←Tilbake til alle avtaler

Oppdatert september 2023.

Innhold:

Avtale om drift og support av Proplan Tiltak i skyen
Vedlegg A: Tjenestebeskrivelse Upheads
Vedlegg B: Generelle vilkår for support
Vedlegg C: Databehandleravtale Proplan Tiltak i skyen

Avtale om drift og support av Proplan Tiltak i skyen

1. Innledning 

Denne avtalen regulerer forholdet mellom Proplan Utvikling AS (heretter kalt Lisensgiver) og kunden (heretter kalt Lisenstaker) som får lisens til å bruke Proplan Tiltak i skyen (heretter kalt Tjeneste) tilgjengeliggjort av Proplan AS. Upheads AS er Lisensgiver sin underleverandør for levering av infrastruktur for etablering og drift i skyen, samt tjenester tilknyttet dette.  

Tjenesten leveres «as-is» til enhver tid også hensyntatt endringer. Lisensgiver har opphavsrettighetene til de nevnte Tjenester. 
 
Lisensbetingelsene gjelder for Proplan Utvikling AS’ Tjenester, og gjelder det antall lisenser som det er tegnet abonnement for, og de abonnement som måtte anskaffes på et senere tidspunkt. Tjenestene denne avtalen lisensierer består utelukkende av Proplan Tiltak og tilhørende moduler.  

Proplan Tiltak er en løsning for tiltaksarrangører og støtter prosessen med å få jobbsøkere ut i arbeid. Systemet har strenge krav til personvern, sikrer at avtaler og aktiviteter følges opp innen tidsfrister og forenkler arbeidet med rapporteringer mot oppdragsgiver. 

2. Lisens 

Lisenstaker gis herved en ikke eksklusiv, ikke overførbar, tidsbegrenset bruksrett til Tjenesten. Lisensgiver beholder alle immaterielle rettigheter til Tjenesten. 
 
Retten til bruk av Tjenesten er til enhver tid begrenset til den antall/mengde som Lisenstaker abonnerer og betaler for. Prisstruktur kommer frem av den Tjenesten sin produktbeskrivelse. 

3. Bruksrett 

Lisenstaker gis en begrenset bruksrett til Tjenesten. Tjenesten kan bare benyttes av Lisenstaker og dens ansatte. Dette inkluderer konsulenter som etter nærmere avtale har oppdrag hos Lisenstaker, og som forplikter seg overfor Lisenstaker til å følge samtlige vilkår i denne avtale. 

4. Overdragelse av lisens 

Denne lisens kan kun overdras til tredjepart etter skriftlig forhåndssamtykke fra Lisensgiver. Lisensgiver kan nekte å gi samtykke uten nærmere begrunnelse. Lisensen kan under enhver omstendighet kun overdras dersom denne avtalen aksepteres. 

Samtykke er ikke nødvendig dersom avtalen overdras i sin helhet ved at Lisenstaker fusjonerer, fisjonerer, eller på annen måte overdrar virksomhet eller omorganiserer. 

Lisensgiver kan helt eller delvis overføre sine rettigheter og/eller plikter i henhold til denne avtalen, forutsatt at dette ikke er til hinder for oppfylling av avtalen. 

5. SaaS 

Tjenesten stilles til disposisjon for Lisenstaker installert og driftet på Lisensgivers servere, eller servere gjort tilgjengelig for Lisensgiver av tredjepart (heretter kalt SaaS – Software as a Service). 

Dokumentasjon stilles til rådighet i form av elektronisk systemdokumentasjon via Lisensgivers web-sider. Tjenesten stilles til rådighet i den versjon og den form det til enhver tid har fastsatt av Lisenstaker alene.  Produktbeskrivelsen vil oppdateres i takt med oppdateringer.  

6. Underleverandører 

Lisenstaker aksepterer de vilkår som underleverandørene har fastsatt i vedlegg A. Underleverandører kan være kontaktpunkt for service direkte mot Lisensgiver, videre kan underleverandør fakturere Lisensgiver direkte for sine kostnader.  

Lisensgiver sitt ansvar ovenfor Lisenstaker for underleverandørers mislighold, strekker seg aldri lenger enn det ansvar som kan pålegges underleverandøren i henhold til dennes vilkår i vedlegg A. 

7. Ikrafttredelse 

Denne avtalen trer i kraft ved aktivering av abonnement. Dersom lisenstaker før dette tidspunkt har tatt Tjenesten i bruk regnes avtalen for akseptert og tredd i kraft fra det tidspunkt Tjenesten først ble tatt i bruk. 

8. Vedlikehold og videreutvikling 

Lisensgiver sørger for at Tjenesten oppdateres ved nye hovedversjoner. Nye versjoner vil kunne inneholde justeringer av feil eller mangler i programvaren (oppdateringer), samt nye og forbedrede funksjoner (oppgraderinger). Ytterligere veiledning defineres som support, jf. pkt. 9 
 
Lisensgiver har rett til å sende informasjon relatert til Tjenesten til systemansvarlig hos Lisenstaker, eventuelt andre personer Lisenstaker utpeker som mottager av slik informasjon. 

Videreutvikling:
Lisenstaker kan be Lisensgiver om å gi tilbud på videreutvikling eller annen særskilt tilpasning for Lisenstaker hvor det er mulig. Alle kostnader med dette bæres av Lisenstaker i henhold til nærmere angitte avtalevilkår som partene enes om forut for oppstart av videreutviklingen. Lisensgiver har ingen plikt til å gi tilbud etter dette avsnitt. 

9. Opplæring og support 

Dersom lisenstaker ønsker å benytte seg av tilbud om opplæring og kurs inngås det egen avtale om dette. 

For vilkår som gjelder for support vises det til Proplan AS sine standard supportvilkår i vedlegg B. 

10. Forlengelse 

Avtalen forlenges automatisk og bindende med tre måneder av gangen, med mindre avtalen sies opp av en av partene innen 1 måned før utløpet av den til enhver tid gjeldende lisensperiode. Om oppsigelsen kommer etter tidsfristen, gjøres den gjeldende for neste tremåneders periode.  

11Månedsavgifter 

Den månedlige avgiften løper fra avtalen trer i kraft, jfr. Pkt. 7, og deretter fra eventuelt tidspunkt for forlengelse i henhold til pkt. 10. Fakturering for månedsavgifter skjer kvartalsvis på kvartalets siste dag. Faktura utstedes først når et helt kvartal er passert, med mindre det ikke lar seg gjøre.    
 
Månedsavgifter for forlengelse faktureres forskuddsvis, tidligst 3 måneder før utløpet av den til enhver tid gjeldende lisensperiode. 
 
Månedsavgiftene kan justeres årlig hver 1. januar i henhold til konsumprisindeksen etter leveringssektor ”Tjenester”, med indeksen for 1. januar det året avtalen ble inngått som basis. Ytterligere prisendringer kan forekomme ved større endringer i funksjonalitet eller bruksmønster, eller som følger av endringer i prisingen av underleverandørenes leveranser som ikke dekkes inn av overnevnte konsumprisjustering. 

Enkelte deler av det samlede vederlag etter denne avtale vil kunne bli fakturert fra Lisensgiver sine underleverandører av Tjenesten direkte til Lisenstaker. Periodisering, intervallene, prisjustering og øvrige vilkår for denne faktureringen vil være i samsvar med det overnevnte, med mindre noe annet er fastsatt i Vedlegg A. 

12. Konfidensialitet 

Lisenstaker forplikter seg til å hemmeligholde programvaren, dokumentasjon, og tilknyttet materiale som blir overlatt til internt bruk i henhold til denne avtalen. Lisensgiver skal sørge for at personale, underleverandører og eventuelle andre personer som får tilgang til tekniske og kommersielle forhold angående Lisenstaker bevarer taushet om disse forhold overfor tredje part. 

13. Rettigheter til tjenesten 

Lisensgiver har opphavs- og eiendomsretten til tjenesten. Lisensgiver har rett til på egen bekostning å tre inn i enhver rettslig tvist som måtte oppstå på grunn av påstand om at Lisenstakers bruk av tjenesten er i strid med andres patent eller opphavsrett, eller annen immateriell rettighet, så lenge det er adgang til slik inntreden etter gjeldende rett. Lisensgiver er ikke under noen omstendigheter ansvarlig for krenkelse av nevnte rettigheter som kan tilbakeføres til forhold hos Lisenstaker eller aktører med tilknytning til Lisenstaker. Lisenstaker har ingen rett til å bearbeide eller videreutvikle tjenesten denne lisensen omfatter, uten etter skriftlig forhåndsgodkjennelse fra Lisensgiver. 

14. Ansvarsbegrensninger 

Lisensgiver har ikke ansvar for eventuelle tap Lisenstaker eller tredjepart påføres direkte, eller indirekte, som følge av feil eller forhold ved Tjenesten, som resultat av innlegging av nye versjoner eller feilaktig bruk av Tjenesten. Uavhengig av årsak skal Lisensgivers ansvar for kompensasjon, under ingen omstendigheter overstige ett beløp tilsvarende 3 månedsavgifter i denne avtalen. 
 
Lisensgiver er kun ansvarlig for tap av data ved påvist grov uaktsomhet eller forsett.  

Lisensgiver kan ikke stilles til ansvar for underleverandørers mislighold av Lisenstaker, i større utstrekning enn hva Lisensgiver kan gjøre gjeldende ovenfor underleverandøren.  Jf. pkt. 6 andre avsnitt. 

15. Mislighold 

Som mislighold regnes bl.a.: 

  1. Overdragelse til tredjepart eller annen kommersiell utnyttelse av tjenesten og dokumentasjon uten skriftlig tillatelse. 
  1. Bruk av tjenesten for flere brukere, eller mer ressursbruk enn avtalen gjelder for innen bedriften eller eksternt til samarbeidende bedrifter. 
  1. Ikke rettidig oppgjør for månedsavgifter. 
  1. Konfidensialitetsbrudd. 

Ved mislighold fra en part, kan den andre parten holde tilbake en forholdsmessig del av egne ytelser så lenge misligholdet varer. 

Ved betalingsmislighold kan leverandøren med 14 virkedagers varsel stoppe enhver ytelse til kunden, inntil full betaling medregnet forsinkelsesrenter er mottatt. Betalingsmislighold utover 30 kalenderdager skal regnes som vesentlig mislighold. 

Lisenstaker er ansvarlig for Lisensgiver sine eventuelle direkte og indirekte tap som følge av mislighold. 

Ved vesentlig mislighold fra en part, kan den andre parten, etter å ha gitt skriftlig varsel og rimelig frist til å bringe forholdet i orden, heve avtalen med øyeblikkelig virkning.  

16Personopplysninger 

Hvis Lisensgiver som følger av Tjenesten Lisenstaker benytter behandler persondata på Lisenstakers vegne, vil den til enhver tid gjeldende databehandleravtale for Tjenesten være gjeldende mellom Lisensgiver og Lisenstaker, hvor Lisensgiver er databehandler og Lisenstaker er behandlingsansvarlig. Databehandleravtalen er inntatt i vedlegg C.  

17. Endringer 

Lisensgiver forbeholder seg retten til å foreta endringer til vilkårene og betingelsene i denne avtalen med 90 dagers forhåndsvarsel. Lisensgiver vil bli informert om slike endringer per e-post eller gjennom informasjon som publiseres på Lisensgivers nettside. 

18. Konfliktløsning 

Dersom det oppstår tvister i forbindelse med denne avtale skal disse forsøkes løst ved forhandlinger. Det skal føres protokoll for forhandlingene. Fører ikke forhandlingene fram innen 14 dager etter at en av partene skriftlig har bedt om dette er partene enige om at tvisten skal avgjøres innen det ordinære rettssystem ved Stavanger tingrett som det vedtatte verneting. 

19Konfidensialitet 

Lisensgiver skal sikre at alle som på vegne av Lisensgiver mottar informasjon om Lisenstaker og Lisenstakers virksomhet, relasjoner samt andre opplysninger som er merket som konfidensiell informasjon, er forpliktet til å ikke gi disse opplysningene til en tredjepart uten Lisenstakers samtykke. Dette gjelder tilsvarende for Lisenstaker. Lisenstaker må også sørge for at alle som handler på vegne av Lisenstaker beskytter og oppbevarer konfidensiell og annen informasjon som Lisensgiver leverer til Lisenstaker, eller informasjon som Lisenstaker blir oppmerksom på; i den grad Lisenstaker forstår eller burde ha forstått at den aktuelle informasjonen er konfidensiell informasjon for Lisensgiver. Denne plikten til hemmelighold av informasjon skal også gjelde etter avtalens utløp. 

20Oppetid 

Den enkelte tjeneste sin oppetid vil Lisensgiver bidra til blir best mulig. I mangel av angitt oppetid som er tallfestet foreligger det ikke krav til oppetid. Ved Lisensgivers mislighold av opptid reduseres Lisenstakers månedsavgift forholdsmessig i takt med avviket fra avtalt oppetid. En slik reduksjon av månedsavgift er ikke mulig for tjenester som ikke har definert noen oppetid. 

Nedetid som følger av videreutvikling eller andre planlagte oppdateringer medregnes ikke ved fastsettelsen av oppetid. Tilsvarende gjelder for nedetid som følger av forhold utenfor Lisensgiver kontroll herunder, men ikke begrenset til nettutfall og forhold på Lisenstakers side. 

21Eierskap til data 

Lisenstaker skal eie Lisenstakers data benyttet i Tjenesten. Lisensgiver skal ikke skaffe seg noen rett, eiendomsrett eller fordel til Lisenstakers data og Lisensgiver skal ikke bruke Kundens data for noe annet formål enn det som er strengt nødvendig for å tilby Tjenester i henhold til denne avtalen. 

22. Avtalens omfang 

Dersom Lisenstaker har mottatt Tjenester som ikke er angitt i tilbudsdokumentet og prismatriser reguleres også disse av denne avtalen. Aksept av tilbud, aksept av ordre og/eller benyttelse av Tjenester er å regne som aksept av betingelsene i denne avtale. For spesialtilpasninger, kundetilpasninger, Tjenester og Tredje Parts Tjenester gjelder ikke avtalens pkt. 8. 

Vedlegg A: Tjenestebeskrivelse Upheads

Proplan Tiltak i skyen Proplan Tiltak i skyen er et partnerskap mellom Proplan AS og Upheads AS. Upheads vil levere all underliggende infrastruktur og lisenser som tjenesten inneholder:

  • Alle ressurser (CPU, minne og disk) som kreves for å kjøre Proplan Tiltak i skyen
  • Alle Microsoft-lisenser som Proplan Tiltak i skyen krever
  • Backup av alt i løsningen i inntil 30 dager
  • Support fra Upheads sin Servicedesk alle hverdager 07:00-21:00
  • Regelmessig installasjon av Microsoft sine sikkerhetsoppdateringer i løsningen

Løsningen er en publisert applikasjon som benytter seg av Microsoft sin «Remote Desktop Services» teknologi. Kunden vil få sin egen Active Directory som vil synkroniseres med kundens eksisterende Office 365 tenant. Fordelen er at brukerne da kan ha samme brukernavn og passord på Office 365 som på Proplan Tiltak i skyen.

Alle Microsoft-lisenser som kreves for å kjøre Proplan Tiltak i skyen er inkludert i tjenesten:

  • Microsoft serverlisenser for løsningen
  • Microsoft SQL lisenser for databasen
  • RDS lisenser for Remote Desktop Services
  • Office 365 A3 (Academic lisens)*

* Prisen forutsetter at betingelsene for bruk av Academic lisenser er oppfylt. Hvis ikke, vil lisensen måtte endres til Office 365 E3 og gi en prisjustering lik differansen mellom Office 365 A3 og Office 365 E3.

Bruker kunden Office 365 A3/E3 fra før, vil dette kunne innlemmes i Proplan Tiltak i skyen uten kostnad. Har kunden ikke Office 365 fra før og ønsker å ta i bruk dette, vil oppsett og migrering til Office 365 være et tilleggsoppdrag til etableringen av Proplan Tiltak i skyen.

All support forbundet med funksjonalitet og bruk av Proplan Tiltak i skyen er inkludert. Det forutsettes da at alle henvendelser meldes inn til Upheads sin Servicedesk. Kunde vil også få tildelt en primærkonsulent som kan kontaktes direkte dersom behov/ønske. Konsulentbistand er imidlertid ikke inkludert i brukerprisen/månedsprisen, og vil bli fakturert etter medgått tid. Feil som meldes til Servicedesk og/eller konsulent, og som ikke ligger innenfor tjenesten Proplan Tiltak i skyen, vil bli tilleggsfakturert i henhold til forbrukt tid. Eksempler på dette kan være:

  • Feil på kundens eget utstyr / infrastruktur
  • Feil på applikasjoner lokalt på kundens eget utstyr

Kunde kan fritt innlemme Proplan Tiltak i skyen med øvrige tjenester kunden bruker. Dette vil ansees som tillegg til tjenesten og vil kunne gi ekstrakostnader.

