NB: Denne avtalen er erstattet av en nyere versjon. Se vår oppdaterte databehandleravtale.

Databehandleravtale

mellom Kunden (Behandlingsansvarlig) og Systemfabrikken AS (Databehandler). Jamfør personopplysningsloven § 13 - § 15 og EU General Data Protection Regulation 2016/679 (GDPR).

Formålet med databehandleravtalen

Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Databehandleravtalen regulerer Systemfabrikken AS bruk av personopplysninger knyttet til Kundens sluttbrukere, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

Databehandleravtalen er et fast tillegg til en forretningsavtale mellom Kunden og Systemfabrikken AS. Registrering av personopplysninger er en forutsetning for gjennomføring av forretningsavtalen.

Formålet med registreringen av personopplysninger

Formålet med registreringen av opplysningene er å sikre Kundens møtevirksomhet og saksbehandling med den funksjonaliteten som Systemfabrikken AS´ tjenester tilbyr (Styreplan; Software as a Service) og som inngår i forretningsavtalen. Personopplysningene knyttes til unike, personlige sluttbrukerkonti (de registrerte) for at de skal kunne logge inn i Styreplan, motta meldinger og utføre sitt arbeid på en sikker og sporbar måte.

Hvilke personopplysninger som behandles

Følgende personopplysninger behandles/registreres i forbindelse med bruk av Styreplan: 

  1. Navn
  2. E-postadresse
  3. Mobiltelefonnummer
  4. Formell rolle i organisasjonen (styremedlem, daglig leder, osv.)
  5. Brukerrettigheter i klienten (kategorier: Ordinær, administrator)
  6. Brukernavn
  7. Yrkestittel (opsjon)
  8. Fødselsdato (opsjon)
  9. Foto (opsjon)
  10. Adresse (opsjon)
  11. Personlig dokumentasjon (CV el.l) (opsjon)
  12. BankID-sertifikatinformasjon (Kunder som autentiserer/signerer med BankID)
  13. IP-adresse

Punktene 1-6 registreres for samtlige brukere ved etablering av klient. Punktene 7-11 registreres hvis data tilgjengelig, eventuelt senere av administrator hos Kunde, den registrerte eller support hos Systemfabrikken AS.

Hvilke behandlinger som omfattes av avtalen

Punkt 1-8: Ved inngåelse av forretningsavtale innhenter Systemfabrikken AS offentlig tilgjengelig data om Kundens sluttbrukere (styremedlemmer, daglig leder) fra offentlige kilder (soliditet.no, bizweb.no, brreg.no, gulesider.no, hjemmesider). Datafil oversendes til Kunde for tillegg av andre sluttbrukere (styresekretær, revisor, ansatte), riktighetskontroll og utfylling av påkrevd data (1-5). Fil returneres til Systemfabrikken AS som overfører data til Kundens klient i Styreplan. Etter overføring slettes datafilen. Punkt 9-11 (opsjon): Administrator hos Kunde eller bruker kan velge å registrere/redigere/slette.

Data lagres i Styreplan på Systemfabrikken AS driftsmaskiner hos profesjonell hosting-leverandør i Norge (Oslo og Bergen). Daglig og ukentlig kryptert sikkerhetskopi lagres off-site.

I avtaletiden brukes personopplysningene (1-4) til meldingsutsendelser fra Styreplan (e-post og SMS) knyttet til funksjonalitet som inngår i forretningsavtalen. Meldinger initieres av administrator hos Kunde (for eksempel Innkalling til møte). Systemfabrikken AS kan initiere gruppemeldinger med informasjon til administrator/sluttbruker (for eksempel melding om nedetid), samt innloggingsmelding til nye brukere/glemt passord (to-faktor-prosess). Den registrerte kan selv initiere melding ved glemt passord. Utsendelser fra Styreplan-tjenesten inneholder ikke personopplysninger utover mottaker og avsender.

Ved avslutning av forretningsavtale slettes alle personopplysninger og øvrige data i Kundens klient (Styreplan) 3 måneder etter avtalens opphør, om ikke annet avtales. Sikkerhetskopi slettes 3 måneder etter sletting av klient.

Punkt 12. BankID-sertifikatinformasjon er registrert i Styreplan for Kunder som autentiserer og/eller signerer med BankID. Bruk loggføres knyttet til innlogging og signatur av protokoller.

Punkt 13. All aktivitet i Systemfabrikken AS tjenester loggføres, herunder registrering av IP-adresse, og er tilgjengelig for Systemfabrikken AS for drift, support og dokumentasjonsformål i inntil 1 år. Brukeraktivitet i Styreplan er også tilgjengelig for Kunde i Styreplan.

Rammene for Systemfabrikken AS håndtering av personopplysninger

Punkt 1-11: Behandlingsansvarlig har ansvar for å vedlikeholde brukerregisteret slik at kun autoriserte brukere har tilgang, samt at personopplysningene er korrekte. Administrator hos Kunde registrerer nye brukere i egen klient og vedlikeholder brukernes personopplysninger ved behov. Den registrerte kan selv vedlikeholde personopplysninger i Styreplan (unntatt pkt 4, 5, 6). Systemfabrikken AS har tilgang til personopplysningene registrert i Styreplan for brukerstøtteformål (support) og kan utføre nyregistrering/vedlikehold av personopplysninger etter Kundens skriftlige anvisning (fra administrator hos Kunde eller direkte fra den registrerte).

Punkt 12-13: Personinformasjon benyttes kun for historikk/dokumentasjon (for eksempel sporing av hendelser i forbindelse med endringer) og effektiv Kundesupport. Aggregert trafikkanalyse brukes i forbindelse med analyse og videreutvikling av programvaren.

Beskyttelse av personopplysninger

Systemfabrikken AS arbeider systematisk med informasjonssikkerhet for å sikre konfidensialitet, integritet og tilgjengelighet knyttet til Kundens data, herunder personopplysninger.

Det er kun autoriserte fast ansatte underlagt taushetserklæringer som håndterer personopplysninger i Systemfabrikken AS. Alle personopplysninger behandles som konfidensiell informasjon og benyttes ikke til Systemfabrikken AS egne formål, med de unntak som er nevnt over (support, videreutvikling).

Det utleveres ingen systematiserte personopplysninger/registre fra Systemfabrikken AS til eksterne parter.

Gitt personopplysningenes natur (punkt 1-13 over) har Systemfabrikken AS Kundens generelle godkjennelse til å bruke underleverandører. Hvis underleverandør ikke oppfyller sine forpliktelser med hensyn til vern av opplysninger har Systemfabrikken AS det fulle ansvaret overfor Kunde. Systemfabrikken AS gjennomfører årlig risikovurdering og innhenter Databehandleravtale og DPA (Data Processing Addendum) for å sikre GDPR-compliance fra samtlige underleverandører. Liste over underleverandører skal oversendes Kunde ved forespørsel. Kunde skal varsles om bytte av underleverandør 8 uker før endring trer i kraft.  Kunde kan motsette seg dette senest 4 uker før endring trer i kraft.

 

Denne databehandleravtalen revideres periodisk og publiseres på Styreplans hjemmeside. Systemfabrikken AS forbeholder seg retten til å revidere teksten for eksempel i forbindelse med  anbefalinger og bransjepraksis. Kunde vil bli informert ved enhver endring av Databehandleravtalen, uavhengig av forretningsavtalen.

 

Dato: 25.05.2018

Henry J.O. Wengstrøm
Daglig leder
Systemfabrikken AS
henry@styreplan.no