Dette dokumentet inneholder gjeldende versjon av databehandleravtalen per 20.07.2018.

Du kan se tidligere versjoner her.

 

Databehandleravtale

Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og gjelder mellom Kunden ("Behandlingsansvarlig") og Systemfabrikken AS ("Databehandler") i henhold til gjeldende norsk personopplysningslovgivning, herunder EUs personvernforordningen - GDPR (EU 2016/679) ("Personvernregelverket").

Databehandleravtalens hensikt

Databehandleravtalen regulerer Systemfabrikken AS forvaltning av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med utførelse av Tjenesteavtalen.

Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang eller tap.

Personopplysninger som Systemfabrikken AS forvalter på vegne av Behandlingsansvarlig skal ikke brukes til andre formål enn levering og administrasjon av tjenestene uten at dette på forhånd er godkjent av Behandlingsansvarlig.

Behandlingsansvarliges rolle

Behandlingsansvarlig bestemmer over bruken av personopplysningene som omfattes av denne Databehandleravtalen, og er ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene herunder samtykke, og at den aktuelle behandling er i overensstemmelse med Personvernregelverket. Behandlingsansvarlig administrerer tilganger og personopplysninger for egne brukere.

Behandlingsansvarlig skal vurdere krav om innsyn i, retting eller sletting av personopplysninger fra den registrerte i tråd med gjeldende regler for dette.

Behandlingsansvarlig skal uten ugrunnet opphold varsle Systemfabrikken AS om forhold Behandlingsansvarlig forstår eller bør forstå kan få betydning for oppdragets/tjenestens gjennomføring.

Databehandlers rolle

Systemfabrikken AS (Databehandler) skal behandle personopplysninger på vegne av Behandlingsansvarlig i henhold til denne Databehandleravtalen, Personvernregelverket og skriftlige instrukser fra Behandlingsansvarlig.

Systemfabrikken AS forplikter seg til å varsle Behandlingsansvarlig dersom Databehandler mottar instrukser fra Behandlingsansvarlig som er i strid med bestemmelsene i Personvernregelverket.

Systemfabrikken AS er ansvarlig for å ivareta nødvendig informasjonssikkerhet. Det innebærer å påse at ingen får uberettiget tilgang til personopplysninger, at opplysningene ikke endres utilsiktet eller at opplysningene blir utilgjengelige, slik dette er nærmere definert nedenfor i denne avtalen.

Systemfabrikken AS skal uten ugrunnet opphold videresende enhver forespørsel fra tredjeparter om innsyn i eller tilgang til personopplysningene til Behandlingsansvarlig.

Systemfabrikken AS plikter å gi Behandlingsansvarlig bistand til oppfyllelse av forpliktelser etter Personvernregelverket og tilgang til nødvendig dokumentasjon.

Hvilke personopplysninger som behandles

Formålet med behandlingen av personopplysningene er å tilgjengeliggjøre tjenestene (funksjonaliteten) som inngår i Tjenesteavtalen for brukerne (de Registrerte) hos Behandlingsansvarlig.

Følgende personopplysninger behandles i forbindelse med inngått Tjenesteavtale (bruk av Styreplan): 

  1. Navn
  2. E-postadresse
  3. Mobiltelefonnummer
  4. Formell rolle i organisasjonen (styremedlem, daglig leder, osv.)
  5. Brukerrettigheter i klienten (kategorier: Ordinær, Administrator)
  6. Brukernavn
  7. Yrkestittel (opsjon)
  8. Fødselsdato (opsjon)
  9. Foto (opsjon)
  10. Adresse (opsjon)
  11. Personlig dokumentasjon (CV el.l) (opsjon)
  12. BankID-sertifikatinformasjon (Kunder som autentiserer/signerer med BankID)
  13. IP-adresse

Personopplysningene er knyttet til unike, personlige sluttbrukerkonti hos Kunde (de "Registrerte") for at den Registrerte skal kunne logge inn i Styreplan, motta meldinger og utføre sitt arbeid på en sikker og sporbar måte.

Hvilke behandlinger som omfattes av avtalen

I avtaletiden brukes personopplysningene til meldingsutsendelser fra Styreplan (e-post og SMS) knyttet til funksjonalitet som inngår i Tjenesteavtalen. Meldinger initieres av administrator hos Kunde (for eksempel Innkalling til møte). Systemfabrikken AS kan initiere gruppemeldinger med informasjon til Registrerte (for eksempel melding om systemoppdateringer). Systemfabrikken AS kan etter avtale med Kunde initiere utsendelse av melding til Registrerte (for eksempel informasjon til nye Registrerte).

Dersom Support inngår i Tjenesteavtale har Systemfabrikken AS fullmakt fra Behandlingsansvarlig til å bruke personopplysningene om den Registrerte til å yte nødvendig bistand til den Registrerte.

BankID-sertifikatinformasjon er registrert i Styreplan for Kunder som autentiserer og/eller signerer med BankID. Bruk loggføres knyttet til innlogging og signatur av protokoller.

I tillegg til overnevnte strukturerte personopplysninger kan Behandlingsansvarlig laste opp informasjon/filer som kan inneholde andre personopplysninger (for eksempel i dokumenter som er del av saksbehandling som håndteres i tjenesten). Systemfabrikken AS vil etter skriftlig instruks fra Behandlingsansvarlig i forbindelse med Support/bistand kunne ha tilgang til data.

 

All aktivitet i Systemfabrikken AS tjenester loggføres og er tilgjengelig for Systemfabrikken AS for drift, support og dokumentasjonsformål i inntil 1 år. Brukeraktivitet i Styreplan er tilgjengelig for Kunde i hendelseslogg i Styreplan. Aggregert anonymisert trafikkdata brukes i forbindelse med statistisk analyse og videreutvikling av programvaren.