Eventuelle prisøkninger fra Microsoft vil kunne være grunnlag for prisøkning på tjenesten.

Vedlegg B – Generelle vilkår for support

 Avtalens hensikt og omfang

  • Avtalen innebærer at PROPLAN UTVIKLING AS i avtaleperioden gir støtte til bruker pr. telefon, web eller e-post slik at brukerne skal bli fortrolige med sitt program, få svar på aktuelle spørsmål og få avklart problemstillinger som måtte oppstå i forbindelse med bruk av programvaren.
  • Muligheten for å få svar pr. telefon, web eller e-post forutsetter at KUNDEN stiller spørsmål som kan løses innenfor en tidsramme på inntil 30 minutter.

Forutsetninger

  • Avtalen gjelder primært for de to siste standardversjoner av alle produkter. Ved bruk av eldre versjoner vil vi kunne henvise til en oppgradering før ytterligere tiltak vurderes.
  • KUNDEN må ha gyldig bruksrett for de angitte programmer.
  • KUNDEN bør ha gjennomgått kurs i aktuelle programmer/moduler, eller dokumentere tilsvarende kunnskaper.
  • Alle henvendelser etter denne avtalen skal skje via en hovedansvarlig hos KUNDEN
  • Dersom PROPLAN UTVIKLING AS finner det formålstjenlig, må KUNDEN prøve å kartlegge/undersøke, eventuelt løse problemet ved å utføre ulike operasjoner etter veiledning fra supportkonsulent.
  • PROPLAN UTVIKLING AS forbeholder seg retten til å henvise og/eller anbefale KUNDEN alternative forslag til kompetanseoppbygging. På samme måte forbeholder PROPLAN UTVIKLING AS seg retten til å henvise KUNDEN til annen konsulent når dette ansees nødvendig. Eventuelt kan det avtales at den aktuelle problemstillingen behandles videre som et ordinært konsulentoppdrag.
  • Kunder med gyldig supportavtale prioriteres foran kunder uten avtale.

Presisering av forhold som ikke dekkes av avtalen

  • Assistanse til tekniske problem vedr.  installasjon, drift og oppgradering dekkes ikke av avtalen, heller ikke spørsmål relatert til operativsystem, nettverk-, printer- og databaser.
  • Opplæring i programmet dekkes ikke av supportavtalen.
  • Assistanse utover det avtalen dekker, eller assistanse vedrørende programmer det ikke er inngått avtale for, faktureres som konsulentoppdrag etter gjeldende timepriser.
  • PROPLAN UTVIKLING AS er ikke ansvarlig for KUNDENs eventuelle driftstap eller sekundære skader som følge av en supporthenvendelse og tilhørende assistanse.
  • PROPLAN UTVIKLING AS er ikke ansvarlig for eventuelle programfeil i programvaren.
  • Denne supportavtale må ikke forveksles med obligatoriske vedlikeholdsavtale/bruksrettsavtale.

Øvrige betingelser

  • KUNDEN skal primært registrere sine henvendelser på PROPLAN UTVIKLING AS sin kundeweb, sekundært ved bruk av dedikert e-postadresse.
  • Støtte ytes i tidsrommet mandag 0900 – 1530, tirsdag – fredag 0800 – 1530.
  • PROPLAN UTVIKLING AS vil, hvis mulig, gi svar umiddelbart og senest innen utgangen av påfølgende arbeidsdag. PROPLAN UTVIKLING AS forplikter seg likevel ikke til å løse problemet innenfor denne tiden.
  • PROPLAN UTVIKLING AS forbeholder seg retten til å yte redusert support i ordinære ferier. Jul- og nyttårsaften, samt onsdag i påskeuken holder PROPLAN UTVIKLING AS stengt. 

 

Vedlegg C: Databehandleravtale Proplan Tiltak i skyen 

Denne databehandleravtalen «Databehandleravtalen» gjelder der Proplan Utvikling AS som databehandler behandler Personopplysninger på vegne av Kunden som behandlingsansvarlig i forbindelse med utvikling og drift av Proplan Tiltak i skyen. 

  1. Definisjoner 

Databehandleravtalen skal forstås på bakgrunn av følgende definisjoner: 

Personvernregelverket:   Med Personvernregelverket forstås: Personopplysningsloven av 2018; GDPR (Generell Personvernsforordning); Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016. Med mindre annet er særskilt angitt skal enhver henvisning til GDPR forstås som en henvisning til gjennomføring og implementering av GDPR i norsk lov; Kommunikasjonsvernforordningen; forslag til Europaparlaments- og rådsforordning 2017/0003 (forordning om personvern og elektronisk kommunikasjon), dersom og fra den tid forordningen vedtas og gjennomføres i norsk lov; All annen gjeldende norsk lov og forskrift som regulerer Databehandlers Behandling av Personopplysninger, herunder lov som implementerer og gjennomfører GDPR, samt sektorlovgivning.  
Personopplysning:  Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»), jf. GDPR art. 4 (1). 
Behandling:  Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. GDPR art. 4 (2). 
Brudd på Personopplysnings– sikkerheten:  Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte Behandlet. Slikt Brudd på Personopplysningssikkerheten er ikke avhengig av at det har skjedd et brudd på Personvernregelverket, jf. GDPR art. 4 (12). 
Behandlingsansvarlig:  Fysisk eller juridisk person som alene eller sammen med andre bestemmer formålet med Behandlingen av personopplysninger og hvilke midler som skal benyttes, jf. GDPR art. 4 (7). 
Databehandler:  Fysisk eller juridisk person som Behandler personopplysninger på vegne av den behandlingsansvarlige, jf. GDPR art. 4 (8). 
Underleverandør:  Fysisk eller juridisk person som Databehandler engasjerer, intensjonelt eller ikke, for å utføre behandlingsaktiviteter på vegne av Behandlingsansvarlig. 
Tredjestat eller internasjonal organisasjon:  Overføring av personopplysninger som behandles eller skal behandles etter overføring til en tredjestat eller til en internasjonal organisasjon som ikke sikrer et tilstrekkelig beskyttelsesnivå uten at det foreligger et overføringsgrunnlag, for eksempel land utenfor EØS-området. 
  1. Bilag 

