Databehandleravtale

Databehandleravtale Styreplan



Denne siden inneholder den til enhver tid gjeldende versjon av Databehandleravtalen.


Tidligere Databehandleravtaler er lagret av og hos Styreplan AS, og er tilgjengelige på forespørsel.


Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtalen om bruk av Styreplan ("Tjenesteavtalen"), og gjelder mellom Kunden ("Behandlingsansvarlig") og Styreplan AS ("Databehandler") i henhold til Lov om behandling av personopplysninger.

 

Databehandleravtalens hensikt

 

Databehandleravtalen regulerer Styreplan AS sin forvaltning av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med utførelse av Tjenesteavtalen.

 

Databehandleravtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang eller tap.

 

Personopplysninger som Styreplan AS forvalter på vegne av Behandlingsansvarlig skal ikke brukes til andre formål enn levering og administrasjon av Tjenestene uten at dette på forhånd er godkjent av Behandlingsansvarlig.

 

Behandlingsansvarliges rolle

 

Behandlingsansvarlig bestemmer over bruken av personopplysningene som omfattes av denne Databehandleravtalen, og er ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for personopplysningene, herunder samtykke, og at den aktuelle behandling er i overensstemmelse med Personvernregelverket. Behandlingsansvarlig administrerer tilganger og personopplysninger for den enkelte brukeren i sin klient (den Registrerte). Den Registrerte kan redigere sine kontaktopplysninger.

 

Behandlingsansvarlig skal vurdere krav om innsyn i, retting eller sletting av personopplysninger fra den Registrerte i tråd med gjeldende regler for dette.

 

Behandlingsansvarlig skal uten ugrunnet opphold varsle Styreplan AS om forhold Behandlingsansvarlig forstår eller bør forstå kan få betydning for oppdragets/tjenestens gjennomføring.

 

Databehandlers rolle

 

Styreplan AS (Databehandler) skal behandle personopplysninger på vegne av Behandlingsansvarlig i henhold til denne Databehandleravtalen, personvernloven og skriftlige instrukser fra Behandlingsansvarlig.

 

Styreplan AS skal varsle Behandlingsansvarlig dersom Databehandler mottar instrukser fra Behandlingsansvarlig som er i strid med bestemmelsene i Personvernregelverket.

 

Styreplan AS er ansvarlig for å ivareta nødvendig informasjonssikkerhet. Det innebærer å påse at ingen får uberettiget tilgang til personopplysninger, at opplysningene ikke endres utilsiktet eller at opplysningene blir utilgjengelige, slik dette er nærmere definert nedenfor i denne avtalen.


Som en bekreftelse på at Styreplan AS arbeider systematisk med informasjonssikkerhet kan vi vise til at selskapet er sertifisert etter ISO 27001- standarden.

 

Styreplan AS skal uten ugrunnet opphold videresende enhver forespørsel fra tredjeparter om innsyn i eller tilgang til personopplysninger dersom ikke lovlig offentlig myndighet krever annet.

 

Styreplan AS plikter å gi Behandlingsansvarlig bistand til oppfyllelse av forpliktelser etter Personvernregelverket og tilgang til nødvendig dokumentasjon.

 

Hvilke personopplysninger som behandles

 

Formålet med behandlingen av personopplysningene er å tilgjengeliggjøre Styreplantjenesten (funksjonaliteten) for de Registrerte i tråd med Tjenesteavtalen mellom Behandlingsansvarlig og Styreplan AS.

 

Følgende av den Registrertes personopplysninger behandles i forbindelse med bruk av Styreplantjenesten: 

 

  1. Navn
  2. E-postadresse
  3. Mobiltelefonnummer
  4. Formell rolle i organisasjonen (styremedlem, daglig leder, osv.)
  5. Brukerrettigheter i klienten (kategorier: Ordinær, Administrator)
  6. Brukernavn
  7. eID-sertifikatinformasjon (autentisering/signering med BankID (norsk, svensk))
  8. IP-adresse
  9. Foto (opsjon)
  10. Yrkestittel (opsjon)
  11. Fødselsdato (opsjon)
  12. Adresse (opsjon)
  13. Personlig dokumentasjon (CV el.l) (opsjon)

 

Hvilke behandlinger som omfattes

 

Personopplysningene er knyttet til unike, personlige sluttbrukerkontoer i Tjenesten for at den Registrerte skal kunne logge inn i Styreplan, motta meldinger, signere og utføre tilknyttet arbeid på en sikker og sporbar måte.

