Databehandleravtale - konsulentarbeid

AvtalerDatabehandleravtale - konsulentarbeid

Databehandleravtale - konsulentarbeid

Denne databehandleravtalen («Databehandleravtalen») gjelder der Proplan AS som Databehandler behandler personopplysninger på vegne av Kunden som behandlingsansvarlig i forbindelse med levering av support- og konsulenttjenester knyttet til Kundens bruk av Visma sine skyløsninger.

Dersom du har behov for en signert databehandleravtale, kan du kontakte Sikkerhets- og samsvarsansvarlig i Proplan AS, Erik Tveitstøl.

Versjon 1.0, oppdatert 16.02.26.

1. Bakgrunn og formål

1.1 Behandlingsansvarlig benytter Visma sine skyløsninger.

1.2 Databehandler leverer support- og konsulenttjenester til Behandlingsansvarlig knyttet til bruk, konfigurering og funksjonell tilpasning, uten ansvar for teknisk drift, hosting, lagring eller tilgjengelighet.

1.3 Databehandler vil i forbindelse med tjenesteleveransen kunne få tilgang til personopplysninger som Behandlingsansvarlig er behandlingsansvarlig for.

1.4 Databehandler har ikke ansvar for drift, lagring, tilgjengelighet eller sikkerhet i Visma sine skyløsninger, som leveres av Visma Software i henhold til separat avtale mellom Behandlingsansvarlig og Visma

1.5 Denne databehandleravtalen («Avtalen») regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig, jf. personvernforordningen (EU) 2016/679 («GDPR») artikkel 28.

2. Definisjoner

Med «personopplysninger», «behandling», «behandlingsansvarlig», «databehandler», «brudd på personopplysningssikkerheten» mv. menes det samme som i GDPR artikkel 4.

3. Avtalens varighet

3.1 Avtalen gjelder fra signeringsdato og så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

3.2 Avtalen opphører når Databehandler ikke lenger behandler personopplysninger på vegne av Behandlingsansvarlig, jf. punkt 12 om sletting og tilbakelevering.

4. Behandlingsbeskrivelse

4.1 Behandlingen av personopplysninger som Databehandler utfører på vegne av Behandlingsansvarlig er nærmere beskrevet i Vedlegg 1 (Behandlingsbeskrivelse).

4.2 Databehandler skal kun behandle personopplysninger i samsvar med denne Avtalen, dokumenterte instrukser fra Behandlingsansvarlig og gjeldende personvernlovgivning.

5. Behandlingsansvarliges instrukser

5.1 Behandlingsansvarlig skal gi Databehandler nødvendige instrukser for behandlingen.

5.2 Databehandler skal ikke behandle personopplysninger til egne formål, med mindre det foreligger særskilt rettslig grunnlag og skriftlig avtale mellom Partene.

5.3 Dersom Databehandler mener at en instruks er i strid med GDPR eller annen relevant lovgivning, skal Databehandler uten ugrunnet opphold varsle Behandlingsansvarlig.

6. Databehandlers plikter

Databehandler forplikter seg til å:

a) behandle personopplysninger kun etter dokumenterte instrukser,
b) sikre at personer med tilgang til personopplysninger er underlagt taushetsplikt,
c) gjennomføre egnede tekniske og organisatoriske tiltak, jf. punkt 9,
d) bistå Behandlingsansvarlig etter punkt 10 og 11,
e) oppfylle krav til bruk av underdatabehandlere, jf. punkt 8,
f) slette eller tilbakelevere personopplysninger etter oppdragets opphør, jf. punkt 12,
g) stille nødvendig dokumentasjon til disposisjon for Behandlingsansvarlig, jf. punkt 13.

7. Underdatabehandlere

7.1 Databehandler kan benytte underdatabehandlere til å utføre deler av behandlingen, forutsatt at dette skjer i samsvar med denne Avtalen.

7.2 Behandlingsansvarlig gir Databehandler en generell forhåndsgodkjenning til å benytte underdatabehandlere, jf. GDPR art. 28 nr. 2.

8. Informasjonssikkerhet (tekniske og organisatoriske tiltak)

8.1 Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som passer til risikoen, jf. GDPR art. 32.

8.2 Tiltakene er nærmere beskrevet i Vedlegg 2 (Tekniske og organisatoriske tiltak).

8.3 Databehandler skal særlig sikre:

  • tilgangsstyring og rollebasert tilgang,
  • bruk av flerfaktorautentisering der dette er mulig,
  • logging og sporbarhet,
  • sikre fjernaksessrutiner (VPN, RDP, fjernstyring mv.),
  • sikkerhetskopiering der Databehandler lagrer data,
  • konfidensialitet og integritet i kommunikasjon og lagring,
  • rutiner for endringshåndtering og hendelseshåndtering.

9. Brudd på personopplysningssikkerheten (avvik)

9.1 Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold og senest innen 24 timer etter at Databehandler blir kjent med brudd på personopplysningssikkerheten.

9.2 Varsel skal inneholde tilgjengelig informasjon i henhold til GDPR art. 33 nr. 3, herunder:

  • beskrivelse av hendelsen,
  • kategorier og omtrentlig antall registrerte,
  • kategorier og omtrentlig antall berørte personopplysninger,
  • sannsynlige konsekvenser,
  • gjennomførte eller foreslåtte tiltak.

9.3 Databehandler skal bistå Behandlingsansvarlig med å oppfylle plikter om varsling til Datatilsynet og/eller registrerte.

10. Bistand ved forespørsler fra registrerte og myndigheter

10.1 Databehandler skal bistå Behandlingsansvarlig ved håndtering av forespørsler fra registrerte, herunder innsyn, retting, sletting, begrensning og dataportabilitet, i den grad dette er mulig og relevant for Databehandlers tjenester.

10.2 Dersom Databehandler mottar en henvendelse direkte fra en registrert, skal Databehandler uten ugrunnet opphold videresende henvendelsen til Behandlingsansvarlig og ikke besvare henvendelsen selv, med mindre dette er pålagt ved lov.

10.3 Dersom Databehandler mottar henvendelser fra offentlige myndigheter om personopplysninger behandlet på vegne av Behandlingsansvarlig, skal Behandlingsansvarlig varsles uten ugrunnet opphold, med mindre slik varsling er forbudt etter lov.

11. Retur og sletting ved opphør

11.1 Når tjenesteforholdet opphører, eller når Behandlingsansvarlig krever det, skal Databehandler enten:
a) tilbakelevere alle personopplysninger til Behandlingsansvarlig, og/eller
b) slette personopplysningene.

11.2 Med mindre annet er avtalt, gjelder følgende standard praksis:

  • Supportsaker, dokumentasjon, loggdata og korrespondanse som inneholder personopplysninger slettes eller anonymiseres i henhold til interne rutiner.
  • Backup-kopier slettes ved normal rotasjon i henhold til interne rutiner.

11.3 Databehandler kan beholde personopplysninger i den grad dette kreves etter lov (for eksempel bokføringslovgivning), men skal i så fall sikre at opplysningene kun behandles for slikt lovpålagt formål.

11.4 På forespørsel skal Databehandler gi skriftlig bekreftelse på gjennomført sletting.

12. Dokumentasjon, kontroll og revisjon

12.1 Databehandler skal på forespørsel gjøre tilgjengelig informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter GDPR art. 28.

12.2 Kontroll og revisjon skal som hovedregel gjennomføres ved:

  • egenerklæring,
  • relevante policyer og rutinebeskrivelser,
  • sikkerhetsdokumentasjon,
  • rapporter fra tredjepartsrevisjon dersom tilgjengelig.

12.3 Behandlingsansvarlig har ikke rett til fysisk inspeksjon hos Databehandler med mindre dette er uttrykkelig avtalt skriftlig.

12.4 Behandlingsansvarlig skal dekke Databehandlers dokumenterte kostnader knyttet til kontroll som overstiger normal bistand, med mindre kontrollen avdekker vesentlige avvik.

