Databehandleravtale
mellom
Holger Sia som "databehandler"
og
Kunden som "behandlingsansvarlig"
Ved å bestille lisens bekrefter kunden å ha lest, forstått og akseptert vilkårene i denne avtalen.
Databehandleravtalen gjelder lagring av data knyttet til bruk av læringsverktøyet Inetracty
1. Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter i henhold til gjeldende norsk personopplysnings lovgivning og forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF.
Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Avtalen regulerer databehandlers forvaltning av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bruk av/behandling i (navn på tjeneste/prosjekt).
Ved motstrid skal vilkårene i denne avtalen gå foran databehandleren sin personvernerklæring eller vilkår i andre avtaler inngått mellom behandlingsansvarlig og databehandler i forbindelse med bruk av/behandling i (navn på tjeneste/prosjekt).
2. Formålsbegrensning
Formålet med databehandlers forvaltning av personopplysninger på vegne av behandlingsansvarlig, er bruk av læringsverktøyet Interacty
Personopplysninger som databehandler forvalter på vegne av behandlingsansvarlig kan ikke brukes til andre formål enn levering og administrasjon av/annen type behandling uten at dette på forhånd er godkjent av behandlingsansvarlig.
Databehandler kan ikke overføre personopplysninger som omfattes av denne avtalen til samarbeidspartnere eller andre tredjeparter uten at dette på forhånd er godkjent av behandlingsansvarlig, jf. punkt 9 i denne avtalen.
3. Instrukser
Databehandler skal følge de skriftlige og dokumenterte instrukser for forvaltning av personopplysninger i spesialpedagog.no som behandlingsansvarlig har bestemt skal gjelde.
Holger SIA forplikter seg til å overholde alle plikter i henhold til gjeldende norsk personopplysnings lovgivning som gjelder ved bruk av/behandling i spesialpedagog.no til behandling av personopplysninger.
Databehandler forplikter seg til å varsle behandlingsansvarlig dersom databehandler mottar instrukser fra behandlingsansvarlig som er i strid med bestemmelsene i gjeldende norsk personopplysnings lovgivning.
4. Opplysningstyper og registrerte
Databehandleren forvalter følgende personopplysninger på vegne av behandlingsansvarlig i forbindelse med levering og administrasjon av Interacty:
1. Lagring av dataene som kommunens / utdanningsinstitusjonens brukere legger inn på plattformene som brukerne har tilgang til via behandlingsansvarliges lisenser hos Interacty / Info Vest forlag AS.
2. Behandling av anonymiserte data til bruk for rapportering til behandlingsansvarlig om bruk/utnyttelse av behandlingsansvarligs lisenser samt databehandlers løpende utvikling, optimalisering og service av produktet.
3. I forbindelse med support til brukere av Interacty behandles relevant informasjon vedrørende brukeren, f.eks. navn, kontaktinformasjon ev bruker-ID eller informasjon som identifiserer institusjonen brukeren kontakter på vegne av.
5. De registrertes rettigheter
Databehandler plikter å bistå behandlingsansvarlig ved ivaretakelse av den registrertes rettigheter i henhold til gjeldende norsk personopplysnings lovgivning.
Den registrertes rettigheter inkluderer retten til informasjon om hvordan hans eller hennes personopplysninger behandles, retten til å kreve innsyn i egne personopplysninger, retten til å kreve retting eller sletting av egne personopplysninger og retten til å kreve at behandlingen av egne personopplysninger begrenses.
I den grad det er relevant, skal databehandler bistå behandlingsansvarlig med å ivareta de registrertes rett til dataportabilitet og retten til å motsette seg automatiske avgjørelser, inkludert profilering.
Databehandler er erstatningsansvarlig overfor de registrerte dersom feil eller forsømmelser hos databehandler påfører de registrerte økonomiske eller ikke-økonomiske tap som følge av at deres rettigheter eller personvern er krenket.
6. Taushetsplikt
Kun de hos databehandler som har tjenstlige behov for tilgang til personopplysninger som forvaltes på vegne av behandlingsansvarlig, kan gis slik tilgang. Databehandler plikter å dokumentere retningslinjer og rutiner for tilgangsstyring. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig.
Ansatte hos databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter ansatte hos tredjeparter som utfører vedlikehold (eller liknende oppgaver) av systemer, utstyr, nettverk eller bygninger som databehandler anvender for å levere eller administrere/annen type behandling (navn på tjeneste/prosjekt).
Norsk lov vil kunne begrense omfanget av taushetsplikten for ansatte hos databehandler og tredjeparter.
7. Tilgang til sikkerhetsdokumentasjon
Databehandler plikter å gi behandlingsansvarlig tilgang til all sikkerhetsdokumentasjon som er nødvendig for at behandlingsansvarlig skal kunne ivareta sine forpliktelser i henhold til gjeldende norsk personopplysnings lovgivning.
