Skip to content

Databehandleravtale

Oppdatert: 3. desember 2021

I henhold til personopplysningsloven, jf. personvernforordningen art. 28 nr. 3,
inngås databehandleravtale mellom kunde (behandlingsansvarlig) og Proviso AS (databehandler).

Denne databehandleravtale inngås automatisk ved signering av Tjenesteavtale om bruk av Proviso systemet mellom kunde (behandlingsansvarlig) og Proviso AS (databehandler).

Ved oppdateringer eller endringer i databehandleravtale vil kontraktsansvarlig hos kunde (behandlingsansvarlig) bli varslet på e-post senest 30 dager før endringene trer i kraft (med mindre det er lovpålagte endringer med kortere frist). Varselet vil bli sendt via Dealbuilder og vil kreve signatur av kontraktsansvarlig for å bekrefte at varsel er mottatt og godkjent.

 

1. Avtalens hensikt

Avtalen skal sikre personopplysningenes integritet, konfidensialitet og tilgjengelighet. Avtalen skal sikre at personopplysninger om de registrerte i databehandlerens database ikke brukes urettmessig eller kommer på avveie.

Personopplysningene skal behandles i samsvar med EUs personvernforordning (forordning 2016/679) og for øvrig behandles i samsvar med krav i lover og regler, herunder gjeldende personopplysningslov med eventuelle forskrifter og godkjente adferdsnormer, samlet benevnt «Regelverket».

Avtalen regulerer databehandler sin bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

 

2. Formål

Formålet med behandlingen av personopplysninger er å kunne levere en tjeneste i henhold til den tjenesteavtale (Tjenesteavtalen) som kunde (behandlingsansvarlig) har inngått med Proviso AS, samt å sikre at den aktuelle behandlingen av personopplysninger skjer i samsvar med Regelverket.

Appendix 1 (lenger ned på siden) til denne databehandleravtalen inneholder en nærmere beskrivelse av formål og omfang for databehandlers behandling av personopplysninger, i tråd med personvernforordningen artikkel 28 (3) og artikkel 30 (2).

 

3. Databehandlers plikter

Databehandleren handler etter instruks fra den behandlingsansvarlige.
Databehandler skal oppfylle de krav som stilles etter Regelverket, herunder:

  • Sikre at personer som er autorisert til å behandle personopplysninger, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetserklæring, jf. forordningen art. 28 (3) bokstav b.
  • Ikke engasjere en annen databehandler («underdatabehandler») uten særlig eller generell skriftlig tillatelse fra den behandlingsansvarlige, jf. forordningen art 28 (2). Dersom det skal benyttes en annen underleverandør skal det skriftlig gjøres rede for hvilke oppgaver denne utfører og i hvilke land denne befinner seg i. Hvis databehandleren bruker en annen databehandler, og det er gitt tillatelse til dette, må denne pålegges de samme kontraktsvilkårene som kreves etter forordningen art. 28 (3) og den opprinnelige databehandler vil være fullt ut ansvarlig for at andre databehandlere oppfyller sine forpliktelser.
  • Personopplysningene skal kun behandles etter instruks fra den behandlingsansvarlige, herunder ikke overføre personopplysninger til land utenfor EU/EØS (tredjeland) uten etter skriftlig og dokumenterbar instruks fra den behandlingsansvarlige, jf. forordningen art 28 (3) bokstav a.
  • Databehandler skal treffe alle tiltak som er nødvendige for å oppnå et sikkerhetsnivå som står i forhold til den relevante risiko ved behandlingen, jf. forordningen art. 32.
  • Databehandler skal også bistå ved å svare på henvendelser fra personene det behandles personopplysninger om (de registrerte), ref. personvernforordningen art. 28 nr. 3 bokstav e.
  • Etterkomme pålegg fra den behandlingsansvarlige om å slette eller tilbakelevere alle personopplysninger (inkludert kopier) etter at tjenestene knyttet til behandlingen er avsluttet, men mindre det foreligger lovkrav til at opplysningen skal fortsatt lagres, jf. forordningen art 28 (3) bokstav g. Databehandler sletter informasjon løpende henholdsvis etter 2 år (ved prosjekt) og 5 år (ved løpende avtaler og arrangement med betaling), dersom annet ikke er spesifisert i Tjenesteavtale.
    Ved opphør av avtale slettes hele kontoen og alle tilhørende data. Databehandler har som rutine å kontakte bruker hos kunde før konto slettes for å avklare om det er hentet ut aktuelle data eller om bruker ønsker hjelp til å gjøre dette før kontoen slettes for godt av databehandler. 
  • Gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene ovenfor er oppfylt for den behandlingsansvarlige, samt muliggjøre og bidra til revisjoner og inspeksjoner som gjennomføres av den behandlingsansvarlige eller annen på dennes vegne, jf. forordningen art 28 (3) bokstav h.
  • Omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige er i strid med Regelverket, se også forordningen art 28 andre avsnitt.

