Stoffkartotek

Alle som nevnt i vedlegg 1 punkt 2

SuperOffice

Norge

CRM-system

Alle som nevnt i vedlegg 1 punkt 2

Proviso

Trollåsen

Kurs/konferanse-håndtering

Alle som nevnt i vedlegg 1 punkt 2 og allergier

Google

Informasjonskapsler for analyseformål

Personlig identifiserende informasjonskapsel

Zapier

USA

Syncronisering mellom SuperOffice og HubSpot

Alle som nevnt i vedlegg 1 punkt 2 og allergier

HubSpot

USA

CRM-system

Alle som nevnt i vedlegg 1 punkt 2

Elasticsearch BV

Nederland

USA

Søkemotor

Alle som nevnt i vedlegg 1 punkt 2

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.