Avtale om drift av integrasjonstjenester
Innhold:
Avtale om drift av integrasjonstjenester
Vedlegg A: Databehandleravtale
Avtale om drift av integrasjonstjenester
1. Innledning
Denne avtalen styrer forholdet mellom Proplan AS (heretter kalt Lisensgiver) og kunden (heretter kalt Lisenstaker) som får lisenser til en eller flere tjenester (heretter kalt Tjeneste) utviklet eller tilgjengeliggjort av Proplan AS.
Tjenestens egenskaper fremgår av dets produktbeskrivelse. Tjenesten levers «as-is» til enhver tid også hensyntatt endringer. Lisensgiver har opphavsrettighetene til de nevnte Tjenester.
Lisensbetingelsene gjelder for Proplan AS’ Tjenester, og gjelder for det antall lisenser som spesifisert i denne avtalen eller tegner abonnement, og de lisenser og/eller abonnement som måtte anskaffes på et senere tidspunkt. Tjenestene denne avtalen lisensierer består utelukkende av integrasjonstjenester. Således refererer begrepet Tjeneste til integrasjonstjeneste(r).
2. Lisens
Lisenstaker gis herved en ikke eksklusiv, ikke overførbar, tidsbegrenset bruksrett til Tjenesten. Lisenstaker gis videre rett til vedlikehold beskrevet i pkt 8.
Retten til bruk av Tjenesten er til enhver tid begrenset til den antall/mengde som Lisenstaker abonnerer og betaler for. Prisstruktur fremgår i detalj i den enkeltes Tjeneste sin produktbeskrivelse.
3. Bruksrett
Lisenstaker gis en begrenset bruksrett til Tjenesten. Tjenesten kan bare benyttes av Lisenstaker og hans ansatte. Dette inkluderer konsulenter som etter nærmere avtale har oppdrag hos Lisenstaker, og som forplikter seg overfor Lisenstaker til å følge samtlige vilkår i denne avtale.
Lisenstaker forplikter seg til å ikke tillate tilgang til Tjenesten, verken fysisk eller elektronisk overføring, fra noen annen maskin eller installasjon enn egne maskinvarer. Dette gjelder også for tilkopling av eksterne terminaler eller i nettverkssammenheng, med mindre slik adgang er gitt i denne avtale. Lisenstaker forplikter seg videre til ikke å la utenforstående personell få tilgang til programvaren(e) eller dokumentasjonene verken direkte eller indirekte, og heller ikke tillate at andre tar kopi eller på annen måte reproduserer programmene eller dokumentasjonen i noen form uten uttrykkelig skriftlig samtykke fra Lisensgiver.
4. Overdragelse av lisens
Denne lisens kan kun overdras til tredjepart etter skriftlig forhåndssamtykke fra Lisensgiver.. Lisensen kan under enhver omstendighet kun overdras dersom denne avtalen aksepteres.
Lisensgiver kan helt eller delvis overføre sine rettigheter og/eller plikter i henhold til denne avtalen, forutsatt at dette ikke er til hinder for oppfylling av avtalen.
5. SaaS
Tjenesten stilles til disposisjon for Lisenstaker i form av ett Abonnement på en eller flere Tjenester installert og driftet på Lisensgivers servere, eller servere gjort tilgjengelig for Lisensgiver av tredjepart (heretter kalt SaaS – Software as a Service).
Den eneste dokumentasjon som følger tjenesten er de løsningsskisser som er utarbeidet og delt med Lisenstaker i forbindelse med etablering av tjenesten. Tjenesten stilles til rådighet i den versjon og den form det til enhver tid har fastsatt gjennom disse løsningsskissene.
6. Kopiering
Lisenstaker har ikke rett til å kopiere eller reprodusere hele eller deler av programvaren eller den medfølgende dokumentasjon, med unntak av intern sikkerhetskopiering som sikkerhet mot tap.
7. Ikrafttredelse
Denne avtalen trer i kraft ved aktivering av abonnement. Dersom lisenstaker før dette tidspunkt har tatt Tjenesten i bruk regnes avtalen for akseptert og tredd i kraft fra det tidspunkt Tjenesten først ble tatt i bruk.
8. Vedlikehold
Lisensgiver sørger for nødvendig vedlikehold av den Azure-baserte delen av Tjenesten i den grad det er nødvendig.
Så lenge avtalen er virksom har Lisenstaker rett til å få vedlikehold ved å få levert nye oppdaterte, oppgraderte versjoner av Azure-delen av Tjenesten. Nye versjoner vil kunne inneholde justeringer av feil eller mangler i programvaren (oppdateringer), samt nye og forbedrede funksjoner (oppgraderinger).
Ytterligere vedlikehold eller vedlikehold som følge av endringer utenfor Azure (avleverende eller mottakende systemer) defineres som ordinære tjenester.