Databehandler skal sikre at all behandling av personopplysninger som er omfattet av denne avtalen utføres i samsvar med akseptabelt risikonivå og i samsvar med risikovurdering utført av databehandler.

Databehandleren definerer sikkerhetsmål, -strategi, -organisering og ansvar i samsvar med Regelverket og følger opp dette ved bruk av et internkontrollsystem.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon og bistå slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter Regelverket.

Databehandler plikter å sørge for at samtlige personer hos seg som gis tilgang til personopplysninger som behandles på vegne av behandlingsansvarlig er kjent med denne avtalen og er underlagt avtalens bestemmelser.

 

4. Den behandlingsansvarliges plikter

Behandlingsansvarlig skal påse at de aktuelle personopplysningene kan behandles. Nærmere bestemt skal behandlingsansvarlig

  • sørge for at det foreligger et tilstrekkelig hjemmelsgrunnlag,
  • sørge for at de avtaler som inngås med den registrerte og de samtykker som utformes er i samsvar med og muliggjør den behandling av personopplysninger som fremgår av Appendix 1, og
  • ha ansvaret for at overføringer av personopplysninger til databehandler lovlig kan skje.

 

5. Bruk av underleverandør

Proviso bruker underleverandører til hosting av servere, utsending av e-post, utsending av SMS og til sikker behandling av betalinger. Detaljerte opplysninger om hver underleverandør og hvilke personopplysninger de behandler finner du i Appendix 2. Hvis Proviso må bytte ut underleverandører vil behandlingsansvarlig bli varslet med samme frister som for resten av denne avtalen.

Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

Samtykker til at aktiviteter eller oppdrag utføres av nye underleverandører, eller endringer i driftssted, finner sted ved oppdatering av Appendix 2..

Databehandler er ansvarlig for underleverandørens utførelse av oppgaver for behandlingsansvarlig, på samme måte som om databehandler sto for utførelsen selv.

Krav om forhåndssamtykke fra behandlingsansvarlig gjelder også de tilfeller der databehandler og/eller underleverandørers behandling omfatter overføring av personopplysninger til land utenfor EU/EØS (Tredjeland). Slik overføring forutsetter gyldig overføringsgrunnlag i samsvar med Regelverket.  

For oversikt over Underdatabehandleravtaler, se Appendix 2 lenger ned på siden.

 

6. Sikkerhet

Databehandler skal ha en tilfredsstillende teknisk og fysisk sikring på den løsningen som benyttes.
Alle personopplysninger i Proviso systemet er fra 6.12.2021 kryptert.

Kun ansatte og andre som opptrer på databehandlers vegne, og som har tjenstlig behov for tilgang til personopplysningene kan gis slik tilgang.

Databehandler skal ha klare rutiner for logging av feil og avvik som er av betydning og som er omfattet av denne avtalen. Dersom det avdekkes slike feil eller avvik, skal databehandler så snart som mulig varsle behandlingsansvarlig om dette.

Databehandler skal etablere tiltak og rutiner for å avdekke avvik fra personvernsikkerhet og andre sikkerhetsbrudd, samt ha rutiner og iverksette tiltak for å følge opp og rette avvik. Databehandler plikter å bistå behandlingsansvarlig med oppfølgingen av avvik, samt fremskaffe den nødvendige informasjon om avviket som følger av Regelverket.

Eventuelle avvik skal skriftlig meldes til behandlingsansvarlig uten ugrunnet opphold og senest innen 24 timer etter at databehandler fikk mistanke om avviket, selv om Databehandler ikke har all påkrevet informasjon tilgjengelig. Melding til behandlingsansvarlig om eventuelle avvik skal ikke utsettes i påvente av undersøkelser rundt årsak, omfang og konsekvens. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til avviket.

 

7. Avtalens varighet

Denne databehandleravtalen følger varigheten til den tilknyttede Tjenesteavtalen. Databehandleravtalen gjelder imidlertid uansett så lenge databehandler behandler eller har tilgang til personopplysninger på vegne av behandlingsansvarlig. Herunder skal databehandler behandle og ha tilgang til opplysninger for alle aktive arrangementer hos databehandler inntil disse er endelig avsluttet. Et arrangement er avsluttet når det er gjennomført og alle bestilte og nødvendige etterfølgende aktiviteter er utført. Med mindre annet er avtalt skal arrangementer senest være avsluttet innen ett år etter at arrangementet er gjennomført.