Følgende Bilag fra Databehandler vedlegges til godkjenning av Behandlingsansvarlig: 

Bilag 1  Tekniske og organisatoriske tiltak implementert hos Databehandler 
  1. Formål 

Denne Databehandleravtalen har som formål å regulere Databehandlers Behandling av Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med inngått Abonnementsavtale om drift av skybasert software fra Proplan AS (omtales heretter som «Abonnementsavtalen»). Databehandleravtalen skal sikre at Personopplysninger behandles i samsvar med kravene i til enhver tid gjeldende personvernlovgivning (Personvernregelverket, som definert ovenfor) og at Personopplysninger kun behandles i henhold til denne Databehandleravtalen og ved dokumenterte instruksjoner fra Behandlingsansvarlige. 

Databehandlers behandling av Personopplysninger skal kun omfatte den Behandling som er nødvendig for at Databehandler skal kunne gjennomføre Abonnementsavtalen med den Behandlingsansvarlige. Såfremt annet ikke kan utledes av krav i henhold til uinionsretten eller norsk lovgivning, jf. GDPR art. 29.  

Databehandleravtalen kan revideres ved behov for tilpasninger til preseptorisk lovgivning, tolkninger av GDPR og Personvernregelverket (slik dette er definert over). Alle endringer i denne Databehandleravtalen skal avtales og nedfelles skriftlig. 

  1. DatabehandlerBehandling av Personopplysninger 
  1. Behandlingens art 

Databehandler vil Behandle og ha tilgang til Personopplysninger i forbindelse med support av drift av Proplan Tiltak i skyen i samsvar med Abonnementsavtalen.   

I forbindelse med oppfyllelsen av Abonnementsavtalen vil Databehandler kunne foreta Behandlinger i form av systemmessig tilgangskontroll, datalagring, software optimalisering og software oppdatering. Slik Behandling vil kun foregå i henhold til bestemmelsene i Databehandleravtalen og Abonnementsavtalen, og kun etter instruksjoner fra Behandlingsansvarlig. 

Behandlingen vil hovedsakelig foregå i Databehandlers software systemer: 

  • Proplan Tiltak i skyen 

Databehandler skal ikke Behandle Personopplysninger i større omfang enn det som er nødvendig for å oppfylle Abonnementsavtalen med den Behandlingsansvarlige. Annen Behandling kan kun skje unntaksvis og ved kortvarige tilfeller, og kun under instruksjon fra Behandlingsansvarlig. 

Dersom Databehandler er i tvil om Behandlingen av enkelte Personopplysninger er nødvendig, eller innenfor Abonnementsavtalens omfang, skal det straks, og før Personopplysninger behandles, konsulteres med Behandlingsansvarlig.  

Under ingen omstendigheter er Databehandler berettiget til å Behandle Personopplysninger eller andre data som tilhører Behandlingsansvarlig for egne formål, og utover de formål som fremkommer av Databehandleravtalen eller Abonnementsavtalen. 

Dersom Databehandler er pålagt videre Behandling gjennom lov eller tilsvarende pålegg fra offentlig myndighet forplikter Databehandler seg til å varsle Behandlingsansvarlig, samt sikre videre konfidensialitet og sikkerhet som ilegges gjennom Databehandleravtalen. I slike tilfeller skal Databehandler i forkant gi varsel til Behandlingsansvarlig, med mindre gjeldende lovgivning forbyr slikt varsel.   

  1. Kategorier av Personopplysninger og datasubjekter 

I forbindelse med oppfyllelse av Abonnementsavtalen, og avhengig av Databehandlers leveranse, kan Databehandler komme i kontakt med Personopplysninger under den Behandlingsansvarliges ansvar. Dette omfatter blant annet opplysninger om navn, telefonnummer, epost-adresse,  

kommunikasjonsdata, dokumenter og tekst, sensitive opplysninger, opplysninger om sykefravær og helseopplysninger, adferdsdata mv. Følgelig kan det forekomme behandling av opplysninger av særlige kategorier som fremgår av GDPR artikkel 9, for eksempel opplysninger om fagforeningsmedlemskap og helseopplysninger.  

Personopplysningene vil gjelde ansatte hos den Behandlingsansvarlige, eller personell på tiltak hos Behandlingsansvarlig gjennom NAV sine ordninger.  

  1. Området for Behandlingen  

Databehandler skal behandle personopplysninger innenfor EU/EØS-området. Databehandler har ikke rett til å overføre Personopplysninger til et tredjeland eller internasjonal organisasjon, herunder ut av EU/EØS-området, uten at det er nødvendig for å oppfylle Abonnementsavtalen, kun etter spesifikt skriftlig samtykke fra Behandlingsansvarlig og under forsikring om at det foreligger tilstrekkelig overføringsgrunnlag i henhold til GDPR art. 44-49.   

  1. Bruk av Underleverandører 

Databehandler kan benytte Underleverandør i forbindelse med behandling av Personopplysninger dersom dette er nødvendig for å behandle Personopplysninger i henhold til Abonnementsavtalen.  

Behandlingsansvarlig gir Databehandler ved signering av denne Databehandleravtalen et generelt skriftlig samtykke til å benytte de Underleverandører som benyttes av Databehandler ved signering, samt foreta bytte av Underleverandører. Ved bytte eller engasjering av ny Underleverandør har Behandlingsansvarlig rett til to måneders varsel.  

Behandlingsansvarlig har rett til å motsette seg Databehandlers bruk eller bytte av Underleverandør der det foreligger saklig grunn. Behandlingsansvarlig er forpliktet til å fremlegge skriftlig redegjørelse og dokumentasjon innen én måned etter varsel er mottatt, dersom det påstås saklig grunn til å motsette seg bytte av Underleverandør. 

Databehandlers Underleverandører for behandling av Personopplysninger skal være bundet av de samme avtalemessige og lovmessige forpliktelser som Databehandler er underlagt i henhold til denne Databehandleravtalen, gjennom egne databehandleravtaler.  

Behandlingsansvarlig har rett på opplysninger om Underleverandør, herunder innhold i databehandleravtale og informasjon om tekniske og organisatoriske tiltak Underleverandør har iverksatt for å etterleve Personvernregelverket. Utlevering av slike opplysninger og informasjon fra Databehandler forutsetter varsel fra Behandlingsansvarlig.  

Behandlingsansvarlig har forhåndsgodkjent Underleverandører og tilhørende databehandleravtale med Databehandler som opplistet nedenfor: 

  • Upheads AS  org.nr.: 980 893 936 
  • Proplan AS org. nr: 959 472 823 

Databehandler kan, uten Behandlingsansvarliges godkjennelse etter denne bestemmelsen, involvere, bytte eller engasjere ny Underleverandør eller andre tredjeparter som kun har midlertidig og begrenset tilgang til Personopplysninger i forbindelse med vedlikehold av systemer, dersom disse ikke aktivt bidrar i Behandlingen av Personopplysninger eller Behandler Personopplysninger for eget formål. 

  1. Forpliktelser som Databehandler 
  1. Bistand til Behandlingsansvarlig 

Databehandler forplikter seg til, og i hovedsak uten kompensasjon eller annet vederlag, til å:  

  1. Behandle Personopplysninger kun etter instrukser fra Behandlingsansvarlig og kun i henhold til det som er formålet med Abonnementsavtalen; 
  1. Treffe alle tiltak som er nødvendig for å ivareta sikkerheten tatt i betraktning den Behandlingen som utføres på vegne av Behandlingsansvarlig, samt regelmessig og på eget tiltak foreta analyse og testing av slike forholdsmessige sikkerhetstiltak, herunder vurdere deres effektivitet; 
  1. Bistå Behandlingsansvarlig med å sikre overholdelse av dennes forpliktelser til å ivareta  
     
    Personopplysningssikkerhet og vurdere personvernkonsekvenser, idet det tas hensyn til Behandlingens art og den informasjonen som er tilgjengelig for Databehandleren jf. GDPR art. 32-36; 
  1. Bistå Behandlingsansvarlig, idet det tas hensyn til Behandlingens art og i den grad det er mulig, med å oppfylle dennes plikt til å oppfylle anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter jf. GDPR art. 12-23. Kommer slik anmodning fra den registrerte direkte til Databehandler skal denne oversendes Behandlingsansvarlig som regulert i Databehandleravtalens varslingsbestemmelse; 
  1. Bistå Behandlingsansvarlig med å løse avvikssituasjoner i samarbeid med Behandlingsansvarlig, såfremt avviket nødvendiggjør dette og i henhold til avvikshåndtering som regulert i Databehandleravtalen; 
  1. Etter Behandlingsansvarliges instruks, slette eller tilbakelevere alle Personopplysninger og slette eventuelle eksisterende kopier, med mindre det foreligger en lovpålagt plikt til å fortsette lagringen; 
  1. Umiddelbart varsle Behandlingsansvarlig hvis en instruksjon er i strid med Personvernregelverket; 
  1. Sikre at alle som Behandler Personopplysninger har forpliktet seg til fortrolighet eller er underlagt en egnet lovfestet taushetsplikt, samt at kun slike autoriserte personer som har et nødvendig behov for å oppfylle Abonnementsavtalen har eller får tilgang til Personopplysninger. 

Databehandler er berettiget til å fakturere etter medgått tid for oppfyllelse av punktene d, e og f nevnt ovenfor. Timesatsen er Databehandlers alminnelige timesats for konsulenter. 

  1. Tekniske og organisatoriske tiltak 

Databehandler skal sørge for at det foreligger tekniske og organisatoriske tiltak for å sikre og påvise at Behandlingen utføres i samsvar med Personvernregelverket, denne Databehandleravtalen og for å sikre bistand til oppfyllelsen av rettighetene til den registrerte.  

Databehandler skal før oppstart, og deretter på forespørsel årlig, fremlegge dokumentasjon på Behandlingen som skjer på vegne av Behandlingsansvarlig. Denne dokumentasjonen skal inneholde:  

  1. Kategorier av behandlingsaktiviteter; 
  1. Bruken av Underleverandører; 
  1. Overføringer ut av EU/EØS-området; 
  1. En generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene; 

Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen ved Behandlingen. Disse egnede tekniske og organisatoriske tiltakene skal også sikre og påvise at Behandlingen utføres i samsvar med denne Databehandleravtalen. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov. Databehandler kan ta hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, men vurderingen skal gjøres i tråd med den vurderingen som skal gjennomføres etter GDPR art. 32. 

Slike tekniske og organisatoriske tiltak skal som et minimum inkludere, men er ikke begrenset til, tiltak for å: 

  1. Sikre evnen til vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og –tjenestene;  
  1. Sikre evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse;  
  1. Ivareta en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er; 
  1. Forhindre at datasystemer som Behandler Personopplysninger blir brukt eller gir tilgang til Personopplysninger til personer som ikke er autorisert, inkludert tilgang til å lese, kopiere, endre eller slette Personopplysninger uten autorisasjon. 

Behandlingsansvarlig er forpliktet til å iverksette ovennevnte tiltak, og om nødvendig oppdatere tiltak, slik at de tekniske og organisatoriske tiltakene til enhver tid er i henhold til Personvernregelverket, herunder slik de er oppstilt i GDRP artikler 28 og 32.  

Databehandler har iverksatt tiltak som opplistet i Bilag 1. 

  1. Varsling 

Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold om: 

  1. En instruksjon fra Behandlingsansvarlig strider mot Personvernregelverket; 
  1. Et pålegg om utlevering av Personopplysninger fra offentlig myndighet, med unntak av der slik varsling er forbudt; 
  1. Et brudd eller mulig brudd på sikkerheten som kan føre til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte Behandlet, herunder som et minimum der det foreligger Brudd på Personopplysningssikkerheten; 
  1. Henvendelser fra en registrert slik at Behandlingsansvarlig kan respondere, og uten at Databehandler selv responderer uten å ha fått eksplisitt tillatelse til å håndtere henvendelsen selv. 

Databehandler plikter å gi tilstrekkelig bistand til Behandlingsansvarlig i etterkant av eventuelt varsel til Datatilsynet om Brudd på Personopplysningssikkerheten eller til den registrerte ved henvendelser. Enhver varsling eller henvendelse til Datatilsynet skal skje gjennom Behandlingsansvarlig. Dersom det er nødvendig for å avklare omfanget av Brudd på Personopplysningssikkerheten, skal Databehandler bistå Behandlingsansvarlig i samarbeidet med Datatilsynet.  

Umiddelbart etter å ha gitt varsel om et Brudd på Personopplysningssikkerheten skal Databehandler gi ytterligere beskrivelse til Behandlingsansvarlig om:  

  1. Alle relevante forhold knyttet til bruddet som Databehandler har kjennskap til, herunder hva bruddet består av, kategorier og volum på Personopplysninger. Forhold knyttet til avviket som Databehandler først får kjennskap til etter slik varsling skal meddeles Behandlingsansvarlig straks Databehandler får slik kjennskap; 
  1. Hvilke tiltak som er iverksatt eller foreslått iverksatt for å hindre konsekvenser og begrense omfanget av Bruddet på Personopplysningssikkerheten.  

Videre skal Databehandler bistå Behandlingsansvarlig med å vurdere personvernkonsekvenser ved slikt Brudd på Personopplysningssikkerheten. 

Databehandler plikter å varsle Behandlingsansvarlig dersom det avdekkes at Databehandler ikke etterlever, eller ser at det blir vanskelig å etterleve, kravene som følger av Personvernregelverket og denne Databehandleravtalen, uavhengig av årsak. I et slikt tilfelle kan Behandlingsansvarlig suspendere overføring og videre Behandling av Personopplysninger hos Databehandler. 

  1. Ansvar for Behandlingen 

Behandlingsansvarlig er ansvarlig for at Personopplysninger som Databehandler får tilgang til har blitt innhentet lovlig og har gyldig behandlingsgrunnlag.  

Behandlingsansvarlig har hovedansvaret for behandling av Personopplysninger som en følge av Abonnementsavtalen og skal varsle Databehandler dersom det oppstår behov for bistand i forbindelse med GDPR artikkel 28(3) bokstav e og f. Databehandler er berettiget til å fakturere etter medgått tid for oppfyllelse av punktene nevnt ovenfor. Timesatsen er Databehandlers alminnelige timesats for konsulenter.  

Behandlingsansvarlig skal holde Databehandler skadesløs for alle kostnader, utgifter (inkludert kostnader til juridisk bistand), skade, tap (inkludert indirekte tap), forpliktelser, krav, søksmål, handlinger eller rettslige prosesser som Databehandler kan stå ovenfor som følge av Behandlingsansvarliges brudd på Personvernregelverket, Brudd på Personopplysningssikkerheten, og instrukser gitt til Databehandler i strid med Personvernregelverket.  

Ansvar for materiell eller ikke-materiell skade på en eller flere registrerte skal reguleres i henhold til vilkår og føringer gitt i GDPR art. 82. 

Databehandlers eventuelle ansvar skal begrenses oppad, per kontraktsår, til et beløp tilsvarende det årlige honoraret Behandlingsansvarlige betaler Databehandler i henhold til Abonnementsavtalen. 

Ingen ansvarsbegrensning skal gjelde dersom skadevoldende handling er foretatt ved forsettlig eller grov uaktsomhet av noen av Partene.  

  1. Sikkerhetsrevisjon  

Databehandler er forpliktet til å gi Behandlingsansvarlig tilstrekkelig tilgang og dokumentasjon til all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene fastsatt i Databehandleravtalen, og for å kunne gjennomføre sikkerhetsrevisjoner. Slike sikkerhetsrevisjoner omfatter, men er ikke begrenset til, stedlig inspeksjon og evaluering av systemer, organisering og sikkerhetstiltak, samt bruk av Underleverandører.  

Behandlingsansvarlig er berettiget til å oppnevne en uavhengig inspektør, utpekt av Databehandler, til å gjennomføre sikkerhetsrevisjoner av Databehandlers etterlevelse av denne Databehandleravtalen og Personregelverket.  

Denne bestemmelsen innebærer ikke at Behandlingsansvarlig eller inspektør er berettiget til innsyn i aktiviteter, protokoller, informasjon eller noe annet materiale uavhengig av format som: 

a) Som vedrører kunder av Databehandler; 

b) Ikke er relevant for Behandlingen av Personopplysninger; 

c) Anses som en forretnings- eller bedriftshemmeligheter, eller 

d) Er underlagt taushetsplikt eller konfidensialitetsplikt (lovbestemt eller kontraktfestet) som Databehandler har overfor en tredjepart. 

