Databehandleravtale inngått mellom <Navn på virksomhet> Org.nr. <Organisasjonsnummer> <Adresse> <Postnummer og poststed> heretter kalt «Behandlingsansvarlig» og <Navn på virksomhet> Org.nr. <Organisasjonsnummer> <Adresse> <Postnummer og poststed>...

1.1 Databehandleravtalen fastsetter partenes rettigheter og plikter når Databehandleren behandler personopplysninger på vegne av Behandlingsansvarlig som del av leveransene under Hovedavtalen.

1.2 Databehandleravtalen er inngått med henblikk på å overholde Gjeldende personvernregler og sikre beskyttelse av fysiske personers grunnleggende rettigheter og friheter.

1.4 Ved motstrid mellom Hovedavtalen og Databehandleravtalen, har Databehandleravtalen forrang når det gjelder forhold knyttet til behandling av personopplysninger.

1.5 Ved motstrid mellom den generelle avtaleteksten og bilagene i Databehandleravtalen, har bilagene forrang foran den generelle avtaleteksten.

1.6 Databehandleravtalen har forrang foran Databehandlerens eventuelle egne vilkår når det gjelder behandling av personopplysninger som skjer i henhold til Databehandleravtalen og Hovedavtalen. Databehandleravtalens forrang gjelder også overfor avtaler mellom Databehandleren og dennes Underleverandører eller tredjeparter/samarbeidspartene.

2. Definisjoner

Gjeldende personvernregler: Den til enhver tid gjeldende versjon av EUs personvernforordning (2016/679) ("personvernforordningen"), samt lov om behandling av personopplysninger av 15.06. 2018 (personopplysningsloven) med tilhørende forskrifter mv.

Hovedavtalen: En eller flere avtaler mellom Behandlingsansvarlig og Databehandleren om levering av tjenester som innebærer behandling av personopplysninger. Databehandleravtalen kan gjelde flere underliggende avtaler.

Underleverandør: Annen virksomhet som benyttes av Databehandleren til behandling av personopplysninger under Hovedavtalen.

Tredjeland: Land som ikke er medlem av EU eller EØS.

Øvrige begreper: For personvernbegreper som ikke er definert i Databehandleravtalen gjelder definisjonene i personvernforordningen artikkel 4.

3. Behandlingsansvarliges plikter og rettigheter

Behandlingsansvarlig plikter å sørge for at behandlingen av personopplysninger skjer i samsvar med Gjeldende personvernregler.

Behandlingsansvarlig plikter å sørge for at behandlingen av personopplysninger er formålsbestemt og basert på et gyldig behandlingsgrunnlag.

Behandlingsansvarlig plikter å sørge for at de registrerte mottar nødvendig informasjon om behandlingen av personopplysninger.

Behandlingsansvarlig plikter å sørge for at det er gjennomført tilstrekkelige risikovurderinger.

Behandlingsansvarlig plikter å sørge for at Databehandleren til enhver tid har tilstrekkelige instrukser og informasjon til å oppfylle sine plikter i henhold til Databehandleravtalen.

Behandlingsansvarlig har rett og plikt til å bestemme hvilke hjelpemidler som skal brukes i behandlingen.

4. Behandlingsansvarliges instrukser til Databehandleren

4.1 Databehandleren skal behandle personopplysninger i samsvar med Gjeldende personvernregler og Behandlingsansvarliges dokumenterte instrukser. Hvis annen behandling er nødvendig for å oppfylle forpliktelser som Databehandleren er underlagt i henhold til gjeldende rett, skal Databehandleren underrette Behandlingsansvarlig så langt det er tillatt ved lov.

4.2 Behandlingsansvarlig sine instrukser fremgår av Databehandleravtalen. Databehandleren skal omgående underrette Behandlingsansvarlig dersom Databehandleren mener at instruksene er i strid med Gjeldende personvernregler, jf. personvernforordningen artikkel 28 nr. 3 andre ledd.

