DATABEHANDLERAVTALE

Kilder: Lov om behandling av personopplysninger (personopplysningsloven) (https://lovdata.no/dokument/NL/lov/2018-06-15-38) og Ny personopplysningslov gyldig fra 20.juli 2018 ( https://www.regjeringen.no/no/tema/statlig-forvaltning/personvern/ny-personopplysningslov/id2340094/)

Dette pkt. 2.1 regulerer rettigheter og plikter med hensyn til Behandling av Personopplysninger under Avtalen. Med Databehandleravtale menes dette pkt. 2.1 av Avtalen. Formålet med Databehandleravtalen er å sikre at Personopplysninger behandles i overenstemmelse med de krav som følger av Personvernlovgivningen (personopplysningsloven av 14. april 2000 nr. 31, personopplysningsforskriften av 15. desember 2000 nr. 1265 og EUs generelle personvernforordning nr. 2016/679 (GDPR) og senere lovgivning som erstatter eller supplerer disse). Brukere av tjenesten er Behandlingsansvarlig for de Personopplysninger som Behandles under Avtalen og ITassist er Databehandler. Ord som skrives med stor forbokstav under dette pkt. 2.1 med underpunkter skal forstås slik det er definert i Personvernlovgivningen, med mindre det er definert i Avtalen.

Beskrivelse av Behandlingen

Personopplysninger Behandles for det formålet å kunne levere Tjenester og Programvare til registrerte Brukere av tjenesten.

Behandlingen omfatter typer personopplysninger som navn, e-post, telefonnummer og annen kontaktinformasjon, brukernavn og passord.

ITassist sine plikter

Internkontroll: ITassist har etablert tekniske og organisatoriske tiltak for å sikre at Personopplysningene blir Behandlet i tråd med det som følger av Personvernlovgivningen, herunder GDPR artikkel 32, og vilkårene i denne Databehandleravtale. ITassist plikter å sørge for at det er på plass databehandleravtaler med underleverandører som sikrer at Personopplysningene blir Behandlet i tråd med det som er fastsatt i dette pkt. 2.1.3 i Avtalen.

Bistand til Brukere av tjenesten: ITassist skal idet det tas hensyn til behandlingens art og i den grad det er mulig, bistå Brukere av tjenesten, ved hjelp av egnede tekniske og organisatoriske tiltak, med å oppfylle plikten til å svare på anmodninger fra de registrerte om utøvelsen av deres rettigheter. Idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for ITassist, skal ITassist bistå Brukere av tjenesten med å sikre overholdelse av forpliktelsene i henhold til GDPR artikkel 32-36.

Rådighetsbegrensning og instruksjonsmyndighet: ITassist skal kun Behandle Personopplysningene i tråd med denne Databehandleravtalen. Dersom ITassist Behandler Personopplysningene i strid med denne Databehandleravtalen, eller i strid med bestemmelser i Personvernlovgivningen, kan Brukere av tjenesten pålegge ITassist å stoppe den videre Behandlingen av Personopplysningene, med mindre ITassist anses som Behandlingsansvarlig for denne aktuelle Behandlingen.

Utlevering og taushetsplikt: ITassist skal ikke levere ut Personopplysningene uten uttrykkelige forhåndstillatelse, eller det foreligger en lovpålagt plikt til slik utlevering. Som utlevering etter denne bestemmelse regnes ikke at autorisert personell hos ITassist eller ITassist sine underleverandører gis tilgang til Personopplysninger som er nødvendig for å gjennomføre Avtalen. ITassist skal påse at personer som gis tilgang til Personopplysningene har taushetsplikt. Dersom det ikke foreligger lovpålagt taushetsplikt skal disse personene i stedet avgi en taushetserklæring. Denne bestemmelsen gjelder også etter at Behandlingen har opphørt.

Bruk av underleverandører: ITassist inngår skriftlige databehandleravtaler med underleverandørene, som pålegger underleverandørene de samme forpliktelsene som ITassist har i medhold av denne Databehandleravtalen. ITassist er ansvarlig for den Behandlingen som underleverandørene gjør.

Overføring til Tredjeland: Personopplysninger vil ikke bli overført til et land utenfor EU/EØS som ikke sikrer en forsvarlig Behandling av Personopplysninger ("Tredjeland") uten at det på forhånd er etablert et gyldig overføringsgrunnlag. Dersom levering av Tjenestene forutsetter Behandling av Personopplysninger av en underleverandør i et Tredjeland, vil Brukere av tjenesten bli bedt om å underskrive EUs standardavtale for overføring av Personopplysninger til Tredjeland dersom ikke annet rettslig grunnlag finnes for den aktuelle overføringen, for eksempel EU-US Privacy Shield for overføringer til USA.

Informasjonssikkerhet: ITassist forplikter seg til, gjennom databehandleravtaler med sine underleverandører, å pålegge disse å etablere egnede tekniske og organisatoriske informasjonssikkerhetstiltak, som står i et rimelig forhold til den risikoen Behandlingen representerer. Dette omfatter også tiltak for å sikre at personer som har autorisert tilgang til Personopplysningene bare Behandler disse i tråd med denne Databehandleravtalen og instrukser. Tiltakene skal dokumenteres.

Avviksmelding ved sikkerhetsbrudd: ITassist pålegger sine underleverandører å melde fra til ITassist om sikkerhetsbrudd som har medført en ulovlig tilintetgjørelse, tap, endring, uautorisert utlevering av eller tilgang til Personopplysningene som Behandles under Avtalen. ITassist forplikter seg til å videreformidle slik melding til Brukere av tjenesten uten ugrunnet opphold.

Tilgang til informasjon og sikkerhetsrevisjoner: ITassist skal på forespørsel, så langt det er mulig, gi Brukere av tjenesten tilgang til all informasjon som er nødvendig for å påvise at Behandlingen skjer i samsvar med denne Databehandleravtalen. Brukere av tjenesten har rett til på forespørsel å få se revisjonsrapporter fra ITassist sine underleverandører, med mindre særlige forhold er til hinder for dette. Brukere av tjenesten har rett til selv, eller gjennom en uavhengig tredjepart, å gjennomføre revisjon av ITassist sin etterlevelse av denne Databehandleravtalen. ITassist kan maksimalt pålegges én revisjon i året. Brukere av tjenesten dekker egne kostnader knyttet til slike revisjon utført av Brukere eller av tredjepart på vegne av Bruker.

SPRÅK

Programvaren i Tjenesten leveres på norsk språk.

EIERSKAP

ITassist forvalter og eier programmet hvor tjenesten tilbys.

KONFLIKTLØSNING

Uoverensstemmelser eller konflikter mellom partene om innhold og gjennomføring av denne avtale skal søkes løst ved forhandlinger. Dersom slike forhandlinger ikke fører frem innen 14 dager, kan hver av partene kreve saken avgjort ved voldgift i overensstemmelse med lov om rettergang i tvistemål av 13. august 1915, nr.6 kap.32