Databehandleravtale Proplan HRM og Proplan Time

Databehandleravtale Proplan HRM og Proplan Time 

Denne databehandleravtalen «Databehandleravtalen» gjelder der Proplan Utvikling AS som Databehandler behandler Personopplysninger på vegne av Kunden som behandlingsansvarlig. 

  1. Definisjoner 

Databehandleravtalen skal forstås på bakgrunn av følgende definisjoner: 

Personvernregelverket:  Med Personvernregelverket forstås: Personopplysningsloven av 2018; GDPR (Generell Personvernsforordning); Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016. Med mindre annet er særskilt angitt skal enhver henvisning til GDPR forstås som en henvisning til gjennomføring og implementering av GDPR i norsk lov; Kommunikasjonsvernforordningen; forslag til Europaparlaments- og rådsforordning 2017/0003 (forordning om personvern og elektronisk kommunikasjon), dersom og fra den tid forordningen vedtas og gjennomføres i norsk lov; All annen gjeldende norsk lov og forskrift som regulerer Databehandlers Behandling av Personopplysninger, herunder lov som implementerer og gjennomfører GDPR, samt sektorlovgivning.  

Personopplysning: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»), jf. GDPR art. 4 (1). 

Behandling: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. GDPR art. 4 (2). 

Brudd på Personopplysnings– sikkerheten: Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte Behandlet. Slikt Brudd på Personopplysningssikkerheten er ikke avhengig av at det har skjedd et brudd på Personvernregelverket, jf. GDPR art. 4 (12). 

Behandlingsansvarlig: Fysisk eller juridisk person som alene eller sammen med andre bestemmer formålet med Behandlingen av personopplysninger og hvilke midler som skal benyttes, jf. GDPR art. 4 (7). 

Databehandler: Fysisk eller juridisk person som Behandler personopplysninger på vegne av den behandlingsansvarlige, jf. GDPR art. 4 (8). 

Underleverandør: Fysisk eller juridisk person som Databehandler engasjerer, intensjonelt eller ikke, for å utføre behandlingsaktiviteter på vegne av Behandlingsansvarlig. 

Tredjestat eller internasjonal organisasjon: Overføring av personopplysninger som behandles eller skal behandles etter overføring til en tredjestat eller til en internasjonal organisasjon som ikke sikrer et tilstrekkelig beskyttelsesnivå uten at det foreligger et overføringsgrunnlag, for eksempel land utenfor EØS-området. 

  1. Bilag 

Følgende Bilag fra Databehandler vedlegges til godkjenning av Behandlingsansvarlig: 

Bilag 1 Tekniske og organisatoriske tiltak implementert hos Databehandler 

  1. Formål 

Denne Databehandleravtalen har som formål å regulere Databehandlers Behandling av Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med inngått Abonnementsavtale om drift av skybasert software fra Proplan Utvikling AS (omtales heretter som «Abonnementsavtalen»). Databehandleravtalen skal sikre at Personopplysninger behandles i samsvar med kravene i til enhver tid gjeldende personvernlovgivning (Personvernregelverket, som definert ovenfor) og at Personopplysninger kun behandles i henhold til denne Databehandleravtalen og ved dokumenterte instruksjoner fra Behandlingsansvarlige. 

Databehandlers behandling av Personopplysninger skal kun omfatte den Behandling som er nødvendig for at Databehandler skal kunne gjennomføre Abonnementsavtalen med den Behandlingsansvarlige. Såfremt annet ikke kan utledes av krav i henhold til uinionsretten eller norsk lovgivning, jf. GDPR art. 29.  

Databehandleravtalen kan revideres ved behov for tilpasninger til preseptorisk lovgivning, tolkninger av GDPR og Personvernregelverket (slik dette er definert over). Alle endringer i denne Databehandleravtalen skal avtales og nedfelles skriftlig. 

I tillegg til Behandling av Personopplysninger som følge av Abonnementsavtalen er Partene kjent med at Databehandler også kan behandle Personopplysninger som behandlingsansvarlig, i forbindelse med (i) Etterlevelsen av gjeldende lover og regelverk, (ii) forespørsler/anmodninger og kommunikasjon fra myndigheter og (iii) av hensyn til administrasjon, bokføring og risikoevaluering.

  1. Databehandlers Behandling av Personopplysninger 
  1. Behandlingens art 

Databehandler vil Behandle og ha tilgang til Personopplysninger i forbindelse med support av drift av Proplan Tiltak i skyen i samsvar med Abonnementsavtalen.   

