Lukk
 Kontakt
 no
© Infobric AS, Schweigaards gate 16, 0191 Oslo
Tilbake
Lukk
Tilbake
Lukk
Tilbake
Lukk
Tilbake
Lukk
Tilbake
Lukk
Tilbake
Lukk
Tilbake
Lukk
Tilbake
Lukk
Tilbake

Databehandleravtale Infobric Fleet

v 1.1 – 29.9.2021

1. GENERELT

1.1 Kunden er behandlingsansvarlig for all behandling av personopplysninger som skjer i Tjenesten dersom det ikke er angitt noe annet i denne databehandleravtalen. Innenfor rammen for Tjenesten kommer Leverandøren i egenskap av databehandler til å behandle personopplysninger på oppdrag fra Kunden. Formålet med behandlingen, behandlingens varighet, art og hensikt, typen av personopplysninger og kategorier av registrerte som berøres av behandlingen, blir beskrevet nærmere i Vedlegg – Beskrivelse av behandlingen av personopplysninger i Tjenesten. Kunden har ansvar for at all slik behandling av personopplysninger skjer i samsvar med den til enhver tid gjeldende personvernlovgivning, herunder personvernforordningen (EU 2016/679) («Gjeldende lovgivning»).

2. LEVERANDØRENS GENERELLE FORPLIKTELSER

2.1 Leverandøren skal i egenskap av databehandler kun behandle personopplysninger i samsvar med Kundens skriftlige instruksjoner ifølge denne databehandleravtalen, samt ytterligere dokumenterte instruksjoner som Kunden til enhver tid gir. Ytterligere instruksjoner kan gis til Leverandøren på e-post eller på eget skjema. Instruksjonen bør inneholde informasjon tilsvarende den som fremgår av vedlegget til denne databehandleravtalen. 2.2 Dersom Leverandøren mangler instruksjoner som Leverandøren mener er nødvendige for å gjennomføre oppdraget, skal Leverandøren informere Kunden om dette umiddelbart og avvente ytterligere instruksjoner. Dersom Leverandøren mener at en instruksjon strider mot Gjeldende lovgivning, skal Leverandøren informere Kunden om dette umiddelbart. Hvis Kunden i et slikt tilfelle unnlater å gi Leverandøren ytterligere instruksjoner, skal Leverandøren se bort fra instruksjonen og varsle Kunden om dette. Dersom Kunden opprettholder den lovstridige instruksjonen, har Leverandøren rett til å si opp avtalen før tiden i tråd med det som fremgår av de Generelle vilkårene. 2.3 Uavhengig av det som er angitt i punkt 2.1 ovenfor, har Leverandøren rett til å behandle personopplysninger i den utstrekning det er påkrevet for at Leverandøren skal kunne oppfylle forpliktelser som påhviler Leverandøren ifølge den til enhver tid Gjeldende lovgivning, for eksempel å etterkomme pålegg fra myndighetene. Før slik behandling gjennomføres, er det imidlertid Leverandørens ansvar å informere Kunden om den rettslige forpliktelsen, dersom ikke tvingende lovgivning hindrer Leverandøren i å oppgi slik informasjon. 2.4 Hvis noen ber om informasjon fra Leverandøren om Kundens behandling av personopplysninger, skal Leverandøren henvise til Kunden ved å varsle kundens avtaleansvarlig på e-post. Leverandøren kan ikke utlevere personopplysninger eller annen informasjon om behandlingen av personopplysninger uten skriftlige instruksjoner fra kunden. Leverandøren har ikke rett til å representere Kunden eller opptre på Kundens vegne overfor noen tredjepart, inklusive tilsynsmyndigheten.

