Smart Bedrift avtale

 

Databehandleravtale

 

Her er siste oppdaterte utgave av vilkårene for vår databehandleravtale.

1. Standard avtalevilkår

  • I henhold til artikkel 28 nummer 3, i Europaparlamentets og Rådets forordning 2016/679 (personvernforordningen) med henblikk på databehandlerens behandling av personopplysninger
  • Partene i denne avtalen er Kunde med organisasjons nr. som Behandlingsansvarlig og AGS IT-partner AS som Databehandleren, og sammen utgjør Partene.
  • Har avtalt følgende standardavtalevilkår (Vilkårene) med henblikk på å overholde personvernforordningen og sikre beskyttelse av fysiske personers grunnleggende rettigheter og friheter.
  • Vilkårene gjelder så lenge databehandlertjenestene varer. I denne perioden kan Vilkårene ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene i samsvar med gjeldende personvernregelverk. 
  • Databehandler forbeholder seg retten til å oppdatere og endre disse Vilkårene til enhver tid. Gjeldende versjon vil alltid være tilgjengelig på databehandlers nettsider, med en oversikt over endringer inntatt innledningsvis i Vilkårene.
  • Dersom det gjøres vesentlige endringer i Vilkårene som påvirker hvordan personopplysninger behandles, skal Behandlingsansvarlig varsles senest 30 dager før endringene trer i kraft. Varsling skal gis i henhold til punkt C.6 i Vilkårenes vedlegg C.  
    Eventuelle endringer eller engasjering av nye underdatabehandlere skal skje i samsvar med Vilkårenes med punkt 7.  
  • Nyeste versjon av databehandleravtalen finner du her https://info.ags.no/databehandleravtale

2. Innledning

  1. Disse Vilkårene fastsetter den behandlingsansvarlige og databehandlerens rettigheter og plikter når databehandleren utfører behandling av personopplysninger på vegne av den behandlingsansvarlige.

  2. Disse Vilkårene er utformet med for å sikre partenes etterlevelse av artikkel 28 nummer 3 i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (personvernforordningen).

  3. I forbindelse med leveringen av tjenester fra AGS IT-partner behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i overensstemmelse med disse Vilkårene.

  4. Vilkårene har forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom partene.

  5. Det er tre vedlegg til disse Vilkårene, og vedleggene utgjør en integrert del av Vilkårene.

  6. Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, herunder om behandlingens formål og art, typen av personopplysninger, kategoriene av registrerte og behandlingens varighet.

  7. Vedlegg B inneholder den behandlingsansvarliges betingelser for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere som den behandlingsansvarlige har godkjent.

  8. Vedlegg C inneholder den behandlingsansvarliges instruks når det gjelder databehandlerens behandling av personopplysninger, en beskrivelse av de sikkerhetstiltakene som databehandleren som minimum skal gjennomføre, og hvordan revisjoner av databehandleren og eventuelle underdatabehandlere skal utføres.

  9. Vilkårene med tilhørende vedlegg skal oppbevares skriftlig, herunder elektronisk, av begge parter.

  10. Disse Vilkårene fritar ikke databehandleren fra plikter som databehandleren er pålagt etter personvernforordningen eller annen lovgivning.


3. Behandlingsansvarliges rettigheter og plikter

  1. Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av person-opplysninger skjer i overensstemmelse med personvernforordningen (se personvernforordningen artikkel 24), gjeldende personopplysningsvern bestemmelser i unionsretten eller medlemsstatenes nasjonale rett og disse Vilkårene.

  2. Den behandlingsansvarlige har rett og plikt til å bestemme formålet med be-handlingen av personopplysninger og hvilke midler som skal benyttes.

  3. Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres om å gjøre.


4. Databehandlerens rettigheter og plikter

  1. Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt. . I slike tilfeller er databehandler selv å regne som behandlingsansvarlig for disse behandlingsaktivitetene.  

    Disse instruksene skal være spesifisert i vedlegg A og C. Etterfølgende instrukser kan også gis av den behandlingsansvarlige mens det skjer be-handling av personopplysninger, men instruksene skal alltid være dokumenterte og oppbevares skriftlig, herunder elektronisk, sammen med disse Vilkårene.