I forbindelse med oppfyllelsen av Abonnementsavtalen vil Databehandler kunne foreta Behandlinger i form av systemmessig tilgangskontroll, datalagring, software optimalisering og software oppdatering. Slik Behandling vil kun foregå i henhold til bestemmelsene i Databehandleravtalen og Abonnementsavtalen, og kun etter instruksjoner fra Behandlingsansvarlig. 

Behandlingen vil hovedsakelig foregå i Databehandlers software systemer: 

  • Proplan Time – time- og fraværsregistreringer
  • Proplan HRM – personalarkiv for egne ansatte og innleide 

Databehandler skal ikke Behandle Personopplysninger i større omfang enn det som er nødvendig for å oppfylle Abonnementsavtalen med den Behandlingsansvarlige. Annen Behandling kan kun skje unntaksvis og ved kortvarige tilfeller, og kun under instruksjon fra Behandlingsansvarlig. 

Dersom Databehandler er i tvil om Behandlingen av enkelte Personopplysninger er nødvendig, eller innenfor Abonnementsavtalens omfang, skal det straks, og før Personopplysninger behandles, konsulteres med Behandlingsansvarlig.  

Under ingen omstendigheter er Databehandler berettiget til å Behandle Personopplysninger eller andre data som tilhører Behandlingsansvarlig for egne formål, og utover de formål som fremkommer av Databehandleravtalen eller Abonnementsavtalen. 

Dersom Databehandler er pålagt videre Behandling gjennom lov eller tilsvarende pålegg fra offentlig myndighet forplikter Databehandler seg til å varsle Behandlingsansvarlig, samt sikre videre konfidensialitet og sikkerhet som ilegges gjennom Databehandleravtalen. I slike tilfeller skal Databehandler i forkant gi varsel til Behandlingsansvarlig, med mindre gjeldende lovgivning forbyr slikt varsel.   

  1. Kategorier av Personopplysninger og datasubjekter 

I forbindelse med oppfyllelse av Abonnementsavtalen, og avhengig av Databehandlers leveranse, kan Databehandler komme i kontakt med Personopplysninger under den Behandlingsansvarliges ansvar. Dette omfatter blant annet opplysninger om navn, telefonnummer, epost-adresse, kommunikasjonsdata, dokumenter og tekst, sensitive opplysninger, opplysninger om sykefravær og helseopplysninger, adferdsdata mv. Følgelig kan det forekomme behandling av opplysninger av særlige kategorier som fremgår av GDPR artikkel 9, for eksempel opplysninger om fagforeningsmedlemskap og helseopplysninger.  

Personopplysningene vil gjelde ansatte hos den Behandlingsansvarlige.  

  1. Området for Behandlingen

Databehandler skal behandle personopplysninger innenfor EU/EØS-området. Databehandler har ikke rett til å overføre Personopplysninger til et tredjeland eller internasjonal organisasjon, herunder ut av EU/EØS-området, uten at det er nødvendig for å oppfylle Abonnementsavtalen, kun etter spesifikt skriftlig samtykke fra Behandlingsansvarlig og under forsikring om at det foreligger tilstrekkelig overføringsgrunnlag i henhold til GDPR art. 44-49.   

  1. Bruk av Underleverandører 

Databehandler kan benytte Underleverandør i forbindelse med behandling av Personopplysninger dersom dette er nødvendig for å behandle Personopplysninger i henhold til Abonnementsavtalen.  

Behandlingsansvarlig gir Databehandler ved signering av denne Databehandleravtalen et generelt skriftlig samtykke til å benytte de Underleverandører som benyttes av Databehandler ved signering, samt foreta bytte av Underleverandører. Ved bytte eller engasjering av ny Underleverandør har Behandlingsansvarlig rett til to måneders varsel.  

Behandlingsansvarlig har rett til å motsette seg Databehandlers bruk eller bytte av Underleverandør der det foreligger saklig grunn. Behandlingsansvarlig er forpliktet til å fremlegge skriftlig redegjørelse og dokumentasjon innen én måned etter varsel er mottatt, dersom det påstås saklig grunn til å motsette seg bytte av Underleverandør. 

Databehandlers Underleverandører for behandling av Personopplysninger skal være bundet av de samme avtalemessige og lovmessige forpliktelser som Databehandler er underlagt i henhold til denne Databehandleravtalen, gjennom egne databehandleravtaler.  

Behandlingsansvarlig har rett på opplysninger om Underleverandør, herunder innhold i databehandleravtale og informasjon om tekniske og organisatoriske tiltak Underleverandør har iverksatt for å etterleve Personvernregelverket. Utlevering av slike opplysninger og informasjon fra Databehandler forutsetter varsel fra Behandlingsansvarlig.  

Behandlingsansvarlig har forhåndsgodkjent Underleverandører og tilhørende databehandleravtale med Databehandler som opplistet nedenfor: 

  • Jakob Hatteland Solutions AS  org.nr.: 968 504 436 (eget infrastruktur og ansvarlig videreselger av tjenester fra Microsoft AS datasenter tjenester i Norge) 
  • Proplan AS org. nr: 959 472 823 

I tillegg er Behandlingsansvarlig kjent med at Jakob Hatteland Solutions AS eier utstyret og drifter tjenester til Databehandler. Behandlingsansvarlig er videre kjent med og godkjenner at Jakob Hatteland Solutions AS kan få sporadisk innsyn til Personopplysninger i forbindelse med vedlikehold av infrastruktur og tjenester. 

Databehandler kan, uten Behandlingsansvarliges godkjennelse etter denne bestemmelsen, involvere, bytte eller engasjering ny underleverandør eller andre tredjeparter som kun har midlertidig og begrenset tilgang til Personopplysninger i forbindelse med vedlikehold av systemer, dersom disse ikke aktivt bidrar i Behandlingen av Personopplysninger eller Behandler Personopplysninger for eget formål. 

  1. Forpliktelser som Databehandler 
  1. Bistand til Behandlingsansvarlig 

Databehandler forplikter seg til, og i hovedsak uten kompensasjon eller annet vederlag, til å:  

  1. Behandle Personopplysninger kun etter instrukser fra Behandlingsansvarlig og kun i henhold til det som er formålet med Abonnementsavtalen; 
  1. Treffe alle tiltak som er nødvendig for å ivareta sikkerheten tatt i betraktning den Behandlingen som utføres på vegne av Behandlingsansvarlig, samt regelmessig og på eget tiltak foreta analyse og testing av slike forholdsmessige sikkerhetstiltak, herunder vurdere deres effektivitet; 
  1. Bistå Behandlingsansvarlig med å sikre overholdelse av dennes forpliktelser til å ivareta Personopplysningssikkerhet og vurdere personvernkonsekvenser, idet det tas hensyn til Behandlingens art og den informasjonen som er tilgjengelig for Databehandleren jf. GDPR art. 32-36; 
  1. Bistå Behandlingsansvarlig, idet det tas hensyn til Behandlingens art og i den grad det er mulig, med å oppfylle dennes plikt til å oppfylle anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter jf. GDPR art. 12-23. Kommer slik anmodning fra den registrerte direkte til Databehandler skal denne oversendes Behandlingsansvarlig som regulert i Databehandleravtalens varslingsbestemmelse; 
  1. Bistå Behandlingsansvarlig med å løse avvikssituasjoner i samarbeid med Behandlingsansvarlig, såfremt avviket nødvendiggjør dette og i henhold til avvikshåndtering som regulert i Databehandleravtalen; 
  1. Etter Behandlingsansvarliges instruks, slette eller tilbakelevere alle Personopplysninger og slette eventuelle eksisterende kopier, med mindre det foreligger en lovpålagt plikt til å fortsette lagringen; 
  1. Umiddelbart varsle Behandlingsansvarlig hvis en instruksjon er i strid med Personvernregelverket; 
  1. Sikre at alle som Behandler Personopplysninger har forpliktet seg til fortrolighet eller er underlagt en egnet lovfestet taushetsplikt, samt at kun slike autoriserte personer som har et nødvendig behov for å oppfylle Abonnementsavtalen har eller får tilgang til Personopplysninger. 

Databehandler er berettiget til å fakturere etter medgått tid for oppfyllelse av punktene d, e og f nevnt ovenfor. Timesatsen er Databehandlers alminnelige timesats for konsulenter. 

  1. Tekniske og organisatoriske tiltak 

Databehandler skal sørge for at det foreligger tekniske og organisatoriske tiltak for å sikre og påvise at Behandlingen utføres i samsvar med Personvernregelverket, denne Databehandleravtalen og for å sikre bistand til oppfyllelsen av rettighetene til den registrerte.  