4.3 Eventuelle endringer i instrukser skal varsles til Databehandleren gjennom oppdatering av Databehandleravtalen og loggføring av endringer i Bilag D, og skal implementeres av Databehandler innen det tidspunkt Partene avtaler, eller om ingen konkret frist er avtalt, innen rimelig tid.

Databehandleren kan kreve at Behandlingsansvarlig dekker dokumenterte kostander som påløper i forbindelse med implementeringen av slike endringer eller forholdsmessig justering av vederlaget under Hovedavtalen, dersom den endrede instruksen innebærer løpende ekstra kostander for Databehandleren. Det samme gjelder merkostnader som følge av endringer av Gjeldende personvernregler som gjelder Behandlingsansvarliges virksomhet.

5. Konfidensialitet og taushetsplikt

5.1 Databehandleren kan kun gi tilgang til personopplysninger som behandles på Behandlingsansvarlige sine vegne til personer som er underlagt Databehandlerens instruksjonsmyndighet.

5.2 Databehandleren kan kun gi tilgang til personopplysningene til personer som trenger tilgang til personopplysninger for at Databehandleren skal kunne oppfylle sine forpliktelser etter Hovedavtalen, Databehandleravtalen og gjeldende rett. Tilgangen til personopplysningene skal gjennomgås forløpende, og den skal stenges dersom den ikke lenger er nødvendig.

5.3 Databehandleren skal sikre at personer som behandler personopplysningene er underlagt taushetsplikt gjennom avtale eller lov. Taushetsplikten skal bestå også etter avtalens og/eller ansettelsesforholdets opphør.

5.4 Databehandleren skal på anmodning fra Behandlingsansvarlig kunne dokumenterte hvem som har tilgang til personopplysningene og at personene er underlagt taushetsplikt gjennom avtale eller lov.

5.5 Ved opphør av Databehandleravtalen plikter Databehandleren å frata tilganger fra personell som har tilgang til personopplysninger som behandles under Databehandleravtalen.

6. Bistand til den Behandlingsansvarlige

6.1 Idet det tas hensyn til behandlingens art og i den grad det er mulig, og ved hjelp av egnende tekniske og organisatoriske tiltak, skal Databehandleren bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III.

6.2 Databehandleren skal uten ugrunnet opphold videresende alle anmodninger som den registrerte eventuelt inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III, til Behandlingsansvarlig. Slike anmodninger kan kun besvares av Databehandleren når dette er skriftlig godkjent av Behandlingsansvarlig.

6.3 Databehandleren skal, idet det tas hensyn til behandlingens art og den informasjon som er tilgjengelig for Databehandleren, bistå Behandlingsansvarlig med å overholde kravene i personvernforordningen artikkel 32-36, herunder:

Behandlingsansvarlig sin forpliktelse til å vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene.
Behandlingsansvarlig sin forpliktelse ved brudd på personopplysningssikkerheten til uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet på personopplysningssikkerheten til Datatilsynet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter.
Behandlingsansvarlige sin forpliktelse til uten ugrunnet opphold å underrette den registrerte om bruddet på personopplysningssikkerheten når det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter.
Behandlingsansvarlig sin forpliktelse til, før behandlingen igangsettes, å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for fysiske personers rettigheter og friheter (vurdering av personvernkonsekvenser).
Behandlingsansvarlig sin forpliktelse til å rådføre seg med Datatilsynet før behandlingen, dersom en vurdering av personvernkonsekvenser tilsier at behandlingen vil medføre en høy risiko dersom Behandlingsansvarlig ikke treffer tiltak for å redusere risikoen.

6.4 Behandlingsansvarlig kan fastsette nærmere instrukser om hvilken bistand Databehandleren skal gi i Databehandleravtalens Bilag C.

7. Sikkerhet ved behandlingen

7.1 Databehandleren skal iverksette egnede tekniske og organisatoriske tiltak for å oppnå et
tilfredsstillende sikkerhetsnivå sett hen til behandlingens karakter og omfang, den tekniske utviklingen, implementeringskostnader og aktuelle risikoer for fysiske personers rettigheter og friheter. Databehandleren skal som minimum iverksette de tiltak som er spesifisert i Databehandleravtalens Bilag C.

