Databehandleravtale
Databehandleravtale
I henhold til personopplysningslovens § 13, jfr. § 15 og personopplysningsforskriftens kapittel 2.
mellom
BEDRIFTSNAVN (LANDSKODE XXX.XX. (MVA))
behandlingsansvarlig
og
Tempolex AS
(NO 995 415 011 MVA)
databehandler
1. Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.
2. Formål
Formålet med behandlingen er leveranse av nettapplikasjonene på xxx.xxxxxxxx.xx. Tempolex leverer gjennom denne nettapplikasjonen øvingsløsninger for øving på grunnleggende ferdigheter i fagene norsk, matematikk og fremmedspråk. Systemene i nettapplikasjonen lagrer ikke informasjon om brukernes diagnoser eller læreforutsetninger, men registrering av øvingsresultater og bruken av applikasjonene i seg selv antyder lærevansker hos personer, som i all hovedsak er mindreårige. Applikasjonene registrer ikke ferdigheter sammenlignet med en norm, men fremgang hos personen sammenlignet med seg selv.
I tillegg til opplysninger som lagres for drift av servere og sikkerhetssystemer, lagres det navn, skoletilhørighet, øvingsresultater og informasjon som er nødvendig for administrasjon av kontoer og kundeforhold.
Behandlingsansvarlig er ansvarlig for at det finnes behandlingsgrunnlag for opplysningene
Databehandler skal ikke utføre annen behandling av dataene enn det som er nødvendig for formålet beskrevet her.
3. Databehandlers plikter
Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler skal gis rimelig med tid til å rette seg etter endret instruks. Kostnader forbundet med endringer i rutiner eller instruks bæres av behandlingsansvarlig.
Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.
Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Dog ikke på en måte som kan utsette andre kunder av databehandler for risiko eller redusere databehandlers mulighet til å oppfylle sine forpliktelser ovenfor behandlingsansvarlig eller andre. Databehandler plikter å gi nødvendig bistand til dette. Eventuelle kostnader bæres av behandlingsansvarlig.
Databehandler plikter å lagre data omfattet av denne avtalen utelukkende på servere i Norge. Ansatte hos databehandler, eller underleverandører som er fysisk plassert i utlandet kan benyttes til drift av servere og utviklingsoppgaver, forutsatt at de er ansatt i et norsk selskap.
Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.
Databehandler skal bistå behandlingsansvarlig i oppfyllelse av innsynskrav.
Databehandler skal varsle behandlingsansvarlig dersom databehandler oppfatter at en behandlingsinstruks er ulovlig.
Utlevering til tredjeparter, inkludert myndigheter, skal ikke skje uten dom eller lovlig krav fra kompetent myndighet.
4. Bruk av underleverandør
I løpet av 2017 vil Feide bli knyttet til Tempolex som leverandør av autentiseringsløsninger.
Databehandler benytter underleverandøren Copyleft Solutions AS til drift og utvikling av nettapplikasjonene på xxx.xxxxxxxx.xx.
Databehandler står ansvarlig for eventuelle avtalebrudd gjort av underleverandører.
Andre underleverandører tilsvarende Feide kan benyttes uten godkjenning fra behandlingsansvarlig, kun varsel. All annen bruk av underleverandører skal godkjennes av behandlingsansvarlig.
5. Sikkerhet
Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.
Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler, uten ugrunnet opphold, melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.
6. Sikkerhetsrevisjoner
Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner som en del av behandlingen. Rapporter skal være tilgjengelig for behandlingsansvarlig.
I tillegg kan behandlingsansvarlig kreve gjennomføring av utvidede sikkerhetsrevisjoner, gjennomføre stedlig kontroll, gjennomføre stikkprøvekontroll av backup og sikkerhetsrutiner. Ved benyttelse av tredjeparter til kontroll og sikkerhetsrevisjon skal partene i fellesskap bli enige om tredjepart og denne skal underlegges fortrolighetsavtaler. Alle kostnader forbundet med revisjon eller kontroll bæres av behandlingsansvarlig. Databehandler skal varsles i rimelig tid om kontrolltiltak.
7. Avtalens varighet
Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.
Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Avtalen kan sies opp av begge parter med en gjensidig frist på 3 måneder, jf. punkt 8 i denne avtalen.
8. Ved opphør
Ved opphør av denne avtalen plikter databehandler å slette alle data mottatt fra behandlingsansvarlig. Sletting kan skje ved overskriving av partisjoner, og destruering av krypteringsnøkler.
Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.
Sikkerhetskopier kan oppbevares etter avtaleopphør forutsatt at det gjøres rimelige tiltak for å slette disse ved diskrotasjon eller lignende og at behandlingen av sikkerhetskopiene utføres i tråd med denne avtalen.
9. Meddelelser
Meddelelser etter denne avtalen skal sendes skriftlig til: DATABEHANDLERS KONTAKTPERSON og xxxxx.xxxxx@xxxxxxxx.xx
10. Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen.
***
Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt. Sted og dato: ……………………………………………………….
Behandlingsansvarlig Databehandler
………………..……………….. ……..…….…..………………… (underskrift) (underskrift)