13. Konfidensialitet

13.1 Databehandler skal sikre at alle som behandler personopplysninger under Databehandlers ansvar er bundet av lovpålagt eller avtalefestet taushetsplikt.

13.2 Konfidensialitetsplikten gjelder også etter at Avtalen er opphørt.

14. Overføring av personopplysninger utenfor EU/EØS

14.1 Databehandler kan benytte leverandører og systemer som kan innebære overføring av personopplysninger til land utenfor EU/EØS.

14.2 Slik overføring skal kun skje dersom overføringen har gyldig overføringsgrunnlag etter GDPR kapittel V, herunder:

  • EU-kommisjonens adekvansbeslutning, eller
  • Standard Contractual Clauses (SCC), og ved behov supplerende tiltak.

14.3 Databehandler skal på forespørsel dokumentere overføringsgrunnlaget.

15. Behandlingsprotokoll

Databehandler skal føre protokoll over behandlingsaktiviteter utført på vegne av Behandlingsansvarlig i den grad det følger av GDPR art. 30.

16. Ansvar

16.1 Hver Part er ansvarlig for oppfyllelse av sine plikter etter GDPR.

16.2 Databehandler er ansvarlig for skade som oppstår som følge av at Databehandler ikke oppfyller sine forpliktelser etter denne Avtalen eller GDPR, jf. GDPR art. 82.

16.3 Databehandlers ansvar er begrenset til direkte tap, med mindre annet følger av ufravikelig lov.

16.4 Databehandler er ikke ansvarlig for forhold som skyldes Behandlingsansvarliges instrukser, konfigurasjon, tilgangsstyring eller bruk av Visma sine løsninger, med mindre Databehandler har opptrådt uaktsomt. Databehandler er ikke ansvarlig for forhold som skyldes manglende, feilaktige eller uklare instrukser fra Behandlingsansvarlig.

17. Endringer

17.1 Endringer i denne Avtalen skal være skriftlige og signert av begge Parter.

17.2 Databehandler kan oppdatere Vedlegg 2 og Vedlegg 3 dersom dette ikke reduserer sikkerhetsnivået eller Behandlingsansvarliges rettigheter. Vesentlige endringer skal varsles.

18. Lovvalg og verneting

18.1 Avtalen er underlagt norsk rett.

18.2 Tvister som oppstår i forbindelse med Avtalen skal søkes løst i minnelighet. Dersom dette ikke lykkes, skal tvisten avgjøres av norske domstoler med [Stavanger Tingrett] som verneting, med mindre annet er avtalt.


VEDLEGG 1 – Behandlingsbeskrivelse (GDPR art. 28 nr. 3)

1. Formål med behandlingen

Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig for å levere support- og konsulenttjenester knyttet til Behandlingsansvarlig sin bruk av Visma sine skyløsninger, herunder feilsøking, rådgivning, konfigurering, opplæring, bistand ved implementering og løpende systemstøtte.

2. Behandlingens art

Behandling kan omfatte innsyn, registrering, endring, strukturering, utlevering og tilgang til personopplysninger i forbindelse med leveranse av tjenester.

3. Behandlingens varighet

Behandlingen skjer så lenge Databehandler leverer tjenester til Behandlingsansvarlig, og i en begrenset periode etter opphør i henhold til punkt 12 i Avtalen.

4. Kategorier registrerte

  • Behandlingsansvarliges ansatte
  • Behandlingsansvarliges kunder/klienter
  • Kontaktpersoner hos leverandører og samarbeidspartnere
  • Andre sluttbrukere av Behandlingsansvarliges systemer

5. Kategorier personopplysninger

Kan omfatte, men er ikke begrenset til:

  • navn, e-postadresse, telefonnummer
  • stilling og arbeidsforhold
  • bruker-ID og tilgangsinformasjon
  • økonomi- og transaksjonsdata
  • faktura- og betalingsinformasjon
  • logger, IP-adresser og metadata
  • korrespondanse og dokumentasjon knyttet til supportsaker
  • annen informasjon som behandles i Visma-løsninger

6. Særlige kategorier personopplysninger

Behandlingen omfatter ikke særlige kategorier personopplysninger etter GDPR art. 9, og heller ikke personopplysninger om straffedommer og lovovertredelser etter GDPR art. 10, med mindre dette særskilt avtales eller uforutsett oppstår som følge av Behandlingsansvarliges datainnhold.

7. Behandlingsansvarliges plikter

Behandlingsansvarlig er ansvarlig for:

  • å ha behandlingsgrunnlag
  • å gi nødvendige instrukser
  • å ivareta informasjonssikkerhet i egne systemer
  • å sikre at tilgang gis på forsvarlig måte
  • å informere registrerte etter GDPR art. 13 og 14

VEDLEGG 2 – Tekniske og organisatoriske tiltak (TOMs)

Tiltakene gjelder Databehandlers egne systemer og tilganger, ikke Visma sine plattformer.

Databehandler har etablert og vedlikeholder tekniske og organisatoriske sikkerhetstiltak, herunder:

1. Organisatoriske tiltak

  • interne rutiner for informasjonssikkerhet og personvern
  • opplæring av ansatte med tilgang til kundedata
  • taushetsplikter og tilgang basert på tjenstlig behov
  • rutiner for avvikshåndtering og sikkerhetshendelser
  • risikovurderinger ved endringer og nye leverandører

2. Tilgangsstyring

  • rollebasert tilgang
  • minst mulig privilegium (least privilege)
  • autentisering med sterke passord og der mulig MFA
  • rutiner for opprettelse, endring og fjerning av tilgang

3. Fjernaksess og support

  • tilgang via VPN, RDP, fjernstyringsverktøy og/eller kundens egne tilgangsløsninger
  • logging av administrative tilganger der dette er teknisk mulig
  • midlertidige brukere kan opprettes ved behov
  • rutiner for å sikre at kundens miljø ikke eksponeres unødig

4. Logging og sporbarhet

  • logging av relevante systemhendelser
  • tilgang til logger begrenses til autorisert personell
  • logger oppbevares i en begrenset periode basert på behov

5. Kryptering og sikker kommunikasjon

  • kryptert kommunikasjon ved fjernaksess (TLS/SSL/VPN)
  • bruk av sikre kanaler for overføring av dokumentasjon og filer

6. Lagring i Databehandlers systemer

Databehandler kan lagre personopplysninger i:

  • supportsystemer (ticketing)
  • e-postkorrespondanse
  • dokumentasjonsverktøy og prosjektverktøy
  • logg- og overvåkningsverktøy

Slik lagring begrenses til det som er nødvendig for formålet.

7. Backup og gjenoppretting

  • backup der Databehandler er ansvarlig for drift av egne systemer
  • rutiner for gjenoppretting og kontinuitet
  • backup slettes ved normal rotasjon

8. Sletting og dataminimering

  • rutiner for sletting/anonymisering av supportsaker og dokumentasjon etter behov
  • begrensning av lagringstid i henhold til avtalen

9. Fysisk sikkerhet

  • sikring av kontorlokaler og IT-utstyr
  • adgangskontroll og låste systemer

10. Underleverandører

  • vurdering av sikkerhetsnivå før bruk av underdatabehandlere
  • kontraktsmessige krav om GDPR-overholdelse

VEDLEGG 3 – Underdatabehandlere

Underdatabehandlere benyttes kun for Databehandlers interne støtte- og administrasjonssystemer, og ikke for drift av Visma sine skyløsninger.

VEDLEGG 4 – Overføring til tredjeland (generell regulering)

  1. Databehandler kan benytte leverandører med behandling eller lagring utenfor EU/EØS, eller hvor leverandøren kan få tilgang fra tredjeland.
  2. Databehandler skal sikre at slik overføring skjer i samsvar med GDPR kapittel V, herunder ved bruk av:
  • SCC (Standard Contractual Clauses)
  • supplerende tekniske tiltak (for eksempel kryptering og tilgangsbegrensning)
  • vurdering av rettstilstanden i mottakerlandet (Transfer Impact Assessment) der det er nødvendig
  1. Databehandler skal på forespørsel kunne dokumentere relevante mekanismer og tiltak.