3. TEKNISKE OG ORGANISATORISKE TILTAK

3.1 Leverandøren skal iverksette de tekniske og organisatoriske tiltakene som kreves ifølge Gjeldende lovgivning, for å beskytte personopplysningene som behandles i Tjenesten, og minst de tekniske og organisatoriske tiltakene som fremgår av sikkerhetsvedlegget til denne databehandleravtalen. Det kreves forhåndsgodkjenning fra Kunden dersom Leverandøren vil gjennomføre endringer som gjelder de tekniske og organisatoriske tiltakene som er iverksatt, dersom dette vil innebære at sikkerhetsnivået blir dårligere. Partene er enige om at de tekniske og organisatoriske tiltakene som iverksettes, skal være gjenstand for regelmessig oppfølging for å sikre at tiltakene er egnet med hensyn til risikoen som er forbundet med behandlingen av personopplysninger. 3.2 På Kundens begjæring skal Leverandøren bistå Kunden med nødvendig informasjon som Leverandøren har tilgang til, for at Kunden, når det er aktuelt, skal kunne oppfylle sine forpliktelser til å gjennomføre konsekvensvurdering og forhåndssamråd med berørte tilsynsmyndigheter angående den behandlingen Leverandøren utfører på Kundens vegne innenfor rammene for Tjenesten. Leverandøren har opprettet en konsekvensvurdering for behandlingen av personopplysninger som Leverandøren utfører på oppdrag fra Kunden, som Kunden kan få tilgang til på forespørsel. 3.3 Leverandøren skal, i den grad det er mulig, bistå Kunden ved å iverksette egnede tekniske og organisatoriske tiltak for at Kunden skal kunne oppfylle sin plikt til å svare på en begjæring om utøvelse av en rettighet som den registrerte har ifølge Gjeldende lovgivning. Tjenesten inneholder en bestemt funksjonalitet for å gjøre det enklere for kunden å imøtekomme en begjæring fra den registrerte om å håndheve sine rettigheter ifølge Gjeldende lovgivning. 3.4 Leverandøren skal sørge for at tilgangen til personopplysninger kun begrenses til personale hos Leverandøren som trenger tilgang for at Leverandøren skal kunne oppfylle sine forpliktelser overfor Kunden. Videre skal Leverandøren sørge for at slikt behørig personale opprettholder konfidensialitet tilsvarende den konfidensialiteten som følger av punkt 8 nedenfor gjennom egne konfidensialitetsavtaler.

4. PERSONOPPLYSNINGSHENDELSER

4.1 I tilfelle det inntreffer en personopplysningshendelse (ifølge definisjon i Gjeldende lovgivning), skal Leverandøren varsle Kunden skriftlig om dette gjennom Kundens Avtaleansvarlig umiddelbart etter at Leverandøren har fått kjennskap til hendelsen, og senest innen tjuefire (24) timer, i tråd med Leverandørens til enhver tid gjeldende rutiner. Varselet skal inneholde informasjon om hendelsens art, kategorier av og antall registrerte og personopplysningsposter som er berørt, de sannsynlige konsekvensene av hendelsen, samt en beskrivelse av hvilke tiltak Leverandøren (i påkommende tilfelle) har iverksatt for å begrense eventuelle negative konsekvenser av hendelsen, for å gjøre det mulig for Kunden å oppfylle sin eventuelle plikt til å melde personopplysningshendelsen til den berørte tilsynsmyndigheten. Dersom det ikke er mulig, er det ikke nødvendig å oppgi all informasjon ved en og samme anledning, men Leverandøren skal da oppgi informasjonen til Kunden så snart den blir tilgjengelig for Leverandøren. 4.2 Dersom det er sannsynlig at en personopplysningshendelse medfører risiko for de registrertes personvern, skal Leverandøren, i den grad det er mulig, umiddelbart etter at Leverandøren har blitt kjent med personopplysningshendelsen, iverksette egnede avbøtende tiltak for å hindre eller begrense eventuelle negative konsekvenser av personopplysningshendelsen.

5. TILGANG TIL INFORMASJON M.M.

5.1 Leverandøren dokumenterer løpende hvilke tiltak Leverandøren har iverksatt for å oppfylle sine forpliktelser ifølge denne databehandleravtalen. Kunden har på forespørsel rett til å få tilgang til siste versjon av slik dokumentasjon. For informasjon om behandlingen av personopplysninger som skjer innenfor rammen for Tjenesten, se vedlegget til denne databehandleravtalen. 5.2 Videre skal Leverandøren muliggjøre og bidra til at Kunden, eller en tredjepart utpekt av Kunden, gjennomfører en gransking, innbefattet inspeksjon, av de tekniske og organisatoriske tiltakene Leverandøren iverksetter for å oppfylle sine forpliktelser ifølge denne databehandleravtalen. Leverandøren skal varsles skriftlig om en slik gransking minst tretti (30) dager på forhånd. Samtlige kostnader for granskingen skal bæres av Kunden, inklusive Leverandørens eventuelle kostnader for medvirkning i granskingen. Kunden skal forsikre seg om at en eventuell tredjepart som gjennomfører granskingen for Kundens regning, skal iaktta en konfidensialitet som ikke er mindre restriktiv enn det som følger av punkt 8 nedenfor. Tilsvarende bestemmelser gjelder dersom Kunden begjærer gransking av en Underdatabehandler som Leverandøren har brukt i forbindelse med Tjenesten, se punkt 6 nedenfor.

6. BRUK AV UNDERDATABEHANDLERE

6.1 Kunden godtar herved at underleverandører som benyttes av Leverandøren, og som fremgår av Leverandørens til enhver tid gjeldende nettside, kan behandle personopplysninger på Kundens vegne i forbindelse med Tjenesten («Underdatabehandlere»). Underdatabehandlere som Leverandøren bruker på tidspunktet for inngåelse av denne databehandleravtalen, fremgår også av vedlegget til denne databehandleravtalen. Videre gir Kunden Leverandøren en generell forhåndstillatelse til bruk av nye Underdatabehandlere, under forutsetning av at Leverandøren sørger for at Underdatabehandleren gir tilstrekkelige garantier om å gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at behandlingen oppfyller kravene i Gjeldende lovgivning. 6.2 Leverandøren skal inngå en databehandleravtale med Underdatabehandleren. En slik databehandleravtale skal inneholde bestemmelser som tilsvarer det som følger av denne databehandleravtalen og Gjeldende lovgivning. 6.3 Dersom Leverandøren har til hensikt å bruke en ny Underdatabehandler, skal Leverandøren informere Kunden om dette på e-post til Kundens Avtaleansvarlig. Leverandøren skal der oppgi informasjon om Underdatabehandlerens identitet (inklusive fullstendig firma, organisasjonsnummer og adresse), på hvilket sted (geografisk) Underdatabehandleren kommer til å behandle personopplysninger, hvilken type tjeneste Underdatabehandleren utfører, samt hvilke beskyttelsestiltak som vil bli iverksatt av Underdatabehandleren for å beskytte personopplysningene som behandles. Kunden har, innen én (1) uke regnet fra varselet, rett til å komme med innvendinger mot at Leverandøren bruker Underdatabehandleren for å behandle personopplysninger på oppdrag fra Kunden. Leverandøren og Kunden skal i så fall i fellesskap prøve å finne en omforent løsning. Dersom dette ikke lykkes, kan Avtalen sies opp før tiden, ifølge det som fremgår av de Generelle vilkårene.

7. OVERFØRING TIL OG BEHANDLING AV PERSONOPPLYSNINGER UTENFOR EU/EØS-OMRÅDET

7.1 Kunden godtar herved at Leverandøren når det er aktuelt, overfører Kundens personopplysninger utenfor EU/EØS-området. Slik overføring kan imidlertid bare skje dersom (i) landet har et adekvat beskyttelsesnivå for personopplysninger ifølge beslutning meddelt av EU-kommisjonen som omfatter behandlingen av personopplysninger, (ii) Leverandøren sikrer at det er på plass egnede sikkerhetstiltak, for eksempel standardiserte datasikkerhetsbestemmelser, som er godkjent av EU-kommisjonen, i lys av mottakerlandets lovgivning, eller (iii) noe annet unntak i Gjeldende lovgivning muliggjør overføringen. 7.2 Dersom Leverandøren overfører personopplysninger utenfor EU/EØS med støtte av standardiserte datasikkerhetsbestemmelser, gir Kunden herved Leverandøren fullmakt til å inngå slike standardavtaleklausuler på den behandlingsansvarliges vegne.