Databehandler skal før oppstart, og deretter på forespørsel årlig, fremlegge dokumentasjon på Behandlingen som skjer på vegne av Behandlingsansvarlig. Denne dokumentasjonen skal inneholde:  

  1. Kategorier av behandlingsaktiviteter; 
  1. Bruken av Underleverandører; 
  1. Overføringer ut av EU/EØS-området; 
  1. En generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene; 

Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen ved Behandlingen. Disse egnede tekniske og organisatoriske tiltakene skal også sikre og påvise at Behandlingen utføres i samsvar med denne Databehandleravtalen. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov. Databehandler kan ta hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, men vurderingen skal gjøres i tråd med den vurderingen som skal gjennomføres etter GDPR art. 32. 

Slike tekniske og organisatoriske tiltak skal som et minimum inkludere, men er ikke begrenset til, tiltak for å: 

  1. Sikre evnen til vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og –tjenestene;  
  1. Sikre evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse;  
  1. Ivareta en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er; 
  1. Forhindre at datasystemer som Behandler Personopplysninger blir brukt eller gir tilgang til Personopplysninger til personer som ikke er autorisert, inkludert tilgang til å lese, kopiere, endre eller slette Personopplysninger uten autorisasjon. 

Behandlingsansvarlig er forpliktet til å iverksette ovennevnte tiltak, og om nødvendig oppdatere tiltak, slik at de tekniske og organisatoriske tiltakene til enhver tid er i henhold til Personvernregelverket, herunder slik de er oppstilt i GDRP artikler 28 og 32.  

Databehandler har iverksatt tiltak som opplistet i Bilag 1. 

  1. Varsling 

Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold om: 

  1. En instruksjon fra Behandlingsansvarlig strider mot Personvernregelverket; 
  1. Et pålegg om utlevering av Personopplysninger fra offentlig myndighet, med unntak av der slik varsling er forbudt; 
  1. Et brudd eller mulig brudd på sikkerheten som kan føre til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte Behandlet, herunder som et minimum der det foreligger Brudd på Personopplysningssikkerheten; 
  1. Henvendelser fra en registrert slik at Behandlingsansvarlig kan respondere, og uten at Databehandler selv responderer uten å ha fått eksplisitt tillatelse til å håndtere henvendelsen selv. 

Databehandler plikter å gi tilstrekkelig bistand til Behandlingsansvarlig i etterkant av eventuelt varsel til Datatilsynet om Brudd på Personopplysningssikkerheten eller til den registrerte ved henvendelser. Enhver varsling eller henvendelse til Datatilsynet skal skje gjennom Behandlingsansvarlig. Dersom det er nødvendig for å avklare omfanget av Brudd på Personopplysningssikkerheten, skal Databehandler bistå Behandlingsansvarlig i samarbeidet med Datatilsynet.  

Umiddelbart etter å ha gitt varsel om et Brudd på Personopplysningssikkerheten skal Databehandler gi ytterligere beskrivelse til Behandlingsansvarlig om:  

  1. Alle relevante forhold knyttet til bruddet som Databehandler har kjennskap til, herunder hva bruddet består av, kategorier og volum på Personopplysninger. Forhold knyttet til avviket som Databehandler først får kjennskap til etter slik varsling skal meddeles Behandlingsansvarlig straks Databehandler får slik kjennskap; 
  1. Hvilke tiltak som er iverksatt eller foreslått iverksatt for å hindre konsekvenser og begrense omfanget av Bruddet på Personopplysningssikkerheten.  

Videre skal Databehandler bistå Behandlingsansvarlig med å vurdere personvernkonsekvenser ved slikt Brudd på Personopplysningssikkerheten. 

Databehandler plikter å varsle Behandlingsansvarlig dersom det avdekkes at Databehandler ikke etterlever, eller ser at det blir vanskelig å etterleve, kravene som følger av Personvernregelverket og denne Databehandleravtalen, uavhengig av årsak. I et slikt tilfelle kan Behandlingsansvarlig suspendere overføring og videre Behandling av Personopplysninger hos Databehandler. 

  1. Ansvar for Behandlingen 

Behandlingsansvarlig er ansvarlig for at Personopplysninger som Databehandler får tilgang til har blitt innhentet lovlig og har gyldig behandlingsgrunnlag.  