Lisensgiver har rett til å sende informasjon relatert til Tjenesten til systemansvarlig hos Lisenstaker, eventuelt andre personer Lisenstaker utpeker som mottager av slik informasjon.
9. Forlengelse
Avtalen forlenges automatisk og bindende med tre måneder av gangen, med mindre avtalen sies opp av en av partene innen 1 måned før utløpet av den til enhver tid gjeldende lisensperiode. Om oppsigelsen kommer etter tidsfristen, gjøres den gjeldende for neste periode.
Ved lisensiering av nye Tjenester, etter opprinnelig inngåelse av avtalen, settes utløpsdato for lisensperiode for de nye Produktene lik utløpsdato satt ved opprinnelig inngåelse av avtalen/abonnementet.
Ved lisensiering av nye Tjenester, vil de nye Produktene uten tilleggsavtale omfattes av betingelsene i denne avtale så langt de passer.
10. Månedsavgifter
Lisenstaker belastes hver tredje måned en avgift for det eller de produkt(ene) kunden benytter som inkluderer vederlag for bruksretten, vedlikehold og support. Den månedlige avgiften løper fra avtalen trer i kraft, jfr. Pkt. 7, og deretter fra eventuelt tidspunkt for forlengelse i henhold til pkt 10.
Månedsavgifter for forlengelse faktureres forskuddsvis, tidligst 3 måneder før utløpet av den til enhver tid gjeldende lisensperiode.
Månedsavgiftene kan justeres årlig hver 1. januar i henhold til konsumprisindeksen etter leveringssektor «Med arbeidslønn som dominerende prisfaktor», med indeksen for 1. januar det året avtalen ble inngått som basis. Justeringer utover denne indeksen skal meddeles Lisenstaker minimum 3 måneder før utløpet av denne avtalen. Med justeringer utover denne indeks i foregående setning, menes blant annet prisjustering som følger av endringer i Lisensgivers kostnader ved bruk underleverandører. Herunder, men ikke begrenset til endring i prisingen fra underleverandører som følger av endret prismatrise, eller endret plassering i prismatrisen, for å fastsette kostnaden Lisensgiver svarer ovenfor underleverandører.
11. Konfidensialitet
Lisenstaker forplikter seg til å hemmeligholde programvaren, dokumentasjon, og tilknyttet materiale som blir overlatt til internt bruk i henhold til denne avtalen. Lisensgiver skal sørge for at personale, underleverandører og eventuelle andre personer som får tilgang til tekniske og kommersielle forhold angående Lisenstaker bevarer taushet om disse forhold overfor tredje part.
12. Rettigheter til tjenesten
Lisensgiver har opphavs- og eiendomsretten til tjenesten. Lisensgiver har rett til på egen bekostning å tre inn i enhver rettslig tvist som måtte oppstå på grunn av påstand om at Lisenstakers bruk av tjenesten er i strid med andres patent eller opphavsrett, eller annen immateriell rettighet, så fremt det er adgang til slik inntreden etter gjeldende rett. Lisensgiver er ikke under noen omstendigheter ansvarlig for krenkelse av nevnte rettigheter som kan tilbakeføres til forhold hos Lisenstaker eller aktører med tilknytning til Lisenstaker. Lisenstaker har ingen rett til å bearbeide eller videreutvikle tjenesten denne lisensen omfatter, uten etter skriftlig forhåndsgodkjennelse fra Lisensgiver.
13. Ansvarsbegrensninger
Lisensgiver har ikke ansvar for eventuelle tap Lisenstaker eller tredjepart påføres direkte, eller indirekte, som følge av feil i Tjenesten, som resultat av innlegging av nye versjoner eller feilaktig bruk av Tjenesten. Uavhengig av årsak skal Lisensgivers ansvar for kompensasjon, under ingen omstendigheter overstige ett beløp tilsvarende 12 månedsavgifter i denne avtalen.
Lisensgiver tar videre forbehold om at Lisensgivers rett til å levere Tjenester som Tredje Part har opphavsrett til kan bortfalle eller endre seg slik at Lisensgiver ikke lenger er i stand til å levere i henhold til denne avtalen. Lisensgiver har under ingen omstendighet ansvar for tap som følge av slikt bortfall eller endring.
Lisensgiver har ikke ansvar for forsinkelser som følger av at det fra Lisenstakers side ikke er tilrettelagt for levering gjennom tilgang til Lisenstakers servere, personell mm.
14. Mislighold
Om Lisenstaker misligholder avtalen, kan Lisensgiver med øyeblikkelig virkning heve avtalen.
Som mislighold regnes bl.a.:
- Overdragelse til tredjepart eller annen kommersiell utnyttelse av tjenesten og dokumentasjon uten skriftlig tillatelse.
- Bruk av tjenesten på flere maskiner/for flere brukere enn avtalen gjelder for innen bedriften eller eksternt til samarbeidende bedrifter.