Taushetsplikt

Det er kun autoriserte fast ansatte underlagt taushetserklæringer som håndterer personopplysninger i Systemfabrikken AS. Alle personopplysninger behandles som konfidensiell informasjon og benyttes ikke til Systemfabrikken AS egne formål, med de unntak som er nevnt over. Systemfabrikken AS plikter å dokumentere retningslinjer og rutiner for tilgangsstyring, herunder sørge for at egne ansatte undertegner en taushetserklæring. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig på forespørsel. Ansattes taushetsplikt om personopplysninger som vedkommende får tilgang til i henhold til denne avtalen gjelder også etter avtalens og arbeidsforholdets opphør.

Beskyttelse av personopplysninger - sikkerhet

Databehandler plikter å arbeide systematisk med informasjonssikkerhet for å sikre konfidensialitet, integritet og tilgjengelighet knyttet til Kundens data, herunder personopplysninger.

Data i Styreplan lagres på Systemfabrikken AS driftsmaskiner hos hosting-leverandør i Norge. Daglig og ukentlig kryptert sikkerhetskopi lagres adskilt fra originaldataene.

Systemfabrikken AS skal oppfylle de krav til sikkerhet ved behandlingen som stilles etter Personvernforordningen artikkel 32. Systemfabrikken AS skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for, og skal dokumentere rutiner, opplæring og andre tiltak for å oppfylle disse kravene. Systemfabrikken AS skal også bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene etter Personvernforordningen artikkel 32 – 36.

Systemfabrikken AS skal jevnlig gjennomføre og dokumentere sikkerhetsrevisjoner av informasjonssikkerheten for systemer som omfattes av denne Databehandleravtalen.

Systemfabrikken AS skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom personopplysninger som forvaltes på vegne av Behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de Registrertes personvern. Varsel skal beskrive omfang av sikkerhetsbrudd, berørte Registrerte og tiltak. Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra Systemfabrikken AS blir videreformidlet til Datatilsynet og eventuelle berørte Registrerte.

Overføring av personopplysninger - underleverandører

De Registrerte hos Behandlingsansvarlig aksesserer Tjenesten via Internett, uansett hvor de er i verden. Behandlingsansvarlig er selv ansvarlig for at dette skjer i samsvar med egne rutiner for informasjonssikkerhet.

Det utleveres ingen strukturerte personopplysninger/registre fra Systemfabrikken AS til eksterne parter.

Behandlingsansvarlig samtykker i at Systemfabrikken AS benytter underleverandører for formidling av meldinger fra Tjenesten (e-post og sms). Slike meldinger inneholder mottager og avsender (navn og e-postadresse eller mobilnummer). Formidling av sms skjer gjennom OnlineCity ApS/GatewayApi.com (Danmark). Formidling av e-post skjer gjennom Sendgrid Inc (USA). Sendgrid Inc er EU-US/Swiss-US Privacy Shield-sertifisert og GDPR-compliant (avtale inngått mellom Sendgrid Inc og Systemfabrikken AS).

Systemfabrikken AS plikter å sikre at underleverandører forvalter personopplysninger i samsvar med alle plikter som Systemfabrikken AS selv er underlagt i henhold til denne Databehandleravtalen. Systemfabrikken AS skal kontrollere og er ansvarlig for at underleverandører overholder sine avtalemessige plikter. Behandlingsansvarlig skal varsles om eventuell endring av underleverandør senest 30 dager før endring trer i kraft. Dersom Behandlingsansvarlig motsetter seg endringen må Systemfabrikken AS varsles senest 14 dager før endring trer i kraft.

Tilbakelevering og sletting av data ved avtalens opphør

Ved opphør av denne avtalen plikter Systemfabrikken AS å tilbakelevere alle Kundes data, herunder personopplysninger, som forvaltes på vegne av Behandlingsansvarlig. Alle data overføres til Behandlingsansvarlig i et egnet format mot avtalt godtgjørelse eller slettes i tråd med bestemmelsene i Tjenestavtalen.

Annet

Databehandleravtalen gjelder så lenge Systemfabrikken AS behandler personopplysninger på vegne av Behandlingsansvarlig.

Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge Systemfabrikken AS å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Systemfabrikken AS er kun erstatningsansvarlig overfor Behandlingsansvarlig for direkte økonomiske tap som skyldes Systemfabrikken AS mislighold av vilkårene i denne avtalen, og eventuelt tap Registrerte lider som følge av at deres rettigheter eller personvern er krenket.

Systemfabrikken AS forbeholder seg retten til å oppdatere og endre Databehandleravtalen ved publisering på www.styreplan.no. Kunden skal varsles om vesentlige endringer senest 30 dager før de trer i kraft.

All bistand til Behandlingsansvarlig fra Systemfabrikken AS utført i forbindelse med denne avtalen belastes Behandlingsansvarlig i henhold til Databehandlers ordinære betingelser, uavhengig av hvem som har bedt om bistand. Det samme gjelder kostnader og utlegg som er pådratt i forbindelse med utførelse av bistanden.

 

Alle henvendelser vedrørende denne avtalen skal sendes skriftlig til:

Behandlingsansvarlig:

Daglig leder eller administrator/personvernansvarlig særskilt utpekt av Kunden

Databehandler:

Daglig leder i Systemfabrikken AS

 

Databehandleravtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting.

Dato: 20.07.2018

Henry J.O. Wengstrøm
Daglig leder
Systemfabrikken AS
henry@styreplan.no