Databehandleravtale. Mellom. Den behandlingsansvarlige: [Navn] [organisasjonsnummer] [Adresse] [Postnummer og sted] Databehandleren

Transkript

1 Databehandleravtale (Versjon 1.0) Databehandleravtale Mellom Den behandlingsansvarlige: [Navn] [organisasjonsnummer] [Adresse] [Postnummer og sted] og Databehandleren Wolters Kluwer Norge AS organisasjonsnummer /13

2 Innhold Bakgrunn for databehandleravtalen... 3 Den behandlingsansvarliges plikter og rettigheter... 3 Databehandleren handler etter instruks... 3 Fortrolighet... 4 Behandlingssikkerhet... 4 Bruk av underdatabehandlere... 5 Overføring av opplysninger til tredjestat eller internasjonale organisasjoner... 5 Bistand til den behandlingsansvarlige... 6 Varsling om brudd på persondatasikkerheten... 7 Sletting og tilbakelevering av opplysninger... 7 Tilsyn og revisjon... 7 Partenes avtaler om andre forhold... 8 Ikrafttreden og opphør... 8 Signaturer... 8 Bilag A: Opplysning om behandlingen... 9 Bilag B: Betingelser for databehandlerens bruk av underdatabehandlere og liste over godkjente underdatabehandlere Bilag C: Instruks vedrørende behandling av personopplysninger Bilag D: Partenes regulering av andre forhold /13

3 (Versjon 1.0) Databehandleravtale Wolters Kluwer Norge AS 1. Bakgrunn for databehandleravtalen 1.1. Denne avtalen regulerer rettigheter og plikter når databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige Avtalen er utformet med henblikk på partenes etterlevelse av artikkel 28, nr. 3, i Europa- Parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (GDPR/ personvernforordningen) og om opphevelse av direktiv 95/46/EF (generell personvernforordning), som stiller spesifikke krav til innholdet av en databehandleravtale Databehandlerens behandling av personopplysninger skjer med henblikk på oppfyllelse av partenes avtale om bruk av Hosted Wolters Kluwer Plattform, som hostes av databehandleren Databehandleravtalen og avtalen om bruk av Hosted Wolters Kluwer Plattform er innbyrdes avhengige, og kan ikke oppsies særskilt. Databehandleravtalen kan dog uten oppsigelse av avtalen om bruk av Hosted Wolters Kluwer Plattform erstattes av en annen gyldig databehandleravtale Denne databehandleravtalen har forrang i forhold til eventuelle tilsvarende bestemmelser i andre avtaler mellom partene, herunder i avtalen om bruk av Hosted Wolters Kluwer Plattform Til denne avtale hører fire bilag. Bilagene fungerer som en integrert del av databehandleravtalen Databehandleravtalens Bilag A inneholder nærmere opplysninger om behandlingen, herunder om behandlingens formål og karakter, typen av personopplysninger, kategoriene av registrerte og varighet av behandlingen Databehandleravtalens Bilag B inneholder den behandlingsansvarliges betingelser for at databehandleren kan gjøre bruk av eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere som den behandlingsansvarlige har godkjent Databehandleravtalens Bilag C inneholder en nærmere instruks om hva slags behandling databehandleren skal foreta på vegne av den behandlingsansvarlige (behandlingens gjenstand), hvilke sikkerhetsforanstaltninger som minimum skal iakttas, samt hvordan det føres tilsyn med databehandleren og eventuelle underdatabehandlere Databehandleravtalens Bilag D inneholder partenes eventuelle regulering av forhold, som ikke ellers fremgår av databehandleravtalen eller partenes avtale om bruk av Hosted Wolters Kluwer Plattform Databehandleravtalen med tilhørende bilag oppbevares skriftlig, herunder elektronisk, av begge parter Denne databehandleravtale frigjør ikke databehandleren for plikter, som etter personvernforordningen eller enhver annen lovgivning direkte er pålagt databehandleren. 2. Den behandlingsansvarliges plikter og rettigheter 2.1. Den behandlingsansvarlige har overfor omverdenen (herunder den registrerte) som utgangspunkt ansvaret for at behandlingen av personopplysninger skjer innenfor rammene av personvernforordningen og personopplysningsloven Den behandlingsansvarlige har derfor både rett og plikt til å treffe beslutninger om, til hvilke formål og med hvilke hjelpemidler behandlingen foretas Den behandlingsansvarlige er blant annet ansvarlig for at det foreligger hjemmel til den behandling, som databehandleren instrueres i å foreta. 3/13

