Databehandleravtale mellom..., org. nr.... («Behandlingansvarlig») og Logistra AS, org. nr. 986 676 511 («Databehandler») er det inngått avtale om behandling av personopplysninger («Avtalen») som Databehandler skal foreta for Behandlingsansvarlig som følge av avtale inngått med Databehandleren som leverandør og Behandlingsansvarlige som kunde av 20 des 2018 («Hovedavtalen»).
Innholdsfortegnelse 1. Avtalens bakgrunn 3 2. Formålet med behandlingen 3 3. Partenes plikter og rettigheter 4 3.1 Databehandlers plikter 4 3.2 Behandlingsansvarliges plikter 6 4. Systemfunksjoner og særskilte tekniske løsninger 7 4.1 Systemfunksjoner 7 4.2 DirectPrint 7 4.3 Testmiljø 7 5. Bruk av underleverandør 7 6. Sikkerhet og avvik 8 7. Avtalens varighet, pålegg om stans, plikter ved opphør/oppsigelse 9 8. Øvrige plikter og rettigheter 9 9. Lovvalg og verneting 9 VEDLEGG 1 OVERSIKT OVER FUNKSJONER I SYSTEMET 11 VEDLEGG 2 OVERSIKT OVER UNDERLEVERANDØRER 12
1. Avtalens bakgrunn Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig som følge av det kundeforhold som er opprettet ved Hovedavtalen. Avtalen skal sikre at personopplysninger behandles i samsvar med de til enhver gjeldende krav til behandling av personopplysninger. 2. Formålet med behandlingen Formålet med Databehandlers behandling av personopplysningene er å sette Behandlingsansvarlig i stand til å gjennomføre handlinger knyttet til de transportforsendelser og transportadministrasjon som omfattes av Hovedavtalen. Avtalen regulerer Databehandlers bruk av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. Databehandler skal legge til rette for at Behandlingsansvarlig, som har bruksrett til systemet, selv skal kunne utføre databehandling ved hjelp av systemet. Databehandler skal ikke utføre databehandling på eget initiativ ut over standard funksjonalitet som er bygget inn i systemet, jf. pkt 4.1, med de unntak som følger av punkt 4.2 om DirectPrint og 4.3 om testmiljø. Systemet har funksjonalitet, avhengig av modul, for lagring av følgende data: Parter på sendingen (f.eks. avsender og mottaker) Navn, adresse, telefonnummer, epost, org.nr. og navn på kontaktperson. Kunderegister Kundenummer, navn, adresse, telefonnummer, epost og navn på kontaktperson. Brukerkonto Navn, brukernavn og passord i irreversibel kryptert format. I forbindelse med etablering og bruk av systemet, vil personopplysninger bli registrert i systemet. Med personopplysninger menes opplysninger som kan knyttes til en enkeltperson. Behandlingsansvarlig er innforstått med at følgende data skal videreformidles til den transportøren som Behandlingsansvarlig har valgt som befrakter på sendingen: Parter på sendingen (f.eks. avsender og mottaker) Navn, adresse, telefonnummer, epost, org.nr. og navn på kontaktperson. Annen sendingsinformasjon som databehandler oppgir, som blant annet avsenders- og mottakers referanse, mål og vekt på sendingen, melding til mottaker og melding til transportør og hvilket transportprodukt og transporttjenester som er valgt. 3
Databehandler skal ikke behandle personopplysningene på annen måte enn den som er beskrevet i Avtalen, med mindre dette er skriftlig avtalt mellom Databehandleren og Behandlingsansvarlig. 3. Partenes plikter og rettigheter 3.1 Databehandlers plikter Databehandleren bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Avtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter. Databehandler skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til Konfidensialitet, dvs. at opplysningene ikke blir tilgjengelige for personer som ikke har lovlig tilgang til opplysningene Integritet, dvs. at opplysningene ikke endres på uautorisert eller utilsiktet måte Tilgjengelighet, dvs. at opplysningene er tilgjengelige og operative for lovlig og autorisert bruk Databehandler plikter på forespørsel å gi Behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Partene har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Personopplysningene skal ikke utleveres til eksterne parter med mindre annet er skriftlig avtalt, med de unntak som følger av punkt 4 om databehandlers bruk av underleverandører. Databehandler skal ikke behandle personopplysninger Databehandleren får tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Databehandler har for den Behandlingsansvarlige. 4