7.2 Databehandleren skal foreta risikovurderinger for å sikre at et egnet sikkerhetsnivå opprettholdes til enhver tid. Databehandleren skal minimum årlig og ved større endringer analysere og vurdere sikkerhetstiltakene, særlig med hensyn til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i systemene hvor personopplysninger behandles, samt evne til å raskt gjenopprette tilgjengeligheten av personopplysninger ved hendelser.

7.3 Databehandleren skal dokumentere risikovurderingen og sikkerhetstiltakene, og gjøre dem tilgjengelig for Behandlingsansvarlig på forespørsel, samt gi adgang til slik revisjon som er avtalt mellom partene, jf. Databehandleravtalen punkt 12 og Bilag C. Databehandleren skal gi tilgang til annen relevant informasjon for Behandlingsansvarlig, for å bistå sistnevnte med overholdelse av pliktene etter personvernforordningen artikkel 32.

8. Underretning om brudd på personopplysningssikkerheten

8.1 Databehandleren skal uten ugrunnet opphold skriftlig underrette Behandlingsansvarlig om eventuelle brudd på personopplysningssikkerheten, samt gi slik bistand og informasjon som er nødvendig for at Behandlingsansvarlig skal kunne melde bruddet til Datatilsynet i tråd med Gjeldende personvernregelverk.

8.2 Underretning etter punkt 8.1 skal meldes til Behandlingsansvarlige sitt kontaktpunkt i henhold til Databehandleravtalen punkt 17 og skal:

Beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt.
Inneholde navn på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes.
Beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten.
Beskrive de tiltak som Databehandleren har truffet og/eller foreslår truffet for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

Informasjonen kan, i den grad det er nødvendig, gis trinnvis uten ytterligere ugrunnet opphold.

8.3 Databehandleren plikter å gjennomføre alle de tiltak som med rimelighet kan kreves for å utbedre og unngå tilsvarende brudd på personopplysningssikkerheten. Databehandleren skal, så langt det er mulig, rådføre seg med Behandlingsansvarlig om de tiltak som skal gjennomføres, herunder vurdere Behandlingsansvarlig sine forslag til tiltak.

8.4 Behandlingsansvarlig er ansvarlig for å underrette Datatilsynet og de berørte registrerte om bruddet på personopplysningssikkerheten i tråd med Gjeldende personvernregler. Databehandleren skal ikke informere tredjeparter om bruddet på personopplysningssikkerheten, med mindre noe annet er påkrevd etter gjeldende rett eller det uttrykkelig følger av skriftlig instruks fra Behandlingsansvarlig.

9. Bruk av Underleverandører

9.1 Databehandleren kan bare bruke Underleverandører som Behandlingsansvarlig på forhånd har godkjent skriftlig. Databehandleren skal be om slik godkjennelse minst <oppgi tidsperiode> før den aktuelle Underleverandøren engasjeres. Listen over Underleverandører som den Behandlingsansvarlige har godkjent, fremgår av Bilag B.

9.2 Dersom Databehandleren engasjerer en Underleverandør for å utføre behandlingsaktiviteter på vegne av Behandlingsansvarlig, plikter Databehandleren å inngå skriftlig avtale med Underleverandør som pålegger denne tilsvarende forpliktelser med hensyn til vern av personopplysninger som Databehandleren selv er underlagt etter denne Databehandleravtalen.

9.3 Databehandleren skal kun engasjere Underleverandører som sikrer at behandlingen oppfyller kravene etter Gjeldende personvernregler. Databehandleren skal gjennomføre kontroller av Underleverandører for å verifisere at tilfredsstillende tiltak er iverksatt. Databehandleren skal på forespørsel kunne fremlegge rapporter fra slike kontroller for Behandlingsansvarlig.

9.4 Dersom Underleverandør ikke oppfyller sine forpliktelser etter Gjeldende personvernregler med hensyn til vern av personopplysninger, skal Databehandleren overfor Behandlingsansvarlig være fullt ut ansvarlig, på samme måte som om Databehandleren selv stod for behandlingen.

9.5 Databehandleren plikter å forelegge avtaler med Underleverandører for Behandlingsansvarlig når disse er inngått og på forespørsel fra Behandlingsansvarlig. Dette gjelder likevel bare de delene av avtalen som er relevant for behandlingen av personopplysninger og med de begrensinger som eventuelt måtte følge av lov eller forskrift. Rent kommersielle vilkår kan uansett ikke kreves fremlagt.

9.6 Avtale mellom Databehandleren og Underleverandør skal sikre at Behandlingsansvarlig har rett til å håndheve rettigheter i henhold til denne Databehandleravtalen overfor Underleverandør dersom Databehandleren går konkurs.

10. Overføring til Tredjeland og internasjonale organisasjoner

10.1 Overføring av personopplysninger til Tredjeland eller internasjonale organisasjoner kan kun finne sted dersom vilkårene i personvernforordningen kapittel V er oppfylt.

Ved overføring av personopplysninger mellom Partene skal det fremlegges dokumentasjon på, eller henvisning til dokumentasjon på etterlevelse av de forpliktelser som er pålagt i henhold til overføringsgrunnlaget og Gjeldende personvernregler. Dokumentasjon eller henvisning til dokumentasjon på etterlevelse angis i Bilag A punkt A.6.

10.2 Databehandleren kan kun overføre personopplysninger til Tredjeland eller internasjonale organisasjoner etter skriftlig godkjenning fra Behandlingsansvarlig, og slik overføring skal alltid skje i overensstemmelse med Gjeldende personvernregler.

10.3 Som overføring av personopplysninger regnes blant annet å:

behandle personopplysningene i datasentre o.l. som er lokalisert i et Tredjeland,
delegere behandling av personopplysninger til Underleverandør i et Tredjeland,
utlevere personopplysningene til en Behandlingsansvarlig i Tredjeland eller i en internasjonal organisasjon, eller
gi personell i Tredjeland tilgang til personopplysninger som befinner seg innenfor EU/EØS (ved fjerntilgang).

10.4 Databehandleren kan likevel overføre personopplysninger til Tredjeland eller internasjonale organisasjoner dersom dette kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett. I slike tilfeller skal Databehandleren underrette Behandlingsansvarlig så langt det er tillat ved lov.

10.5 Dersom en overføring av personopplysninger til et Tredjeland eller en internasjonal organisasjon finner sted innenfor rammene av denne Databehandleravtalen, skal følgende være inkludert i Databehandleravtalen Bilag B:

Behandlingsansvarliges skriftlige godkjennelse når det gjelder overføring av personopplysninger til Tredjeland eller internasjonale organisasjoner,
overføringsgrunnlaget i personvernforordningen kapittel V som overføringen er basert på, og
dokumentasjon eller henvisning til dokumentasjon på etterlevelse av de forpliktelser som er pålagt i henhold til overføringsgrunnlaget og Gjeldende personvernregler.

11. Xxxxxxxx og tilbakelevering av opplysninger

11.1 Ved opphør av Databehandleravtalen plikter Databehandleren å slette eller tilbakelevere og deretter slette alle personopplysninger som behandles på vegne av Behandlingsansvarlig under denne avtalen i samsvar med Bilag C punkt C.7. Dette gjelder også eventuelle sikkerhetskopier.

11.2 Behandlingsansvarlig bestemmer hvordan en eventuell tilbakelevering av personopplysninger skal skje. Behandlingsansvarlig kan kreve at tilbakelevering skjer på et strukturert og alminnelig maskinlesbart format. Behandlingsansvarlig skal dekke Databehandlerens dokumenterte kostnader til tilbakelevering, med mindre dette er inkludert i vederlaget under Hovedavtalen.

11.3 Hvis det skal benyttes delt infrastruktur eller backup der direkte sletting ikke er teknisk mulig, skal Databehandleren sørge for at personopplysningene gjøres utilgjengelige inntil de er overskrevet.

11.4 Databehandleren skal bekrefte skriftlig overfor Behandlingsansvarlig at sletting eller utilgjengeliggjøring er foretatt og skal på forespørsel dokumentere hvordan det er gjennomført.

11.5 Ved opphør av Databehandleravtalen skal Databehandleren tilrettelegge for og medvirke til overføring av Behandlingsansvarlig sine data i overgangen til en eventuell ny løsning eller leverandør.

11.6 Nærmere spesifisering av avtalevilkår om sletting og tilbakelevering fremgår av Bilag C.

12. Revisjon

12.1 Databehandleren skal på forespørsel gjøre tilgjengelig for Behandlingsansvarlig, all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i personvernforordningen artikkel 28, Gjeldende personvernregler og denne Databehandleravtalen er oppfylt.

12.2 Databehandler skal muliggjøre og bidra ved revisjoner som gjennomføres av eller på oppdrag fra Behandlingsansvarlig. Databehandleren skal også muliggjøre og bidra ved inspeksjoner fra aktuelle tilsynsmyndigheter.

12.3 Behandlingsansvarlig sin revisjon med eventuelle Underleverandører skal skje gjennom Databehandleren med mindre annet er særskilt avtalt.

12.4 Dersom en revisjon avdekker avvik fra forpliktelsene i personvernforordningen artikkel 28, Xxxxxxxxx personvernregler eller Databehandleravtalen, skal Databehandleren så snart som mulig utbedre avviket. Behandlingsansvarlig kan kreve at Databehandleren midlertidig stopper hele eller deler av behandlingen som skjer på vegne av Behandlingsansvarlig, frem til utbedringen er godkjent av Behandlingsansvarlig.

12.5 Hver Part dekker egne kostnader forbundet med årlig revisjon. Hvis en revisjon avdekker vesentlige brudd fra Databehandleren på forpliktelsene etter Xxxxxxxxx personvernregler, personvernforordningen artikkel 28 og/eller Databehandleravtalen, skal Databehandleren likevel dekke Behandlingsansvarlig sine rimelige kostander forbundet med revisjonen.

12.6 Nærmere spesifisering av avtalevilkår om revisjon fremgår av Bilag C.

13. Mislighold og pålegg om stans

13.1 Ved brudd på Databehandleravtalen og/eller Gjeldende personvernregler, kan Behandlingsansvarlig pålegge Databehandleren å stoppe hele eller deler av behandlingen av personopplysninger med øyeblikkelig virkning.

13.2 Dersom Databehandleren ikke overholder sine plikter i henhold til Databehandleravtalen og/eller Gjeldende personvernregler, vil dette anses som mislighold av Hovedavtalen. De plikter, frister, sanksjoner, ansvarsbegrensninger og andre misligholdsbeføyelser som følger av Hovedavtalens regulering av leverandørs mislighold, kommer til anvendelse, med mindre annet er uttrykkelig avtalt mellom Partene i Bilag D.

14. Erstatning

14.1 Behandlingsansvarlig har krav på erstatning for tap som følge av at Databehandleren ikke har overholdt sine forpliktelser i henhold til Databehandleravtalen.

Dette omfatter også Behandlingsansvarlig sin rett til å få tilbakelevert eventuell utbetalt erstatning til den skadelidte ved et solidarisk ansvar, og eventuelt overtredelsesgebyr eller lignende som Behandlingsansvarlig blir pålagt av aktuelle tilsynsmyndigheter og som kan tilbakeføres til forhold på Databehandlerens hånd.

15. Lovvalg og verneting

15.1 Avtalen er underlagt norsk rett. Tvister løses i samsvar med Hovedavtalens bestemmelser, herunder eventuelle bestemmelser om verneting.

16. Ikrafttredelse og opphør

16.1 Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig kan begynne når Databehandleravtalen har trådt i kraft. Databehandleravtalen trer i kraft når den er signert av Partene.

16.2 Databehandleravtalen gjelder så lenge Databehandleren behandler personopplysninger på vegne av Behandlingsansvarlig. Databehandleravtalen gjelder også for eventuelle personopplysninger som måtte finnes hos Databehandleren eller noen av dennes Underleverandører etter Hovedavtalens opphør.

16.3 Reglene om oppsigelse i Hovedavtalen gjelder tilsvarende for Databehandleravtalen, så langt det passer. Databehandleravtalen kan ikke sies opp så lenge Hovedavtalen består med mindre den avløses av en ny databehandleravtale.

16.4 Partene har rett til å kreve at Databehandleravtalen reforhandles dersom det skjer endringer i Gjeldende personvernregler som får betydning for avtaleforholdet mellom Partene.

16.5 Underskrift

På vegne av Behandlingsansvarlig:

Navn <Navn>
Stilling <Stilling>
Telefonnummer <Telefonnummer>
E-postadresse <E-postadresse>
Dato <Dato>
Underskrift <Underskrift>

På vegne av Databehandleren:

Navn <Navn>
Stilling <Stilling>
Telefonnummer <Telefonnummer>
E-postadresse <E-postadresse>
Dato <Dato>
Underskrift <Underskrift>

17. Kontaktpersoner hos Behandlingsansvarlig og Databehandleren

17.1 Partene kan kontakte hverandre via nedenstående kontaktpersoner.

Kontaktperson Behandlingsansvarlig:

Navn <Navn>
Stilling <Stilling>
Telefonnummer <Telefonnummer>
E-postadresse <E-postadresse>

Kontaktperson Databehandleren:

Navn <Navn>
Stilling <Stilling>
Telefonnummer <Telefonnummer>
E-postadresse <E-postadresse>

Kontaktperson v/ sikkerhetsbrudd (behandlingsansvarlig):

Navn <Navn>
Stilling Rådgiver informasjonssikkerhet- og personvern
Telefonnummer x00 00 00 00 00
E-postadresse xxxxxxxxxx@xxxx.xxxxx.xx

17.2 Partene forplikter seg til å orientere hverandre løpende om endringer som gjelder kontaktpersoner.

Bilag A: Opplysninger om behandlingen

A.1 Formålet med behandlingen av personopplysninger

Formålet med Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig er:

A.2 Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig (behandlingens art):

A.3 Behandlingen omfatter følgende typer av personopplysninger om den registrerte:

☐	Ordinære personopplysninger <Angi type>
☐	Særlige kategorier av personopplysninger <Angi type>
☐	Andre personopplysninger med særlig behov for beskyttelse <Angi type>

A.4 Behandlingen omfatter følgende kategorier av registrerte:

A.5 Behandlingen har følgende varighet:

☐	Behandlingen er ikke tidsbegrenset, og varer frem til opphør av Hovedavtalen
☐	Behandlingen er tidsbegrenset, og gjelder frem til <dato eller kriterium for avslutning>

A.6 Overføring av personopplysninger etter personvernforordningen kapittel V:

☐	Behandlingen av personopplysninger medfører overføring av personopplysninger til Tredjeland eller internasjonal organisasjon etter personvernforordningen kapittel V
☐	Behandlingen av personopplysninger medfører ikke overføring til Tredjeland eller internasjonal organisasjon etter personvernforordningen kapittel V

Overføringsgrunnlaget etter personvernforordningen kapittel V for overføring av personopplysninger mellom Behandlingsansvarlig og Databehandler er: <Sett inn overføringsgrunnlaget>

I henhold til punkt 10.1 må Partene fremlegge dokumentasjon på, eller henvisning til dokumentasjon på etterlevelse av de forpliktelser som er pålagt i henhold til overføringsgrunnlaget og Xxxxxxxxx personvernregler.

Bilag B: Betingelser for Databehandleren sin bruk og endring av eventuelle Underleverandører

B.1 Godkjente Underleverandører

Behandlingsansvarlig har godkjent bruk av følgende Underleverandører:

Navn

Xxx.xx.

Adresse

Beskrivelse av behandlingen

Behandlingssted (lokasjon)

Overføringsgrunnlag

Kontaktinformasjon

Særlige kategorier av personopplysninger

<Navn>

<xxx.xx>

Kontaktperson:

Telefonnummer:

E-postadresse:

B.2 Dokumentasjon

Databehandleren må fremlegge dokumentasjon på, eller henvisning til dokumentasjon på at Godkjente Underleverandørers etterlever de forpliktelser som er pålagt i henhold til overføringsgrunnlaget og Gjeldende personvernregler.

B.3 Endring av Underleverandører

Databehandleren kan ikke, uten spesifikk skriftlig godkjenning, benytte en Underleverandør til en annen behandlingsaktivitet enn den som er avtalt for vedkommende eller bruke en annen Underleverandør til den behandlingsaktiviteten som er beskrevet i skjemaet i punkt B1. Dersom Databehandler ønsker å gjøre nevnte endringer, gjelder tidspunkt for melding av endringer i punkt 9.1.

Bilag C: Instruks for behandling av personopplysninger

C.1 Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlige skjer ved at Databehandleren utfører følgende:

C.2 Behandlingens omfang og formål

C.2.1 Personopplysningene skal utelukkende behandles i det omfang og for de formål som er beskrevet i Hovedavtalen og Databehandleravtalen.

C.2.2 Databehandleren har ikke råderett over personopplysningene utover det som er nødvendig for å oppfylle sine forpliktelser etter Databehandleravtalen, og kan ikke behandle disse til egne formål.

C.3 Sikkerhet ved behandlingen (informasjonssikkerhet)

C.3.1 Angivelse av sikkerhetsnivå

Ut fra en vurdering av omfanget av personopplysningene som blir behandlet, typen personopplysninger som blir behandlet og arten av behandlingen, er det, basert på en konkret risikovurdering, fastsatt at behandlingen:

☐ Krever et høyt sikkerhetsnivå

☐ Ikke krever et høyt sikkerhetsnivå

C.3.2 Styringssystem for informasjonssikkerhet

Databehandleren skal ha et egnet styringssystem for informasjonssikkerhet. Databehandleren skal etablere og forvalte tilstrekkelig sikkerhet for å ivareta informasjonssikkerheten for behandlingen av personopplysninger, herunder:

☐

Sikkerhetskrav som beskrevet i Hovedavtalen:
<Sett inn henvisning til konkret regulering i Hovedavtalen>

☐

Sikkerhetskrav som beskrevet nedenfor:

C.4 Innebygd personvern og personvern som standardinnstilling

Databehandleren skal ivareta kravene til innebygd personvern og personvern som standardinnstilling i løsninger/tjenester som Databehandleren utvikler/benytter i behandlingen av personopplysninger.

C.5 Dokumentasjon

Databehandleren skal dokumentere de rutiner og tiltak som er iverksatt for å oppfylle kravene som fremkommer av Gjeldende personvernregler og Databehandleravtalen. Slik dokumentasjon skal oppbevares og ajourholdes så lenge Databehandleravtalen består, og gjøres tilgjengelig for Behandlingsansvarlig på forespørsel.

C.6 Lokasjon for behandling

Med lokasjon menes:

Sted det er mulig å få tilgang til personopplysningene fra (aksessering)
Sted hvor personopplysningene behandles

Behandlingen av personopplysninger som omfattes av Databehandleravtalen kan ikke uten skriftlig godkjenning finne sted på andre lokasjoner enn de(n) som er godkjent for den aktuelle Underleverandør i henhold til Bilag B punkt B.1.

C.7 Sletting og tilbakelevering av personopplysninger

Partene har avtalt følgende om sletting/tilbakelevering av personopplysninger:

☐

Alle personopplysninger som Databehandleren behandler på vegne av Behandlingsansvarlig skal slettes uten ugrunnet opphold og senest 90 kalenderdager etter opphør av Hovedavtalen.

☐

Alle personopplysninger som Databehandleren behandler på vegne av Behandlingsansvarlig skal tilbakeleveres ved opphør av Hovedavtalen.

Etter tilbakelevering har skjedd, plikter Databehandleren å slette alle personopplysninger som forvaltes på vegne av Behandlingsansvarlig innen 30 kalenderdager.

Tilbakelevering skal skje på følgende måte:

☐

C.8 Rutiner for revisjon

For å kontrollere etterlevelse av Xxxxxxxxx personvernregler og Databehandleravtalen er det avtalt følgende:

☐	Behandlingsansvarlig har rett til å utføre revisjon på Databehandlerens forretningssted for å verifisere Databehandlerens etterlevelse av sine plikter i henhold til denne Databehandleravtalen eller Gjeldende personvernregler. Slike revisjoner skal: Gjennomføres etter rimelig forhåndsvarsel og maksimalt én gang i året, med mindre sikkerhetsbrudd eller andre særlige forhold gir grunn for hyppigere revisjoner. Foregå innenfor normal arbeidstid og ikke forstyrre Databehandlerens virksomhet unødvendig. Utføres av ansatte hos Behandlingsansvarlig eller av tredjepart som er godkjent av Partene og som er underlagt taushetsplikt Databehandleren plikter å stille til rådighet de ressurser som med rimelighet kan kreves for å gjennomføre revisjonen. Behandlingsansvarlig skal dekke kostander for eventuelle tredjeparter som benyttes til å gjennomføre revisjonen. For øvrig dekker Partene sine egne kostander ved gjennomføring av revisjonen. Dersom revisjonen avdekker vesentlige brudd på Databehandlerens forpliktelser etter Xxxxxxxxx personvernregler eller Databehandleravtalen, skal Databehandleren dekke Behandlingsansvarlig sine rimelige kostnader ved revisjonen.
☐	Databehandleren skal benytte ekstern revisor til å attestere at sikkerhetstiltak er etablert og virker etter hensikten. Slik revisjon skal: Gjennomføres én gang årlig Utføres i henhold til anerkjente attestasjonsstandarder, for eksempel ISAE 3402 Utføres av en uavhengig tredjepart med tilstrekkelig kunnskap og erfaring Når ekstern revisor har ferdigstilt revisjonsrapport, skal den oversendes Behandlingsansvarlig. Databehandleren skal i tillegg gi slik informasjon og bistand som er nødvendig for at Behandlingsansvarlig kan etterleve sine forpliktelser etter Xxxxxxxxx personvernregler.
☐	For standardiserte tredjepartstjenester som leveres av Underleverandør kan det fremlegges tredjepartsrevisjon, forutsatt at revisjonen er gjennomført etter alminnelige anerkjente prinsipper og av sertifisert revisor.
☐	<Sett inn eventuelle andre avtalte rutiner for revisjon>

Bilag D: Endringer i Databehandleravtalen etter avtaleinngåelsen

D.1 Endringer etter avtaleinngåelsen

Ved endringer i avtaleteksten etter inngåelsen av Databehandleravtalen skal Partene loggføre dette i skjemaet under.

Kort beskrivelse av hva som er endret i Databehandleravtalen

Godkjent av

Dato for signering

Endring gjelder fra

For Behandlingsansvarlig:

Navn: <Sett inn navn>

Signatur:

For Databehandler:

Navn: <Sett inn navn>

Signatur:

Partene er i fellesskap ansvarlig for å holde oversikten oppdatert. Unntak fra denne ordningen kan særskilt avtales mellom partene.

Document Metadata

Table of Contents

Databehandleravtale inngått mellom <Navn på virksomhet> Org.nr. <Organisasjonsnummer> <Adresse> <Postnummer og poststed> heretter kalt «Behandlingsansvarlig» og <Navn på virksomhet> Org.nr. <Organisasjonsnummer> <Adresse> <Postnummer og poststed>...

Document Metadata