4 3. Databehandleren handler etter instruks 3.1. Databehandleren skal kun behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige, medmindre det kreves i henhold til EU/ EØS-retten eller medlemsstatenes nasjonale rett, som databehandleren er underlagt. I så fall underretter databehandleren den behandlingsansvarlige om dette rettslige kravet innen behandling, medmindre den gjeldende rett forbyr en slik underretning av hensyn til viktige allmenne interesser, jf. art 28, nr. 3, litra a Databehandleren underretter omgående den behandlingsansvarlige, hvis en instruks etter databehandlerens mening er i strid med personvernforordningen eller databeskyttelsesbestemmelser i annen EU/EØS-rett eller medlemsstatenes nasjonale rett. 4. Fortrolighet 4.1. Databehandleren skal sikre, at kun autoriserte personer har adgang til de personopplysninger som behandles på vegne av den behandlingsansvarlige. Adgangen til opplysningene skal derfor straks stenges hvis autorisasjonen fratas eller utløper Det skal bare autoriseres personer, for hvem det er nødvendig å ha tilgang til personopplysningene for å kunne oppfylle databehandlerens forpliktelser overfor den behandlingsansvarlige Databehandleren skal sikre at de personene som er autorisert til å behandle personopplysninger på vegne av den behandlingsansvarlige, har forpliktet seg til fortrolighet eller er underlagt lovbestemt taushetsplikt Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne dokumentere at de relevante medarbeidere er underlagt ovennevnte forpliktelser. 5. Behandlingssikkerhet 5.1. Databehandleren skal iverksette de tekniske og organisatoriske tiltak som kreves for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, jf personvernforordningens artikkel 32. Det skal bl.a. tas hensyn til implementeringsomkostningene, den aktuelle behandlingens karakter, omfang, sammenheng og formål Ovenstående forpliktelse innebærer at databehandleren skal foreta en risikovurdering og gjennomføre tiltak for å minimere identifiserte risikoer. Det kan herunder bl.a. dreie seg om følgende foranstaltninger: a. Pseudonymisering og kryptering av personopplysninger b. Evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet av behandlingssystemer og tjenester c. Evne til rettidig å gjenopprette tilgjengeligheten av og adgangen til personopplysninger i tilfelle av en fysisk eller teknisk hendelse d. En prosedyre for regelmessig prøvning, vurdering og evaluering av effektiviteten av de tekniske og organisatoriske foranstaltninger til sikring av personopplysninger 5.3. Databehandleren skal i forbindelse med ovenstående i alle tilfelle som minimum iverksette det sikkerhetsnivå og de tiltak, som er spesifisert nærmere i denne avtales Bilag C Partenes eventuelle regulering/avtale om kompensasjon eller lignende i forbindelse med den behandlingsansvarliges eller databehandlerens etterfølgende krav om etablering av ytterligere sikkerhetsforanstaltninger vil fremgå av partenes avtale om Hosted Wolters Kluwer Plattform eller av denne avtales Bilag D. 4/13

5 6. Bruk av underdatabehandlere 6.1. Databehandleren skal oppfylle de betingelser, som er omhandlet i personvernforordningens artikkel 28, pkt. 2 og 4, for å gjøre bruk av en annen databehandler (underdatabehandler) Databehandleren skal ikke gjøre bruk av en annen databehandler (underdatabehandler) til oppfyllelse av databehandleravtalen uten forutgående spesifikk eller generell skriftlig godkjenning fra den behandlingsansvarlige Ved generell skriftlig godkjenning skal databehandleren underrette den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tilføyelse eller erstatning av andre databehandlere og derved gi den behandlingsansvarlige mulighet for å gjøre innsigelse mot slike endringer Den behandlingsansvarliges nærmere betingelser for databehandlerens bruk av eventuelle underdatabehandlere fremgår av denne avtales Bilag B Den behandlingsansvarliges eventuelle godkjenning av spesifikke underdatabehandlere er anført i denne avtalens Bilag B Når databehandleren har den behandlingsansvarliges godkjenning til å gjøre bruk av en underdatabehandler, sørger databehandleren for å pålegge underdatabehandleren de samme forpliktelser til vern av personopplysninger som de som er fastsatt i denne databehandleravtalen, gjennom en kontrakt eller annet rettslig dokument i henhold til EU/EØS-retten eller medlemsstatenes nasjonale rett, hvor det stilles de nødvendige garantier for at underdatabehandleren vil gjennomføre de passende tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller kravene i personvernforordningen. Databehandleren er ansvarlig for igjennom inngåelsen av en underdatabehandleravtale å pålegge en eventuell underdatabehandler minst de forpliktelser som databehandleren selv er underlagt etter personvernreglene og denne databehandleravtale med tilhørende bilag Underdatabehandleravtalen med eventuelle senere endringer sendes, etter den behandlingsansvarliges anmodning, i kopi til den behandlingsansvarlige, som med dette har mulighet for å sikre seg at det er inngått en gyldig avtale mellom databehandleren og underdatabehandleren. Eventuelle kommersielle vilkår, eksempelvis priser, som ikke påvirker sikkerhetsnivået i underdatabehandleravtalen, skal ikke sendes til den behandlingsansvarlige Databehandleren skal i sin avtale med underdatabehandleren innføre den behandlingsansvarlige som begunstiget tredjemann i tilfelle av databehandlerens konkurs. Dette slik at den behandlingsansvarlige kan inntre i databehandlerens rettigheter og gjøre dem gjeldende overfor underdatabehandleren, f.eks. slik at den behandlingsansvarlige kan instruere underdatabehandleren om å foreta sletting eller tilbakelevering av opplysninger Dersom underdatabehandler ikke oppfyller sine forpliktelser til vern av personopplysninger og kravene i databehandleravtalen, skal databehandler overfor behandlingsansvarlig ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser. 7. Overføring av personopplysninger til tredjestat eller internasjonale organisasjoner 7.1. Databehandleren skal kun behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige, herunder for så vidt angår overføring (overlatelse, videregivelse, samt intern bruk) av personopplysninger til tredjestat eller internasjonale organisasjoner, medmindre det kreves i henhold til EU/EØS-retten eller medlemsstatenes nasjonale rett, som databehandleren er underlagt. I så fall underretter databehandleren den behandlingsansvarlige om det rettslige kravet før behandling, medmindre den aktuelle rett forbyr slik underretning av hensyn til viktige allmenne interesser, jf. art 28, pkt. 3, litra a. 5/13