8. TAUSHETSPLIKT

8.1 Uten at det påvirker konfidensialitetsforpliktelsen i punkt 14 i Generelle vilkår, skal også følgende gjelde. 8.2 Leverandøren skal holde personopplysninger som behandles for Kundens regning, strengt konfidensielle. Leverandøren skal således ikke, verken direkte eller indirekte, utlevere noen personopplysninger til tredjepart dersom Kunden ikke har gitt skriftlig samtykke til dette, såfremt Leverandøren ikke er forpliktet ifølge loven til å utlevere personopplysninger, eller dersom det er nødvendig for å oppfylle Avtalen. Leverandøren godtar at denne konfidensialitetsforpliktelsen skal fortsette å gjelde også etter at Avtalen har opphørt. 8.3 Kunden forplikter seg til å holde all informasjon som Kunden mottar knyttet til Leverandørens sikkerhetstiltak, rutiner, IT-systemer eller som på annen måte er av konfidensiell karakter, strengt konfidensiell, og forplikter seg videre til ikke å avsløre konfidensiell informasjon som stammer fra Leverandøren eller dennes Underdatabehandlere, til noen utenforstående. Kunden har imidlertid rett til å avsløre informasjon som Kunden er forpliktet til å avsløre ifølge lov eller ifølge Avtalen. Kunden aksepterer at denne konfidensialitetsforpliktelsen skal fortsette å gjelde også etter Avtalens opphør.

9. ANSVAR

9.1 Dersom Leverandøren påføres skade eller mottar krav som følge av Leverandørens behandling av personopplysninger i samsvar med Kundens instruksjoner, skal Kunden holde Leverandøren skadesløs for skaden som oppstår som følge av dette. Leverandøren er imidlertid ansvarlig for å oppfylle Underdatabehandlerens forpliktelser overfor Kunden dersom Underdatabehandleren ikke oppfyller sine forpliktelser. Det skal ikke praktiseres noen ansvarsbegrensning vedrørende Kundens ansvar i henhold til denne databehandleravtalen. 9.2 Dersom Kundens ytterligere dokumenterte instruksjoner vedrørende behandlingen av personopplysninger ikke støttes av Tjenesten eller følger av Leverandørens forpliktelser ifølge Avtalen for øvrig, og Leverandøren ikke har hatt skjellig grunn til å regne med disse, og disse kravene medfører at Leverandøren påføres ekstra kostnader, har Leverandøren rett til å velge mellom å si opp avtalen med umiddelbar virkning, eller alternativt få erstatning fra Kunden for disse kostnadene.

10. AVTALENS OPPHØR

10.1 Etter at Avtalen opphører skal Leverandøren, avhengig av hva Kunden velger, enten levere tilbake eller på en trygg måte slette alle personopplysninger som Leverandøren har behandlet for Kundens regning. Hvis Kunden ikke kommer med en slik begjæring innen fjorten (14) dager etter oppsigelse, skal Leverandøren på en trygg måte slette personopplysningene som Leverandøren behandler for Kundens.