Behandlingsansvarlig har hovedansvaret for behandling av Personopplysninger som en følge av Abonnementsavtalen og skal varsle Databehandler dersom det oppstår behov for bistand i forbindelse med GDPR artikkel 28(3) bokstav e og f. Databehandler er berettiget til å fakturere etter medgått tid for oppfyllelse av punktene nevnt ovenfor. Timesatsen er Databehandlers alminnelige timesats for konsulenter.  

Behandlingsansvarlig skal holde Databehandler skadesløs for alle kostnader, utgifter (inkludert kostnader til juridisk bistand), skade, tap (inkludert indirekte tap), forpliktelser, krav, søksmål, handlinger eller rettslige prosesser som Databehandler kan stå ovenfor som følge av Behandlingsansvarliges brudd på Personvernregelverket, Brudd på Personopplysningssikkerheten, og instrukser gitt til Databehandler i strid med Personvernregelverket.  

Ansvar for materiell eller ikke-materiell skade på en eller flere registrerte skal reguleres i henhold til vilkår og føringer gitt i GDPR art. 82. 

Databehandlers eventuelle ansvar skal begrenses oppad, per kontraktsår, til et beløp tilsvarende det årlige honoraret Behandlingsansvarlige betaler Databehandler i henhold til Abonnementsavtalen. 

Ingen ansvarsbegrensning skal gjelde dersom skadevoldende handling er foretatt ved forsettlig eller grov uaktsomhet av noen av Partene.  

  1. Sikkerhetsrevisjon  

Databehandler er forpliktet til å gi Behandlingsansvarlig tilstrekkelig tilgang og dokumentasjon til all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene fastsatt i Databehandleravtalen, og for å kunne gjennomføre sikkerhetsrevisjoner. Slike sikkerhetsrevisjoner omfatter, men er ikke begrenset til, stedlig inspeksjon og evaluering av systemer, organisering og sikkerhetstiltak, samt bruk av Underleverandører.  

Behandlingsansvarlig er berettiget til å oppnevne en uavhengig inspektør, utpekt av Databehandler, til å gjennomføre sikkerhetsrevisjoner av Databehandlers etterlevelse av denne Databehandleravtalen og Personregelverket.  

Denne bestemmelsen innebærer ikke at Behandlingsansvarlig eller inspektør er berettiget til innsyn i aktiviteter, protokoller, informasjon eller noe annet materiale uavhengig av format som: 

a) Som vedrører kunder av Databehandler; 

b) Ikke er relevant for Behandlingen av Personopplysninger; 

c) Anses som en forretnings- eller bedriftshemmeligheter, eller 

d) Er underlagt taushetsplikt eller konfidensialitetsplikt (lovbestemt eller kontraktfestet) som Databehandler har overfor en tredjepart. 

Behandlingsansvarlig skal Behandle alt materiale, uansett format, som Behandlingsansvarlig får i sin besittelse eller tilgang til som følge av sikkerhetsrevisjonen som konfidensiell informasjon. Under ingen omstendighet skal slike materialer deles med tredjeparter, eller benyttes på annen måte enn det som er nødvendig i forbindelse med sikkerhetsrevisjonen.  

Behandlingsansvarlig er ansvarlig for alle kostnader knyttet til sikkerhetsrevisjoner, inkludert kostnader som blir påført Databehandler i denne forbindelse. 

  1. Taushetsplikt 

Informasjon som Partene blir kjent med i forbindelse med denne Databehandleravtalen og gjennomføringen av den skal behandles konfidensielt, og ikke gjøres tilgjengelig for utenforstående uten samtykke fra den annen Part. Taushetsplikten er ikke til hinder for at opplysningene brukes når de er alminnelig kjent eller alminnelig tilgjengelig andre steder.  

Partene skal ta nødvendige forholdsregler for å sikre at uvedkommende ikke får innsyn i eller kan bli kjent med konfidensiell informasjon. 

Taushetsplikten gjelder Partenes ansatte, Underleverandører som handler på Partenes vegne i forbindelse med gjennomføring av denne Databehandleravtalen og Abonnementsavtalen. Partene kan bare overføre taushetsbelagt informasjon til slike Underleverandører og tredjeparter i den utstrekning dette er nødvendig for gjennomføring av denne Databehandleravtalen og Support, forutsatt at disse pålegges plikt om konfidensialitet tilsvarende dette punkt.  