Behandlingsansvarlig skal Behandle alt materiale, uansett format, som Behandlingsansvarlig får i sin besittelse eller tilgang til som følge av sikkerhetsrevisjonen som konfidensiell informasjon. Under ingen omstendighet skal slike materialer deles med tredjeparter, eller benyttes på annen måte enn det som er nødvendig i forbindelse med sikkerhetsrevisjonen.  

Behandlingsansvarlig er ansvarlig for alle kostnader knyttet til sikkerhetsrevisjoner, inkludert kostnader som blir påført Databehandler i denne forbindelse. 

  1. Taushetsplikt 

Informasjon som Partene blir kjent med i forbindelse med denne Databehandleravtalen og gjennomføringen av den skal behandles konfidensielt, og ikke gjøres tilgjengelig for utenforstående uten samtykke fra den annen Part. Taushetsplikten er ikke til hinder for at opplysningene brukes når de er alminnelig kjent eller alminnelig tilgjengelig andre steder.  

Partene skal ta nødvendige forholdsregler for å sikre at uvedkommende ikke får innsyn i eller kan bli kjent med konfidensiell informasjon. 

Taushetsplikten gjelder Partenes ansatte, Underleverandører som handler på Partenes vegne i forbindelse med gjennomføring av denne Databehandleravtalen og Abonnementsavtalen. Partene kan bare overføre taushetsbelagt informasjon til slike Underleverandører og tredjeparter i den utstrekning dette er nødvendig for gjennomføring av denne Databehandleravtalen og Support, forutsatt at disse pålegges plikt om konfidensialitet tilsvarende dette punkt.  

Taushetsplikten gjelder også etter at denne Databehandleravtalen og Abonnementsavtalen er opphørt. Ansatte eller andre som fratrer sin tjeneste hos en av Partene, skal pålegges taushetsplikt også etter fratredelsen om forhold som nevnt ovenfor. 

  1. Varighet og avslutning av Behandlingen 

Databehandleravtalen gjelder så lenge Databehandler Behandler eller har tilgang til Personopplysninger på vegne av Behandlingsansvarlig, og Behandlingsansvarlig er å anse som Behandlingsansvarlig for Personopplysningene.  

Databehandlerens Behandling av Personopplysninger for Behandlingsansvarlig skal avsluttes ved opphør av Abonnementsavtalen. Ved avslutning av Behandlingen av Personopplysninger skal Databehandler enten tilbakelevere eller slette alle eventuelle Personopplysninger, etter den Behandlingsansvarliges instruks, så fremt videre Behandling ikke er lovpålagt. Slik lovpålagt videre Behandling må varsles om til Behandlingsansvarlig. 

All tilgang til Behandlingsansvarliges systemer skal ved avslutning av Behandlingen stenges for Databehandler og dennes personell. Databehandler er forpliktet til å bistå Behandlingsansvarlig med gjennomføringen av dette.  

Dette punktet medfører ikke at Databehandler skal slette Personopplysninger som Databehandler innehar som behandlingsansvarlig.  

  1. Lovvalg og verneting 

Denne Databehandleravtalen er underlagt norsk rett og Partene aksepterer Stavanger tingrett som verneting. Dette gjelder også etter avslutning av Abonnementsavtalen. 

BILAG 1 TIL DATABEHANDLERAVTALE 

TEKNISKE OG ORGANISATORISKE SIKKERHETSTILTAK HOS DATABEHANDLER 

Ihht. Databehandleravtalens pkt. 5.2 «Tekniske og organisatoriske tiltak» har Databehandler iverksatt følgende tiltak for å : 

e) Sikre evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse;  

f) Ivareta en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er; 

g) Forhindre at datasystemer som Behandler Personopplysninger blir brukt eller gir tilgang til Personopplysninger til personer som ikke er autorisert, inkludert tilgang til å lese, kopiere, endre eller slette Personopplysninger uten autorisasjon. 

Autentisering og aksess   Adgang til Kundedata styres av Behandlingsansvarlig, det er således den Behandlingsansvarlige som selv bestemmer hvilke brukere hos Behandlingsansvarlig som skal ha tilgang til Kundedata.  Databehandlers eget driftspersonell har tilgang til Kundedata basert kun på tjenstlig behov og er nødvendig for å kunne levere en forsvarlig og oppdatert driftstjeneste til Behandlingsansvarlig og Behandlingsansvarlig sine brukere. 
Taushetsplikt og restriksjoner for driftspersonell   Alle ansatte hos Databehandler har signert og er underlagt strenge krav til taushetsplikt og restriksjoner i forhold til å lese, søke eller på annen måte behandle Kundedata, og all slik behandling vil til enhver tid være begrenset til tjenstlig behov for å kunne oppfylle inngåtte avtaler med Behandlingsansvarlig. 
Informasjonssikkerhet 

Informasjonssikkerheten er ivaretatt gjennom Databehandlers interne bestemmelser om:

  • Tilgangskontroll
  • Fysiske sikringstiltak
  • Pålagt taushetsplikt
  • Avvikshåndtering  

Databehandler har utarbeidet en egen informasjonssikkerhetspolicy som spesielt retter seg mot Kundedata og etterlever utarbeidede instrukser og prosedyrer som sikrer:  

  • Konfidensialitet, som innebærer at ingen skal ha tilgang til informasjon uten tjenstlig behov.
  • Integritet, som innebærer at informasjon og systemer skal være korrekt og pålitelig.
  • Tilgjengelighet, som innebærer at informasjon og systemer skal være tilgjengelig for autoriserte brukere ved behov. 
Internopplæring  Alle ansatte hos Databehandler skal årlig gjennomgå informasjon og instruksjoner i alle rutiner relevant for å kunne oppfylle Databehandler forpliktelsene  
Tilgangskontroll  Databehandler vil jevnlig gjennomgå egne ansattes adgangsrettigheter, og sikre at kun de ansatte med tjenstlige behov har tilgang kundedata 

←Tilbake til alle avtaler