Denne siden inneholder den til enhver tid gjeldende versjon av Databehandleravtalen.
Tidligere Databehandleravtaler er lagret av og hos Styreplan AS, og er tilgjengelige på forespørsel.
Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtalen om bruk av Styreplan ("Tjenesteavtalen"), og gjelder mellom Kunden ("Behandlingsansvarlig") og Styreplan AS ("Databehandler") i henhold til Lov om behandling av personopplysninger.
Databehandleravtalen regulerer Styreplan AS sin forvaltning av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med gjennomføring av Tjenesteavtalen.
Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang eller tap.
Personopplysninger som Databehandler forvalter på vegne av Behandlingsansvarlig skal ikke brukes til andre formål enn levering og administrasjon av de avtalte Tjenestene uten at det på forhånd er godkjent av Behandlingsansvarlig.
Behandlingsansvarlig bestemmer over bruken av personopplysningene som omfattes av denne Databehandleravtalen. Behandlingsansvarlig er ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene og at den aktuelle behandling er i overensstemmelse med personopplysningsloven. Behandlingsansvarlig har en berettiget legitim interesse av å behandle personopplysningene som en konsekvens av Styreplantjenestens formål og det avtalte arbeids- og tillitsforholdet mellom Behandlingsansvarlig og den Registrerte.
Behandlingsansvarlig administrerer tilganger og rettigheter for den enkelte bruker (den Registrerte) som inngår i den Behandlingsansvarliges leveranse.
Behandlingsansvarlig registrerer e-postadresse og mobiltelefonnummer til den Registrerte ved førstegangsregistrering i Styreplan. Etter førstegangsinnlogging overtar den Registrerte kontrollen over sine personopplysninger (Navn, e-post, mobiltelefon, fotografi). Det er kun den Registrerte som kan redigere sine kontaktopplysninger. Behandlingsansvarlig kan når det er teknisk tilrettelagt for det innhente aksjonærdata fra skatteetaten direkte til aksjeeierbok i Tjenesten.
Behandlingsansvarlig skal vurdere krav om innsyn i, retting eller sletting av personopplysninger fra den Registrerte i tråd med gjeldende regler for dette.
Behandlingsansvarlig kan avslutte/deaktivere den Registrertes tilgang og anonymisere e-post og mobiltelefonnummer (permanent deaktivering).
Behandlingsansvarlig skal uten ugrunnet opphold varsle Databehandler om forhold Behandlingsansvarlig forstår eller bør forstå kan få betydning for oppdragets/tjenestens gjennomføring.
Databehandler skal behandle personopplysninger på vegne av Behandlingsansvarlig i henhold til denne Databehandleravtalen, personopplysningsloven og skriftlige instrukser fra Behandlingsansvarlig.
Databehandler arbeider systematisk med informasjonssikkerhet og er sertifisert i henhold til ISO 27001- standarden. Databehandler er ansvarlig for å ivareta nødvendig informasjonssikkerhet. I praksis betyr det bl.a. å påse at ingen får uberettiget tilgang til personopplysninger (konfidensialitet), at opplysningene er korrekte (integritet) og at opplysningene er tilgjengelige (tilgjengelighet).
Databehandler skal varsle Behandlingsansvarlig dersom Databehandler mottar instrukser fra Behandlingsansvarlig som er i strid med bestemmelsene i personopplysningsloven.
Databehandler skal uten ugrunnet opphold videresende til Behandlingsansvarlig enhver forespørsel fra tredjeparter om innsyn eller tilgang til personopplysninger dersom ikke lovlig offentlig myndighet krever annet.
Databehandler plikter å gi Behandlingsansvarlig bistand til oppfyllelse av forpliktelser etter personopplysningsloven og tilgang til nødvendig dokumentasjon.
Formålet med behandlingen av personopplysningene er å tilgjengeliggjøre Styreplantjenesten (funksjonaliteten) for de Registrerte i tråd med Tjenesteavtalen mellom Behandlingsansvarlig og Databehandler. Grunnlaget for behandlingen er en berettiget interesse i å oppfylle en avtale mellom partene.
Følgende av den Registrertes personopplysninger behandles i forbindelse med bruk av Styreplantjenesten:
Personopplysningene er knyttet til en unik, personlig sluttbrukerkonto i Tjenesten. Formålet med registreringen er å gi den Registrerte tilgang til Tjenesten. Den Registrerte kan logge inn i Styreplan, motta meldinger, svare på meldinger, signere dokumenter og utføre tilknyttet arbeid på en sikker og dokumentert måte.
Personopplysningene (nr.2,3) benyttes til meldingsutsendelser fra Styreplan (e-post og SMS) knyttet til funksjonalitet som inngår i Tjenesteavtalen. Meldinger initieres av administrator hos Behandlingsansvarlig (for eksempel Innkalling til møte) eller automatisk av Tjenesten (for eksempel påminnelser).
Databehandler kan i ekstraordinære tilfeller (når andre kanaler ikke anses å være tilstrekkelig), eller for å oppfylle krav i Tjenesteavtalen eller Databehandleravtalen, sende meldinger med informasjon til Registrerte (for eksempel melding om planlagt nedetid).
BankID-sertifikatinformasjon er registrert i Styreplan for Registrerte som autentiserer og/eller signerer med BankID/Svensk BankID. Bruk loggføres knyttet til innlogging og signatur av protokoller.
Behandlingsansvarlig gir Databehandler fullmakt til å bruke personopplysningene om den Registrerte i forbindelse med brukerhjelp. Ved registrering av personopplysninger i Databehandlerens administrative systemer (f.eks. CRM-system) blir Databehandler å betrakte som Behandlingsansvarlig for disse opplysningene.
I tillegg til ovennevnte strukturerte personopplysninger kan Behandlingsansvarlig registrere/laste opp informasjon/filer som kan inneholde andre personopplysninger og/eller sensitiv informasjon (for eksempel i saksdokumenter). I forbindelse med brukerbistand kan ansatte hos Databehandler etter skriftlig instruks fra administrator/ledelse hos Behandlingsansvarlig ha tilgang til slike data i forbindelse med support/brukerhjelp. Se eget punkt under om taushetsplikt.
All aktivitet i Styreplan loggføres og er tilgjengelig for Databehandler for drifts-, brukerbistand og dokumentasjonsformål i inntil 1 år.
Brukeraktivitet i Styreplan er tilgjengelig lokalt for administrator hos Behandlingsansvarlig i Styreplans hendelseslogg.
Aggregert anonymisert trafikkdata kan brukes i forbindelse med statistisk analyse med det formål å videreutvikle/forbedre programvaren.
Det er kun autoriserte fast ansatte underlagt selskapets Etiske retningslinjer og signert taushetserklæring som håndterer personopplysninger i Styreplan AS.
Alle personopplysninger behandles som konfidensiell informasjon og benyttes ikke til Databehandlers egne formål, med de unntak som er nevnt over (ekstraordinære tilfeller, brukerhjelp).
Databehandler plikter å dokumentere retningslinjer og rutiner for tilgangsstyring, herunder sørge for at egne ansatte undertegner en taushetserklæring. Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig på forespørsel. Ansattes taushetsplikt gjelder også etter Tjenesteavtalens og arbeidsforholdets opphør.
Styreplan AS er sertifisert i henhold til den internasjonale standarden ISO 27001:2017, den mest anerkjente og omfattende standarden for styring av informasjonssikkerhet.
Styreplan AS plikter å arbeide systematisk med informasjonssikkerhet for å sikre konfidensialitet, integritet og tilgjengelighet (KIT) knyttet til den Behandlingsansvarliges data, herunder personopplysninger.
Behandlingsansvarlig kan til enhver tid kreve innsyn i og verifikasjon av Styreplans behandling av personopplysninger tilhørende Behandlingsansvarlig. Retten til innsyn gjelder alle tekniske, organisatoriske og administrative forhold som er relevante for sikkerheten ved behandlingen som utføres. Behandlingsansvarlig skal så vidt mulig gi Databehandler varsel i rimelig tid ved krav om innsyn og kontroll, vanligvis minst 30 dager. Innsyn og kontroll kan gjennomføres av Behandlingsansvarlig eller tredjepart som Behandlingsansvarlig utpeker. Databehandler kan kreve dekket dokumenterte merkostnader som påløper ved slike revisjoner.
Databehandleren skal oppfylle de krav til sikkerhet ved behandlingen som stilles etter Personvernforordningen artikkel 32.
Databehandler skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for, og skal dokumentere rutiner, opplæring og andre tiltak for å oppfylle disse kravene (jamfør ISO-sertifisering).
Databehandler skal også bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene etter Personvernforordningen artikkel 33 – 36.
Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom personopplysninger som forvaltes på vegne av Behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de Registrertes personvern. Varsel skal beskrive omfang av sikkerhetsbrudd, berørte Registrerte og tiltak.
Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra Databehandler blir videreformidlet til Datatilsynet og eventuelle berørte Registrerte.
De Registrerte hos Behandlingsansvarlig har tilgang til Tjenesten via internett, uansett hvor de er i verden. Behandlingsansvarlig er selv ansvarlig for at dette skjer i samsvar med egne retningslinjer for informasjonssikkerhet.
Databehandler benytter følgende underleverandører:
Databehandler plikter å sikre at underleverandører forvalter personopplysninger i samsvar med alle plikter som Databehandler selv er underlagt i henhold til denne Databehandleravtalen. Databehandler skal kontrollere og er ansvarlig for at underleverandører overholder sine plikter.
Behandlingsansvarlig skal varsles om eventuell endring av underleverandør senest 30 dager før endring trer i kraft. Dersom Behandlingsansvarlig motsetter seg endringen, må Databehandler varsles senest 14 dager før endring trer i kraft.
Ved opphør av Tjenesteavtalen plikter Databehandler å tilbakelevere data til Behandlingsansvarlig. Overføring skjer ved at Behandlingsansvarlig starter en prosess inne i Tjenesten, laster ned data (zip-fil), og bestiller sletting. Alle data overføres til Behandlingsansvarlig og slettes i tråd med bestemmelsene i Tjenesteavtalen.
Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.
Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Databehandler er erstatningsansvarlig overfor Behandlingsansvarlig for direkte økonomiske tap som skyldes Databehandlers mislighold av vilkårene i denne avtalen, og eventuelt tap Registrerte lider som følge av at deres rettigheter eller personvern er krenket.
Databehandler forbeholder seg retten til å oppdatere og endre Databehandleravtalen ved publisering på www.styreplan.no dersom annet ikke er avtalt.
Behandlingsansvarlig skal alltid varsles om vesentlige endringer senest 30 dager før de trer i kraft.
Styreplan AS skal, hensyntatt Tjenestens art og omfang, bistå Behandlingsansvarlig i forbindelse med spørsmål knyttet til denne avtalen. Bistand utover rimelig innsats faktureres etter nærmere avtale. Det samme gjelder kostnader og utlegg i forbindelse med utførelse av bistanden.
Alle henvendelser vedrørende denne avtalen skal sendes skriftlig til:
Behandlingsansvarlig:
Daglig leder, styrets leder eller administrator/personvernansvarlig særskilt utpekt av Kunden
Databehandler:
Daglig leder i Styreplan AS
Databehandleravtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting.
Dato: 12.12.2024
Henry J.O. Wengstrøm
Daglig leder
Styreplan AS
henry@styreplan.no