 

Personopplysningene (nr.1,2,3) benyttes til meldingsutsendelser fra Styreplan (e-post og SMS) knyttet til funksjonalitet som inngår i Tjenesteavtalen.


Meldinger initieres av administrator hos Behandlingsansvarlig (for eksempel Innkalling til møte) eller automatisk av Tjenesten (for eksempel påminnelser).


Styreplan AS kan initiere gruppemeldinger med informasjon til Registrerte (for eksempel melding om planlagt nedetid).

 

BankID-sertifikatinformasjon er registrert i Styreplan for Registrerte som autentiserer og/eller signerer med BankID/Svensk BankID. Bruk loggføres knyttet til innlogging og signatur av protokoller.

 

Behandlingsansvarlig gir Styreplan AS fullmakt til å bruke personopplysningene om den Registrerte i forbindelse med brukerhjelp.

 

I tillegg til ovennevnte strukturerte personopplysninger kan Behandlingsansvarlig laste opp informasjon/filer som kan inneholde andre personopplysninger og/eller sensitiv informasjon (for eksempel i saksdokumenter).


I forbindelse med brukerbistand kan ansatte i Styreplan AS etter skriftlig instruks fra administrator/ledelse hos Behandlingsansvarlig ha tilgang til slike data. Se eget punkt om taushetsplikt.

 

All aktivitet i Styreplan loggføres og er tilgjengelig for Styreplan AS for drift, brukerbistand og dokumentasjonsformål i inntil 1 år.


Brukeraktivitet i Styreplan er tilgjengelig for administrator hos Behandlingsansvarlig i Styreplans hendelseslogg.

 

Aggregert anonymisert trafikkdata kan brukes i forbindelse med statistisk analyse med det formål å videreutvikle/forbedre programvaren.

 

Taushetsplikt

 

Det er kun autoriserte fast ansatte underlagt selskapets Etiske retningslinjer og signerte taushetserklæringer som håndterer personopplysninger i Styreplan AS.


Alle personopplysninger behandles som konfidensiell informasjon og benyttes ikke til Styreplan AS egne formål, med de unntak som er nevnt over.


Styreplan AS plikter å dokumentere retningslinjer og rutiner for tilgangsstyring, herunder sørge for at egne ansatte undertegner en taushetserklæring.


Dokumentasjonen skal være tilgjengelig for Behandlingsansvarlig på forespørsel. Ansattes taushetsplikt gjelder også etter Tjenesteavtalens og arbeidsforholdets opphør.

 

Beskyttelse av personopplysninger - sikkerhet

 

Styreplan AS er sertifisert i henhold til den internasjonale standarden ISO 27001, den mest anerkjente og omfattende standarden for styring av informasjonssikkerhet.

 

Styreplan AS plikter å arbeide systematisk med informasjonssikkerhet for å sikre konfidensialitet, integritet og tilgjengelighet (KIT) knyttet til den Behandlingsansvarliges data, herunder personopplysninger.


Behandlingsansvarlig kan til enhver tid kreve innsyn i og verifikasjon av Styreplans behandling av personopplysninger tilhørende Behandlingsansvarlig.


Retten til innsyn gjelder alle tekniske, organisatoriske og administrative forhold som er relevante for sikkerheten ved behandlingen som utføres.


Behandlingsansvarlig skal så vidt mulig gi Styreplan AS varsel i rimelig tid ved krav om innsyn og kontroll, vanligvis minst 30 dager.


Innsyn og kontroll kan gjennomføres av Behandlingsansvarlig eller tredjepart som Behandlingsansvarlig utpeker. Styreplan AS kan kreve dekket dokumenterte merkostnader som påløper ved slike revisjoner.

 

Styreplan AS skal oppfylle de krav til sikkerhet ved behandlingen som stilles etter Personvernforordningen artikkel 32.


