Databehandleravtale

1Innledning

Disse standard kontraktsbestemmelser (Kontraktsbestemmelsene) regulerer rettigheter og plikter for behandlingsansvarlig og databehandler, når det behandles personopplysninger på vegne av den behandlingsansvarlige.

Kontraktsbestemmelsene er utformet for å sikre partenes overholdelse med artikkel 28(3) i Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 (generell personvernforordning – GDPR).

I forbindelse med leveranse av Nordic Multiforms programvare, vil databehandleren behandle personopplysninger på vegne av den behandlingsansvarlige i henhold til Kontraktsbestemmelsene.

Kontraktsbestemmelsene skal ha forrang over andre tilsvarende bestemmelser i andre avtaler mellom partene.

Fire vedlegg er inntatt i Kontraktsbestemmelsene og anses som omfattet av disse. Vedlegg A inneholder detaljer om behandlingen. Vedlegg B inneholder vilkår for bruk av underdatabehandlere og en liste over godkjente underdatabehandlere. Vedlegg C inneholder instrukser for behandlingen, minimum sikkerhetstiltak og hvordan revisjoner gjennomføres. Vedlegg D inneholder regulering av andre aktiviteter som ikke er dekket av Kontraktsbestemmelsene.

Kontraktsbestemmelsene skal ikke frita databehandleren fra plikter som følger av GDPR eller annen lovgivning.

2Behandlingsansvarliges rettigheter og plikter

Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger utføres i samsvar med GDPR (artikkel 24), gjeldende personvernregler og Kontraktsbestemmelsene.

Den behandlingsansvarlige har rett og plikt til å fatte beslutninger om formålene med og midlene for behandlingen.

Den behandlingsansvarlige skal blant annet sikre at behandlingen som databehandleren er instruert om å utføre har et rettslig grunnlag.

3Databehandleren skal handle etter instrukser

Databehandleren skal behandle personopplysninger bare på dokumenterte instrukser fra den behandlingsansvarlige, med mindre annet kreves etter unionsretten eller nasjonal rett som databehandleren er underlagt. Slike instrukser er spesifisert i Vedlegg A og C. Senere instrukser kan gis av den behandlingsansvarlige, men skal alltid dokumenteres og oppbevares skriftlig, herunder elektronisk.

Databehandleren skal omgående underrette den behandlingsansvarlige dersom en instruks etter databehandlerens mening er i strid med GDPR eller andre personvernbestemmelser.

4Konfidensialitet

Databehandleren skal kun gi tilgang til personopplysninger til personer under databehandlerens myndighet som er forpliktet til konfidensialitet eller underlagt lovfestet taushetsplikt, og kun til de som har nødvendig behov for tilgang. Listen over personer med tilgang skal gjennomgås regelmessig, og tilgang skal trekkes tilbake når den ikke lenger er nødvendig.

Databehandleren skal på anmodning påvise at de involverte personene er omfattet av konfidensialitetsplikten.

5Sikkerhet ved behandlingen

I henhold til artikkel 32 i GDPR skal partene, idet det tas hensyn til teknisk utvikling, gjennomføringskostnader og behandlingens art, omfang, formål og sammenheng, samt risikoene for fysiske personers rettigheter og friheter, gjennomføre egnede tekniske og organisatoriske tiltak for et sikkerhetsnivå som er egnet med hensyn til risikoen.

Den behandlingsansvarlige skal vurdere risikoen og implementere tiltak for å redusere den. Slike tiltak kan omfatte pseudonymisering og kryptering, evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet, evne til å gjenopprette tilgjengelighet etter en hendelse, og en prosess for regelmessig testing av tiltakenes effektivitet.

Databehandleren skal – uavhengig av den behandlingsansvarlige – også vurdere risikoen og implementere tiltak. Den behandlingsansvarlige skal gi databehandleren nødvendig informasjon for å identifisere og vurdere slik risiko.

Databehandleren skal bistå den behandlingsansvarlige med å overholde dennes plikter etter artikkel 32, blant annet ved å informere om implementerte tekniske og organisatoriske tiltak. Dersom den identifiserte risikoen krever ytterligere tiltak, skal disse spesifiseres i Vedlegg C.

6Bruk av underdatabehandlere

1. Databehandleren skal overholde kravene i artikkel 28(2) og (4) i GDPR for å engasjere en underdatabehandler.

1. Databehandleren skal ikke engasjere en underdatabehandler uten at det på forhånd er innhentet generell skriftlig tillatelse fra den behandlingsansvarlige.

1. Databehandleren er gitt generell tillatelse til å engasjere underdatabehandlere. Databehandleren skal skriftlig underrette den behandlingsansvarlige om planer om å benytte nye eller skifte ut underdatabehandlere minst 1 måned på forhånd, slik at den behandlingsansvarlige kan motsette seg endringene før de gjennomføres. Liste over allerede godkjente underdatabehandlere finnes i Vedlegg B.

1. Dersom databehandleren engasjerer en underdatabehandler, skal de samme forpliktelsene som i Kontraktsbestemmelsene pålegges underdatabehandleren ved avtale eller annet rettslig dokument, med tilstrekkelige garantier for egnede tekniske og organisatoriske tiltak. Databehandleren er ansvarlig for at underdatabehandleren minimum overholder de samme forpliktelsene.

1. En kopi av underdatabehandleravtalen og senere endringer skal på forespørsel oversendes den behandlingsansvarlige. Rene kommersielle bestemmelser uten betydning for personvern omfattes ikke av oversendelsesplikten.

1. Dersom underdatabehandleren ikke oppfyller sine forpliktelser, har databehandleren fullt ansvar overfor den behandlingsansvarlige.

7Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner

Enhver overføring til tredjestat eller internasjonal organisasjon skal kun skje på grunnlag av dokumenterte instrukser fra den behandlingsansvarlige og i samsvar med kapittel V i GDPR.

Uten dokumenterte instrukser kan databehandleren ikke overføre personopplysninger til en behandlingsansvarlig, databehandler eller underdatabehandler i en tredjestat, eller la opplysningene behandles av en databehandler i en tredjestat.

Den behandlingsansvarliges instrukser om overføring til tredjestat, inkludert overføringsgrunnlag etter kapittel V, fremgår av Vedlegg C.6.

8Bistand til den behandlingsansvarlige

Databehandleren skal, hensyntatt behandlingens art og ved egnede tekniske og organisatoriske tiltak, så langt det er mulig, bistå den behandlingsansvarlige med å oppfylle plikten til å svare på anmodninger fra registrerte som utøver sine rettigheter etter kapittel III i GDPR. Dette omfatter retten til informasjon, innsyn, retting, sletting, begrensning, dataportabilitet og rett til å protestere mot automatiserte avgjørelser.

I tillegg skal databehandleren, hensyntatt behandlingens art og tilgjengelig informasjon, bistå den behandlingsansvarlige med:

• plikten til å melde brudd på personopplysningssikkerheten til Datatilsynet uten ugrunnet opphold, og når det er mulig senest 72 timer etter kjennskap,
• plikten til å underrette de registrerte ved brudd med høy risiko,
• plikten til å foreta vurdering av personvernkonsekvenser (DPIA),
• plikten til forhåndsdrøfting med Datatilsynet ved høy risiko.

Egnede tiltak for slik bistand er angitt i Vedlegg C.

9Melding om brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten skal databehandleren uten ugrunnet opphold etter å ha fått kjennskap til det underrette den behandlingsansvarlige.

Databehandlerens underretning skal om mulig skje innen 36 timer etter at databehandleren har fått kjennskap til bruddet, slik at den behandlingsansvarlige kan overholde sin 72-timersfrist etter artikkel 33 i GDPR.