  2. Databehandleren skal omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige, etter databehandlerens mening, er i strid med personvernforordningen eller gjeldende personopplysningsvern-bestemmelser i unionsretten eller medlemsstatenes nasjonale rett.  Dersom databehandler er av den formening at instruks ikke anses som lovlig, skal databehandler ikke utføre oppgaver etter nærværende avtale. 

    Stans i utføring av oppgaver medfører ingen beføyelser mot databehandler. Dette gjelder selv om instruksen senere viser seg å være innenfor gjeldende personvernsforskrift eller personopplysningsbestemmelser. Databehandlers oppgaver etter nærværende avtale fortsetter på samme vilkår dersom instruks endres og godkjennes av databehandler.


5. Konfidensialitet

  1. Databehandleren kan bare gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer underlagt databehandlerens instruksjonsmyndighet som har forpliktet seg til konfidensialitet eller er under-lagt en passende lovbestemt taushetsplikt, og bare i det nødvendige omfang. Listen av personer som har fått tilgang skal gjennomgås fortløpende. På bak-grunn av en slik gjennomgang skal tilgangen til personopplysninger stenges, dersom den ikke lenger er nødvendig, og personopplysningene skal deretter ikke lenger være tilgjengelig for disse personene.

  2. Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne påvise at de aktuelle personene underlagt databehandlerens instruksjonsmyndighet er underlagt ovennevnte taushetsplikt.

 

6. Sikkerhet ved behandling 

  1. Personvernforordningen artikkel 32 fastslår at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hen-syn til risikoen.

    Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene. Avhengig av relevans kan tiltakene omfatte:

    a.)   Pseudonymisering og kryptering av personopplysninger

    b.)   Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene

    c.)    Evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse

    d.)    En prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.

    2. Ifølge personvernforordningen artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille den nødvendige informasjonen til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.

    3. Databehandleren skal også bistå den behandlingsansvarlige med å overholde den behandlingsansvarliges plikter etter personvernforordningen artikkel 32, ved blant annet å stille til den behandlingsansvarliges rådighet nødvendig in-formasjon om de tekniske og organisatoriske sikkerhetstiltakene som databehandleren allerede har gjennomført i henhold til personvernforordningen artikkel 32, samt all annen informasjon som er nødvendig for at den behandlingsansvarlige skal kunne overholde sine plikter etter personvernforordningen artikkel 32.

    4. Hvis imøtegåelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever at det gjennomføres ytterligere tiltak enn det databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi disse tiltakene i vedlegg C.


7. Bruk av underdatabehandlere

  1. Databehandleren skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nummer 2 og nummer 4 for å gjøre bruk av en annen databehandler (en underdatabehandler).

  2. Databehandleren har den behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere. Databehandleren skal skriftlig underrette den be-handlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse el-ler utskiftning av underdatabehandlere med minst 1 mnd. varsel og dermed gi den behandlingsansvarlige mulighet til å motsette seg slike endringer før den el-ler de beskrevne underdatabehandler(e) engasjeres. Varsel skal gis via e-post til kontaktperson angitt i vedlegg C punkt C.6 Lengre varslingsfrister for spesifikke underdatabehandlertjenester kan angis i vedlegg B. Listen over underdatabehandlere som den behandlingsansvarlige allerede har godkjent frem-går av vedlegg B.

  3. Når databehandleren engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal underleverandøren pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning.
    Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter disse Vilkårene og personvernforordningen.

  4. En kopi av slik underdatabehandleravtale og eventuelle etterfølgende endringer skal – ved den behandlingsansvarliges anmodning – sendes til den behandlingsansvarlige, som på denne måten har mulighet for å sørge for at underdatabehandleren er pålagt de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene. Kommersielle bestemmelser som ikke påvirker det personopplysningsvern-rettslige innholdet av underdatabehandleravtalen, er ikke underlagt kravet om kopi til den behandlingsansvarlige.

  5. Databehandleren skal i underdatabehandleravtalen inkludere den behandlingsansvarlige som begunstiget tredjepart i tilfelle databehandleren går konkurs, slik at den behandlingsansvarlige kan tre inn i databehandlerens rettigheter og gjøre dem gjeldende overfor underdatabehandler, hvilket for eksempel setter den behandlingsansvarlige i stand til å instruere underdatabehandleren om å slette eller tilbakeføre personopplysningene.

  6. Hvis databehandleren ikke oppfyller sine personopplysningsvern-forpliktelser blir databehandleren fullt ut ansvarlig overfor den behandlingsansvarlige når det gjelder oppfyllelse av underdatabehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter etter personvernforordningen – særlig de nedfestet i personvernforordningen artikkel 79 og 82 – overfor den behandlingsansvarlige og databehandleren, herunder underdatabehandleren. 

 

 

8. Overføring til tredjeland eller internasjonale organisasjoner

  1. Databehandleren kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den behandlingsansvarlige, og slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V.

  2. Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjoner, som databehandleren ikke er blitt instruert av den behandlingsansvarlige om å gjennomføre, kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning. I slike tilfeller vil databehandler selv være å regne som behandlingsansvarlig for overføringen.  

  3. Uten dokumentert instruks fra den behandlingsansvarlige kan databehandleren innenfor rammene av disse Vilkårene således ikke:
     
    1. ) Overføre personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller en internasjonal organisasjon
    2. ) Overlate behandling av personopplysninger til en underdatabehandler i et tredjeland 
    3. ) Behandle personopplysningene i et tredjeland

  4. Den behandlingsansvarliges instruks når det gjelder overføring av personopplysninger til et tredjeland, herunder det eventuelle overføringsgrunnlaget i personvernforordningen kapittel V som overføringen er basert på, skal angis i vedlegg C.5.

  5. Disse Vilkårene skal ikke forveksles med standard personvernbestemmelser som omhandlet i personvernforordningen artikkel 46 nummer 2 bokstav c og d, og disse Vilkårene kan ikke utgjøre et grunnlag for overføring av personopplysninger under personvernforordningen kapittel V.


11. Bistand til den behandlingsansvarlige

  1. Databehandleren bistår, idet det tas hensyn til behandlingens art og i den grad det er mulig, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III. 

    Dette innebærer at databehandleren så langt det er mulig skal bistå den behandlingsansvarlige i den behandlingsansvarlige oppfyllelse av:

    a). Opplysningsplikten ved innsamling av personopplysninger fra den registrerte
    b.) Opplysningsplikten dersom personopplysninger ikke er blitt samlet inn fra den registrerte
    c.) Den registrertes rett til innsyn
    d.) Retten til retting
    e.) Retten til sletting («retten til å bli glemt»)
    f.) Retten til begrensning av behandling
    g.) Underretningsplikten i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
    h.) Retten til dataportabilitet
    i.) Retten til å protestere
    j.) Retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisk behandling, herunder profilering

  2. I tillegg til databehandlerens forpliktelse til å bistå den behandlingsansvarlige i henhold til Vilkårene 6.3., bistår databehandleren også, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren, den behandlingsansvarlige med:

    a.) Den behandlingsansvarliges forpliktelse ved brudd på personopplysningssikkerheten til uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet på personopplysningssikkerheten til den kompetente tilsynsmyndigheten, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter

    b.) Den behandlingsansvarliges forpliktelse til uten ugrunnet opphold å underrette den registrerte om bruddet på personopplysningssikkerheten når det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter.

    c.)  Den behandlingsansvarliges forpliktelse til før behandlingen å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (vurdering av personvernkonsekvenser)

    d.)  Den behandlingsansvarliges forpliktelse til å rådføre seg med den kompetente tilsynsmyndigheten, før behandlingen dersom en vurdering av personvernkonsekvenser tilsier at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen.

  3. Partene skal i vedlegg C oppgi de egnede tekniske og organisatoriske tiltakene gjennom hvilke databehandleren skal bistå den behandlingsansvarlige, samt omfanget og utstrekningen av den påkrevde bistanden. Dette gjelder for forpliktelsene som følger av Vilkårene 9.1. og 9.2.

 

10. Underretning om brudd på personopplysningssikkerheten

 

  1. Ved brudd på personopplysningssikkerheten skal databehandleren underrette den behandlingsansvarlige om bruddet uten ugrunnet opphold og senest 24 timer etter å ha fått kjennskap til det.

  2. Databehandlerens underretning til den behandlingsansvarlige skal om mulig skje innen fire timer etter at databehandleren har fått kjennskap til bruddet på personopplysningssikkerheten, slik at den behandlingsansvarlige kan overholde sin forpliktelse til å melde bruddet til den kompetente tilsynsmyndigheten, jf. personvernforordningen artikkel 33. 

    a)  I overensstemmelse med Vilkår 9 nummer 2 bokstav a skal databehandleren bistå den behandlingsansvarlige med å melde bruddet til den kompetente tilsynsmyndigheten. Det innebærer at databehandleren skal bistå med å fremskaffe informasjon listet opp nedenfor, som ifølge personvernforordningen artikkel 33 nummer 3 skal fremgå av den behandlingsansvarliges melding av bruddet til den kompetente tilsynsmyndigheten:Arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt

    b) De sannsynlige konsekvenser av bruddet på personopplysningssikkerheten

    c) De tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

  3. Partene skal i vedlegg C oppgi all informasjon som databehandleren skal fremskaffe når vedkommende bistår den behandlingsansvarlige med å melde brudd på personopplysningssikkerheten til den kompetente tilsynsmyndigheten.

 

11. Sletting og returnering av opplysninger

  1. Ved opphør av databehandlertjenestene skal databehandleren, etter den behandlingsansvarliges valg, slette eller tilbakelevere  alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet med mindre unionsretten eller medlemsstatenes nasjonale rett krever oppbevaring av personopplysningene. I slike tilfeller vil databehandler selv være å regne som behandlingsansvarlig for videre behandling av personopplysningene.

12. Revisjon, herunder inspeksjon 

  1. Databehandleren skal stille til den behandlingsansvarliges disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernforordningen artikkel 28 og disse Vilkårene. Videre skal databehandle-ren muliggjøre og bidra til revisjoner, herunder inspeksjoner, som utføres av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige.

  2. Prosedyrene for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av databehandleren og underdatabehandlere er spesifisert i vedlegg C.6

  3. Databehandleren forplikter seg til å gi tilsynsmyndighetene, som etter gjeldende lovgivning har tilgang til den behandlingsansvarliges eller databehandlerens lo-kaler, eller representanter som opptrer på slike tilsynsmyndigheters vegne, ad-gang til databehandlerens fysiske lokaler ved presentasjon av behørig legitimasjon. 

13. Partenes avtale om andre forhold

  1. Partene kan avtale andre bestemmelser som gjelder databehandlertjenestene, f.eks. erstatningsansvar, så lenge disse andre bestemmelsene ikke direkte eller indirekte strider mot disse Vilkårene eller er til skade for den registrertes grunn-leggende rettigheter og friheter og beskyttelsen som følger av personvernforordningen.

 

14. Ansvar

  1.  Partenes ansvarsforhold fremgår av GDPR art. 82. Ansvar er begrenset til det faktiske og dokumenterbare tap som den skadelidende part har lidt. 

 

15. Ikrafttredelse og opphør

  1. Vilkårene trer i kraft på datoen for begge partenes underskrift.

  2. Begge partene kan kreve Vilkårene reforhandlet dersom lovendringer eller uhen-siktsmessigheter i Vilkårene gir grunn til dette.

  3. Vilkårene gjelder så lenge databehandlertjenestene varer. I denne perioden kan Vilkårene ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene.

  4. Hvis leveringen av databehandlertjenestene opphører, og personopplysningene er slettet eller returnert til den behandlingsansvarlige i overensstemmelse med Vilkårene 11.1 og vedlegg C.3, kan Vilkårene sies opp med skriftlig varsel av begge partene.

  5. Underskrift  - Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt.

 

Vedlegg A - Opplysninger om behandlingen

A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:
Oppbevaring og sikring av data på vegne av kunde. 

A.2. Databehandlers behandling av personopplysninger på vegne av den Behandlingsansvarlige skal primært dreie seg om (behandlingens art):

A.3. Behandlingen omfatter følgende typer av personopplysninger om de registrerte:

A.4. Behandlingen omfatter følgende kategorier av registrerte:

A.5. Databehandlerens tjeneste på vegne av den behandlingsansvarlige kan begynn-ne etter at Vilkårene har trådt i kraft. Behandlingen har følgende varighet: Så lenge kundeforholdet er i kraft.

 

Vedlegg B - Underdatabehandlere

B.1. Godkjente underdatabehandlere

Ved Vilkårenes ikrafttredelse godkjenner den behandlingsansvarlige bruken av følgende underdatabehandlere i henhold til tjenesten(e) AGS IT-partner leverer til kunden. Bruken av underleverandør kan variere etter supportavtale, tjeneste eller programvare kunden kjøper/abonnerer av AGS IT-partner.

 

Navn Lokasjon Beskrivelse av behandlingen
Microsoft EU Microsoft 365 administrasjonssenter for behandling av brukere og oppsett, Dynamics 365 og Microsoft Business Central 
Also EU CSP Marketplace for styring av Microsoft og andre lisenser/abonnement
Kaseya EU Dokumentportal, sikkerhet og kontroll av hardware og abonnement
Scalepad EU Oppbevaring av hardware informasjon om produsent, garanti, og modell
Dropbox US Håndtering av lisens og behandling av brukere, lagring og oppsett
Panda EU Håndtering av antivirus endepunktsklient på PC eller Mac
Hubspot EU CRM og markedsføring med e-post utsendelse og blogg
Webmercs EU Nettbutikk med registering av kjøp og handel av hardware 
Cisco Meraki EU Administrasjonssenter for behandling av lisenser og oppsett av WiFi, nettverk og brannmur
MSP 360 EU Administrasjonssenter for behandling av lisenser og oppsett av backup
Backupbanken NO Administrasjonssenter for behandling av lisenser og oppsett av backup helsenett
Skykick NO Administrasjonssenter for behandling av lisenser og oppsett av backup av Microsoft 365
Unifon NO Behandling av telefonabonnement, mobilløsninger og sentralbord
Dropsuite EU Administrasjonssenter for behandling av lisenser og oppsett av backup av Microsoft 365
Telenor NO Behandling av telefonabonnement, mobilløsninger og sentralbord
AvePoint EU Administrasjonssenter for behandling av lisenser og oppsett av backup av Microsoft Dynamics 365
ConnectSecure EU Sårbarhetsanalyse over Server, PC, Mac og nettverk
Domotz EU  Administrasjon og overvåking av nettverk 
Augmentt EU Administrasjon, sikkerhet og oppsett av Microsoft 365
SMTP2Go EU SMTP tjeneste for utsendelse av e-post
PowerDmarc EU Administrasjon og sikring av domeneoppføringer
NinjaOne EU Overvåkning og oppdatering av Server, PC, Mac
Datto EU Administrasjon og backup av servere og PC lokalt og i skyen
Nimblr EU Sikkerhetstrening og sikkerhetsopplæring av brukere i bedrifter
RocketCyber EU Håndtering og overvåking av aktivitet og endepunktssikkerhet på PC eller Mac
Printix EU Administrasjonssenter for behandling av utskrifter, drivere og rettigheter til skrivere.

 

Vedlegg C - Instruks for behandling av personopplysninger

C.1. Informasjonssikkerhet

  • Databehandleren har heretter rett og plikt til å treffe beslutninger om hvilke tekniske og organisatoriske sikkerhetstiltak som skal gjennomføres for å etablere det nødvendige (og avtalte) sikkerhetsnivået.  
  • Databehandleren skal likevel – under enhver omstendighet og som minimum – gjennomføre følgende tiltak, som er avtalt med den behandlingsansvarlige:
  • Alle ansatte hos databehandler har signert taushetserklæring. Tilganger er begrenset i henhold til roller. Administrasjonstilgang er midlertidig og styres etter nødvendig behov.  
  • Sikring av vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og –tjenester, opplysninger via internett gjøres med 2-faktor pålogging og kommunikasjon og lagring av innhold er kryptert. Data lagres fortrinnsvis i EU eller Norge dersom mulig.
  • Systemene har backup slik at data kan gjenopprettes dersom det oppstår en fysisk eller teknisk hendelse. 
  • Databehandler har prosesser for regelmessig testing, vurdering og evaluering av de tekniske og organisatoriske tiltakenes effektivitet når det gjelder å sikre personopplysnings sikkerheten.
  • Databehandler har fysisk sikring av lokasjoner hvor opplysninger blir behandlet. Data-behandler har interne rutiner og sikkerhetspolicy for behandling av data på hjemme eller fjernarbeidsplasser.
  • Databehandler logger tilgang til administrasjons pålogging av tjenester og tilgang til kundens systemer.

 

 C.2 Bistand til den behandlingsansvarlige

  • Databehandleren vil i den grad det er mulig bistå den behandlingsansvarlige i samsvar med Vilkårene 9.1 og 9.2.

 

 C.3 Oppbevaringsperiode/sletteprosedyrer

  • Ved opphør av databehandlertjenestene vil databehandleren slette personopplysningene i overensstemmelse med Vilkårene 11.1

 

 C.4 Lokasjon for behandling

  • Oppbevaring av personopplysninger som omfattes av Vilkårene kan ikke, uten den behandlingsansvarliges skriftlige forhåndsgodkjennelse, finne sted på andre lokasjoner enn følgende:  Skybasert datalagring lokalisert i EU eller Norge

 C.5 Instruks for overføring av personopplysninger til tredjeland

  • Databehandler overfør ikke personopplysninger til tredjeland eller internasjonale organisasjoner dersom kunde ikke allerede har godkjent dette i egen tjenesteavtale med produsenten av tjenesten.

 C.6 Kontaktpersoner ifm. varsling om vesentlige endringer i Vilkårene eller bruk av underdatabehandlere

  • Varsel om vesentlige endringer i disse Vilkårene, herunder endringer som påvirker hvordan personopplysninger behandles, samt varsel om tilføyelse eller utskiftning av underdatabehandlere i henhold til punkt 7, skal gis skriftlig via e-post til kundens oppgitte Behandlingsansvarlig
  • Behandlingsansvarlig skal skriftlig oppdatere databehandler dersom kontaktinformasjonen endres.

 C.7 Prosedyrer for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av behandlingen av personopplysninger som er overlatt til databehandleren

  • Databehandler gjennomfører kvartalsvis revisjoner av prosedyrene for behandlingen av personopplysninger som er overlatt til underdatabehandlere. Datatilsynet vil eventuelt være ansvarlig for en inspeksjon.  Datatilsynet kan i tillegg føre tilsyn i samsvar med sitt lovpålagte tilsynsansvar.
  • Den behandlingsansvarlige eller den behandlingsansvarliges representant skal dessuten ha adgang til å inspisere, herunder inspisere fysisk, stedene hvor databehandleren fore-tar behandling av personopplysninger, herunder fysiske lokaler samt systemer som benyttes til og relatert til behandlingen. Slike inspeksjoner kan gjennomføres når den behandlingsansvarlige finner det nødvendig.
  • Databehandleren skal uten ekstra kostnad stille til rådighet den tid og de ressurser som med rimelighet er nødvendig for å oppfylle sin plikt etter disse Vilkårenes punkt 12 nr. 1. 
  • Dersom den behandlingsansvarlige krever revisjoner eller inspeksjoner utover én ordinær inspeksjon per kalenderår, skal den behandlingsansvarlige dekke databehandlers dokumenterte kostnader knyttet til dette. 

 

Avtale versjon 4.2 - sist endret og oppdatert 14.10.2025