6 7.2. Uten den behandlingsansvarliges instruks eller godkjenning kan databehandleren, innenfor rammene av databehandleravtalen, derfor bl.a. ikke; a. videregi personopplysningene til en behandlingsansvarlig i en tredjestat eller i en internasjonal organisasjon, b. overlate behandlingen av personopplysninger til en underdatabehandler i en tredjestat, c. Behandle personopplysningene i en annen av databehandlerens avdelinger, som er plassert i en tredjestat Den behandlingsansvarliges eventuelle instruks eller godkjenning av at det foretas overføring av personopplysninger til en tredjestat, vil fremgå av denne avtalens Bilag C. 8. Bistand til den behandlingsansvarlige 8.1. Databehandleren bistår, hensyntatt behandlingens karakter, så vidt mulig den behandlingsansvarlige ved hjelp av passende tekniske og organisatoriske tiltak, med oppfyllelse av den behandlingsansvarliges plikt til å besvare anmodninger om utøvelsen av de registrertes rettigheter som fastlagt i personvernforordningens kapittel 3. Dette innebærer at databehandleren så vidt mulig skal bistå den behandlingsansvarlige i forbindelse med at den behandlingsansvarlige skal sikre overholdelsen av: a. opplysningsplikten ved innsamling av personopplysninger hos den registrerte b. opplysningsplikten, hvis personopplysninger ikke er innsamlet hos den registrerte c. den registrertes innsynsrett d. retten til korrigering e. retten til sletting («retten til å bli glemt») f. retten til begrensning av behandling g. underretningsplikt i forbindelse med korrigering eller sletting av personopplysninger eller begrensning av behandling h. retten til dataportabilitet i. retten til innsigelse j. retten til å gjøre innsigelse mot resultatet av automatiske individuelle avgjørelser, herunder profilering 8.2. Databehandleren bistår den behandlingsansvarlige med å sikre oppfyllelse av den behandlingsansvarliges plikter i samsvar med personvernforordningens artikkel 32-36, hensynstatt behandlingens karakter og de opplysninger som er tilgjengelige for databehandleren, jf. art 28, nr. 3, litra f. Dette innebærer at databehandleren skal bistå den behandlingsansvarlige i forbindelse med at den behandlingsansvarlige skal sikre overholdelsen av: a. plikten til å gjennomføre passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som passer til de risikoer som er forbundet med behandlingen b. plikten til å anmelde brudd på personopplysningssikkerheten til tilsynsmyndigheten (Datatilsynet) uten ugrunnet opphold og om mulig senest 72 timer etter at den behandlingsansvarlige er blitt kjent med bruddet, medmindre at det er usannsynlig at bruddet på personopplysningssikkerheten innebærer en risiko for fysiske personers rettigheter eller frihetsrettigheter c. plikten til, uten ugrunnet opphold, å underrette den/de registrerte om brudd på personopplysningssikkerheten, når et slikt brudd sannsynligvis vil innebærer en høy risiko for fysiske personers rettigheter og frihetsrettigheter 6/13

7 d. plikten til å gjennomføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sannsynligvis vil innebærer en høy risiko for fysiske personers rettigheter og frihetsrettigheter e. plikten til å konsultere tilsynsmyndigheten (Datatilsynet) innen behandling, såfremt en konsekvensanalyse vedrørende personopplysningssikkerheten viser at behandlingen vil føre til høy risiko i mangel av tiltak truffet av den behandlingsansvarlige for å begrense risikoen 8.3. Partenes eventuelle regulering/avtale om vederlag eller lignende i forbindelse med databehandlerens bistand til den behandlingsansvarlige vil fremgå av partenes avtale om bruk av Hosted Wolters Kluwer Plattform eller av denne avtales Bilag D. 9. Varsel om brudd på personopplysningssikkerheten 9.1. Ved brudd på personopplysningssikkerheten hos databehandleren eller eventuell underdatabehandler, skal databehandleren uten ugrunnet opphold varsle den behandlingsansvarlige. Databehandlerens varsel til den behandlingsansvarlige skal om mulig skje senest 24 timer etter at denne er blitt kjent med bruddet, slik at den behandlingsansvarlige har mulighet for å etterleve sin eventuelle forpliktelse til å anmelde bruddet til tilsynsmyndigheten innenfor 72 timer I overensstemmelse med denne avtales pkt. 9.2., litra b, skal databehandleren, hensyntatt behandlingens karakter og de opplysninger som er tilgjengelige for denne, bistå den behandlingsansvarlige med å anmelde bruddet til tilsynsmyndigheten. Det kan bety at databehandleren bl.a. skal hjelpe med å fremskaffe nedenstående opplysninger, som etter personvernforordningens artikkel 33, nr. 3, skal fremgå av den behandlingsansvarliges anmeldelse til tilsynsmyndigheten: a. Karakteren av bruddet på personopplysningssikkerheten, herunder, hvis det er mulig, kategoriene og det omtrentlige antall berørte registrerte, samt kategoriene og det omtrentlige antall registreringer av personopplysninger b. Sannsynlige konsekvenser av bruddet på personopplysningssikkerheten c. Tiltak som er truffet eller foreslås truffet for å håndtere bruddet på personopplysningssikkerheten, herunder hvis det er relevant, tiltak for å begrense dets mulige skadevirkninger 10. Sletting og tilbakelevering av opplysninger Ved opphør av tjenestene vedrørende behandling plikter databehandleren, etter den behandlingsansvarliges valg, å slette eller tilbakelevere alle personopplysninger til den behandlingsansvarlige, samt å slette eksisterende kopier, medmindre EU/EØS-retten eller nasjonal rett foreskriver oppbevaring av personopplysningene. 11. Tilsyn og revisjon Databehandleren stiller alle opplysninger som er nødvendige for å påvise databehandlerens overholdelse av personvernforordningens artikkel 28 og denne avtale til rådighet for den behandlingsansvarlige og gir mulighet for og bidrar til revisjoner, herunder inspeksjoner, som foretas av den behandlingsansvarlige eller en annen revisor, som er bemyndiget av den behandlingsansvarlige Den nærmere prosedyre for den behandlingsansvarliges tilsyn med databehandleren fremgår av denne avtalens Bilag C. 7/13

8 11.3. Den behandlingsansvarliges tilsyn med eventuelle underdatabehandlere skjer som utgangspunkt gjennom databehandleren. Den nærmere prosedyre fremgår av denne avtalens Bilag C Databehandleren plikter å gi de myndigheter, som etter den til enhver tid gjeldende lovgivning har adgang til den behandlingsansvarliges og databehandlerens fasiliteter, eller representanter som opptrer på myndighetens vegne, adgang til databehandlerens fysiske fasiliteter mot gyldig legitimasjon. 12. Partenes avtaler om andre forhold En eventuell (særlig) regulering av konsekvensene av partenes mislighold av databehandleravtalen vil fremgå av partenes avtale om abonnement eller av denne avtales Bilag D En eventuell regulering av andre forhold mellom partene vil fremgå av avtalen om bruk av Hosted Wolters Kluwer Plattform, eller av denne avtales Bilag D. 13. Ikrafttreden og opphør Denne avtale trer i kraft når begge parter har signert Avtalen kan av begge parter kreves reforhandlet, dersom lovendringer eller uhensiktsmessigheter i avtalen tilsier dette Partenes eventuelle regulering/avtale om vederlag, betingelser eller lignende i forbindelse med endringer av denne avtale vil fremgå av partenes avtale om bruk av Hosted Wolters Kluwer Plattform abonnement eller av denne avtales Bilag D Oppsigelse av databehandleravtalen kan skje i henhold til de oppsigelsesvilkår, inkl. oppsigelsesvarsel, som fremgår av avtalen om bruk av Hosted Wolters Kluwer Plattform Avtalen gjelder så lenge behandlingen består. Uansett avtalene om bruk av Hosted Wolters Kluwer Plattform og/eller databehandleravtalens oppsigelse, vil databehandleravtalen være i kraft frem til behandlingen er opphørt og opplysningene er slettet hos databehandleren og eventuelle underdatabehandlere. 14. Signaturer Databehandleravtalen er signert digitalt på vegne av: Den behandlingsansvarlige [Navn] Databehandleren Wolters Kluwer Norge AS Dokumentet er digitalt signert og har derfor ikke håndskrevne signaturer. Wolters Kluwer Norge AS Peter Alnor.. Den behandlingsansvarlige 8/13

9 Bilag A: Opplysninger om behandlingen (Version 1.0) Wolters Kluwer Norge AS A. Opplysninger om behandlingen Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er: At den behandlingsansvarlige kan benytte Hosted Wolters Kluwer Plattform, som hostes og administreres av databehandleren til å samle inn og behandle opplysninger om den behandlingsansvarliges kunder. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige dreier seg primært om (karakteren av behandlingen): At databehandleren hoster Hosted Wolters Kluwer plattform for den behandlingsansvarlige og herigjennom oppbevarer personopplysninger om den behandlingsansvarliges kunder på underdatabehandleres servere. At databehandleren yter den behandlingsansvarlige support i bruken av Hosted Wolters Kluwer Plattform. Behandlingen omfatter følgende typer personopplysninger om de registrerede: Navn, adresse, e-postadresse, telefonnummer, fødselsdato/ fødselsnummer, regnskapsopplysninger til bruk for årsregnskaper, bilag til skattemelding og lignende økonomiske oppgjør for den behandlingsansvarliges kunder, samt opplysninger om den behandlingsansvarliges kunders nøkkelpersonell og ledelse, herunder navn, adresse, e-postadresse, telefonnummer og fødselsdato/ fødselsnummer. Behandlingen omfatter følgende kategorier av registrerte: Personer, som er eller har vært kunder hos den behandlingsansvarlige. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan påbegynnes etter denne avtales ikrafttreden. Behandlingen har følgende varighet: Behandlingen er ikke tidsbegrenset og varer inntil avtalen sies opp av en av partene. 9/13

10 Bilag B: Betingelser for databehandlerens bruk av Wolters Kluwer Norge AS underdatabehandlere og liste over godkjente underdatabehandlere (Versjon 1.0) B. Betingelser for databehandlerens bruk av underdatabehandlere og liste over godkjente underdatabehandlere B.1 Betingelser for databehandlerens bruk av eventuelle underdatabehandlere Databehandleren har den behandlingsansvarliges generelle godkjenning til å gjøre bruk av underdatabehandlere. Databehandleren skal dog underrette den behandlingsansvarlige om eventuelle planlagte endringer vedrørende tilføyelse eller erstatning av andre databehandlere og derved gi den behandlingsansvarlige mulighet for å gjøre innsigelse mot slike endringer. En slik underretning skal være den behandlingsansvarlige i hende minimum 3 måneder før anvendelsen eller endringen skal tre i kraft. Dersom den behandlingsansvarlige har innsigelser mot endringene, skal den behandlingsansvarlige varsle databehandleren innen 30 dager etter mottagelsen av underretningen. Den behandlingsansvarlige kan bare gjøre innsigelser dersom det foreligger saklig grunn til dette. Innsigelsen skal gjøres skriftlig pr. e-post til brukerstotte@wolterskluwer.no B.2 Godkjente underdatabehandlere Den behandlingsansvarlige har ved databehandleravtalens ikrafttreden godkjent bruk av følgende underdatabehandlere: Navn Adresse Org. nummer Beskrivelse av behandling IT Forum A/S Kærvej * Hosting av data 5220 Odense SØ. Danmark Penneo ApS Gyngemose Parkvej * Digital signatur 2860 Søborg Danmark Företagsplatsen AB Skeppsbron 26, Stockholm, Sverige Hoster av data og utvikling av Arena Multisoft Brunkelbergstorg 5, Stockholm, Utvikling og support av lisenssystem Sverige EPAM Minsk, Hviterussland Utvikling av Byrå Tid *Dansk organisasjonsnummer. Den behandlingsansvarlige har ved databehandleravtalens ikrafttreden godkjent bruken av ovennevnte underdatabehandlere til den type behandling, som er beskrevet i tabellen. Databehandleren kan ikke uten den behandlingsansvarliges særskilte og skriftlige godkjenning, bruke den enkelte underdatabehandler til en "annen" behandling enn avtalt eller la en annen underdatabehandler foreta den beskrevne behandling. 10/13

11 Bilag C: Instruks om behandling av personopplysninger (Versjon 1.0) C. Instruks om behandling av personopplysninger C.1 Behandlingens gjenstand/ instruks Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved at databehandleren utfører følgende: Databehandleren drifter IT-systemene og stiller disse til rådighet for den behandlingsansvarlige i overensstemmelse med avtalen mellom partene. Databehandleren yter den behandlingsansvarlige support i bruken av installert software. C.2 Behandlingssikkerhet Databehandleren er forpliktet til å sikre et høyt sikkerhetsnivå i sine produkter og tjenester. Dette sikres ved relevante organisatoriske, tekniske og fysiske sikkerhetsforanstaltninger. Vår interne databeskyttelsespolitikk har til formål å sikre fortrolighet, integritet, motstandsdyktigheten og adgangen til personopplysninger. De følgende tiltak er særlig vesentlige: Vurdering av kryptering som risikoreduserende faktorer Drift og implementering av systemer som kan oppdage, gjenopprette, imøtegå og rapportere hendelser i forhold til personopplysninger Kartlegge sikkerhetsstrukturen, samt hvordan personopplysninger overføres imellom Partene C.3 Oppbevaringsperiode/sletterutine 1. Hosting Data, som databehandleren hoster for den behandlingsansvarlige, oppbevares inntil den behandlingsansvarlige ikke lenger ønsker dataene oppbevart. Databehandleren sletter kun data efter direkte instruks fra den behandlingsansvarlige. 2. Support Data, som den behandlingsansvarlige stiller til rådighet for databehandleren til bruk for en supportoppgave, slettes fortløpende og senest ultimo den måned, hvor supportoppgaven har vært avsluttet i 3 måneder. C.4 Lokalitet for behandling Alle arbeidsplasser hos databehandleren er bærbare PCer eller lignende. Uansett fysisk plassering er medarbeidernes adgang til services og databehandlerens systemer sikret på samme måte. Det innebærer blant annet, at login og adgang til databehandlerens produksjonsmiljø alltid krever to-faktor autentisering, med mindre login skjer via VPN-forbindelse til hostingmiljøet. C.5 Instruks eller godkjennelse vedrørende overførsel av personopplysninger til tredjestat Som det fremgår av Bilag B er en underdatabehandler etablert utenfor EU/EØS land. Den behandlingsansvarlige gir databehandleren autorisasjon til å sikre et tilstrekkelig grunnlag for overførsel av personopplysninger til tredjestat på vegne av den behandlingsansvarlige, herunder ved anvendelse av EU- Kommisjonens Standardkontrakter eller i overensstemmelse med Privacy Shield. 11/13

12 C.6 Audit a. Databehandleren skal på den behandlingsansvarliges anmodning gi den behandlingsansvarlige slike opplysninger som er nødvendige for at denne kan påse at databehandleren og dennes underdatabehandlere overholder de krav, som er fastsatt i databehandleravtalen, herunder at disse har truffet de nødvendige tekniske og organisatoriske sikkerhetsforanstaltninger og, at foranstaltningene overholdes. b. Databehandleren skal på den behandlingsansvarliges skriftlige anmodning fremskaffe dokumentasjon for at sikkerhetsforanstaltninger er gjennomført hos databehandleren. c. Den behandlingsansvarlige kan for egen regning via en revisor eller annen betrodd part, som er godkjent av den behandlingsansvarlige og databehandleren, foreta uanmeldt kontroll (innenfor normal arbeidstid) av at databehandleren overholder sine forpliktelser, herunder kontroll av og eventuell oppfølgning på brukeradgang og rettigheter. d. Den behandlingsansvarlige er dessuten berettiget til for egen regning å la en uavhengig tredjepart foreta en årlig revisjon av databehandlerens behandling av personopplysninger. e. Databehandleren er forpliktet til å gi myndigheter, som etter den til enhver tid gjeldende lovgivning har adgang til den behandlingsansvarliges og databehandlerens fasiliteter, eller representanter, som opptrer på myndighetens vegne, adgang til databehandlerens fysiske fasiliteter mot gyldig legitimasjon og forutgående underskrift av taushetserklæring. C.7 Nærmere prosedyrer for tilsynet med behandlingen som utføres hos eventuelle underdatabehandlere Databehandleren eller en representant for databehandleren har i tillegg adgang til å føre tilsyn, herunder fysisk tilsyn, hos underdatabehandleren når det etter databehandlerens vurdering oppstår et behov for dette. Databehandleren skal sikre at underdatabehandlere som bistår databehandleren i forbindelse med oppfyllelse av Hosted Wolters Kluwer plattform avtalen og databehandleravtalen, er underlagt forpliktelser, som svarer til pliktene i denne avtalen med bilag. C.8 Konfidensialitetsplikt Alle medarbeidere hos databehandler og underdatabehandlere som er autorisert til å behandle personopplysninger, har undertegnet konfidensialitetserklæring og forplikter seg til å behandle alle personopplysninger konfidensielt, jf personvernforordningen artikkel 28., litra b. 12/13

13 Bilag D: Partenes regulering av andre forhold (Versjon 1.0) D. Partenes regulering av andre forhold 1. Andre forhold 1.1. Der er ikke avtalt andre reguleringer. 13/13