Databehandleren skal bistå den Behandlingsansvarlige i å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter etter personvernforordningens kapittel III hensyntatt behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, samt bistå den Behandlingsansvarlige med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet og vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt behandlingens art og den informasjonen som er tilgjengelig for Databehandleren. Foreligger det godkjente adferdsnormer etter personvernforordningens artikkel 40 eller godkjent sertifiseringsordning etter artikkel 42, som Databehandleren har påtatt seg å overholde eller være sertifisert etter, plikter Databehandleren å etterkomme slike adferdsnormer eller sertifiseringskrav. Databehandleren skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den Behandlingsansvarlige, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30 nr. 2. Databehandleren skal gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i dette punkt 3.1 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen inspektør på fullmakt fra den Behandlingsansvarlige. Den Behandlingsansvarlige har selv det direkte ansvaret for kontakt og kommunikasjon med aktuelle tilsynsmyndigheter, herunder Datatilsynet. 5
3.2 Behandlingsansvarliges plikter Behandlingsansvarlig er forpliktet til kun å lagre og bruke opplysninger i den utstrekning og på slik måte som er overensstemmende med norsk lov. Brudd på disse pliktene anses som vesentlig mislighold og kan være grunnlag for erstatningsansvar dersom forholdet påfører Databehandler økonomisk tap direkte eller indirekte, eksempelvis gjennom tap av renommé. Behandlingsansvarlig er ansvarlig for at egendefinerte datafelter verken i seg selv eller med dets innhold bryter med de til enhver tid gjeldende lover og regler, herunder vedrørende personopplysninger. Det samme gjelder bruk av kombinasjoner av datafelter i for eksempel rapporter mv. Der hvor systemet inneholder tekster, data eller annen informasjon mv. som eies/disponeres av Behandlingsansvarlig, innestår Behandlingsansvarlig for at han har full eiendoms- eller disposisjonsrett til slike tekster, data, informasjon mv. og at verken lagring eller den aktuelle bruken av dette materialet innebærer en krenkelse av tredjemanns rettigheter eller strider mot lov, forskrift eller andre rettsregler. Behandlingsansvarlig skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til Konfidensialitet, dvs. at opplysningene ikke blir tilgjengelige for personer som ikke har lovlig tilgang til opplysningene, Integritet, dvs. at opplysningene ikke endres på uautorisert eller utilsiktet måte Tilgjengelighet, dvs. at opplysningene er tilgjengelige og operative for lovlig og autorisert bruk Navn på bruker og passord for tilgang til systemet administreres av Behandlingsansvarlig. Behandlingsansvarlig plikter å påse at passord oppbevares og håndteres på en slik måte at bare personer med rett iht. avtalen med Databehandler og som er autoriserte hos Behandlingsansvarlig, har tilgang til systemet. Behandlingsansvarlig er ansvarlig for at egne medarbeidere kun bruker personopplysningene i systemet for å utføre pålagte/tillatte oppgaver. Behandlingsansvarlig håndterer og behandler henvendelser fra de registrerte om innsyn, retting og sletting med videre. 6
4. Systemfunksjoner og særskilte tekniske løsninger 4.1 Systemfunksjoner De ulike funksjoner i systemet er spesifisert i vedlegg 1 til Avtalen. 4.2 DirectPrint Behandlingsansvarlig som har anskaffet Logistra DirectPrint løsning og satt denne i drift er automatisk innforstått med at en Virtual Private Network (VPN) nettverkstunnel blir etablert mellom Logistra sin skyløsning og databehandler sitt nettverk. Databehandler påtar seg den fulle rett til når som helst å kunne oppgradere operativsystem, oppdatere/endre programvare, logge seg inn på DirectPrint boksen og restarte denne. Databehandler vil aldri under noen omstendigheter utnytte DirectPrint-tilgangen til å gjøre forsøk på å kontakte andre enheter på kundens nettverk. Bruk av DirectPrint er en valgfri tilleggsløsning som behandlingsansvarlig selv velger om skal benyttes eller ikke. 4.3 Testmiljø Databehandler tilbyr et eget testmiljø som Behandlingsansvarlig kan benytte for å teste ut funksjonalitet. Dette testmiljø har ingen knytning til produksjonsmiljøet. I testmiljø vil grunnlagsdata være fiktive og ingen av denne type informasjon vil kunne knyttes til en enkelt person eller firma. Data som Behandlingsansvarlig selv legger inn vil automatisk bli slettet av Databehandler etter nøyaktig 1 måned fra den dato data legges inn. Denne automatisk slettingen av alle data skjer uten at Databehandler trenger godkjennelse fra behandlingsansvarlig. 5. Bruk av underleverandør Databehandler bruker underleverandører til å oppfylle deler av sine ulike forpliktelser, herunder til fysisk sikring av systemet, lagring på ekstern server og verifisering av adresser. Behandlingsansvarlig gir Databehandleren generell tillatelse til bruk av underdatabehandler for behandling av personopplysninger etter Avtalen. I tilfelle Databehandleren har planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere, skal Databehandleren underrette den Behandlingsansvarlige om dette og dermed gi den Behandlingsansvarlige muligheten til å motsette seg slike endringer. Oversikt over underdatabehandlere ved Avtalens inngåelse er spesifisert i vedlegg 2 til Avtalen. 7
Underdatabehandler skal pålegges de samme forpliktelsene med hensyn til hvern av personopplysninger som er fastsatt i Avtalen i bindende avtale hvor underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Dersom underdatabehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger og kravene i Avtalen, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser. I tillegg til underleverandører omhandlet ovenfor er Behandlingsansvarlig innforstått med at Databehandleren vil overføre personopplysninger til den transportøren som Behandlingsansvarlig har valgt som befrakter på sendingen, jf. ovenfor under pkt. 2. 6. Sikkerhet og avvik Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven med forskrifter. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på den Behandlingsansvarliges forespørsel. Det blir tatt sikkerhetskopi av databasen en gang i døgnet og sikkerhetskopien oppbevares i 7 dager. I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle den Behandlingsansvarlige uten ugrunnet opphold. Melding om brudd skal minimum inneholde: 1. Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt 2. Navn på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes 3. Beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten 4. Beskrivelse av de tiltak som er truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet 8
Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger. Den Behandlingsansvarlige har ansvaret for å sende melding til tilsynsmyndighet, og Databehandler skal ikke sende slik melding eller kontakte tilsynsmyndighet uten at den Behandlingsansvarlige har gitt instruks om dette. 7. Avtalens varighet, pålegg om stans, plikter ved opphør/oppsigelse Avtalen gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på vegne av Behandlingsansvarlige etter Hovedavtalen. Ved brudd på denne Avtalen, personopplysningsloven eller annet relevant regelverk, kan Behandlingsansvarlig pålegge Databehandleren å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Databehandleren skal, etter den Behandlingsansvarliges instruksjon, slette eller tilbakelevere alle personopplysninger til den Behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering. Den Behandlingsansvarlige skal motta en skriftlig bekreftelse fra Databehandleren på at alle personopplysninger er returnert eller slettet i henhold til den Behandlingsansvarliges instruksjoner og at Databehandleren ikke har beholdt kopi, utskrifter eller andre former for personopplysninger i noen form. 8. Øvrige plikter og rettigheter Øvrige plikter og rettigheter følger av Hovedavtalen som gjelder mellom Databehandleren og Behandlingsansvarlige om tjenestene som nødvendiggjør behandling av personopplysninger og denne Avtale. De samme kontaktpersoner gjelder for Avtalen som etter Hovedavtalen. Denne Avtalen skal ikke utvide Behandlingsansvarliges sanksjonsmuligheter, herunder erstatningsansvar for Databehandleren, utover det som følger av Hovedavtalen. Ved eventuell overdragelse av Hovedavtalen til andre parter, skal denne Avtale overdras tilsvarende. 9
9. Lovvalg og verneting Avtalen er underlagt norsk rett. Enhver tvist som måtte oppstå i forbindelse med avtalen skal søkes løst ved forhandlinger. Fører forhandling ikke frem, skal saken løses ved de ordinære domstoler med sete på det sted i Norge hvor databehandler har sitt hovedkontor. Dersom noen bestemmelser i denne avtalen eller oppfyllelsen av den anses ugyldig i henhold til lovgivningen, skal dette ikke få noen betydning for gyldigheten av de øvrige bestemmelsene i avtalen. * * * Dato:... Databehandler Behandlingsansvarlig..... Logistra AS..... Vedlegg: 10
1. Oversikt over funksjoner i systemet pr. dato for avtaleinngåelse 2. Oversikt over underdatabehandlere pr. dato for avtaleinngåelse 11
VEDLEGG 1 OVERSIKT OVER FUNKSJONER I SYSTEMET Automatisk oppbygging av kunderegister når unik id brukes på mottaker på oppdrag eller når id utelates. Distribution Innovation AS - API kall for rutekontroll/dekningssjekk for adresser. Pålagt av Postnord AS. Blir brukt av kunder som sender med Postnord sitt MyPack Small produkt og av kunder som bruker Helthjem AS som transportør. Sender filer inneholdene EDI data til transportør. For transportører som ikke tar imot EDI direkte, men via egen systemleverandør blir EDI data sendt til EDI leverandører til transportør. Sender epost til transportør. Disse epostene inneholder transportdata som et alternativ til de transportører som ønsker dette og som ikke har systemer for mottak av EDI data. Gjør kall til API hos transportør for sjekk av ruteinformasjon og dekning basert på mottakers adresse. Gjelder bare enkelte transportprodukter hos enkelte transportører. Pålagt å bruke av transportør. Gjør kall til API hos transportør for beregning av fraktpriser. Avsender velger selv om dette skal gjøres eller ikke. Sender ut Epost til mottaker for å varsle om sending som er påvei fra avsender. Avsender velger selv om dette skal gjøres eller ikke. 12
VEDLEGG 2 OVERSIKT OVER UNDERLEVERANDØRER Amazon Web Services (AWS) Cargonizer kjøres som tjenester på Amazon Web Services (AWS). Amazons datasentre tilfredsstiller svært høye sikkerhetskrav både når det gjelder fysisk sikring og programvaremessig sikring, og har blitt sertifisert med følgende sikkerhetsgodkjenninger SO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2 and SOC 3, PCI DSS Level 1, og spesifikke EU sertifiseringer som BSI s Common Cloud Computing Controls Catalogue (C5). Detaljert informasjon rundt sikkerhet leveres Amazon Web Services (AWS): https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/ https://aws.amazon.com/security/ Mottaker av EDI meldinger De transportører som mottar EDI meldinger og evt. systemleverandører som disse benytter for å motta EDI meldinger fra Cargonizer blir holdt oppdatert her: https://www.logistra.no/download/transportorer.txt Distribution Innovation AS Leverer API for dekningsjekk av adresser for å kunne avgjøre om en sending kan benytte ønsket transportprodukt. https://www.di.no/ 13