- Ikke rettidig oppgjør for månedsavgifter.
- Konfidensialitetsbrudd.
Lisenstaker er ansvarlig for Lisensgiver sine eventuelle direkte og indirekte tap som følge av mislighold.
15. Personopplysninger
Hvis Lisensgiver som følger av Tjenesten Lisenstaker benytter behandler persondata på Lisenstakers vegne, vil den til enhver tid gjeldende databehandleravtale for Tjenesten være gjeldende mellom Lisensgiver og Lisenstaker, hvor Lisensgiver er databehandler og Lisenstaker er behandlingsansvarlig.
16. Endringer
Lisensgiver forbeholder seg retten til å foreta endringer til vilkårene og betingelsene i denne avtalen med 4 måneders forhåndsvarsel. Lisensgiver vil bli informert om slike endringer per e-post eller gjennom informasjon som publiseres på Lisensgivers nettside.
17. Konfliktløsning
Dersom det oppstår tvister i forbindelse med denne avtale skal disse forsøkes løst ved forhandlinger. Det skal føres protokoll for forhandlingene. Fører ikke forhandlingene fram innen 14 dager etter at en av partene skriftlig har bedt om dette er partene enige om at tvisten skal avgjøres innen det ordinære rettssystem ved Bergen tingrett som det vedtatte verneting.
18. Konfidensialitet
Lisensgiver skal sikre at alle som på vegne av Lisensgiver mottar informasjon om Lisenstaker og Lisenstakers virksomhet, relasjoner samt andre opplysninger som er merket som konfidensiell informasjon, er forpliktet til å ikke gi disse opplysningene til en tredjepart uten Lisenstakers samtykke. Dette gjelder tilsvarende for Lisenstaker. Lisenstaker må også sørge for at alle som handler på vegne av Lisenstaker beskytter og oppbevarer konfidensiell og annen informasjon som Lisensgiver leverer til Lisenstaker, eller informasjon som Lisenstaker blir oppmerksom på; i den grad Lisenstaker forstår eller burde ha forstått at den aktuelle informasjonen er konfidensiell informasjon for Lisensgiver. Denne plikten til hemmelighold av informasjon skal også gjelde etter avtalens utløp.
19. Oppetid
Den enkelte tjeneste sin oppetid er definert i produktbeskrivelsen. I mangel av angitt oppetid foreligger det ikke krav til oppetid. Ved Lisensgiver mislighold av opptid reduseres Lisenstakers månedsavgift forholdsmessig i takt med avviket fra avtalt oppetid. En slik reduksjon av månedsavgift er ikke mulig for tjenester som ikke har definert noen oppetid.
Nedetid som følger av videreutvikling eller andre planlagte oppdateringer medregnes ikke ved fastsettelsen av oppetid. Tilsvarende gjelder for nedetid som følger av forhold utenfor Lisensgiver kontroll, herunder men ikke begrenset til nettutfall og forhold på Lisenstakers side.
20. Eierskap til data
Lisenstaker skal eie Lisenstakers data benyttet i Tjenesten. Lisensgiver skal ikke skaffe seg noen rett, eiendomsrett eller fordel til Lisenstakers data og Lisensgiver skal ikke bruke Kundens data for noe annet formål enn det som er strengt nødvendig for å tilby Tjenester i henhold til denne avtalen.
21. Avtalens omfang
Dersom Lisenstaker har mottatt Tjenester som ikke er angitt i tilbudsdokumentet og prismatriser reguleres også disse av denne avtalen. Aksept av tilbud, aksept av ordre og/eller benyttelse av Tjenester er å regne som aksept av betingelsene i denne avtale. For spesialtilpasninger, kundetilpasninger, Tjenester og Tredje Parts Tjenester gjelder ikke avtalens pkt. 8.
Databehandleravtale
Denne databehandleravtalen «Databehandleravtalen» gjelder der Proplan AS som databehandler behandler Personopplysninger på vegne av Kunden som behandlingsansvarlig i forbindelse med utvikling og drift av integrasjonstjenester mellom ulike software systemer hos kunden.
1. Definisjoner
Databehandleravtalen skal forstås på bakgrunn av følgende definisjoner:
Personvernregelverket: Med Personvernregelverket forstås: Personopplysningsloven av 2000; Gjennomføring og implementering av EUs personverndirektiv (95/46/EF) og kommunikasjonsverndirektiv (2002/58/EF) i norsk lov; GDPR (Generell Personvernsforordning); Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016. Med mindre annet er særskilt angitt skal enhver henvisning til GDPR forstås som en henvisning til gjennomføring og implementering av GDPR i norsk lov; Kommunikasjonsvernforordningen; forslag til Europaparlaments- og rådsforordning 2017/0003 (forordning om personvern og elektronisk kommunikasjon), dersom og fra den tid forordningen vedtas og gjennomføres i norsk lov; All annen gjeldende norsk lov og forskrift som regulerer Databehandlers Behandling av Personopplysninger, herunder lov som implementerer og gjennomfører GDPR, samt sektorlovgivning.
Personopplysning: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»), jf. GDPR art. 4 (1).
Behandling: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. GDPR art. 4 (2).
Brudd på Personopplysnings- sikkerheten: Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte Behandlet. Slikt Brudd på Personopplysningssikkerheten er ikke avhengig av at det har skjedd et brudd på Personvernregelverket, jf. GDPR art. 4 (12).
Behandlingsansvarlig: Fysisk eller juridisk person som alene eller sammen med andre bestemmer formålet med Behandlingen av personopplysninger og hvilke midler som skal benyttes, jf. GDPR art. 4 (7).
Databehandler: Fysisk eller juridisk person som Behandler personopplysninger på vegne av den behandlingsansvarlige, jf. GDPR art. 4 (8).
Underleverandør: Fysisk eller juridisk person som Databehandler engasjerer, intensjonelt eller ikke, for å utføre behandlingsaktiviteter på vegne av Behandlingsansvarlig.
Tredjestat eller internasjonal organisasjon: Overføring av personopplysninger som behandles eller skal behandles etter overføring til en tredjestat eller til en internasjonal organisasjon som ikke sikrer et tilstrekkelig beskyttelsesnivå uten at det foreligger et overføringsgrunnlag, for eksempel land utenfor EØS-området.
2. Bilag
Følgende Bilag fra Databehandler vedlegges til godkjenning av Behandlingsansvarlig:
Bilag 1 Tekniske og organisatoriske tiltak implementert hos Databehandler
3. Formål
Denne Databehandleravtalen har som formål å regulere Databehandlers Behandling av Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med inngått tjenesteavtale om drift av skybaserte integrasjoner fra Proplan AS (omtales heretter som «Abonnementsavtalen»). Databehandleravtalen skal sikre at Personopplysninger behandles i samsvar med kravene i til enhver tid gjeldende personvernlovgivning (Personvernregelverket, som definert ovenfor) og at Personopplysninger kun behandles i henhold til denne Databehandleravtalen og ved dokumenterte instruksjoner fra Behandlingsansvarlige.
Databehandlers behandling av Personopplysninger skal kun omfatte den Behandling som er nødvendig for at Databehandler skal kunne gjennomføre Abonnementsavtalen med den Behandlingsansvarlige.
Databehandleravtalen kan revideres ved behov for tilpasninger til preseptorisk lovgivning, tolkninger av GDPR og Personvernregelverket (slik dette er definert over). Alle endringer i denne Databehandleravtalen skal avtales og nedfelles skriftlig.
I tillegg til Behandling av Personopplysninger som følge av Abonnementsavtalen er Partene kjent med at Databehandler også kan behandle Personopplysninger som behandlingsansvarlig, i forbindelse med (i) Etterlevelsen av gjeldende lover og regelverk, (ii) forespørsler/anmodninger og kommunikasjon fra myndigheter og (iii) av hensyn til administrasjon, bokføring og risikoevaluering.
4. Databehandlers Behandling av Personopplysninger
4.1 Behandlingens art
Databehandler vil Behandle og ha tilgang til Personopplysninger i forbindelse med support av drift av integrasjoner personalarkivet i samsvar med Abonnementsavtalen.
I forbindelse med oppfyllelsen av Abonnementsavtalen vil Databehandler kunne foreta Behandlinger i form av systemmessig uthenting og flytting av data mellom to ulike datasystemer. Slik Behandling vil kun foregå i henhold til den spesifikasjon som er gjort for oppsett av den integrasjonene og kun etter instruksjoner fra Behandlingsansvarlig.
Behandlingen vil hovedsakelig foregå i Databehandlers software systemer:
- Microsoft Azure
Databehandler skal ikke Behandle Personopplysninger i større omfang enn det som er nødvendig for å oppfylle Abonnementsavtalen med den Behandlingsansvarlige. Annen Behandling kan kun skje unntaksvis og ved kortvarige tilfeller, og kun under instruksjon fra Behandlingsansvarlig.
Dersom Databehandler er i tvil om Behandlingen av enkelte Personopplysninger er nødvendig, eller innenfor Abonnementsavtalens omfang, skal det straks, og før Personopplysninger behandles, konsulteres med Behandlingsansvarlig.
Under ingen omstendigheter er Databehandler berettiget til å Behandle Personopplysninger eller andre data som tilhører Behandlingsansvarlig for egne formål, og utover de formål som fremkommer av Databehandleravtalen eller Abonnementsavtalen.
Dersom Databehandler er pålagt videre Behandling gjennom lov eller tilsvarende pålegg fra offentlig myndighet forplikter Databehandler seg til å varsle Behandlingsansvarlig, samt sikre videre konfidensialitet og sikkerhet som ilegges gjennom Databehandleravtalen. I slike tilfeller skal Databehandler i forkant gi varsel til Behandlingsansvarlig, med mindre gjeldende lovgivning forbyr slikt varsel.
4.2 Kategorier av Personopplysninger og datasubjekter
I forbindelse med oppfyllelse av Abonnementsavtalen, og avhengig av Databehandlers leveranse, kan Databehandler komme i kontakt med Personopplysninger under den Behandlingsansvarliges ansvar. Dette omfatter blant annet opplysninger om navn, telefonnummer, epost-adresse, kommunikasjonsdata, dokumenter og tekst, sensitive opplysninger, opplysninger om sykefravær og helseopplysninger, adferdsdata mv. Følgelig kan det forekomme behandling av opplysninger av særlige kategorier som fremgår av GDPR artikkel 9, for eksempel opplysninger om fagforeningsmedlemskap og helseopplysninger.
Personopplysningene vil gjelde ansatte hos den Behandlingsansvarlig.
4.3 Området for Behandlingen
Databehandler skal behandle personopplysninger innenfor EØS-området. Databehandler har ikke rett til å overføre Personopplysninger til et tredjeland eller internasjonal organisasjon, herunder ut av EØS-området, uten at det er nødvendig for å oppfylle Abonnementsavtalen, kun etter spesifikt skriftlig samtykke fra Behandlingsansvarlig og under forsikring om at det foreligger tilstrekkelig overføringsgrunnlag i henhold til GDPR art. 44-49.
4.4 Bruk av underleverandører
Databehandler kan benytte Underleverandør i forbindelse med behandling av Personopplysninger dersom dette er nødvendig for å behandle Personopplysninger i henhold til Abonnementsavtalen.
Behandlingsansvarlig gir Databehandler ved signering av denne Databehandleravtalen et generelt skriftlig samtykke til å benytte de Underleverandører som benyttes av Databehandler ved signering, samt foreta bytte av Underleverandører. Ved bytte eller engasjering av ny Underleverandør har Behandlingsansvarlig rett til to måneders varsel.
Behandlingsansvarlig har rett til å motsette seg Databehandlers bruk eller bytte av Underleverandør der det foreligger saklig grunn. Behandlingsansvarlig er forpliktet til å fremlegge skriftlig redegjørelse og dokumentasjon innen én måned etter varsel er mottatt, dersom det påstås saklig grunn til å motsette seg bytte av Underleverandør.
Databehandlers Underleverandører for behandling av Personopplysninger skal være bundet av de samme avtalemessige og lovmessige forpliktelser som Databehandler er underlagt i henhold til denne Databehandleravtalen, gjennom egne databehandleravtaler.
Behandlingsansvarlig har rett på opplysninger om Underleverandør, herunder innhold i databehandleravtale og informasjon om tekniske og organisatoriske tiltak Underleverandør har iverksatt for å etterleve Personvernregelverket. Utlevering av slike opplysninger og informasjon fra Databehandler forutsetter varsel fra Behandlingsansvarlig.
Behandlingsansvarlig har forhåndsgodkjent Underleverandører som opplistet nedenfor:
- Jakob Hatteland Solutions AS org.nr.: 968 504 436
I tillegg er Behandlingsansvarlig kjent med at Jakob Hatteland Solutions AS eier utstyret til Databehandler. Behandlingsansvarlig er videre kjent med og godkjenner at Jakob Hatteland Solutions AS kan få sporadisk innsyn til Personopplysninger i forbindelse med vedlikehold av utstyret.
Databehandler kan, uten Behandlingsansvarliges godkjennelse etter denne bestemmelsen, involvere, bytte eller engasjering ny Underleverandør eller andre tredjeparter som kun har midlertidig og begrenset tilgang til Personopplysninger i forbindelse med vedlikehold av systemer, dersom disse ikke aktivt bidrar i Behandlingen av Personopplysninger eller Behandler Personopplysninger for eget formål.