Taushetsplikten gjelder også etter at denne Databehandleravtalen og Abonnementsavtalen er opphørt. Ansatte eller andre som fratrer sin tjeneste hos en av Partene, skal pålegges taushetsplikt også etter fratredelsen om forhold som nevnt ovenfor. 

  1. Varighet og avslutning av Behandlingen 

Databehandleravtalen gjelder så lenge Databehandler Behandler eller har tilgang til Personopplysninger på vegne av Behandlingsansvarlig, og Behandlingsansvarlig er å anse som Behandlingsansvarlig for Personopplysningene.  

Databehandlerens Behandling av Personopplysninger for Behandlingsansvarlig skal avsluttes ved opphør av Abonnementsavtalen. Ved avslutning av Behandlingen av Personopplysninger skal Databehandler enten tilbakelevere eller slette alle eventuelle Personopplysninger, etter den Behandlingsansvarliges instruks, så fremt videre Behandling ikke er lovpålagt. Slik lovpålagt videre Behandling må varsles om til Behandlingsansvarlig. 

All tilgang til Behandlingsansvarliges systemer skal ved avslutning av Behandlingen stenges for Databehandler og dennes personell. Databehandler er forpliktet til å bistå Behandlingsansvarlig med gjennomføringen av dette.  

Dette punktet medfører ikke at Databehandler skal slette Personopplysninger som Databehandler innehar som behandlingsansvarlig.  

  1. Lovvalg og verneting 

Denne Databehandleravtalen er underlagt norsk rett og Partene aksepterer Stavanger tingrett som verneting. Dette gjelder også etter avslutning av Abonnementsavtalen. 

BILAG 1 TIL DATABEHANDLERAVTALE 

TEKNISKE OG ORGANISATORISKE SIKKERHETSTILTAK HOS DATABEHANDLER 

Ihht. Databehandleravtalens pkt. 5.2 «Tekniske og organisatoriske tiltak» har Databehandler iverksatt følgende tiltak for å : 

e) Sikre evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse;  

f) Ivareta en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er; 

g) Forhindre at datasystemer som Behandler Personopplysninger blir brukt eller gir tilgang til Personopplysninger til personer som ikke er autorisert, inkludert tilgang til å lese, kopiere, endre eller slette Personopplysninger uten autorisasjon. 

Autentisering og aksess: Adgang til Kundedata styres av Behandlingsansvarlig, det er således den Behandlingsansvarlige som selv bestemmer hvilke brukere hos Behandlingsansvarlig som skal ha tilgang til Kundedata.

Databehandlers eget driftspersonell har tilgang til Kundedata basert kun på tjenstlig behov og er nødvendig for å kunne levere en forsvarlig og oppdatert driftstjeneste til Behandlingsansvarlig og Behandlingsansvarlig sine brukere.

Taushetsplikt og restriksjoner for driftspersonell: Alle ansatte hos Databehandler har signert og er underlagt strenge krav til taushetsplikt og restriksjoner i forhold til å lese, søke eller på annen måte behandle Kundedata, og all slik behandling vil til enhver tid være begrenset til tjenstlig behov for å kunne oppfylle inngåtte avtaler med Behandlingsansvarlig. 

Informasjonssikkerhet: Informasjonssikkerheten er ivaretatt gjennom Databehandlers interne bestemmelser om: 

  • Tilgangskontroll
  • Fysiske sikringstiltak
  • Pålagt taushetsplikt
  • Avvikshåndtering  

Databehandler har utarbeidet en egen informasjonssikkerhetspolicy som spesielt retter seg mot Kundedata og etterlever utarbeidede instrukser og prosedyrer som sikrer:

  • Konfidensialitet, som innebærer at ingen skal ha tilgang til informasjon uten tjenstlig behov.
  • Integritet, som innebærer at informasjon og systemer skal være korrekt og pålitelig.
  • Tilgjengelighet, som innebærer at informasjon og systemer skal være tilgjengelig for autoriserte brukere ved behov. 

Internopplæring: Alle ansatte hos Databehandler skal årlig gjennomgå informasjon og instruksjoner i alle rutiner relevant for å kunne oppfylle Databehandler forpliktelsene.

Tilgangskontroll: Databehandler vil jevnlig gjennomgå egne ansattes adgangsrettigheter, og sikre at kun de ansatte med tjenstlige behov har tilgang kundedata.