Databehandler plikter å gi behandlingsansvarlig tilgang til annen relevant dokumentasjon som gjør det mulig for behandlingsansvarlig å vurdere om databehandler overholder vilkårene i denne avtalen.
Ansatte hos behandlingsansvarlig har taushetsplikt for konfidensiell sikkerhetsdokumentasjon som databehandler gjør tilgjengelig for behandlingsansvarlig.
8. Varslingsplikt ved sikkerhetsbrudd
Databehandler skal uten ubegrunnet opphold varsle behandlingsansvarlig dersom personopplysninger som forvaltes på vegne av behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern.
Varslet til behandlingsansvarlig skal som minimum inneholde informasjon som beskriver sikkerhetsbruddet, hvilke registrerte som er berørt av sikkerhetsbruddet, hvilke personopplysninger som er berørt av sikkerhetsbruddet, hvilke strakstiltak som er iverksatt for å håndtere sikkerhetsbruddet og hvilke forebyggende tiltak som eventuelt er etablert for å unngå liknende hendelser i fremtiden.
Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra databehandler blir videreformidlet til Datatilsynet.
9. Underleverandører
Databehandler har inngått egen avtale med underleverandører til Interacty som regulerer underleverandørenes forvaltning av personopplysninger i forbindelse med levering og administrasjon av/annen type behandling enn Interacty utfører.
I avtaler mellom databehandler og underleverandører skal underleverandørene pålegges å ivareta alle plikter som databehandleren selv er underlagt i henhold til denne avtalen. Databehandler plikter å forelegge avtalene for behandlingsansvarlig etter forespørsel.
Behandlingsansvarlig godkjenner at databehandler engasjerer følgende underleverandører i forbindelse med levering og administrasjon av/annen type behandling enn Interacty utfører:
Info Vest forlag AS
AMAZON WEB SERVICES EMEA SOCIÉTÉ À RESPONSABILITÉ LIMITÉE
38 AVENUE JOHN F. KENNEDY, L-1855 LUXEMBOURG
Løsningen kjøres på EC2, en skybasert tjeneste som bruker Amazon Web Services (Amazons datasentre) som fysisk lagring. Amazons datasentre tilfredsstiller svært høye sikkerhetskrav både når det gjelder fysisk sikring og programvaremessig sikring, og har blir sertifisert med følgende sikkerhetsgodkjenninger:
ISO 27001
SOC 1 and SOC 2/SSAE 16/ISAE 3402 (Previously SAS 70 Type II)
PCI Level 1 FISMA Moderate
Sarbanes---Oxley (SOX) og andre
Flere detaljer her https://aws.amazon.com/compliance/
Serverene for AWS er plassert i Frankfurt, Europe (eu-central-1 region).
Databehandler kan ikke engasjere andre underleverandører enn de som er nevnt ovenfor uten at dette på forhånd er godkjent av behandlingsansvarlig.
Databehandler er erstatningsansvarlig overfor behandlingsansvarlig for økonomiske tap som påføres behandlingsansvarlig og som skyldes ulovlig eller urettmessig behandling av personopplysninger eller mangelfull informasjonssikkerhet hos underleverandører.
10. Avtalens varighet
Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.
Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Dersom en avtalepart misligholder sine forpliktelser etter denne Databehandleravtalen, skal anvendbare bestemmelser om heving i Lisensavtalen gjelde.
Avtalen kan sies opp av begge parter med en gjensidig frist på 3 måneder i denne avtalen.
11. Ved opphør
Ved opphør av denne avtalen plikter databehandler å slette alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.
Databehandler skal slette eller forsvarlig destruere alle dokumenter, data, mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier.
Databehandler skal skriftlig etter avtale kunne dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen 30 dager etter avtalens opphør.
Databehandleravtalen er underlagt norsk rett, og skal tolkes og anvendes deretter.
Ingenting i Databehandleravtalen skal forstås som en innskrenkning av de plikter som avtalepartene er underlagt etter gjeldende rett for behandling av personopplysninger.
Ved motstrid skal Databehandleravtalen gå foran Lisensavtalen og andre kontraktsdokumenter, dersom motstriden tematisk knytter seg til et forhold som angår behandling av personopplysninger. Ved annen motstrid skal Lisensavtalen og andre kontraktsdokumenter gå foran Databehandleravtalen.
12. Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Jæren Tingrett som verneting.
Dette gjelder også etter opphør av avtalen.
***
Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt.
Sted og dato, Bryne 23.08.2023
På vegne av behandlingsansvarlig På vegne av databehandler
……………………….. ………………………
(underskrift) (underskrift)
Stilling: …………………………. Stilling: Styrets leder
Navn: …………………………… Navn: Artem Grishanov