Styreplan AS skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for, og skal dokumentere rutiner, opplæring og andre tiltak for å oppfylle disse kravene.


Styreplan AS skal også bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene etter Personvernforordningen artikkel 32 – 36.

 

Styreplan AS skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom personopplysninger som forvaltes på vegne av Behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de Registrertes personvern.


Varsel skal beskrive omfang av sikkerhetsbrudd, berørte Registrerte og tiltak.


Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra Styreplan AS blir videreformidlet til Datatilsynet og eventuelle berørte Registrerte.

 

Overføring av personopplysninger - underleverandører

 

De Registrerte hos Behandlingsansvarlig aksesserer Tjenesten via internett, uansett hvor de er i verden.


Behandlingsansvarlig er selv ansvarlig for at dette skjer i samsvar med egne retningslinjer for informasjonssikkerhet.

 

Det utleveres ingen strukturerte personopplysninger/registre fra Styreplan AS til eksterne parter.

 

Behandlingsansvarlig samtykker i at Styreplan AS benytter underleverandører for formidling av meldinger fra Tjenesten (e-post og sms).


Slike meldinger er kryptert og inneholder mottager og avsender (navn og e-postadresse eller mobilnummer).


Formidling av sms gjøres av OnlineCity ApS/GatewayApi.com (Danmark). Formidling av e-post gjøres av Sendgrid/Twilio Inc (USA) og Postmark (USA).


Det er gjennomført tekniske tiltak etter Schrems-dommene. Data hos e-postunderleverandørene blir slettet etter henholdsvis 30 og 45 dager.


Styreplan AS følger underleverandørene og den juridiske utviklingen på området nøye, og vurderer europeiske alternativer.

 

Styreplan AS plikter å sikre at underleverandører forvalter personopplysninger i samsvar med alle plikter som Styreplan AS selv er underlagt i henhold til denne Databehandleravtalen.


Styreplan AS skal kontrollere og er ansvarlig for at underleverandører overholder sine avtalemessige plikter.

 

Behandlingsansvarlig skal varsles om eventuell endring av underleverandør senest 30 dager før endring trer i kraft.


Dersom Behandlingsansvarlig motsetter seg endringen, må Styreplan AS varsles senest 14 dager før endring trer i kraft.

 

Tilbakelevering og sletting av data

 

Ved opphør av Tjenesteavtalen plikter Styreplan AS å tilbakelevere alle data til Behandlingsansvarlig, herunder personopplysninger, som forvaltes på vegne av Behandlingsansvarlig.


Alle data overføres til Behandlingsansvarlig og slettes i tråd med bestemmelsene i Tjenesteavtalen.

 

Annet

 

Databehandleravtalen gjelder så lenge Styreplan AS behandler personopplysninger på vegne av Behandlingsansvarlig.

 

Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge Styreplan AS å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.


Styreplan AS er kun erstatningsansvarlig overfor Behandlingsansvarlig for direkte økonomiske tap som skyldes Styreplan AS mislighold av vilkårene i denne avtalen, og eventuelt tap Registrerte lider som følge av at deres rettigheter eller personvern er krenket.

 

Styreplan AS forbeholder seg retten til å oppdatere og endre Databehandleravtalen ved publisering på www.styreplan.no dersom annet ikke er avtalt.


Behandlingsansvarlig skal alltid varsles om vesentlige endringer senest 30 dager før de trer i kraft.

 

Styreplan AS skal, hensyntatt tjenestens art og omfang, bistå Behandlingsansvarlig i forbindelse med spørsmål knyttet til denne avtalen.


Bistand utover rimelig innsats faktureres etter nærmere avtale. Det samme gjelder kostnader og utlegg som er pådratt i forbindelse med utførelse av bistanden.

 

Alle henvendelser vedrørende denne avtalen skal sendes skriftlig til:

 

Behandlingsansvarlig:

Daglig leder eller administrator/personvernansvarlig særskilt utpekt av Kunden

 

Databehandler:

Daglig leder i Styreplan AS

 

Databehandleravtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting.

 

 

Dato: 07.06.2023

Henry J.O. Wengstrøm

Daglig leder

Styreplan AS

henry@styreplan.no

Share by: