DATABEHANDLERAVTALE
DATABEHANDLERAVTALE
Hensikt
Avtalen regulerer NPR (Databehandler) sin behandling av personopplysninger på vegne av Kunden (Behandlingsansvarlig), herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, og rettigheter og plikter etter Personopplysningsloven (Lov av 14. april 2000 nr. 31 om behandling av personopplysninger og forskrift av 15. desember 2000 nr. 1265, Personopplysningsforskriften) og Personvernforordningen (Forordning 2016/679) som trer i kraft 25. mai 2018. Avtalen skal sikre at personopplysninger ikke brukes urettmessig eller kommer uberettigede i hende.
Formål
I forbindelse med at Kunden lagrer og behandler data ved bruk av NPR sine tjenester og produkter vil NPR være ansvarlig for behandling av personopplysninger på vegne av Kunden.
Behandling av personopplysninger skal skje i tråd med gjeldende lover og forskrifter, Tjenesteavtalen, Personvernerklæringen, og ellers som nødvendig for å levere tjenesten, og utføre kundeservice på forespørsel fra Kunden.
Avtalen omfatter alle data som blir lagret ved bruk av NPR sine tjenester, inkludert underleverandører.
Eierskap til dataene
Kunden er behandlingsansvarlig for data som lagres, og behandles, ved bruk av NPR sine tjenester og produkter, og har selv eierskap til, og ansvaret for, disse. NPR kan ikke under noen omstendigheter tilordnes rollen som behandlingsansvarlig for disse dataene.
Det er Kunden som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, og som har ansvaret for at personopplysninger behandles i henhold til de krav som lover, regler og forskrifter oppstiller.
NPR sine plikter
NPR skal behandle personopplysninger etter Kundens skriftlige instruksjoner når dette foreligger. NPR plikter å gi Kunden tilgang til dokumentasjon, og bistå, slik at Kunden kan ivareta sitt eget ansvar etter lov og forskrift. Kunden har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til formålet. NPR plikter å gi nødvendig bistand til dette.
NPR plikter å utnevne en person, hvis ansvar er å fungere som kontaktpunkt for Kunden, kontrollere og koordinere samsvar med denne avtalen i sin helhet, og påse at alle involverte ansatte og 3. parter er bevisst sitt ansvar for å beskytte personopplysninger i samsvar med lov, og denne avtalen.
Detaljer for kontaktpunktet skal til enhver tid være tilgjengelig på: xxxxx://xxx.xxxxxxxxxxx.xx/xxxxxxxxxx
NPR forbeholder seg retten til å nekte behandling av personopplysninger som bryter med loven, og plikter å varsle Kunden om dette.
Taushetsplikt
NPR har taushetsplikt om dokumentasjon og personopplysninger og andre data som er lagret ved hjelp av NPR sine tjenester. Denne bestemmelsen gjelder også etter avtalens opphør.
Bruk av Underleverandører
Underleverandører er enhver tredjepart som behandler data på oppdrag fra NPR. NPR plikter å vedlikeholde en liste over navn og lokasjon for alle Underleverandører som er involvert ved behandling av personopplysninger på: xxxxx://xxx.xxxxxxxxxxx.xx/xxxxxxxxxx
Det er kun tredjeparter på denne listen som er Underleverandører.
Kunden aksepterer at NPR kan benytte Underleverandører både ved levering av tjenesten og behandling av personopplysninger, forutsatt at de behandler personopplysninger i tråd med denne avtalen.
NPR er ansvarlig overfor Xxxxxx for enhver form for behandling Underleverandører utfører. NPR plikter å oppdatere listen med Underleverandører senest 10 dager før en underleverandør begynner behandling av personopplysninger.
Kunden sine plikter
Det er Xxxxxx sitt ansvar å holde oversikt over hvilke personopplysninger NPR behandler på vegne av Xxxxxx.
Det er Xxxxxx sitt ansvar å avgi skriftlige instruksjoner om hvordan personopplysninger skal behandles. Nødvendige tilganger skal kun oppgis på forespørsel. Det er Kunden sitt ansvar å forvalte tilgangene som oppgis, og tilgangene skal straks fjernes når behovet ikke lenger er tilstede. Det er Kunden sitt ansvar å implementere hensiktsmessige sikkerhetstiltak for personopplysninger som behandles ved hjelp av NPR sine tjenester.
Kunden garanterer at all behandling av personopplysninger som skjer i forbindelse med denne avtalen er, og fortsetter å være, i tråd med alle relevante personvernsbestemmelser, til enhver tid gjeldende lov- og forskriftsregulering, i henhold til eventuelle vedtak fattet av offentlige myndigheter i Norge og EU, og i tråd med denne avtalen.
Kunden plikter å informere sine brukere om bruken av databehandlere, inkludert NPR.
Retur og destruksjon av personopplysninger
Kunden må selv eksportere data og personopplysninger ved opphør, og før siste avtaleperiode løper ut. Eksporten skal skje ved hjelp av grensesnittene som er tilgjengelig på NPR sin portal. Kunden plikter å gjøre seg kjent med disse grensesnittene. NPR plikter å bistå Kunden med denne eksporten på forespørsel.
Eksport av data utover det NPR sine grensesnitt muliggjør, inkludert men ikke begrenset til bruk av andre eksportformater eller eksportmetoder, skal skje for Kunden sin regning, og faktureres etter medgått tid og til gjeldende timepriser.
Kunden aksepterer at NPR sletter alle data ved opphør, inkludert eventuelle sikkerhetskopier, etter at siste avtaleperiode har løpt ut, og at data vil bli slettet etter de retningslinjer og prosedyrer som NPR til enhver tid fastsetter.
NPR vil ikke innestå for tap av data som skyldes at eksport av data ikke er gjennomført før utløpsdato for tjenesten(e).
Sikkerhet
NPR plikter å implementere og vedlikeholde nødvendige tekniske og organisatoriske tiltak som stilles etter til enhver tid gjeldende lover, regler og forskrifter, for å beskytte mot tap av personopplysninger som skyldes utilsiktet eller ulovlig destruksjon, utilsiktet tap eller endring, urettmessig formidling eller tilgang (avvik), så langt det er praktisk gjennomførbart og i NPR sin kontroll.
Fysisk adgangskontroll
NPR skal implementere nødvendige tiltak, selv eller ved bruk av en tredjepart, for å forhindre fysisk tilgang. Dette inkluderer, men er ikke begrenset til bruk av sikre bygninger og lokasjoner, for å forhindre uvedkommende fra å få tilgang til personopplysninger.
Systemadgangskontroll
NPR skal implementere hensiktsmessige tiltak for å forhindre at personopplysninger behandles urettmessig. Disse tiltakene vil variere med behandlingen og inkluderer, men er ikke begrenset til, autentisering med brukernavn og passord, dokumenterte autorisasjonsprosesser, dokumenterte endringshåndteringsprosesser og logging på flere nivåer.
Overføringskontroll
NPR skal så langt det er praktisk gjennomførbart implementere hensiktsmessige tiltak for å forsikre om at det er mulig å overføre data til rette vedkommende uten at dataene kan leses, kopieres, endres eller slettes uautorisert under dataoverføringen.
Backup
Backup foretas daglig v/våre underleverandører. Dette er total backup av web og applikasjoner. Dersom Kunden ønsker tilbakeføring av spesifikke kundedata (f.eks. utilsiktet sletting av egne data), kan dette gjøres, men Kunden må selv dekke ekstra kostnader dette medfører.
Logisk separasjon
Data fra ulike Kunder er logisk separert i NPR sine systemer for å sikre at personopplysninger som registreres for ulike formål kan behandles hver for seg.
Avvik
NPR skal varsle Kunden ved avvik så snart NPR får kunnskap om det, og om nødvendig samarbeide med Kunden om å avhjelpe avviket. Xxxxxx har ansvaret for at avviksmelding sendes Datatilsynet. Varselet til Kunden skal som minimum inneholde en beskrivelse av avvikets natur, kontaktinformasjon til kontaktpunkt hos NPR, en beskrivelse av mulige konsekvenser, og en beskrivelse av tiltak som er iverksatt, eller planlagt iverksatt, for å lukke avviket og begrense konsekvensene.