Databehandleravtale
Sist oppdatert: 19. november 2023
Denne avtalen regulerer behandling av personopplysninger mellom Databehandler (XtraMile AS) og Behandlingsansvarlig (Kunden)
1. Beskrivelse av tjenesteleveransen
Databehandler (XtraMile AS) skal levere tjenesten XtraMile til Behandlingsansvarlig (Kunden). XtraMile er en e-læringsplattform som brukes til å gjennomføre nettbasert opplæring og testing for ansatte hos Behandlingsansvarlig. Detaljert informasjon om XtraMile leveransen til Behandlingsansvarlig er beskrevet i XtraMile kontrakten mellom Behandlingsansvarlig og Databehandler
2. Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter etter lov av 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven).
Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Avtalen regulerer databehandlers forvaltning av personopplysninger på vegne av
Behandlingsansvarlig, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.
Ved motstrid skal vilkårene i denne avtalen gå foran databehandlers personvernerklæring eller vilkår i andre avtaler inngått mellom Behandlingsansvarlig og databehandler i forbindelse med bruk av databehandlerens tjenester.
Databehandler skal følge de skriftlige instrukser for forvaltning av personopplysninger i tjenesteleveransene som Behandlingsansvarlig har bestemt skal gjelde.'
3. Formål
Formålet med avtalen er å regulere hvilke personopplysninger som skal behandles, hvilke behandlinger som omfattes av avtalen og hva som er rammene for databehandlers håndtering av personopplysninger.
Formålsbegrensning
Formålet med databehandlers forvaltning av personopplysninger på vegne av
Behandlingsansvarlig, er å levere og administrere tjenestene som er beskrevet i 1.
Personopplysninger som databehandler forvalter på vegne av Behandlingsansvarlig kan ikke brukes til andre formål enn levering og administrasjon av opplæringstjenesten XtraMile uten at dette på forhånd er godkjent av Behandlingsansvarlig.
Databehandler kan ikke overføre personopplysninger som omfattes av denne avtalen til samarbeidspartnere eller andre tredjeparter uten at dette på forhånd er godkjent av Behandlingsansvarlig, jf. punkt 7 i denne avtalen.
4. Opplysningstyper og registrerte
Databehandleren forvalter følgende personopplysninger på vegne av Behandlingsansvarlig i forbindelse med levering og administrasjon av tjenestene:
Behandlingsansvarlig kan også benytte flere opplysninger for å få mer effektiv utnyttelse av tjenesten. Eksempel på slike opplysninger er:
Hvilke opplysninger som synkroniseres med tjenesten hos databehandler kan kontinuerlig endres av behandlingsansvarlig, uten involvering av databehandler. Databehandler mottar ovennevnte informasjon fra Behandlingsansvarlig gjennom integrasjon mellom Active Directory eller import av Excel filer fra Behandlingsansvarlig.
Behandlingen av denne data begrenses til gjennomføring av kurs, kartlegging av kursbehov og kompetansetester.
Databehandler kan håndtere personopplysninger til følgende formål innenfor oppdraget: Kurs, kartlegging av kursbehov, kompetansetester og utvikling av ny funksjonalitet og vedlikehold av tjenesten XtraMile. XtraMile vil for eget formål benytte seg av aggregert og anonymisert data i den hensikt å videreutvikle funksjonalitet i programvaren.
Dataene lagres hos Databehandler frem til Behandlingsansvarlig fjerner tilgang i sitt register til personen eller en gruppe hos Behandlingsansvarlig.
Databehandler deler alle personopplysninger med underleverandører nevnt i pkt. 7.
5. Informasjonsformål: Sende ut og samle gjennomføringsdata for nettbaserte kurs, tester og undersøkelser.
De registrertes rettigheter
Databehandler plikter å bistå Behandlingsansvarlig ved ivaretakelse av den registrertes rettigheter, jf. Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016, kapittel III.
Den registrertes rettigheter inkluderer retten til informasjon om hvordan hans eller hennes personopplysninger behandles, retten til å kreve innsyn i egne personopplysninger, retten til å kreve retting eller sletting av egne personopplysninger og retten til å kreve at behandlingen av egne personopplysninger begrenses.
I den grad det er relevant, skal Databehandler bistå Behandlingsansvarlig med å ivareta de registrertes rett til dataportabilitet og retten til å motsette seg automatiske avgjørelser, inkludert profilering, i henhold til Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 art. 32-36.
6. Databehandlerens plikter
Databehandler skal følge de rutiner og instrukser for behandlingen som Behandlingsansvarlig til enhver tid har bestemt skal gjelde.
Databehandler skal kun behandle personopplysninger på vegne av Behandlingsansvarlig i henhold til instruks. Dersom gjeldende lovgivning nødvendiggjør behandling utover det som følger av instruksen, så skal Behandlingsansvarlig underrettes om dette. Databehandler skal gi beskjed til Behandlingsansvarlig dersom det er gitt instruks i strid med regelverket.
Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
7. Informasjonssikkerhet
Databehandler skal iverksette tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Databehandler skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig.
Databehandler skal etablere kontinuitets- og beredskapsplaner for effektiv håndtering av alvorlige sikkerhetshendelser. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig.
Databehandler skal gi egne ansatte tilstrekkelig informasjon om og opplæring i informasjonssikkerhet slik at sikkerheten til personopplysninger som behandles på vegne av Behandlingsansvarlig blir ivaretatt.
Databehandler skal dokumentere opplæringen av egne ansatte i informasjonssikkerhet. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig.
Se også XtraMile Whitepaper for øvrige detaljer om hvordan vi håndterer sikkerhet og sikkerhetsrutiner i applikasjonen og organisasjonen.
8. Bruk av underleverandører
Databehandler plikter å inngå egne avtaler med underleverandører til de leverte tjenestene som regulerer underleverandørenes forvaltning av personopplysninger i forbindelse med levering og administrasjon av disse.
I avtaler mellom Databehandler og underleverandører skal underleverandørene pålegges å ivareta alle plikter som Databehandleren selv er underlagt i henhold til denne avtalen. Databehandler plikter å forelegge avtalene for Behandlingsansvarlig etter forespørsel.
Dersom underleverandøren ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, skal Databehandleren overfor den Behandlingsansvarlige ha fullt ansvar på samme måte som om Databehandler selv sto for behandlingen.
Databehandler skal kontrollere at underleverandører av opplæringstjenesten XtraMile overholder sine avtalemessige plikter, spesielt at informasjonssikkerheten er tilfredsstillende og at ansatte hos underleverandører er kjent med sine forpliktelser og oppfyller disse.
Behandlingsansvarlig godkjenner at Databehandler engasjerer følgende underleverandører i forbindelse med levering og administrasjon av tjenestene:
Underleverandører
Underleverandører hvis det leveres phishingtjenester:
Opplysningstyper og registrerte som underleverandører behandler:
9. Tilgang for tredjepartsland
Lagring av data er hos Microsoft Azure, Mailgun og Hubspot aktivt valgt å ligge innenfor EEA. Disse underleverandørene er imidlertid underlagt US lovgivning, derfor har databehandler signert egne databehandleravtaler med disse underleverandører som også dekker siste versjon av EU Standard Contractual Causes (SCC). Avtaler kan fremvises ved forespørsel.
10. Sikkerhetsrevisjoner
Behandlingsansvarlig har anledning til å gjennomføre sikkerhetsrevisjon av Databehandlers rutiner for informasjonssikkerhet og internkontroll. Revisjonen kan omfatte stedlig inspeksjon eller gjennomføres ved at Databehandler oversender sine risikovurderinger, samtykkeskjema, oppdaterte rutiner for informasjonssikkerhet og internkontroll, sletterutiner, samt resultatet av den sikkerhetsrevisjonen som Databehandler har gjort av informasjonssystemet.
Behandlingsansvarlig har videre adgang til å foreta stikkprøvekontroller av Databehandlers informasjonssikkerhet og internkontroll.
Dersom Behandlingsansvarlig ønsker å foreta stedlig inspeksjon eller stikkprøvekontroll skal Databehandler varsles skriftlig og innen rimelig tid forut for stedlig inspeksjon lt er etablert for å unngå liknende hendelser i fremtiden.
Databehandler plikter å gjennomføre årlige sikkerhetsrevisjoner av informasjonssystemet de benytter i ledd av arbeidet de utfører på vegne av Behandlingsansvarlig og som er relevant for denne avtalen. Resultatet av denne sikkerhetsrevisjonen skal gjøres tilgjengelig for Behandlingsansvarlig på forespørsel.
11. Taushetsplikt
Kun ansatte hos Databehandler som har tjenstlige behov for tilgang til personopplysninger som forvaltes på vegne av Behandlingsansvarlig, kan gis slik tilgang. Databehandler plikter å dokumentere retningslinjer og rutiner for tilgangsstyring. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig.
Ansatte hos Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter ansatte hos tredjeparter som utfører vedlikehold (eller liknende oppgaver) av systemer, utstyr, nettverk eller bygninger som Databehandler anvender for å levere eller administrere tjenestene.
12. Varslingsplikt ved sikkerhetsbrudd
Databehandler skal uten ubegrunnet opphold varsle Behandlingsansvarlig dersom personopplysninger som forvaltes på vegne av Behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern.
Varslet til Behandlingsansvarlig skal som minimum inneholde informasjon som beskriver sikkerhetsbruddet, hvilke registrerte som er berørt av sikkerhetsbruddet, hvilke personopplysninger som er berørt av sikkerhetsbruddet, hvilke strakstiltak som er iverksatt for å håndtere sikkerhetsbruddet og hvilke forebyggende tiltak som eventuelt må innføres.
Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra Databehandler blir videreformidlet til Datatilsynet.
13. Avtalens varighet
Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.
Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning
Avtalen kan sies opp av begge parter med en gjensidig frist tilsvarende oppsigelsesvilkår i oppdragsavtale.
14. Ved opphør
Ved opphør av denne avtalen plikter Databehandler å slette og tilbakelevere personverndata behandlet for Behandlingsansvarlig, såfremt det ikke foreligger krav igjennom i.e. regnskapsloven eller andre regulatoriske krav om oppbevaring.
Databehandler skal på forespørsel fra Behandlingsansvarlig kunne påvise at sletting er gjennomført.
15. Mislighold
Ved mislighold av vilkårene i denne avtalen som skyldes feil eller forsømmelser fra Databehandlers side, kan Behandlingsansvarlig si opp avtalen med øyeblikkelig virkning. Databehandler vil fortsatt være pliktig til å tilbakelevere og slette personopplysninger som forvaltes på vegne av Behandlingsansvarlig i henhold til bestemmelsene i punkt 12 ovenfor.
16. Meddelelser
Meddelelser etter denne avtalen skal sendes skriftlig til XtraMile AS.
17. Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett, Postboks 8023 Dep. 0030 Oslo som verneting. Dette gjelder også etter opphør av avtalen.
***