Databehandleren skal bistå med å innhente informasjonen som etter artikkel 33(3) skal inngå i meldingen til tilsynsmyndigheten: arten av bruddet (herunder, når mulig, kategorier og omtrentlig antall registrerte og registreringer berørt), sannsynlige konsekvenser, og tiltak som er eller foreslås truffet for å håndtere bruddet.

Hva databehandleren skal tilveiebringe ved slik bistand er nærmere angitt i Vedlegg D.

10Sletting og retur av data

Databehandleren skal kun behandle personopplysninger for det formål og den varighet som følger av Kontraktsbestemmelsene. Ved opphør av tjenestene knyttet til behandlingen er databehandleren forpliktet til å slette alle personopplysninger som er behandlet på vegne av den behandlingsansvarlige, og bekrefte dette, jf. fremgangsmåten i Vedlegg C.4.

11Revisjon og inspeksjoner

Databehandleren skal gjøre tilgjengelig all informasjon som er nødvendig for å påvise overholdelse av artikkel 28 og Kontraktsbestemmelsene, og tillate og bidra til revisjoner, inkludert inspeksjoner, utført av den behandlingsansvarlige eller en revisor bemyndiget av denne. Fremgangsmåter er nærmere regulert i Vedlegg C.7 og C.8.

Databehandleren skal gi tilsynsmyndigheter tilgang til sine fysiske lokaler ved fremleggelse av egnet identifikasjon, i den grad slik tilgang følger av lovgivningen.

12Ytterligere bestemmelser

Partene kan avtale ytterligere bestemmelser om behandlingen, så lenge disse ikke er i strid med Kontraktsbestemmelsene eller svekker de registrertes rettigheter og den beskyttelse GDPR gir.

13Start og opphør

Kontraktsbestemmelsene gjelder når de er akseptert av begge parter; kunden aksepterer ved bestilling. Begge parter kan kreve reforhandling ved endringer i rettslige forhold eller uventede forhold som gir grunn til det.

Kontraktsbestemmelsene gjelder så lenge databehandleren leverer tjenester knyttet til behandling av personopplysninger, og kan ikke sies opp i denne perioden med mindre annet er avtalt. Når behandlingen opphører og personopplysningene slettes eller tilbakeleveres etter punkt 10 og Vedlegg C.4, kan Kontraktsbestemmelsene sies opp skriftlig av en av partene.

14Den behandlingsansvarliges og databehandlers kontaktopplysninger

Databehandler kan kontaktes på: remi.solberg@nordicm.no

Behandlingsansvarliges kontakt er den som har fylt ut Kontrakten. Partene skal fortløpende informere hverandre om endringer i kontaktpunkter.

## Vedlegg A – Informasjon om behandlingen

### A.1. Formålet med behandlingen

Databehandler leverer programvare for påmelding, booking og e-læring der den behandlingsansvarlige kan samle inn informasjon til alle typer aktiviteter (f.eks. påmeldinger, kurs, møter, reiser, booking, fest, nettbutikk). Systemet lagrer data som kunden samler inn fra sine deltagere, kunder og respondenter.

Funksjoner omfatter utsendelse av e-post, invitasjoner, SMS, kursbevis og lignende, opprettelse og utsendelse av spørreundersøkelser, samt betaling (kortbetaling, faktura sendt fra systemet, faktura via regnskaps-/faktureringssystem og faktura via EHF-ordre til andre fakturasystemer).

Når den behandlingsansvarlige kobler til sitt eget regnskaps-, fakturerings- eller betalingssystem (se Vedlegg D), overføres salgsordre med personopplysninger til dette systemet etter kundens oppsett og instruks.

### A.2. Behandlingens gjenstand

Behandlinger knyttet til gjennomføring av aktiviteter, se A.1.

### A.3. Typer personopplysninger

Databehandler registrerer selv kun opplysninger om egne kunder: kontaktperson, organisasjonsnummer og fakturainformasjon.

Den behandlingsansvarlige bestemmer selv fullt ut hvilke personopplysninger som samles inn i egne påmeldingsskjema. Databehandler setter ingen grenser for dette. Typisk samles navn, e-post, telefon, allergi og adresse. Ved betaling kan det også samles organisasjonsnummer, bedriftsadresse, mva-status og betalingsreferanse. Enkelte påmeldinger kan omfatte fødselsnummer, passnummer, medlemskap i organisasjoner og lignende. I enkelte tilfeller kan det samles inn særlige kategorier personopplysninger (artikkel 9), f.eks. helseopplysninger, fagforenings-/foreningsmedlemskap eller opplysninger som angir seksuell legning.

### A.4. Kategorier registrerte

Databehandler registrerer selv kun sine kunder. Den behandlingsansvarlige registrerer alle de selv ønsker i egne påmeldingsskjema.

### A.5. Varighet

Frem til avtaleslutt, jf. fremgangsmåten for sletting i C.4.

## Vedlegg B – Godkjente underdatabehandlere

### B.1. Godkjente underdatabehandlere

Ved inngåelse av Kontraktsbestemmelsene gir den behandlingsansvarlige tillatelse til engasjement av følgende underdatabehandlere:

| Navn | Org.nr. | Adresse | Beskrivelse | Overføringsgrunnlag | |------|---------|---------|-------------|---------------------| | Webhuset AS | 981 532 484 | Selskapsadresse: Nygårdsgaten 114, 5008 Bergen. Servere/behandlingssted: Oslo | Leie av virtuelle servere / drift | Innenfor EØS (Norge) | | Link Mobility AS | 992 434 643 | Langkaia 1, 0150 Oslo | SMS-utsendelse | Innenfor EØS (Norge) | | OnePageCRM | — | Unit 30A, Kilkerrin Park 1, Liosban Industrial Estate, Galway H91 XY29, Irland | CRM – lagring av databehandlers kunder og kontaktpersoner | Innenfor EØS (Irland) | | GetOnline Limited (handelsnavn «AuthSMTP») | UK reg. 03151203 | 7 Forbes Park, Bramhall, Stockport, England, SK7 2RE, Storbritannia | E-postutsendelse (autentisert SMTP-relay) | EUs adekvansbeslutning for Storbritannia | | Asana, Inc. | — | 633 Folsom Street, Suite 100, San Francisco, CA 94107, USA | Lagring av utviklings- og supportsaker (databehandlers interne verktøy) | EU-US Data Privacy Framework | | Google LLC | — | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA | E-post, dokumentlagring og kalender (databehandlers interne verktøy) | EU-US Data Privacy Framework |

Databehandleren skal ikke uten den behandlingsansvarliges eksplisitte skriftlige tillatelse engasjere en underdatabehandler for «annen» behandling enn avtalt, eller benytte en annen underdatabehandler til den beskrevne behandlingen.

### B.2. Forutgående varsel for tillatelse for underdatabehandlere

Se punkt 6.3.

## Vedlegg C – Instrukser for bruk av personopplysninger

### C.1. Omfanget av / instrukser for behandlingen

Behandlingen utføres i henhold til GDPR og det som ellers fremgår av denne avtalen.

### C.2. Sikkerhet ved behandlingen

Sikkerhetsnivået skal ta hensyn til at behandlingen kan omfatte særlige kategorier personopplysninger (artikkel 9), hvilket tilsier et høyere sikkerhetsnivå. Databehandleren har rett til å beslutte de tekniske og organisatoriske sikkerhetstiltakene som skal iverksettes for å oppnå det nødvendige og avtalte sikkerhetsnivå, og skal minimum implementere følgende:

Krypteringstiltak

Data som overføres mellom bruker og tjenesten krypteres med TLS (HTTPS). Passord lagres ikke i klartekst, men i hashet form. Tilgang til databasene krever autentisering.

Tiltak for å sikre konfidensialitet

Kun den behandlingsansvarliges egne brukere ser hva som fylles ut. Hos databehandler har ansatte taushetsplikt og logger seg kun inn ved support, oppgradering eller annen hjelp. Felt merket av kunden som «sensitiv data» sendes ikke via e-post. Sletteinnstillinger satt av kunden på vanlige og sensitive felt gjennomføres i henhold til innstillingene.

Tiltak for å sikre integritet

Kunden henter selv inn informasjonen og er selv ansvarlig for hva og hvordan dette gjøres. Databehandler overvåker ikke innholdet. Ved oppdagelse av åpenbare brudd på personvernregelverket kan dette varsles til Datatilsynet.

Tiltak for å sikre tilgjengelighet

Databehandler tar daglig backup av alle servere, både filer og databaser, og har rutiner for gjenoppretting.

Tiltak for å sikre robusthet

Data kan gjenopprettes fra backup. Nærmere tiltak hos serverleverandør fremgår av databehandlers sikkerhetsdokument.

Tiltak for fysisk sikring av lokaler

Databehandlers servere driftes hos Webhuset AS, med datasenter i Oslo, Norge. Nærmere tiltak hos serverleverandør fremgår av sikkerhetsdokumentet.

Andre datasikkerhetstiltak

Databehandler har rutine for revisjon av underdatabehandlere, sikret i egne databehandleravtaler, som trer i kraft ved ønske om revisjon.

### C.3. Bistand til den behandlingsansvarlige

Databehandler skal ikke utlevere personopplysninger til tredjeparter uten skriftlig forhåndsgodkjenning fra den behandlingsansvarlige, med unntak av godkjente underdatabehandlere (Vedlegg B) når disse trenger opplysningene for å utføre sine oppgaver. Databehandler sikrer at kun autoriserte personer har tilgang, har et internkontrollsystem for sikkerhet og personvern (tekniske tiltak, se C.2), og bistår kunden med å oppfylle de registrertes rettigheter ved behov.

### C.4. Fremgangsmåte for lagringstid / sletting

For databehandler: Personopplysninger lagres så lenge kundeforholdet varer, og slettes deretter innen 30 kalenderdager etter avtaleperiodens utløp, med mindre annet er skriftlig avtalt. Dette samsvarer med fristen for datauthenting i lisensavtalen punkt 10. Ved oppsigelse skal databehandleren enten slette eller tilbakelevere personopplysninger i henhold til punkt 10, hvis ikke den behandlingsansvarlige – etter inngåelse av avtalen – har endret sitt opprinnelige valg. Slik endring skal dokumenteres skriftlig.

For behandlingsansvarlig: Det er opp til den behandlingsansvarlige å benytte innstillingene databehandler har gjort tilgjengelig for å bestemme hvor lenge personopplysninger lagres før de slettes.

### C.5. Behandlingssted

Behandling skal ikke utføres på andre lokasjoner enn følgende uten skriftlig forhåndssamtykke fra den behandlingsansvarlige:

• Webhusets server – Norge (datasenter i Oslo)
• AuthSMTP (e-postutsendelse) – Storbritannia, dekket av EUs adekvansbeslutning for Storbritannia

### C.6. Instrukser for overføring av personopplysninger til tredjestat

Dersom den behandlingsansvarlige verken i Kontraktsbestemmelsene eller senere gir dokumenterte instrukser om overføring til tredjestat, skal databehandleren ikke ha rett til å overføre personopplysninger til tredjestat innenfor rammene av Kontraktsbestemmelsene.

E-postutsendelse (AuthSMTP – Storbritannia): Databehandler benytter AuthSMTP (GetOnline Limited) for utsendelse av e-post. Storbritannia er et tredjeland etter GDPR, men er omfattet av EUs adekvansbeslutning. Overføringen kan derfor skje uten ytterligere overføringsgrunnlag etter artikkel 46. Felt som kunden har markert som «sensitiv data» sendes ikke per e-post og behandles dermed ikke av AuthSMTP.

Interne verktøy (Asana, Google): Databehandler benytter Asana og Google som interne verktøy (utviklings-/supportsaker, e-post, dokumenter, kalender). I den grad personopplysninger som behandles på vegne av den behandlingsansvarlige havner her, skjer overføring til USA på grunnlag av EU-US Data Privacy Framework. Databehandler tilstreber dataminimering og legger ikke unødvendige personopplysninger inn i disse verktøyene.

### C.7. Fremgangsmåte for den behandlingsansvarliges revisjoner

Databehandler skal dokumentere og gjøre tilgjengelig informasjon som er nødvendig for å påvise etterlevelse av avtalen og gjeldende personvernregler, og muliggjøre og bidra ved revisjoner utført av den behandlingsansvarlige eller en bemyndiget inspektør, samt ved revisjoner fra tilsynsmyndigheter.

Databehandler kan foreta egne jevnlige revisjoner og oversende revisjonsrapporter til den behandlingsansvarlige på forespørsel. Den behandlingsansvarlige kan fremlegge slike rapporter for egne eksterne revisorer og tilsynsmyndigheter.

Krever den behandlingsansvarlige bruk av ekstern inspektør, dekker den behandlingsansvarlige selv kostnadene for dette. Tid databehandler bruker på å utføre og holde revisjon faktureres den behandlingsansvarlige per time til veiledende timepris.

Dersom en revisjon avdekker avvik, skal databehandler så snart som mulig avhjelpe disse (og påse at relevant underdatabehandler gjør det samme). Ved særlig alvorlige brudd kan den behandlingsansvarlige kreve behandlingen stoppet, opplysningene tilbakeført og avtalene terminert.

Den behandlingsansvarlige eller dennes representanter skal ha tilgang til å inspisere, herunder fysisk inspisere, lokasjonene hvor behandlingen gjennomføres, når den behandlingsansvarlige anser det påkrevet.

### C.8. Fremgangsmåter for revisjoner av underdatabehandlere

Se punkt C.7. Databehandler skal innen rimelig tid, og på den behandlingsansvarliges kostnad, innhente rapporter fra uavhengig tredjepart vedrørende underdatabehandlerens overholdelse av GDPR og Kontraktsbestemmelsene. Partene har avtalt at revisorrapporter og inspeksjonsrapporter kan benyttes. Rapporter oversendes uten ugrunnet opphold den behandlingsansvarlige, som kan bestride omfang/metodikk og be om ny revisjon med endret omfang/metodikk.

## Vedlegg D – Ytterligere bestemmelser avtalt mellom partene

Kundevalgte tredjeparter (regnskaps-, fakturerings- og betalingssystemer):

Når den behandlingsansvarlige kobler til sitt eget regnskaps-, fakturerings- eller betalingssystem (for eksempel Tripletex, PowerOffice eller Vipps) via API, overfører databehandleren salgsordre med tilhørende personopplysninger til dette systemet etter den behandlingsansvarliges oppsett og instruks. Et slikt system regnes som en tredjepart valgt av den behandlingsansvarlige selv, jf. lisensavtalen punkt 6, og er ikke databehandlerens underdatabehandler. Den behandlingsansvarlige er selv ansvarlig for å ha nødvendig databehandleravtale med, og lovlig grunnlag for bruk av, den valgte leverandøren. Regnskaps-/faktureringsleverandøren opptrer som selvstendig behandlingsansvarlig for de behandlinger som følger av lovpålagte bokførings- og oppbevaringskrav.

Personvernerklæring er til enhver tid oppdatert på databehandlers nettside: https://nordicm.no/personvern/

Lisensavtale ligger på siden for Kontraktbestemmelser og bør leses før signering.

Sikkerhetsdokument kan sendes kunde ved forespørsel.