Databehandleravtale

Denne Databehandleravtalen regnes som et gjeldende bilag til våre kundeforhold.*
Databehandleravtalen sikrer at personopplysninger ikke kommer på avveie eller brukes urettmessig.
Databehandler er Tibe 3 AS, heretter omtalt som «Leverandør».
Behandlingsansvarlig er kunde, heretter omtalt som «Kunde».

 
1. Databehandleravtalens hensikt
Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Avtalen regulerer Leverandørs bruk av personopplysninger på vegne av den Kunde, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse i forbindelse med leveranse, herunder utvikling av nettsider og/eller drift av disse, bistand med innholdarbeid, grafisk arbeid, video/foto produksjon, SEO og digital synlighet og rådgivningstjenester.

 
2. Instrukser
Leverandør skal følge de skriftlige instrukser for forvaltning av personopplysninger i denne avtalen som Kunde har bestemt skal gjelde.
Leverandør forplikter seg til å overholde alle plikter og lover i henhold til rettsgrunnlaget som gjelder ved bruk av Leverandørs tjenester ved behandling av personopplysninger.

 
3. Formålsbegrensning
Formålet med Leverandørs forvaltning av personopplysninger på vegne av Kunde, er å levere og administrere Leverandørs tjenester til Kunde, tjenester begrenset av de avtaler som gjøres med Kunde.
Leverandør kan kun behandle Kundes personopplysninger i den utstrekning det er strengt nødvendig for å gjennomføre og imøtekomme kravene i henhold til avtale inngått med Kunde.
Leverandør har ikke selvstendig råderett til personopplysningene, og kan ikke behandle disse til egne formål.
Leverandør kan kun overføre personopplysninger som omfattes av denne avtalen til samarbeidspartnere eller andre tredjeparter.

 
4. Opplysningstyper og registrerte
Det er Kunde sitt ansvar å vedlikeholde en oversikt over hvilke personopplysninger Leverandør behandler på vegne av Kunde, samt registrerte berørte.
Personopplysninger som behandles på vegne av Kunde i forbindelse med leveranse innenfor et av Leverandørens tjenesteområder kan være navn, fødselsdato, adresser, telefonnumre, epostadresser, IP-adresser, brukernavn, passord, informasjonskapsler, kundenumre, personnummer eller andre nasjonale identitetsnummer, kredittkortnummer, kjøpshistorikk, loggfiler eller enhver annen opplysning, som definert av Kunde, kan bli brukt alene eller sammen med annen opplysning til å identifisere en fysisk person.
De registrerte som Leverandør behandler personopplysninger på vegne av i forbindelse med leveranse kan være kunder, leverandører, ansatte, studenter, besøkende, medlemmer, deltakere eller enhver annen gruppe av fysiske personer, som definert av Kunde.

 
5. De registrertes rettigheter
Leverandør plikter å bistå Kunde ved ivaretakelse av den registrertes rettigheter, jf. rettsgrunnlaget.
Den registrertes rettigheter inkluderer retten til informasjon om hvordan hans eller hennes personopplysninger behandles, retten til å kreve innsyn i egne personopplysninger, retten til å kreve retting eller sletting av egne personopplysninger og retten til å kreve at behandlingen av egne personopplysninger begrenses.
I den grad det er relevant, skal Leverandør bistå Kunde med å ivareta de registrertes rett til dataportabilitet og retten til å motsette seg automatiske avgjørelser, inkludert profilering.
Dersom det påløper Leverandør gebyrer fra tredjepart i forbindelse med ivaretakelsen av rettighetene kan Leverandør viderefakturere Kunde disse gebyrene forutsatt at Leverandør informerer om gebyrene på forhånd.

 
6. Tilfredsstillende informasjonssikkerhet
Leverandør skal iverksette tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Leverandør skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak.
De tekniske og organisatoriske tiltakene kan endres av Leverandør som følge av teknologisk utvikling. Sikkerhetsnivået i de spesifiserte tiltakene kan ikke reduseres som følge av dette. Betydelige endringer må dokumenteres.

 
7. Sikkerhetstiltak og interne prosedyrer
Der hvor Leverandør leverer de tekniske systemene, har det blitt iverksatt en rekke sikkerhetstiltak, både tekniske og organisatoriske, for å beskytte integriteten og konfidensialiteten til våre kunders data. Av sikkerhetsmessige årsaker kan vi ikke gå i detalj om alle sikkerhetstiltak vi har iverksatt. Vi kan bare gi en overordnet beskrivelse av rutinene og prosedyrene vi har på plass for å beskytte Kunden’s data. Disse inkluderer, men er ikke begrenset til:

  • Tilgangsstyrt lagring på lokal server
  • Brannmurer for deteksjon og forhindring av inntrengingsforsøk
  • Redundant lagring (RAID)
  • Backup til tredjeparts lokasjon i en separat fysisk bygning (i tilfelle brann)
  • Brukerstyrte pålogginger til systemer hvor persondata ligger lagret.
  • Bruk av kjente leverandører som håndterer persondata i henhold til lovgivning.
  •  
    Der hvor Kunde selv er ansvarlig for de tekniske løsningene, er det Kunde som er ansvarlig for at persondata håndteres i henhold til gjeldende lovgivning.

    Leverandør ønsker å understreke at persondata ikke deles uhensiktsmessig med Leverandør eller andre leverandører/aktører, da dette kan føre til brudd på loven, dersom dette ikke gjøres i henhold til korrekte prosedyrer.
    Kun ansatte og innleid personell hos Leverandør som har tjenstlige behov for tilgang til personopplysninger som forvaltes på vegne av Kunde, kan gis tilgang til disse.

     
    8. Varslingsplikt ved sikkerhetsbrudd
    Leverandør skal uten ubegrunnet opphold varsle Kunde dersom personopplysninger som forvaltes på vegne av Kunde utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern.
    Varslet til Kunde skal som minimum inneholde informasjon som beskriver sikkerhetsbruddet, hvilke registrerte som er berørt av sikkerhetsbruddet, hvilke personopplysninger som er berørt av sikkerhetsbruddet, hvilke strakstiltak som er iverksatt for å håndtere sikkerhetsbruddet og hvilke forebyggende tiltak som eventuelt er etablert for å unngå liknende hendelser i fremtiden.
    Kunde er ansvarlig for at varsler om sikkerhetsbrudd fra Leverandør blir videreformidlet til Datatilsynet, med mindre Leverandør anser det som hensiktsmessig at Leverandør varsler Datatilsynet.

     
    9. Underleverandører
    En underleverandør betegnes i denne avtalen som en part som utfører behandling av personopplysninger direkte relatert til denne avtalen.
    Kunde aksepterer at Leverandør kan benytte underleverandører ved levering av tjenestene og behandling av personopplysninger, forutsatt at de behandler personopplysninger i tråd med denne avtalen.

     
    10. Ved opphør
    Ved opphør av avtale er Leverandør pliktet til å tilbakelevere alle personopplysninger som er mottatt på vegne av den Kunde ved forespørsel. Tilbakelevering av personopplysninger gjøres med et standardisert format. Eksport av data utover det Leverandørs systemer muliggjør skal skje for Kunde sin regning, og faktureres etter medgått tid og til gjeldende timepriser.
    Kunde aksepterer at Leverandør sletter alle data ved opphør, inkludert eventuelle sikkerhetskopier, etter at siste avtaleperiode har løpt ut, og at data vil bli slettet etter de retningslinjer og prosedyrer som Leverandør til enhver tid fastsetter.
    Leverandør skal skriftlig bekrefte eller dokumentere at sletting er foretatt etter avtalens opphør på Kundes forespørsel. Kostnader for destruksjon og dokumentasjon skal dekkes av Kunde.
    Leverandør vil ikke innestå for tap av data som skyldes at eksport av data ikke er gjennomført før utløpsdato for tjenesten(e).

     
    11. Avtalens varighet
    Avtalen gjelder så lenge Kunde har et kundeforhold med Leverandør, og gjelder så lenge Leverandør behandler personopplysninger på vegne av Kunde for gjeldende avtale.

     
    *I særskilte tilfeller vil det kunne utarbeides en eksplisitt avtale mellom Kunde og Leverandør. Dette i de tilfeller hvor gjeldende databehandleravtale ikke er tilstrekkelig eller hvor det er særskilte behov. Dersom Leverandør skal utarbeide en slik avtale, vil dette belastes i henhold til gjeldende timesatser.

     
    Du kan laste ned databehandleravtalen som PDF her: Last ned

    Vil du snakke med oss om ditt nye prosjekt eller idé?

    Skriv inn din e-post så kontakter vi deg så raskt som mulig.

    • Dette feltet er for valideringsformål og skal stå uendret.