5. Forpliktelser som Databehandler
5.1 Bistand til Behandlingsansvarlig
Databehandler forplikter seg til, og i hovedsak uten kompensasjon eller annet vederlag, til å:
- Behandle Personopplysninger kun etter instrukser fra Behandlingsansvarlig og kun i henhold til det som er formålet med Abonnementsavtalen;
- Treffe alle tiltak som er nødvendig for å ivareta sikkerheten tatt i betraktning den Behandlingen som utføres på vegne av Behandlingsansvarlig, samt regelmessig og på eget tiltak foreta analyse og testing av slike forholdsmessige sikkerhetstiltak, herunder vurdere deres effektivitet;
- Bistå Behandlingsansvarlig med å sikre overholdelse av dennes forpliktelser til å ivareta Personopplysningssikkerhet og vurdere personvernkonsekvenser, idet det tas hensyn til Behandlingens art og den informasjonen som er tilgjengelig for Databehandleren;
- Bistå Behandlingsansvarlig, idet det tas hensyn til Behandlingens art og i den grad det er mulig, med å oppfylle dennes plikt til å oppfylle anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter. Kommer slik anmodning fra den registrerte direkte til Databehandler skal denne oversendes Behandlingsansvarlig som regulert i Databehandleravtalens varslingsbestemmelse;
- Bistå Behandlingsansvarlig med å løse avvikssituasjoner i samarbeid med Behandlingsansvarlig, såfremt avviket nødvendiggjør dette og i henhold til avvikshåndtering som regulert i Databehandleravtalen;
- Etter Behandlingsansvarliges instruks, slette eller tilbakelevere alle Personopplysninger og slette eventuelle eksisterende kopier, med mindre det foreligger en lovpålagt plikt til å fortsette lagringen;
- Umiddelbart varsle Behandlingsansvarlig hvis en instruksjon er i strid med Personvernregelverket;
- Sikre at alle som Behandler Personopplysninger har forpliktet seg til fortrolighet eller er underlagt en egnet lovfestet taushetsplikt, samt at kun slike autoriserte personer som har et nødvendig behov for å oppfylle Abonnementsavtalen har eller får tilgang til Personopplysninger.
Databehandler er berettiget til å fakturere etter medgått tid for oppfyllelse av punktene d, e og f nevnt ovenfor. Timesatsen er Databehandlers alminnelige timesats for konsulenter.
5.2 Tekniske og organisatoriske tiltak
Databehandler skal sørge for at det foreligger tekniske og organisatoriske tiltak for å sikre og påvise at Behandlingen utføres i samsvar med Personvernregelverket, denne Databehandleravtalen og for å sikre bistand til oppfyllelsen av rettighetene til den registrerte.
Databehandler skal før oppstart, og deretter på forespørsel årlig, fremlegge dokumentasjon på Behandlingen som skjer på vegne av Behandlingsansvarlig. Denne dokumentasjonen skal inneholde:
- Kategorier av behandlingsaktiviteter;
- Bruken av Underleverandører;
- Overføringer ut av EØS-området;
- En generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene;
Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen ved Behandlingen. Disse egnede tekniske og organisatoriske tiltakene skal også sikre og påvise at Behandlingen utføres i samsvar med denne Databehandleravtalen. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov. Databehandler kan ta hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, men vurderingen skal gjøres i tråd med den vurderingen som skal gjennomføres etter GDPR art. 32.
Slike tekniske og organisatoriske tiltak skal som et minimum inkludere, men er ikke begrenset til, tiltak for å:
- Sikre evnen til vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og –tjenestene;
- Sikre evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse;
- Ivareta en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er;
- Forhindre at datasystemer som Behandler Personopplysninger blir brukt eller gir tilgang til Personopplysninger til personer som ikke er autorisert, inkludert tilgang til å lese, kopiere, endre eller slette Personopplysninger uten autorisasjon.
Behandlingsansvarlig er forpliktet til å iverksette ovennevnte tiltak, og om nødvendig oppdatere tiltak, slik at de tekniske og organisatoriske tiltakene til enhver tid er i henhold til Personvernregelverket, herunder slik de er oppstilt i GDRP artikler 28 og 32.
Databehandler har iverksatt tiltak som opplistet i Bilag 1.
5.3 Varsling
Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold om:
- En instruksjon fra Behandlingsansvarlig strider mot Personvernregelverket;
- Et pålegg om utlevering av Personopplysninger fra offentlig myndighet, med unntak av der slik varsling er forbudt;
- Et brudd eller mulig brudd på sikkerheten som kan føre til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte Behandlet, herunder som et minimum der det foreligger Brudd på Personopplysningssikkerheten;
- Henvendelser fra en registrert slik at Behandlingsansvarlig kan respondere, og uten at Databehandler selv responderer uten å ha fått eksplisitt tillatelse til å håndtere henvendelsen selv.
Databehandler plikter å gi tilstrekkelig bistand til Behandlingsansvarlig i etterkant av eventuelt varsel til Datatilsynet om Brudd på Personopplysningssikkerheten eller til den registrerte ved henvendelser. Enhver varsling eller henvendelse til Datatilsynet skal skje gjennom Behandlingsansvarlig. Dersom det er nødvendig for å avklare omfanget av Brudd på Personopplysningssikkerheten, skal Databehandler bistå Behandlingsansvarlig i samarbeidet med Datatilsynet.
Umiddelbart etter å ha gitt varsel om et Brudd på Personopplysningssikkerheten skal Databehandler gi ytterligere beskrivelse til Behandlingsansvarlig om:
- Alle relevante forhold knyttet til bruddet som Databehandler har kjennskap til, herunder hva bruddet består av, kategorier og volum på Personopplysninger. Forhold knyttet til avviket som Databehandler først får kjennskap til etter slik varsling skal meddeles Behandlingsansvarlig straks Databehandler får slik kjennskap;
- Hvilke tiltak som er iverksatt eller foreslått iverksatt for å hindre konsekvenser og begrense omfanget av Bruddet på Personopplysningssikkerheten.
Videre skal Databehandler bistå Behandlingsansvarlig med å vurdere personvernkonsekvenser ved slikt Brudd på Personopplysningssikkerheten.
Databehandler plikter å varsle Behandlingsansvarlig dersom det avdekkes at Databehandler ikke etterlever, eller ser at det blir vanskelig å etterleve, kravene som følger av Personvernregelverket og denne Databehandleravtalen, uavhengig av årsak. I et slikt tilfelle kan Behandlingsansvarlig suspendere overføring og videre Behandling av Personopplysninger hos Databehandler.
6. Ansvar for Behandlingen
Behandlingsansvarlig er ansvarlig for at Personopplysninger som Databehandler får tilgang til har blitt innhentet lovlig og har gyldig behandlingsgrunnlag.
Behandlingsansvarlig har hovedansvaret for behandling av Personopplysninger som en følge av Abonnementsavtalen og skal varsle Databehandler dersom det oppstår behov for bistand i forbindelse med GDPR artikkel 28(3) bokstav e og f. Databehandler er berettiget til å fakturere etter medgått tid for oppfyllelse av punktene nevnt ovenfor. Timesatsen er Databehandlers alminnelige timesats for konsulenter.
Behandlingsansvarlig skal holde Databehandler skadesløs for alle kostnader, utgifter (inkludert kostnader til juridisk bistand), skade, tap (inkludert indirekte tap), forpliktelser, krav, søksmål, handlinger eller rettslige prosesser som Databehandler kan stå ovenfor som følge av Behandlingsansvarliges brudd på Personvernregelverket, Brudd på Personopplysningssikkerheten, og instrukser gitt til Databehandler i strid med Personvernregelverket.
Ansvar for materiell eller ikke-materiell skade på en eller flere registrerte skal reguleres i henhold til vilkår og føringer gitt i GDPR art. 82.
Databehandlers eventuelle ansvar skal begrenses oppad, per kontraktsår, til et beløp tilsvarende det årlige honoraret Behandlingsansvarlige betaler Databehandler i henhold til Abonnementsavtalen.
Ingen ansvarsbegrensning skal gjelde dersom skadevoldende handling er foretatt ved forsettlig eller grov uaktsomhet av noen av Partene.
7. Sikkerhetsrevisjon
Databehandler er forpliktet til å gi Behandlingsansvarlig tilstrekkelig tilgang og dokumentasjon til all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene fastsatt i Databehandleravtalen, og for å kunne gjennomføre sikkerhetsrevisjoner. Slike sikkerhetsrevisjoner omfatter, men er ikke begrenset til, stedlig inspeksjon og evaluering av systemer, organisering og sikkerhetstiltak, samt bruk av Underleverandører.
Behandlingsansvarlig er berettiget til å oppnevne en uavhengig inspektør, utpekt av Databehandler, til å gjennomføre sikkerhetsrevisjoner av Databehandlers etterlevelse av denne Databehandleravtalen og Personregelverket.
Denne bestemmelsen innebærer ikke at Behandlingsansvarlig eller inspektør er berettiget til innsyn i aktiviteter, protokoller, informasjon eller noe annet materiale uavhengig av format som:
- Som vedrører kunder av Databehandler;
- Ikke er relevant for Behandlingen av Personopplysninger;
- Anses som en forretnings- eller bedriftshemmeligheter, eller
- Er underlagt taushetsplikt eller konfidensialitetsplikt (lovbestemt eller kontraktfestet) som Databehandler har overfor en tredjepart.
Behandlingsansvarlig skal Behandle alt materiale, uansett format, som Behandlingsansvarlig får i sin besittelse eller tilgang til som følge av sikkerhetsrevisjonen som konfidensiell informasjon. Under ingen omstendighet skal slike materialer deles med tredjeparter, eller benyttes på annen måte enn det som er nødvendig i forbindelse med sikkerhetsrevisjonen.
Behandlingsansvarlig er ansvarlig for alle kostnader knyttet til sikkerhetsrevisjoner, inkludert kostnader som blir påført Databehandler i denne forbindelse.
8. Taushetsplikt
Informasjon som Partene blir kjent med i forbindelse med denne Databehandleravtalen og gjennomføringen av den skal behandles konfidensielt, og ikke gjøres tilgjengelig for utenforstående uten samtykke fra den annen Part. Taushetsplikten er ikke til hinder for at opplysningene brukes når de er alminnelig kjent eller alminnelig tilgjengelig andre steder.
Partene skal ta nødvendige forholdsregler for å sikre at uvedkommende ikke får innsyn i eller kan bli kjent med konfidensiell informasjon.
Taushetsplikten gjelder Partenes ansatte, Underleverandører som handler på Partenes vegne i forbindelse med gjennomføring av denne Databehandleravtalen og Abonnementsavtalen. Partene kan bare overføre taushetsbelagt informasjon til slike Underleverandører og tredjeparter i den utstrekning dette er nødvendig for gjennomføring av denne Databehandleravtalen og Support, forutsatt at disse pålegges plikt om konfidensialitet tilsvarende dette punkt.
Taushetsplikten gjelder også etter at denne Databehandleravtalen og Abonnementsavtalen er opphørt. Ansatte eller andre som fratrer sin tjeneste hos en av Partene, skal pålegges taushetsplikt også etter fratredelsen om forhold som nevnt ovenfor.
9. Varighet og avslutning av Behandlingen
Databehandleravtalen gjelder så lenge Databehandler Behandler eller har tilgang til Personopplysninger på vegne av Behandlingsansvarlig, og Behandlingsansvarlig er å anse som Behandlingsansvarlig for Personopplysningene.
Databehandlerens Behandling av Personopplysninger for Behandlingsansvarlig skal avsluttes ved opphør av Abonnementsavtalen. Ved avslutning av Behandlingen av Personopplysninger skal Databehandler enten tilbakelevere eller slette alle eventuelle Personopplysninger, etter den Behandlingsansvarliges instruks, så fremt videre Behandling ikke er lovpålagt. Slik lovpålagt videre Behandling må varsles om til Behandlingsansvarlig.
All tilgang til Behandlingsansvarliges systemer skal ved avslutning av Behandlingen stenges for Databehandler og dennes personell. Databehandler er forpliktet til å bistå Behandlingsansvarlig med gjennomføringen av dette.
Dette punktet medfører ikke at Databehandler skal slette Personopplysninger som Databehandler innehar som behandlingsansvarlig.
10. Lovvalg og verneting
Denne Databehandleravtalen er underlagt norsk rett og Partene aksepterer Stavanger tingrett som verneting. Dette gjelder også etter avslutning av Abonnementsavtalen.
Bilag 1 til Databehandleravtale
Tekniske og organisatoriske Sikkerhetstiltak hos Databehandler
Ihht. Databehandleravtalens pkt. 4.2 «Tekniske og organisatoriske tiltak» har Databehandler iverksatt følgende tiltak for å:
- Sikre evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse;
- Ivareta en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er;
- Forhindre at datasystemer som Behandler Personopplysninger blir brukt eller gir tilgang til Personopplysninger til personer som ikke er autorisert, inkludert tilgang til å lese, kopiere, endre eller slette Personopplysninger uten autorisasjon.
Autentisering og aksess
Adgang til Kundedata styres av Behandlingsansvarlig, det er således den Behandlingsansvarlige som selv bestemmer hvilke brukere hos Behandlingsansvarlig som skal ha tilgang til Kundedata. Databehandlers eget driftspersonell har tilgang til Kundedata basert kun på tjenstlig behov og er nødvendig for å kunne levere en forsvarlig og oppdatert driftstjeneste til Behandlingsansvarlig og Behandlingsansvarlig sine brukere.
Taushetsplikt og restriksjoner for driftspersonell
Alle ansatte hos Databehandler har signert og er underlagt strenge krav til taushetsplikt og restriksjoner i forhold til å lese, søke eller på annen måte behandle Kundedata, og all slik behandling vil til enhver tid være begrenset til tjenstlig behov for å kunne oppfylle inngåtte avtaler med Behandlingsansvarlig.
Informasjonssikkerhet
Informasjonssikkerheten er ivaretatt gjennom Databehandlers interne bestemmelser om Tilgangskontroll, Fysiske sikringstiltak, Pålagt taushetsplikt, Avvikshåndtering . Databehandler har utarbeidet en egen informasjonssikkerhetspolicy som spesielt retter seg mot Kundedata og etterlever utarbeidede instrukser og prosedyrer som sikrer: Konfidensialitet, som innebærer at ingen skal ha tilgang til informasjon uten tjenstlig behov. Integritet, som innebærer at informasjon og systemer skal være korrekt og pålitelig. Tilgjengelighet, som innebærer at informasjon og systemer skal være tilgjengelig for autoriserte brukere ved behov.
Internopplæring
Alle ansatte hos Databehandler skal årlig gjennomgå informasjon og instruksjoner i alle rutiner relevant for å kunne oppfylle Databehandler forpliktelsene.
Tilgangskontroll
Databehandler vil jevnlig gjennomgå egne ansattes adgangsrettigheter, og sikre at kun de ansatte med tjenstlige behov har tilgang kundedata.