Databehandleravtale

Databehandleravtale

Bakgrunn og hensikt

Sist oppdatert 25.06.2018

Avtalen regulerer Inprog AS (databehandler, heretter kalt Inprog / tjenesteleverandør) sin behandling av personopplysninger på vegne av Kunden (behandlingsansvarlig), herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, og rettigheter og plikter etter Personopplysningsloven (Lov av 14. april 2000 nr. 31 om behandling av personopplysninger og forskrift av 15. desember 2000 nr. 1265, Personopplysningsforskriften) og Personvernforordningen (Forordning 2016/679 - GDPR) som trer i kraft 1. juli 2018 (Norge).

Avtalen skal sikre at personopplysninger ikke brukes urettmessig eller kommer uberettigede i hende.

Denne avtalen omfatter alle personopplysninger som blir behandlet ved bruk av Inprog sine tjenester, inkludert underleverandører.

Formål

Formålet med behandlingen er å levere tjenesten i tråd med Tjenesteavtalen, og utføre kundeservice på forespørsel fra Kunden. Inprog kan ikke behandle personopplysninger til andre formål enn dette.

Behandling av personopplysninger skal skje i tråd med gjeldende lover og forskrifter, denne avtalen, og Personvernerklæringen.

Eierskap og behandlingsansvar

Kunden er behandlingsansvarlig for data som lagres, og behandles, ved bruk av Inprog sine tjenester, og har selv eierskap til, og ansvaret for, disse. Inprog kan ikke under noen omstendigheter tilordnes rollen som behandlingsansvarlig for disse dataene.

Det er kunden som bestemmer formålet med sin behandling av personopplysninger og hvilke hjelpemidler som skal brukes, og som har ansvaret for at personopplysninger innsamles og behandles i henhold til de krav som lover, regler og forskrifter sier, inkludert type samtykke og/eller hvilke rettslige grunnlag for innsamling av personopplysninger uten samtykke som benyttes.

Inprog har allikevel full råderett over disse data og kan uten varsel flytte, endre eller slette data der dette er nødvendig eller hensiktsmessig som en følge av f.eks. endringer i funksjonalitet, oppdateringer, skadelige vedlegg, ulovlig innhold, pornografisk innhold, innhold som strider mot opphavsrettigheter, endring eller opphør av avtale(r) mellom tjenesteleverandør og foretak, etc.

Inprog sine plikter

Inprog skal kun behandle personopplysninger etter kundens skriftlige instruksjoner foruten den behandling og oppbevaring av persondata som er innebygget i systemer Inprog leverer.

Inprog plikter å gi Kunden tilgang til dokumentasjon, og bistå, slik at Kunden kan ivareta sitt eget ansvar etter lov og forskrift når det gjelder behandling av persondata i systemer levert av Inprog. Kunden har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til formålet. Inprog plikter å gi nødvendig bistand til dette.

Inprog plikter å bistå den Behandlingsansvarlige med å etterleve kravene til å etablere et egnet sikkerhetsnivå, herunder gjennomføre nødvendige tiltak som å varsle om sikkerhetsbrudd, vurdere personvernkonsekvenser og gjennomføre forhåndsdrøftinger på kundens forespørsel.

Inprog plikter å utnevne et Personvernombud, eller annet kontaktpunkt, hvis ansvar er å fungere som kontaktpunkt for kunden, kontrollere og koordinere samsvar med denne avtalen i sin helhet, og påse at alle involverte ansatte og 3. parter er bevisst sitt ansvar for å beskytte personopplysninger i samsvar med lov, og denne avtalen.

Detaljer for kontaktpunktet skal til enhver tid være tilgjengelig på: xxxxx://xxx.Xxxxxx.xx/xxxxxxxxxx

Inprog forbeholder seg retten til å nekte behandling av personopplysninger som bryter med loven, og plikter å varsle kunden om dette.

Taushetsplikt

Inprog har taushetsplikt om dokumentasjon og personopplysninger og andre data som behandles ved hjelp av Inprog sine tjenester. Denne bestemmelsen gjelder også etter avtalens opphør.

Bruk av Underleverandører

Underleverandører er enhver tredjepart som behandler data på oppdrag fra Inprog. Inprog plikter å vedlikeholde en liste over navn og lokasjon for alle Underleverandører som er involvert ved behandling av personopplysninger. Se xxxxx://xxx.Xxxxxx.xx/xxxxxxxxxxxxxxxxxxx/

Det er kun tredjeparter på denne listen som er underleverandører.

Kunden aksepterer at Inprog kan benytte underleverandører både ved levering av tjenesten og behandling av personopplysninger, forutsatt at de behandler personopplysninger i tråd med denne avtalen.

Inprog er ansvarlig overfor kunden for enhver form for behandling underleverandører utfører.

Inprog plikter å oppdatere listen med underleverandører senest 30 dager før en underleverandør begynner behandling av personopplysninger med mindre en annen avtale med kunden foreligger.

I de tilfeller kunden motsetter seg bruk av en ny underleverandør skal Inprog underrettes omgående og uten opphold. Inprog vil enten (1) avvikle bruk av underleverandøren, (2) la være å benytte underleverandøren for kunden sine personopplysninger, eller (3) avslutte avtaleforholdet med kunden.

Ved (1) og (2) fortsetter avtalen å løpe uten endringer. Ved (3) har kunden rett på å meddele opphør umiddelbart, allerede innbetalte beløp for inneværende avtaleperiode(r) vil bli refundert.

Tjenestene Inprog leverer tillater integrasjon mot tredjeparts tjenester, og kan inneholde ferdige integrasjoner, linker og andre interaksjoner med tredjeparts tjenester, og som ikke er underleverandører. All bruk av tredjeparts tjenester, klargjort i tjenestene Inprog leverer eller ikke, som ikke tilhører underleverandører, inkludert, men ikke begrenset til lagring, databehandling og datautveksling, er alene regulert av avtalebetingelsene og personvernbetingelsene til tredjepart.

Inprog kan ikke under noen omstendigheter holdes ansvarlig ved bruk av slike tjenester, og kunden skal holde Inprog skadesløs i ethvert forhold som måtte oppstå som følge av slik bruk.

Internasjonal dataeksport

Kunden aksepterer at Inprog og underleverandører kan behandle personopplysninger utenfor Norge, EU og Sveits. Dette gjelder også hvor kunden har avtalt at datalagring skal finne sted i Norge, EU, eller Sveits, men bare dersom behandling utenfor EU er nødvendig for å utføre kundeservice eller andre tjenester på forespørsel fra kunden. Behandling av personopplysninger utenfor Norge, EU eller Sveits, skal skje i tråd med gjeldende lover og forskrifter, Tjenesteavtalen, Personvernerklæringen, og ellers det som er nødvendig for å levere tjenesten samt utføre kundestøtte på forespørsel fra kunden.

Kunden sine plikter

Det er kunden sitt ansvar å vedlikeholde en oversikt over hvilke personopplysninger Inprog behandler på vegne av kunden.

Det er kunden sitt ansvar å avgi skriftlige instruksjoner om hvordan personopplysninger skal behandles. Nødvendige tilganger skal kun oppgis på forespørsel. Det er kunden sitt ansvar å forvalte tilgangene som oppgis, og tilgangene skal straks fjernes når behovet ikke lenger er tilstede.

Kunden er inneforstått med at tjenestene til Inprog i utgangspunktet ikke inkluderer sikkerhetstiltak som er nødvendig for behandling av personopplysninger om barn, sensitive eller konfidensielle personopplysninger, som for eksempel kryptering eller fysisk separasjon, med mindre dette fremgår eksplisitt av produktbeskrivelse og/eller kontrakt. Det er kunden sitt ansvar å implementere hensiktsmessige sikkerhetstiltak for personopplysninger som behandles ved hjelp av Inprog sine tjenester.

Kunden garanterer at all behandling av personopplysninger som skjer i forbindelse med denne avtalen er, og fortsetter å være, i tråd med alle relevante personvernsbestemmelser, til enhver tid gjeldende lov- og forskriftsregulering, i henhold til eventuelle vedtak fattet av offentlige myndigheter i Norge og EU, og i tråd med denne avtalen.

Kunden plikter å informere sine brukere om bruken av databehandlere, inkludert Inprog, og at personopplysninger kan bli behandlet utenfor Norge, EU, eller Sveits.

Kunden skal sende inn forespørsler som medfører behandling av personopplysninger i god tid før behandlingen skal skje, og plikter å besvare henvendelser fra Inprog uten unødig opphold.

Behandling av personopplysninger i tråd med kundens personvernsertifiseringer kan kun skje etter særskilt avtale.

Retur og destruksjon av personopplysninger

Kunden må selv eksportere data og personopplysninger ved opphør, og før siste avtaleperiode løper ut, alternativt skriftlig be Inprog om bistand til dette. Eksport eller anonymisering skal skje ved hjelp av grensesnittene som er tilgjengelig på Inprog sine tjenester. Kunden plikter å gjøre seg kjent med disse grensesnittene. Inprog plikter å bistå kunden med denne eksporten på forespørsel.

Eksport av data utover det Inprog sine grensesnitt muliggjør, inkludert men ikke begrenset til bruk av andre eksportformater eller eksportmetoder, skal skje for kunden sin regning, og faktureres etter medgått tid og til gjeldende timepriser.

Kunden aksepterer at Inprog kan slette alle data ved opphør, inkludert eventuelle sikkerhetskopier, etter at siste avtaleperiode har løpt ut, og at data vil bli slettet etter de retningslinjer og prosedyrer som Inprog til enhver tid fastsetter.

Inprog vil ikke innestå for tap av data som skyldes at eksport av data ikke er gjennomført før utløpsdato for tjenesten(e).

Alle backuper foretatt av Inprog har en ca levetid på 100 dager.

Sikkerhet

Inprog plikter å implementere og vedlikeholde nødvendige tekniske og organisatoriske tiltak som stilles etter til enhver tid gjeldende lover, regler og forskrifter, for å beskytte mot tap av personopplysninger som skyldes utilsiktet eller ulovlig destruksjon, utilsiktet tap eller endring, urettmessig formidling eller tilgang (avvik), så langt det er praktisk gjennomførbart og under Inprog sin kontroll. Slike tiltak skal hensynta tilgjengelig teknologi, og kostnaden ved implementering for å oppnå et hensiktsmessig sikkerhetsnivå sett i forhold til behandlingen av personopplysningene, og naturen av dataene som er lagret.

Inprog plikter å bistå kunden i å gjennomføre jevnlige sikkerhetsrevisjoner opp mot tjenester levert av Inprog. Kunden plikter å varsle Inprog om sikkerhetsrevisjoner og systemtester, inkludert, men ikke begrenset til automatiske prober, penetrasjontester og portscans, i god tid. Ikke-varslede systemtester vil medføre brudd på avtalebetingelsene og kan medføre opphør av alle tjenester mellom kunde og Inprog.

Fysisk adgangskontroll

Inprog skal implementere nødvendige tiltak, selv eller ved bruk av en tredjepart, for å forhindre fysisk tilgang til persondata. Dette inkluderer, men er ikke begrenset til bruk av sikkerhetspersonell, og bruk av sikre bygninger og lokasjoner, for å forhindre uvedkommende fra å få tilgang til personopplysninger.

Systemadgangskontroll

Inprog skal implementere hensiktsmessige tiltak for å forhindre at personopplysninger behandles urettmessig. Disse tiltakene vil variere med behandlingen og inkluderer, men er ikke begrenset til, autentisering med brukernavn og passord, tofaktor autentisering, dokumenterte autorisasjonsprosesser, dokumenterte endringshåndteringsprosesser og logging på flere nivåer.

Overføringskontroll

Inprog skal så langt det er praktisk gjennomførbart implementere hensiktsmessige tiltak for å forsikre om at det er mulig å overføre data til rette vedkommende uten at dataene kan leses, kopieres, endres eller slettes uautorisert under dataoverføringen.

Backup

Backup foretas i tråd med Tjenesteavtalen og/eller Brukeravtale. For tjenester som spesifikt ikke inkluderer backup står kunden selv ansvarlig for å besørge hensiktsmessig backup.

Logisk separasjon

Data fra ulike kunder er logisk separert i Inprog sine systemer for å sikre at personopplysninger som registreres for ulike formål kan behandles hver for seg.

Avvik

Enhver bruk av informasjonssystemer i strid med Inprog sine rutiner, avtalebestemmelser, kundens instrukser, personvernlovgivningen eller GDPR, skal håndteres som et avvik. Inprog skal varsle kunden om avvik så snart Inprog får kunnskap om det, og om nødvendig samarbeide med kunden om å avhjelpe avviket. Xxxxxx har ansvaret for at avviksmelding sendes Datatilsynet.

Varselet til kunden skal som minimum inneholde en beskrivelse av avvikets natur, kontaktinformasjon til kontaktpunkt hos Inprog, en beskrivelse av mulige konsekvenser, og en beskrivelse av tiltak som er iverksatt, eller planlagt iverksatt, for å lukke avviket og begrense konsekvensene.