Databehandleravtale. mellom. Kunden (behandlingsansvarlig) Devinco AS (databehandler)

Like dokumenter
Databehandleravtale for NLF-medlemmer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

DATABEHANDLERAVTALE vedrørende nettjenesten

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale. mellom. Navn på skoleeier: Org. nr.: (behandlingsansvarlig)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. Digitale løsninger og GDPR (General Data Protection Regulation)

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Registrerte og personopplysninger som behandles

Databehandleravtale etter personopplysningsloven

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Bilag 14 Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtaler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale etter personopplysningsloven

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale etter personopplysningsloven

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale digitale arkiv og uttrekk for deponering

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Personvern - sjekkliste for databehandleravtale

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtaler. Tommy Tranvik Unit

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

Databehafiileravtale ' ---

POWEL DATABEHANDLERAVTALE

DATABEHANDLERAVTALE. 1. Bakgrunn

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

KUNDEN, slik angitt i ordrebekreftelse fra, eller annen avtale med, ABAX (Behandlingsansvarlig, heretter "Kunden")

Databehandleravtale etter personopplysningsloven m.m

Mikromarc, Bibliofil, ebokbib og GDPR (General Data Protection Regulation)

For å gi låner tilgang til biblioteket utenom vanlig åpningstid. Dato for avtale om tilgang For sporing av adgangsavtalen

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Databehandleravtale. Etter den nye personvernloven og EUs personvernforordning (GDPR) av 25. mai mellom. Arrangøren Behandlingsansvarlig

Sikkerhet og personvern i skole og klasserom

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Bilag 1 Omforent spesifikasjon av SaaS-tjenestene med forutsetninger og vilkår

3 Omfattede typer av personopplysninger og kategorier av registrerte

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Databehandler. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

AVTALE OM [sett inn navn på oppdrag/tjeneste] Mal for Databehandleravtale. Arbeids- og velferdsetaten (NAV) [Virksomhetens navn]

Personvernerklæring Stendi

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

OM PERSONVERN TRONDHEIM. Mai 2018

GDPR Prosjektgjennomføring Sjekkliste

Transkript:

Databehandleravtale I henhold til Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF, Artikkel 28 og 29, jf. Artikkel 32-36, inngås følgende avtale mellom Kunden (behandlingsansvarlig) og Devinco AS (databehandler) 11.06.2018 1

1. Avtalens hensikt Avtalens hensikt er å regulere rettigheter og plikter i henhold til Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF. Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet. Avtalen regulerer databehandlers forvaltning av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bruk av sine produkter og tjenester. Ved motstrid skal vilkårene i denne avtalen gå foran databehandlers personvernerklæring eller vilkår i andre avtaler inngått mellom behandlingsansvarlig og databehandler i forbindelse med bruk av databehandlers produkter og tjenester. 2. Instrukser Databehandler skal følge de skriftlige instrukser for forvaltning av personopplysninger i databehandlers produkter og tjenester som behandlingsansvarlig har bestemt skal gjelde. Databehandler forplikter seg til å overholde alle plikter i henhold til Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 som gjelder ved bruk av databehandlers produkter og tjenester til behandling av personopplysninger. Databehandler forplikter seg til å varsle behandlingsansvarlig dersom databehandler mottar instrukser fra behandlingsansvarlig som er i strid med bestemmelsene i Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016. 3. Formålsbegrensning Formålet med databehandlers forvaltning av personopplysninger på vegne av behandlingsansvarlig, er å levere og administrere databehandlers produkter og tjenester. Personopplysninger som databehandler forvalter på vegne av behandlingsansvarlig kan ikke brukes til andre formål enn levering og administrasjon av databehandlers produkter og tjenester uten at dette på forhånd er godkjent av behandlingsansvarlig. Databehandler kan ikke overføre personopplysninger som omfattes av denne avtalen til samarbeidspartnere eller andre tredjeparter uten at dette på forhånd er godkjent av behandlingsansvarlig, jf. punkt 10 i denne avtalen. 4. Opplysningstyper og registrerte i produktene og tjenestene Databehandleren forvalter følgende personopplysninger på vegne av behandlingsansvarlig i forbindelse med leveranse og administrasjon av databehandlers produkter og tjenester: 11.06.2018 2

SpeedyCraft mobilt ordresystem SpeedyCraft er et mobilt ordresystem for registrering av timer, materiell, sjekklister og annen dokumentasjon ute i felten. SpeedyCraft er integrert med et tredjeparts system som bearbeider og lagrer opplysningene fra SpeedyCraft. SpeedyCraft henter inn, bearbeider og videresender opplysninger som er relevante for formålene nevnt ovenfor. Disse opplysningene lagres normalt på Kundes eller tredjeparts servere. De registrerte er: - Den behandlingsansvarlige - Den behandlingsansvarliges kunder - Den behandlingsansvarliges ansatte Personopplysninger som behandles er: - Navn på personer - Adresser - E-post adresser - Telefonnummer - Informasjon om kjøretøy og kjøreturer Databehandlers tilgang til opplysninger: Devincos support og leveranse kan få tilgang til alle ovenstående opplysninger for å yte teknisk support. Slik tilgang betinger at den behandlingsansvarlige gir Devinco AS tilgang til opplysningene fra sine eller tredjeparts servere. Devinco AS behandler aggregert og anonymisert besøks og brukerstatistikk i forbindelse med utvikling og forbedring av sine produkter og tjenester. ViaTracks elektronisk kjørebok ViaTracks er en elektronisk kjørebok som henter inn, bearbeider, lagrer og gir tilgang til opplysninger som er nødvendige for at den behandlingsansvarlige skal kunne bruke systemet til sine formål. Blant disse formålene er å kontrollere og dokumentere riktig bruk av den behandlingsansvarliges yrkesbiler jfr. skattemyndighetenes krav. ViaTracks henter også inn, bearbeider, lagrer og gir tilgang til posisjoner fra ViaTracks Find uavhengig av om den behandlingsansvarlige bruker ViaTracks Find eller ikke. Deling av posisjoner er anonymisert og kan deaktiveres av den behandlingsansvarlige. Kjørebokens opplysninger lagres på Devincos servere. Opplysninger som en nødvendige for å tilfredsstille skattemyndighetenes krav lagres i 5 år for å ivareta den behandlingsansvarliges oppbevaringsplikt jfr. bokføringsloven 13 annet ledd. Deretter slettes opplysningene fra Devincos servere. Opplysninger som ikke har samme krav til oppbevaring slettes etter 12 mnd. De registrerte er: - Den behandlingsansvarlige - Den behandlingsansvarliges ansatte 11.06.2018 3

Personopplysninger som behandles og som lagres i 5 år er: - Navn på personer - Adresser - Atferdsmønster o Kjørerute o Bompasseringer og ferjer o Oppholdstid o Kjøretid - E-post adresser - Telefonnummer - Informasjon om kjøretøy, slik som registreringsnummer, merke etc. Følgende personopplysninger er kun tilgjengelig for og behandles av Devincos utviklingsavdeling for å kunne tilby tjenesten: - Atferdsmønster o Posisjonsdata o Hastighet o Bevegelse i kjøretøyet Disse opplysningene slettes etter 12 mnd. Databehandlers tilgang til opplysninger: Devincos support og leveranse har tilgang til ovenstående opplysninger som lagres i 5 år for å kunne yte teknisk support. Devincos utviklingsavdeling vil ha tilgang til alle ovenstående opplysninger for avansert support, feilrettinger og dataunderlag for videre utvikling av løsningen. Devinco AS behandler aggregert og anonymisert besøks og brukerstatistikk i forbindelse med utvikling og forbedring av sine produkter og tjenester. ViaTracks Find ViaTracks Find er sporingsutstyr for gjenfinning av objekter ute i felten. Slike objekter kan være verktøy, tilhengere, kontainere og annet utstyr som virksomheten ønsker å spore for å verne om virksomhetens materielle verdier og spare verdifull tid på leting. Produktpakken inkluderer sporingsbrikke, GPS enhet og et web- og appbasert administrasjonssystem for både ansatte og administrator. Sporingsbrikkene kommuniserer trådløst med ViaTracks` GPSbaserte enheter som normalt plasseres i kjøretøy og lager. Opplysningene om objektenes posisjoner lagres løpende på Devincos servere og kan slettes av den behandlingsansvarlige. De registrerte er: - Den behandlingsansvarlige - Den behandlingsansvarliges ansatte Personopplysninger som behandles er: - Navn på personer - Adresser - E-post adresser - Telefonnummer - Informasjon om kjøretøy, slik som registreringsnummer, merke etc. 11.06.2018 4

- Posisjoner med adresser på kjøretøy, lager, kontainere og lignende Databehandlers tilgang til opplysninger: Devincos support og leveranse har tilgang til alle ovenstående opplysninger for å kunne yte teknisk support. Devincos utviklingsavdeling vil ha tilsvarende tilgang for avansert support, feilrettinger og dataunderlag for videre utvikling av sporingssystemet. Devinco AS behandler aggregert og anonymisert besøks og brukerstatistikk i forbindelse med utvikling og forbedring av sine produkter og tjenester. SiteMonitor elektronisk mannskapsregistrering SiteMonitor registrerer automatisk alt personell som beveger seg inn og ut av ulike byggeprosjekter. Dette gir byggeplassleder en oppdatert oversikt over hvilket personell som er inne på prosjektet og ikke. De registrerte er: - Den behandlingsansvarlige - Den behandlingsansvarliges ansatte - Den behandlingsansvarliges underleverandører - Den behandlingsansvarliges underleverandørers ansatte - Besøkende Personopplysninger som behandles er: - Navn på personer - Fødselsdato - HMS-kortnummer - E-post adresser - Telefonnummer - Sertifikater eller andre dokumenter byggherre skal ha oversikt over o For eksempel førerkort med personnummer - Atferdsmønster o Dato og klokkeslett for inn- / utlogging på arbeidsplass Devincos support og leveranse har tilgang til alle ovenstående opplysninger for å kunne yte teknisk support. Devincos utviklingsavdeling vil ha tilsvarende tilgang for avansert support, feilrettinger og dataunderlag for videre utvikling av sporingssystemet. Devinco AS behandler aggregert og anonymisert besøks og brukerstatistikk i forbindelse med utvikling og forbedring av sine produkter og tjenester. 5. De registrertes rettigheter Databehandler plikter å bistå behandlingsansvarlig ved ivaretakelse av den registrertes rettigheter, jf. Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016, kapittel III. Den registrertes rettigheter inkluderer retten til informasjon om hvordan hans eller hennes personopplysninger behandles, retten til å kreve innsyn i egne personopplysninger, retten til å kreve retting eller sletting av egne personopplysninger og retten til å kreve at behandlingen av egne personopplysninger begrenses. 11.06.2018 5

I den grad det er relevant, skal databehandler bistå behandlingsansvarlig med å ivareta de registrertes rett til dataportabilitet og retten til å motsette seg automatiske avgjørelser, inkludert profilering. 6. Tilfredsstillende informasjonssikkerhet Databehandler skal iverksette tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet. Databehandler skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig. Databehandler skal etablere kontinuitets- og beredskapsplaner for effektiv håndtering av alvorlige sikkerhetshendelser. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig. Databehandler skal gi egne ansatte tilstrekkelig informasjon om og opplæring i informasjonssikkerhet slik at sikkerheten til personopplysninger som behandles på vegne av behandlingsansvarlig blir ivaretatt. Databehandler skal dokumentere opplæringen av egne ansatte i informasjonssikkerhet. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig. 7. Taushetsplikt Kun ansatte hos databehandler som har tjenstlige behov for tilgang til personopplysninger som forvaltes på vegne av behandlingsansvarlig, kan gis slik tilgang. Databehandler plikter å dokumentere retningslinjer og rutiner for tilgangsstyring. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig. Ansatte hos databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter ansatte hos tredjeparter som utfører vedlikehold (eller liknende oppgaver) av systemer, utstyr, nettverk eller bygninger som databehandler anvender for å levere eller administrere sine produkter og tjenester. 8. Tilgang til sikkerhetsdokumentasjon Databehandler plikter å gi behandlingsansvarlig tilgang til all sikkerhetsdokumentasjon som er nødvendig for at behandlingsansvarlig skal kunne ivareta sine forpliktelser i henhold til Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016, Artikkel 5 nr.1 bokstav f og Artikkel 32-36. Databehandler plikter å gi behandlingsansvarlig tilgang til annen relevant dokumentasjon som gjør det mulig for behandlingsansvarlig å vurdere om databehandler overholder vilkårene i denne avtalen. Ansatte hos behandlingsansvarlig har taushetsplikt for konfidensiell sikkerhetsdokumentasjon som databehandler gjør tilgjengelig for behandlingsansvarlig. 11.06.2018 6

9. Varslingsplikt ved sikkerhetsbrudd Databehandler skal uten ubegrunnet opphold varsle behandlingsansvarlig dersom personopplysninger som forvaltes på vegne av behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern. Varslet til behandlingsansvarlig skal som minimum inneholde informasjon som beskriver sikkerhetsbruddet, hvilke registrerte som er berørt av sikkerhetsbruddet, hvilke personopplysninger som er berørt av sikkerhetsbruddet, hvilke strakstiltak som er iverksatt for å håndtere sikkerhetsbruddet og hvilke forebyggende tiltak som eventuelt er etablert for å unngå liknende hendelser i fremtiden. Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra databehandler blir videreformidlet til Datatilsynet. 10. Underleverandører Databehandler plikter å inngå egne avtaler med eventuelle underleverandører til sine produkter og tjenester som regulerer underleverandørenes forvaltning av personopplysninger i forbindelse med levering og administrasjon av produktene og tjenestene. I slike avtaler mellom databehandler og underleverandører skal underleverandørene pålegges å ivareta alle plikter som databehandleren selv er underlagt i henhold til denne avtalen. Databehandler plikter å forelegge avtalene for behandlingsansvarlig etter forespørsel. Databehandler benytter per dags dato ingen underleverandører som forvalter personopplysninger i forbindelse med levering og administrasjon av produktene og tjenestene. 11. Overføring til land utenfor EU/EØS Ingen personopplysninger som databehandler forvalter i henhold til denne avtalen vil bli overført til mottakerland utenfor EU/EØS. 12. Sikkerhetsrevisjoner og konsekvensutredninger Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner av eget arbeid med sikring av personopplysninger mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet. Databehandler skal gjennomføre sikkerhetsrevisjoner av informasjonssikkerheten i sine produkter og tjenester. Sikkerhetsrevisjoner skal omfatte databehandlers sikkerhetsmål og sikkerhetsstrategi, sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, etablerte tekniske, fysiske og organisatoriske sikringstiltak og arbeidet med informasjonssikkerhet hos eventuelle underleverandører til databehandlers produkter og tjenester. Det skal i tillegg omfatte rutiner for varsling av behandlingsansvarlig ved sikkerhetsbrudd og rutiner for testing av beredskaps- og kontinuitetsplaner. Databehandler skal dokumentere sikkerhetsrevisjonene. Behandlingsansvarlig skal gis tilgang til revisjonsrapportene. 11.06.2018 7

Dersom en uavhengig tredjepart gjennomfører sikkerhetsrevisjoner hos databehandler, skal behandlingsansvarlig informeres om hvilken revisor som benyttes og få tilgang til oppsummeringer av revisjonsrapportene. Databehandler skal bistå behandlingsansvarlig dersom bruk av databehandlers produkter og tjenester medfører at behandlingsansvarlig har plikt til å utrede personvernkonsekvenser før produktene og tjenestene tas i bruk, jf. Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016, Artikkel 35 og 36. Databehandler kan bistå behandlingsansvarlig ved iverksetting av personvernfremmende tiltak dersom konsekvensutredningen viser at dette er nødvendig. 13. Tilbakelevering og sletting Ved opphør av denne avtalen plikter databehandler å slette og tilbakelevere alle personopplysninger som forvaltes på vegne av behandlingsansvarlig i forbindelse med levering og administrasjon av databehandlers produkter og tjenester. Tilbakelevering av personopplysningene skal skje i Excel format. Databehandler skal slette personopplysninger fra alle lagringsmedier som inneholder personopplysninger som databehandler forvalter på vegne av behandlingsansvarlig. Sletting skal skje ved at databehandler skriver over personopplysninger innen 90 dager etter avtalens opphør. Dette gjelder også for sikkerhetskopier av personopplysningene. Databehandler dekker alle kostnader i forbindelse med tilbakelevering og sletting av de personopplysninger som omfattes av denne avtalen. 14. Mislighold Ved mislighold av vilkårene i denne avtalen som skyldes feil eller forsømmelser fra databehandlers side, kan behandlingsansvarlig si opp avtalen med øyeblikkelig virkning. Databehandler vil fortsatt være pliktig til å tilbakelevere og slette personopplysninger som forvaltes på vegne av behandlingsansvarlig i henhold til bestemmelsene i punkt 13 ovenfor. 15. Avtalens varighet Denne avtalen gjelder så lenge databehandler forvalter personopplysninger på vegne av behandlingsansvarlig 16. Meddelelser Meddelelser etter denne avtalen skal sendes skriftlig til olejorgen@devinco.com. 11.06.2018 8

17. Lovvalg og verneting Avtalen er underlagt norsk rett og partene vedtar Trondheim tingrett som verneting. Dette gjelder også etter opphør av avtalen. *** Denne avtale er i 2 to eksemplarer, hvorav partene har hvert sitt. Trondheim, 11.06.2018 På vegne av behandlingsansvarlig På vegne av databehandler.. (underskrift) Ole Jørgen Ørsnes 11.06.2018 9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding