DATABEHANDLERAVTALE

Denne avtalen er en avtale i henhold til Den europeiske unions («EU») forordning 2016/679 artikkel 28 nr. 3 («EU-forordning 2016/679»), og omtales i det følgende som Databehandleravtalen.

Databehandleravtalens parter er Behandlingsansvarlig og Databehandler.

Bakgrunnen for Databehandleravtalen er at Behandlingsansvarlig og Databehandler har inngått en avtale («Hovedavtalen») som forutsetter at Databehandler skal behandle personopplysninger på vegne av den Behandlingsansvarlige. Databehandleravtalen skal legges ved Hovedavtalen, og anvendes som bilag til denne.

Databehandleravtalens formål er å regulere den behandlingen av personopplysninger som Databehandler skal utføre på vegne av Behandlingsansvarlig. Databehandleravtalen skal sikre at behandlingen av personopplysninger skjer i samsvar med gjeldende regelverk for behandling av personopplysninger.

Behandlingsansvarlig fastsetter formål og hjelpemidler for behandlingen av personopplysninger. Avtalepartenes rettigheter og plikter følger av Databehandleravtalen.

Personopplysninger omfattet av denne Databehandleravtale

Databehandleravtalen, inkludert bilag, er et vedlegg til følgende Hovedavtale: (Mimenummer og navn på hovedavtale). Hovedavtalens løpetid er ved inngåelse estimert til: (Estimert start- og sluttidspunkt for hovedavtale).

I henhold til Hovedavtalen skal Databehandler utføre oppgaver og/eller tjenester for Behandlingsansvarlig, som forutsetter behandling av personopplysninger på den Behandlingsansvarliges vegne. Databehandleravtalen består av følgende avtaledokumenter:

Nærværende avtaledokument.
Bilag 1: Angivelse av personopplysninger og behandlinger. Bilag 1 inneholder X stk. personopplysningsskjema.
Bilag 2: Opplysninger om underleverandør(er). Bilag 2 inneholder X stk. underleverandørskjema.

Alle avtaledokumenter skal fylles ut.

Hovedavtalen utgjør den ytre ramme for den behandling av personopplysninger som er omfattet av Databehandleravtalen. Databehandleravtalen regulerer, på bakgrunn av Hovedavtalen, behandling personopplysninger som angitt i Bilag 1.

Bakgrunnsrett og definisjoner

Behandling av personopplysninger er underlagt krav og forpliktelser med hjemmel i lov. Relevant bakgrunnsrett er lov om behandling av personopplysninger av 25. mai 2018 med tilhørende forskrifter, og rettsakter fra EU, herunder EU-forordning 2016/679. Opplistingen er ikke uttømmende og Databehandler plikter selv å sette seg inn i gjeldende rett.

Databehandleravtalens begrepsbruk skal forstås i samsvar med EU-forordning 2016/679 artikkel 4. Følgende definisjoner hitsettes:

«Personopplysning» skal bety enhver opplysning om en identifisert eller identifiserbar fysisk person, som definert i til enhver tid gjeldende regelverk for behandling av personopplysninger.

«Behandling» av personopplysninger skal bety enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, som definert i til enhver tid gjeldende regelverk for behandling av personopplysninger.

Databehandlers forpliktelser

Overholde gjeldende rett

Databehandler skal overholde det til enhver tid gjeldende regelverk for behandling av personopplysninger, herunder, men ikke begrenset til å føre protokoll som nevnt i EU-forordning 2016/679 artikkel 30. Databehandler skal overholde alle krav om beskyttelse for personopplysninger omfattet av denne Databehandleravtale.

Begrensning og vilkår ved behandling av personopplysninger

Databehandler skal, innenfor rammen av denne Databehandleravtale og behandling av personopplysninger i forbindelse med Hovedavtalen for øvrig, utelukkende behandle personopplysninger på bakgrunn av: (I) denne Databehandleravtale, (II) dokumenterte instrukser fra, eller avtale med den Behandlingsansvarlige, eller (III) ufravikelig lovgivning.

Databehandler skal ikke, uten forutgående skriftlig avtale med Behandlingsansvarlig, eller etter dokumentert instruks fra Behandlingsansvarlig, behandle personopplysninger i større utstrekning, eller over et lengre tidsrom, enn det som følger av denne Databehandleravtale.

Databehandler skal ikke med grunnlag i denne Databehandleravtale, behandle personopplysninger i større utstrekning, eller over et lengre tidsrom, enn det som er nødvendig for å overholde forpliktelsene etter Hovedavtalen.

Databehandler skal ikke behandle personopplysninger omfattet av denne Databehandleravtale til egne formål, med mindre det foreligger selvstendig rettslig grunnlag for slik behandling uavhengig av denne Databehandleravtale.

Personopplysningssikkerhet
1. Vurdere egnet sikkerhetsnivå

Avtalepartene skal i samråd vurdere hva som er nødvendige tekniske og organisatoriske sikkerhetstiltak for å oppnå et sikkerhetsnivå som er egnet ved behandlingen av personopplysninger omfattet av denne Databehandleravtale. I vurderingen skal blant annet følgende tas i betraktning:

Behandlingens art, omfang og formål for personopplysninger omfattet av denne Databehandleravtale.

Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene.

Alvorlighet av den risiko behandlingen av personopplysninger medfører for den registrertes rettigheter og friheter.

Nødvendigheten av å implementere pseudonymisering og kryptering av personopplysningene.

Den tekniske utviklingen og gjennomføringskostnadene.

Iverksette tiltak for personopplysningssikkerhet

Gjennom denne Databehandleravtale bekrefter Databehandler å oppfylle krav til personopplysningssikkerhet i gjeldende regelverk for behandling av personopplysninger.

Databehandler skal ved egnede tekniske og organisatoriske tiltak sørge for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen ved behandlingen av personopplysninger omfattet av denne Databehandleravtale. Tiltakene skal hensynta vurderingen i punkt 4.3.1. Databehandler skal herunder, men ikke begrenset til, alltid iverksette følgende tiltak når det er relevant i lys av oppgavene og/eller tjenestene etter Hovedavtalen:

Følge alminnelig anerkjente standarder for informasjonssikkerhet.

Sikre at antallet medarbeidere med tilgang til personopplysninger begrenses til det som er nødvendig.

Sikre at uautoriserte ikke har adgang til lokaler, filer, eller systemer, der personopplysninger som Databehandler får tilgang til under Databehandleravtalen oppbevares eller behandles.

Sikre at personopplysninger omfattet av denne Databehandleravtale holdes logisk adskilt fra egne og andres opplysninger og tjenester. Med logisk adskilt forstås at nødvendige tekniske tiltak som sikrer data mot uønsket endring og innsyn, er iverksatt og opprettholdt.

Sikre at lagringsmedier og/eller datautstyr som benyttes ved behandling av personopplysninger er beskyttet mot ødeleggelse, og mot at uvedkommende får adgang. Databehandler skal ha systemer for sikkerhetskopiering og gjenoppretting.

Sikre at det er etablert tiltak mot ødeleggende programvare på de av Databehandlers systemer som benyttes til å behandle personopplysningene på vegne av Behandlingsansvarlig. Databehandler skal blant annet benytte brannmur og programvare for viruskontroll.

Sikre at ansatte hos Databehandler får tilstrekkelig og nødvendig opplæring i relevant lov- og regelverk, samt innehar god sikkerhetskultur for håndtering av personopplysninger.

Sikre at det er iverksatt tiltak som er nødvendige for å forhindre tilfeldig eller ulovlig ødeleggelse eller tap av data, ikke-autorisert tilgang til data, spredning eller endring av data, så vel som urettmessig innsyn og enhver annen bruk av personopplysninger som ikke er i overensstemmelse med denne Databehandleravtale.

Sikre at avvik fra krav til personopplysningssikkerhet registreres og rapporteres, herunder at Databehandler loggfører og dokumenterer ethvert forsøk på ikke-autorisert tilgang og andre hendelser av betydning for personopplysningssikkerheten. Slik dokumentasjon skal oppbevares i minimum 3 måneder, samt varsles til Behandlingsansvarlig. Se også punkt 4.7.2.

Sikre at rutiner for å håndtere uønskede hendelser er tatt i bruk.

Tiltak for personopplysningssikkerhet kan presiseres i Hovedavtalen.

Internkontroll

Databehandler skal ha rutiner med internkontroll for personopplysningssikkerhet ved behandling av personopplysningene omfattet av denne Databehandleravtalen.

Sikkerhetsrevisjon og tilsyn

Dersom det er relevant skal Databehandler jevnlig foreta sikkerhetsrevisjoner av systemer og lignende som benyttes til behandling av personopplysninger omfattet av denne Databehandleravtale.

Behandlingsansvarlig har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart. Vedkommende tredjepart skal da utarbeide en rapport som overleveres til Behandlingsansvarlig og Databehandler. Behandlingsansvarlig kan utlevere rapporten til tilsynsmyndigheter, og andre som har krav på å kjenne innholdet.

Behandlingsansvarlig har også rett til å komme på fysisk tilsyn hos Databehandler for å kontrollere behandlingen av personopplysningene omfattet av denne Databehandleravtalen.

Adferdsnormer og sertifisering

Databehandler skal, der det er hensiktsmessig, overholde godkjente adferdsnormer etter EU-forordning 2016/679 artikkel 40, og overholde godkjent sertifiseringsmekanisme etter EU-forordning 2016/679 artikkel 42, der dette foreligger.

Taushetsplikt
1. Avtalefestet taushetsplikt

Databehandler pålegges etter denne Databehandleravtalen taushetsplikt for de personopplysninger han behandler på vegne av Behandlingsansvarlig, med mindre annet følger av ufravikelig lovgivning. Taushetsplikten omfatter også informasjon av betydning for personopplysningssikkerheten. Taushetsplikten gjelder også etter at Hovedavtalen og/eller Databehandleravtalen er avsluttet.

Databehandler er forpliktet til å sikre at alle som utfører arbeid på vegne av Databehandler, enten som ansatte, innleide, eller annet, som har tilgang til eller er involvert i behandling av personopplysninger på vegne av Behandlingsansvarlig, er: (I) informert om og overholder forpliktelsene etter denne Databehandleravtale, og (II) er pålagt taushetsplikt. Se også punkt 4.11.1.

Databehandler skal varsle Behandlingsansvarlig ved all utlevering av personopplysninger omfattet av denne Databehandleravtale. Dette gjelder også dersom utleveringen følger av ufravikelig lovgivning, med mindre annen ufravikelig lovgivning forbyr slik varsling.

Lovbestemt taushetsplikt

Uavhengig av taushetsplikt etter punkt 4.5.1 ovenfor er alle som utfører arbeid for Databehandler, enten som ansatte, innleide, eller annet, underlagt lovbestemt taushetsplikt for opplysninger vedkommende blir kjent med, som behandles på vegne av den Behandlingsansvarlige og er omfattet av forvaltningsloven § 13 eller annen lovbestemt taushetsplikt.

Databehandler plikter å gjøre sine medarbeidere kjent med relevant lovbestemt taushetsplikt. Se også punkt 4.11.1.

Sletterutiner

Databehandler skal ha rutiner for sletting. Personopplysninger omfattet av denne Databehandleravtale skal senest slettes på det tidspunktet behandling av personopplysningene ikke lenger er nødvendig for å utføre de oppgaver og/eller tjenester som følger av Hovedavtalen, med mindre annet følger av ufravikelig lovgivning, dokumentert instruks, eller skriftlig avtale med Behandlingsansvarlig.

Dersom det foreligger personopplysninger som ikke er slettet på tidspunktet for Hovedavtalens utløp, skal Databehandler slette alle gjenværende personopplysninger, med mindre annet følger av ufravikelig lovgivning, dokumentert instruks, eller skriftlig avtale med Behandlingsansvarlig. Se også punkt 7.

Melding om avvik
1. Avvik

Enhver bruk av informasjonssystemene og personopplysninger i strid med etablerte rutiner, denne Databehandleravtale, instruks fra Behandlingsansvarlig, eller gjeldende regelverk for behandling av personopplysninger, så vel som brudd på personopplysningssikkerheten, skal behandles som avvik.

Databehandler skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket, og hindre gjentagelse.

Varslingsplikt

Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig om brudd på Databehandleravtalen, med mindre Databehandler vurderer bruddet som ubetydelig. Se også punkt 6.1.

Databehandler skal alltid uten ugrunnet opphold varsle Behandlingsansvarlig om avvik etter punkt 4.7.1, samt enhver utilsiktet, ulovlig eller uautorisert, tilgang, bruk eller utlevering av personopplysninger. Det samme gjelder der personopplysninger kan ha blitt kompromittert, eller det har forekommet brudd på personopplysningenes integritet.

Databehandler skal ved avvik etter punkt 4.7.1 gi Behandlingsansvarlig all informasjon som er nødvendig for å sette den Behandlingsansvarlige i stand til å overholde sitt ansvar i henhold til denne Databehandleravtale, herunder å sette den Behandlingsansvarlige i stand til å melde brudd på personopplysningssikkerheten til tilsynsmyndigheter innen de frister som gjelder etter gjeldende regelverk for behandling av personopplysninger.

Det er den Behandlingsansvarlige sitt ansvar å melde brudd på personopplysningssikkerheten til tilsynsmyndigheter i henhold til krav i gjeldende regelverk for behandling av personopplysninger.

Databehandlers bistandsplikt
1. Bistand ved henvendelser fra de registrerte

Databehandler skal bistå Behandlingsansvarlig med egnede tekniske og organisatoriske tiltak for utøvelse av den registrertes rettigheter etter EU-forordning 2016/679 kapittel III.

Med mindre annet er skriftlig avtalt eller følger av dokumentert instruks, skal henvendelser til og fra den registrerte, formidles gjennom den Behandlingsansvarlige. Se også punkt 5. Databehandler skal ikke foreta seg noe før etter skriftlig avtale eller dokumentert instruks fra Behandlingsansvarlig.

Annen bistand til den behandlingsansvarlige

Databehandler skal bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser til å sørge for sikkerhet ved behandlingen, varsle tilsynsmyndigheter og de registrerte ved brudd på personopplysningssikkerheten, og foreta vurderinger av personvernkonsekvenser (DPIA) og forhåndsdrøftelser, i henhold til EU-forordning 2016/679 artikkel 32 til 36, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for Databehandler.

Databehandler skal omgående underrette den Behandlingsansvarlige dersom vedkommende mener at en instruks er i strid med gjeldende regelverk for behandling av personopplysninger.

Bruk av underleverandør

Databehandler har rett til å benytte underleverandør for oppfyllelse av denne Databehandleravtale. Bruk av underleverandør må skje i samsvar med vilkår fastsatt denne Databehandleravtale.

Med mindre annet er skriftlig avtalt, kan ikke Databehandler ha mer enn X antall ledd i leverandørkjeden under seg, som har tilgang til personopplysninger omfattet av denne Databehandleravtale.

Dersom Databehandler benytter underleverandører for oppfyllelse av Databehandleravtalen, skal underleverandører i alle ledd være underlagt de samme forpliktelsene med hensyn til vern av personopplysninger, som det Databehandler selv er underlagt etter denne Databehandleravtale. Databehandler plikter å sikre dette gjennom skriftlig avtale med aktuelle underleverandører, som den Behandlingsansvarlige kan kreve å få tilgang til (se punkt 4.11.2). Databehandler er selv ansvarlig for at underleverandører i alle ledd følger vilkårene i denne Databehandleravtale, samt for øvrig handler i samsvar med gjeldende regelverk for behandling av personopplysninger.

Alle underleverandører som: (I) Behandler personopplysninger omfattet av denne Databehandleravtale, eller (II) på annet vis har tilgang til personopplysninger omfattet av denne Databehandleravtale, eller (III) har tilgang til systemer hvor personopplysninger behandles som er omfattet av denne Databehandleravtale, skal skriftlig godkjennes av Behandlingsansvarlig forut for oppstart av Hovedavtalen. Dette gjelder uavhengig av hvor i leverandørkjeden underleverandøren utfører sine oppgaver. Behandlingsansvarlig kan nekte å godkjenne en underleverandør dersom det foreligger saklig grunn, eller en vurdering av personvernkonsekvenser (DPIA) tilsier det.

Databehandler har, med mindre han er underlagt begrensninger i avtale eller annet regelverk, rett til å skifte ut eller hente inn underleverandør som nevnt i avsnittet ovenfor, i løpet av Hovedavtalens løpetid. Databehandler skal i dette tilfellet varsle den Behandlingsansvarlige senest X måneder før ny underleverandør starter opp. Ny underleverandør skal skriftlig godkjennes av Behandlingsansvarlig forut for underleveransens oppstart. Den Behandlingsansvarlige kan nekte å godkjenne ny underleverandør dersom det foreligger saklig grunn, eller en vurdering av personvernkonsekvenser (DPIA) tilsier det. Den underleverandøren som skiftes ut skal avslutte sitt avtaleforhold med Databehandler tilsvarende det som er beskrevet i punkt 7.

Informasjon om underleverandør(er) skal føres inn i Databehandleravtalens Bilag 2.

Geografiske begrensninger
1. Personopplysninger skal behandles i EU/EØS, eller i sikker tredjestat

Databehandler forplikter seg, med mindre annet er skriftlig avtalt, til at behandling av personopplysninger omfattet av denne Databehandleravtale, herunder overføring, utelukkende skal skje i eller til: (I) stater i EU/EØS, eller (II) sikre stater utenfor EU/EØS, slik disse er definert av EU-kommisjonen med hjemmel i EU-forordning 2016/679 artikkel 45 («sikre tredjestater»).

Likestilt med overføring er tilfeller der Databehandler behandler personopplysningene i en EU/EØS-stat, eller sikker tredjestat, men der personer utenfor EU/EØS-området, eller sikker tredjestat, likevel har tilgang til personopplysningene.

Dersom overføring av personopplysninger til stat utenfor EU/EØS, eller en internasjonal organisasjon, kreves i henhold til ufravikelig lovgivning som Databehandler er underlagt, skal Databehandler underrette den Behandlingsansvarlige om nevnte rettslige krav før behandlingen igangsettes, med mindre annen ufravikelig lovgivning forbyr slik underretting.

All overføring ut av EU/EØS-området skal skje i samsvar med krav i EU-forordning 2016/679 kapittel V.

Den behandlingsansvarlige skal godkjenne all overføring ut av EU/EØS

Overføring av personopplysninger omfattet av denne Databehandleravtale til sikre tredjestater utenfor EU/EØS, skal alltid godkjennes skriftlig av Behandlingsansvarlig forutfor overføring. Behandlingsansvarlig kan motsette seg overføring dersom det foreligger saklig grunn, eller en vurdering av personvernkonsekvenser (DPIA) tilsier det.

Overføring til stater utenfor EU/EØS og sikre tredjestater må avtales særskilt

Overføring av personopplysninger omfattet av denne Databehandleravtale, til stater utenfor EU/EØS som EU-kommisjonen ikke regner som sikre, er ikke tillatt med mindre overføringen er (I) særskilt regulert i skriftlig avtale, og (II) avtalepartene i fellesskap har gjort en vurdering av personvernkonsekvenser (DPIA) som tilsier at overføring er forsvarlig.

Krav til dokumentasjon
1. Dokumentasjon av sikkerhetstiltak, internkontroll mm.

Databehandler skal når som helst i Hovedavtalen og/eller Databehandleravtalens løpetid kunne fremvise dokumentasjon på iverksatte tiltak for personopplysningssikkerhet, som nevnt i punkt 4.3.2.

Databehandler skal når som helst i Hovedavtalen og/eller Databehandleravtalens løpetid kunne fremvise dokumentasjon på rutiner for internkontroll, som nevnt i punkt 4.3.3.

Databehandler skal på forespørsel gi tilgang på rapporter om sikkerhetsrevisjoner, som nevnt i punkt 4.3.4. Forespørselen kan rette seg mot utvalgte, eller alle, rapportene som er utarbeidet i løpet av Hovedavtalens løpetid, både av tredjeparter og Databehandler selv. Dette gjelder bare i den utstrekning Hovedavtalens art, eller forespørsler fra Behandlingsansvarlig, gjør at det foreligger rapporter om sikkerhetsrevisjoner.

Databehandler skal på forespørsel dokumentere at alle som utfører arbeid på vegne av Databehandler, enten som ansatte, innleide, eller annet, som har tilgang til eller er involvert i behandling av personopplysninger, er pålagt taushetsplikt etter punkt 4.5.1, og er gjort kjent med eventuell taushetsplikt etter punkt 4.5.2.

Databehandler skal når som helst i Hovedavtalen og/eller Databehandleravtalens løpetid kunne fremvise all dokumentasjon som kreves etter gjeldende regelverk for behandling av personopplysninger, herunder, men ikke begrenset til, dokumentasjon etter EU-forordning 2016/679 artikkel 28 nr. 3 bokstav h, samt artikkel 30 nr. 2.

Databehandler skal gjennom hele Hovedavtalen og/eller Databehandleravtalens løpetid kunne fremlegge ovennevnt dokumentasjon for Behandlingsansvarlig på 5 virkedagers varsel, med mindre tidligere fremleggelse er nødvendig grunnet melding til tilsynsmyndighet i henhold til gjeldende regelverk for behandling av personopplysninger.

Fremvise avtaledokumenter med underleverandører

Databehandler plikter på forespørsel å fremlegge avtaledokumenter med underleverandører etter punkt 4.9 på 5 virkedagers varsel, med mindre tidligere fremleggelse er nødvendig grunnet melding til tilsynsmyndighet i henhold til gjeldende regelverk for behandling av personopplysninger.

Vederlag

Databehandlers kostnader i forbindelse med denne Databehandleravtalen er kostnader som inngår i Hovedavtalens vederlag.

Kostnader for rapporter fra tredjeparter etter punkt 4.3.4 om sikkerhetsrevisjon, som den Behandlingsansvarlige har krevd, skal dekkes av Behandlingsansvarlig.

Den behandlingsansvarliges plikter

Med mindre annet er skriftlig avtalt eller følger av dokumentert instruks, skal den Behandlingsansvarlige:

Svare på henvendelser fra de registrerte om behandling av personopplysninger omfattet av denne Databehandleravtale. Se også punkt 4.8.1.

Informere de registrerte i tråd med gjeldende regelverk for behandling av personopplysninger, og ellers oppfylle sine plikter hva gjelder de registrertes rettigheter.

Melde brudd på personopplysningssikkerheten til tilsynsmyndigheter, og eventuelt til de registrerte, uten ugrunnet opphold i henhold til gjeldende regelverk for behandling av personopplysninger.

Samarbeide med tilsynsmyndigheter i tråd med gjeldende regelverk for behandling av personopplysninger.

Den behandlingsansvarlige bekrefter at personopplysningene omfattet av denne Databehandleravtale har lovlig behandlingsgrunnlag.

Den behandlingsansvarlige skal implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre og dokumentere overholdelse av gjeldende regelverk for behandling av personopplysninger.

Mislighold

Varsling

En avtalepart skal uten ugrunnet opphold varsle den andre avtaleparten, dersom han ikke er i stand til, eller har grunn til å tro at han ikke vil være i stand til, å overholde sine forpliktelser etter denne Databehandleravtale. Dette med mindre avtaleparten vurderer misligholdet til å være ubetydelig. Se også punkt 4.7.2.

Erstatning

Dersom en avtalepart misligholder sine forpliktelser etter denne Databehandleravtale, skal anvendbare bestemmelser om erstatning i Hovedavtalen gjelde.

Eventuelle ansvarsbegrensninger i Hovedavtalen gjelder likevel ikke for et økonomiske tap en avtalepart lider som følge av overtredelsesgebyr ilagt i medhold av EU-forordning 2016/679 artikkel 83, som springer ut av (I) mislighold av denne Databehandleravtale, eller (II) brudd på EU-forordning 2016/679, fra den andre avtaleparten. Dersom begge avtaleparter har medvirket til forholdet som medfører overtredelsesgebyr, skal en avtalepart kun dekke den del av den andre avtalepartens tap som kan tilbakeføres til førstnevnte parts mislighold eller regelbrudd.

Dersom det ikke foreligger anvendbare bestemmelser om erstatning i Hovedavtalen, har en avtalepart krav på å få dekket det økonomiske tap han blir påført, som følge av at den andre avtaleparten misligholder sine forpliktelser etter denne Databehandleravtale.

Databehandleravtalen punkt 6.2 skal ikke forstås slik at bestemmelsene kommer i strid med EU-forordning 2016/679 artikkel 82, eller annen lovgivning.

Heving av Hovedavtalen

Dersom en avtalepart misligholder sine forpliktelser etter denne Databehandleravtale, skal anvendbare bestemmelser om heving i Hovedavtalen gjelde.

Dersom det ikke foreligger anvendbare bestemmelser om heving i Hovedavtalen, kan en avtalepart heve Hovedavtalen dersom den andre avtaleparten i vesentlig grad misligholder sine forpliktelser etter denne Databehandleravtale.

I en vesentlighetsvurdering knyttet til mislighold etter begge avsnitt ovenfor kan den Behandlingsansvarlige særlig ta hensyn til; om Databehandlere mislighold knytter seg til bestemmelser om behandling av personopplysninger i strid med; instruks fra Behandlingsansvarlig (punkt 4.2), personopplysningssikkerhet (punkt 4.3), bruk av underleverandør (punkt 4.9), overføring av personopplysninger ut av EU/EØS-området (punkt 4.10), eller dokumentasjon (punkt 4.11). Opplistingen er ikke uttømmende.

Dersom en avtalepart fremsetter krav om heving, skal Databehandler umiddelbart stanse behandlingen av personopplysninger i samsvar med punkt 7.

Varighet og avslutning

Denne Databehandleravtale gjelder fra datoen den er signert, og til Hovedavtalen løper ut. Dette med mindre Databehandlers plikter etter Hovedavtalen opphører på et tidligere tidspunkt. Dersom Hovedavtalen forlenges, forlenges denne Databehandleravtale tilsvarende, med mindre annet er skriftlig avtalt.

Ved avslutning av Hovedavtalen og/eller Databehandleravtalen, skal Databehandler stanse all behandling av personopplysninger fra dato bestemt av den Behandlingsansvarlige.

Databehandler og eventuelle underleverandører skal, etter den Behandlingsansvarliges valg, slette eller tilbakelevere alle personopplysninger til den Behandlingsansvarlige etter at Databehandleravtalen og/eller Hovedavtalen er avsluttet. Databehandler og eventuelle underleverandører skal slette eksisterende kopier av personopplysningene, med mindre ufravikelig lovgivningen krever videre lagring av personopplysningene. Manglende sletting skal i så fall skriftlig begrunnes overfor den Behandlingsansvarlige.

Databehandler skal ved avslutning av Hovedavtalen og/eller Databehandleravtalen, etter retur og/eller sletting har skjedd etter avsnittet ovenfor, gi Behandlingsansvarlig en skriftlig erklæring, hvoretter Databehandler garanterer at alle personopplysninger, og annen aktuell data, har blitt returnert eller slettet i henhold til den Behandlingsansvarliges instrukser, samt at Databehandler ikke har beholdt noen kopi eller utskrift, eller beholdt dataene i annet medium.

Forpliktelsene etter punkt 4.5 og 6.2 fortsetter å gjelde etter avslutning av Hovedavtalen og/eller Databehandleravtalen. Videre skal bestemmelsene i denne Databehandleravtale gjelde fullt ut for eventuelle personopplysninger beholdt av Databehandler i strid med plikt til sletting etter punkt 4.6 og 7.

Jurisdiksjon, tolkning, revisjon og verneting

Databehandleravtalen er underlagt norsk rett, og skal tolkes og anvendes deretter.

Ingenting i Databehandleravtalen skal forstås som en innskrenkning av de plikter som avtalepartene er underlagt etter gjeldende rett for behandling av personopplysninger.

Ved motstrid skal Databehandleravtalen gå foran Hovedavtalen og andre kontraktsdokumenter, dersom motstriden tematisk knytter seg til et forhold som angår behandling av personopplysninger. Ved annen motstrid skal Hovedavtalen og andre kontraktsdokumenter gå foran Databehandleravtalen, med mindre annet er spesifikt angitt i Databehandleravtalen (se punkt 6.2).

Avtalepartene er enige om å revidere denne Databehandleravtale i den grad det er nødvendig for å oppfylle nye krav som måtte følge av: EU-forordning 2016/679, rettspraksis, eller lovgivning for øvrig.

Verneting er det samme som for Hovedavtalen. Dersom Hovedavtalen ikke har angitt verneting, er verneting den Behandlingsansvarliges alminnelige verneting.

Signaturer

Denne Databehandleravtalen er signert i to – 2 – eksemplar, en til hver av partene. Bilag 1 og 2 til Databehandleravtalen skal signeres tilsvarende.

Dato: Dato:

For Databehandler For Behandlingsansvarlig

______________________ __________________________

Navn: Navn:

Tittel: Tittel:

13 av 15

Document Metadata

Table of Contents

DATABEHANDLERAVTALE

Vurdere egnet sikkerhetsnivå

Avtalefestet taushetsplikt

Avvik

Bistand ved henvendelser fra de registrerte

Personopplysninger skal behandles i EU/EØS, eller i sikker tredjestat

Dokumentasjon av sikkerhetstiltak, internkontroll mm.

Document Metadata