Ved påvist brudd på denne databehandleravtalen, relevante forhold i Tjenesteavtalen og/eller Regelverket, kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av personopplysningene med øyeblikkelig virkning.

Dersom brudd på denne databehandleravtale ikke rettes innen rimelig tid, kan Behandlingsansvarlig si opp databehandleravtalen helt eller delvis etter forutgående skriftlig varsel. Ved helt eller delvis opphør av denne databehandleravtale, vil ytelser etter Tjenesteavtalen også opphøre.

 

8. Ved opphør

Ved opphør av denne avtalen plikter databehandler å slette og/eller forsvarlig destruere alle personopplysninger som er mottatt eller på annen måte lagret i Systemet.

Dette omfatter også sletting av logger, sikkerhetskopier og lignende, som databehandler ikke selv har behandlingsgrunnlag for å oppbevare.

Databehandler skal skriftlig dokumentere at sletting er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. 

Som databehandler er Proviso kun ansvarlig for tap behandlingsansvarlig blir påført som direkte følge av databehandlers eller dennes underdatabehandleres mislighold av denne databehandleravtalen mens behandlingsansvarliges data behandles hos Proviso. Proviso kan ikke gjøres ansvarlig for tap eller skade som følger av at behandlingsansvarlig har benyttet Proviso til å lagre eller behandle data systemet ikke er ment å behandle. Et evt. erstatningskrav vil være oppad begrenset til kostnader behandlingsansvarlig har hatt ved bruk av Proviso systemet.

Etter at Proviso som databehandler har tilbakelevert eller slettet personopplysningene som databehandleroppdraget knytter seg til, opphører databehandlers ansvar for den videre behandlingen.

 

9. Henvendelser vedrørende avtalen

Alle henvendelser vedrørende denne databehandleravtalen, herunder melding av avvik, skal skje til partens oppgitte kontraktsansvarlige i Tjenesteavtalen, med mindre annet skriftlig er definert i Tjenesteavtalen. Dette gjelder også ved endringer i Appendix 1 og Appendix 2.

 

10. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting.

Dette gjelder også i tilfelle av konflikter etter opphør av avtalen.

 

Appendix 1

Informasjon om behandling av personopplysninger

1. Formålet med behandlingen og kategorier av behandlingsaktiviteter

Databehandler skal kun behandle personopplysninger i den utstrekning det er nødvendig for å oppfylle sine oppgaver og forpliktelser etter Tjenesteavtalen.

  • Personopplysninger behandles hos databehandleren ved normal bruk av Systemet, herunder når behandlingsansvarlig benytter Systemet til
    • å legge inn / redigere kontaktopplysninger
    • å sende ut og administrere invitasjoner, påmeldinger og avmeldinger ved bruk av e-post og SMS.
    • å innhente samtykke til videre behandling fra den enkelte registrerte
  • For e-post utsendelser velger kunde selv om leverandør fra Europa (MailGun) eller USA (SendGrid) skal benyttes. Ved valg av SendGrid gir Behandlingsansvarlig samtidig databehandler en rett til å inngå avtale med underleverandør i tredjeland på vegne av behandlingsansvarlig. Det vises her til Appendix 2.

Informasjon om eventuell deltakelse i arrangementer kan spores tilbake til den enkelte registrerte. Utover dette vil det ikke skje sammenkobling med andre personopplysninger/registre eller lignende.

2. Type personopplysninger som behandles

Databehandler behandler følgende personopplysninger på vegne av behandlingsansvarlig:


A. Personopplysninger som behandles ved bruk av Basic/Business/Professional/Project
  • Fornavn og etternavn
  • E-postadresse
  • Telefonnummer
  • Land
  • Tilhørighet til firma/organisasjon
  • Yrke og tittel
  • Deltakerkategorier
  • Opplysninger om medlemskap (ikke fagforeninger)
  • Deltakelse på arrangementer
    • Arrangementets navn og dato
    • Påmeldinger
    • Avmelding
  • Opplysninger til bruk for hotell og rombestilling
    • Adresse
    • Informasjon om medlemskap (ikke fagforeninger)
    • Informasjon om å dele rom
    • Romtype
    • Informasjon om inn- og utsjekk
    • Datoer
    • Betalinger (hotell)
    • Matallergier
  • Øvrige praktiske opplysninger som behandlingsansvarlige etterspør i relasjon til det aktuelle arrangementet, og som ikke er sensitive personopplysninger. Behandlingsansvarlig benytter her såkalte fritekstfelt i Systemet.,
  • Kunden velger selv hva slags opplysninger som skal fremgå i e-postene som sendes ut til deltakere ved påmelding eller avmelding.

Ovennevnte personopplysninger vil kunne behandles i Systemet, uavhengig av den tjenestemodell som er valgt (Basic/Business/Professional/Project).

B. Personopplysninger som kun behandles ved Professional og Project

I tillegg til det som fremgår ovenfor behandles følgende personopplysninger når behandlingsansvarlig benytter tjenestemodellen Professional, eller etter nærmere avtale ved bruk av tjenestemodellen Project:

  • Fakturerings- og betalingsstatus ved betalinger for arrangement
  • Kryptert kredittkortnummer
  • Kontonummer

Behandlingsansvarlig har ansvaret for at det ikke innhentes sensitive personopplysninger fra de registrerte via Systemet.

3. Kategorier av registrerte

Databehandler vil behandle personopplysninger om følgende kategorier av registrerte:

  • Deltakere på kurs/arrangementer
  • Potensielle deltakere på kurs/arrangementer

4. Om Systemet for behandling av personopplysninger og lokaliseringen av dette

Behandlingen skjer i Systemet, som driftes av underleverandør i Norge, se Appendix 2. Alle personopplysninger som håndteres i kraft av denne databehandleravtalen blir lagret i Systemet. Systemets database er logisk avgrenset mellom ulike kunder. Den enkelte ansatte hos databehandler har tilgang til Kundens relevante del av databasen gjennom særskilt pålogging til denne delen av databasen.
For en nærmere beskrivelse av de ulike tjenestemodellene i Systemet, se proviso.no/priser.

Dersom stedet for behandlingen endres, skal det håndteres i henhold til databehandleravtalen punkt 5.

5. Avtalte kontaktpunkter, jf. databehandleravtalen pkt. 9

Alle henvendelser vedrørende denne databehandleravtalen, herunder melding av avvik, skal skje til partens oppgitte kontraktsansvarlige i Tjenesteavtalen, med mindre annet skriftlig er definert i Tjenesteavtalen.

6. Varighet for behandlingen av personopplysningene

Opplysningene lagres i maksimalt fem år etter gjennomført arrangement med hensyn til tjenestemodellene Basic, Business og Professional dersom ikke annet er avtalt med behandlingsansvarlig, og forutsatt at avtaleforholdet mellom partene består i denne perioden.

Opplysninger knyttet til gjennomføring av enkeltstående arrangementer (Project) slettes innen to år etter at arrangementet er avsluttet.

De opplysninger som må oppbevares av hensyn til regnskapsloven, vil lagres så lenge dette kreves, typisk i fem år.

 

Appendix 2 

Oversikt over underleverandører

Oversikten omfatter alle godkjente underleverandører.

Navn og org.nr på leverandør, samt lokasjon

Hvilke oppgaver/tjenester utføres av underleverandør (Formål)

Hvilke personopplysninger behandles av underleverandør, samt hvilke kategorier

Eventuelle merknader

V-Hosting AS
Gullhaugveien 7
0484 OSLO
(org.nr. 817 338 992)

Leie av server, drift av server, backup, hosting.

Alle som nevnt i appendix 1 punkt 2

https://v-hosting.no/ac/tjenester/co-location

Twilio Inc. (SendGrid)
(Kun hvis valgt som leverandør i Tjenesteavtale)
375 Beale Street, Suite 300, San Francisco, CA 94105
(FEIN-no.: 262574840)

Servere er plassert i USA.

Utsendelser av e-post

Fornavn, etternavn, e-postadresser og informasjon om utsendelser, (levert/feilet.)

Det rettslige overføringsgrunnlaget er Standard contract clauses (SCC). Det vises til Terms of Services https://www.twilio.com/legal/tos, samt oppdaterte vilkår fra Twilio, se særlig pkt. 14.3: https://www.twilio.com/legal/data-protection-addendum

MailGun (MailJet)
(Kun hvis valgt som leverandør i Tjenesteavtale)

Argueil, FRANCE (HQ)
37b rue du Sentier

MailGun i USA har kjøpt MailJet i Frankrike, for å kunne levere tjenester til Europa. Proviso benytter via API kun tjenester fra MailJet, med servere plassert i Europa.

Utsendelser av e-post

Fornavn, etternavn, e-postadresser og informasjon om utsendelser, (levert/feilet.)

DPA MailJet

Proviso benytter kun tjenesten som garanterer lagring i Europa:

 

Link Mobility AS
Langkaia 1
0150 Oslo
(org. nr.: 992 434 643)

Utsendelser av SMS

Navn, mobilnummer og antall meldinger sendt.

 

Nets Branch Norway (NUF)
Haavard Martinsens vei 54
0978 Oslo
(org.nr.: 996 345 743)

Behandling av betalings- og kortinformasjon.

Gjelder de situasjoner som omfattes av Appendix 1 punkt 2 B, i kombinasjon med navn og adresseinformasjon.