Vedlegg 1 – Beskrivelse av behandlingen av personopplysninger i Tjenesten

Dette vedlegget skal anses å utgjøre en integrert del av databehandleravtalen. 1. Formål med behandlingen Personopplysningene behandles for følgende formål:
  • For å levere Tjenesten og support av Tjenesten
  • For å oppfylle Kundens eventuelle ytterligere dokumenterte instruksjoner som blir gitt til enhver tid
2. Steder der personopplysningene kommer til å bli behandlet Personopplysningene behandles av Leverandøren. For informasjon om hvilke Underdatabehandlere Leverandøren benytter og hvor de behandler Kundens personopplysninger, se Vedlegg 2 til denne Databehandleravtalen. 3. Lagring av personopplysninger Hvis Avtalen opphører, lagres opplysningene inntil Leverandøren har levert tilbake eller slettet Kundens personopplysninger i henhold til bestemmelsene i databehandleravtalen. Se også nedenfor i punkt 4 vedrørende nærmere informasjon om hvor lenge personopplysninger blir lagret i Tjenesten. 4. Nærmere beskrivelse av behandlingen av personopplysninger i Tjenesten Nedenfor gis en nærmere beskrivelse av behandlingen av personopplysninger som forekommer i Tjenesten. FORDELSBIL Kategorier av registrerte Følgende kategorier av registrerte kan være omfattet av behandlingen:
  • Kundens ansatte og annet personale som er innleid eller på annen måte benyttet av Kunden
  • Eksterne personer (som bruker Kundens kjøretøy)
Kategorier av personopplysninger Følgende kategorier av personopplysninger kan behandles, avhengig av hvilke opplysninger som registreres av Kunden:
  • Identitetsopplysninger (f.eks. navn, bruker-ID og opplysning om ID-kort)
  • Kontaktopplysninger (f.eks. e-postadresse)
  • Posisjonsopplysninger (f.eks. opplysning om registrert geografisk posisjon)
  • Kjøretøyopplysninger (f.eks. registreringsnummer)
Behandling av personopplysninger Dette formålet omfatter for eksempel følgende behandling av personopplysninger:
  • Innsamling av posisjonsopplysninger fra kjøretøy og overføring til Tjenesten
  • Lagring av posisjonsopplysninger fra kjøretøy i Tjenesten
  • Sammenstilling av posisjonsopplysninger for historikk og kjørebok
  • Uthenting av rapporter og statistikk
Lagring av personopplysninger
  • Personopplysninger lagres så lenge Kunden bruker Tjenesten.
  • Posisjonsopplysninger lagres i en periode på tre måneder regnet fra registrering.
  • Kjørebøker (start-/stoppadresse, strekning, kilometerstand, type og formål) lagres i åtte år og blir deretter slettet.
FIRMABIL Kategorier av registrerte Følgende kategorier av registrerte kan være omfattet av behandlingen:
  • Kundens ansatte og annet personale som er innleid eller på annen måte benyttet av Kunden
  • Eksterne personer (som bruker Kundens kjøretøy)
Kategorier av personopplysninger Følgende kategorier av personopplysninger kan behandles, avhengig av hvilke opplysninger som registreres av Kunden:
  • Identitetsopplysninger (f.eks. navn, bruker-ID og opplysning om ID-kort)
  • Kontaktopplysninger (f.eks. e-postadresse)
  • Posisjonsopplysninger (f.eks. opplysning om registrert geografisk posisjon)
  • Kjøretøyopplysninger (f.eks. registreringsnummer)
Behandling av personopplysninger Dette formålet omfatter for eksempel følgende behandling av personopplysninger:
  • Innsamling av posisjonsopplysninger fra kjøretøy og overføring til Tjenesten
  • Lagring av posisjonsopplysninger fra kjøretøy i Tjenesten
  • Sammenstilling av posisjonsopplysninger for nåværende posisjon, historikk og kjørebok
  • Uthenting av rapporter og statistikk
Lagring av personopplysninger
  • Personopplysninger lagres så lenge Kunden bruker Tjenesten.
  • Posisjonsopplysninger lagres i en periode på 3 måneder regnet fra registrering.
  • Kjørebøker (start-/stoppadresse, strekning, kilometerstand, type og formål) lagres i åtte år og blir deretter slettet.
TRANSPORTKJØRETØY Kategorier av registrerte Følgende kategorier av registrerte kan være omfattet av behandlingen:
  • Kundens ansatte og annet personale som er innleid eller på annen måte benyttet av Kunden
  • Eksterne personer (som bruker Kundens kjøretøy)
Kategorier av personopplysninger Følgende kategorier av personopplysninger kan behandles, avhengig av hvilke opplysninger som registreres av Kundens brukere:
  • Identitetsopplysninger (f.eks. navn, bruker-ID og opplysning om ID-kort)
  • Kontaktopplysninger (f.eks. e-postadresse)
  • Posisjonsopplysninger (f.eks. opplysning om registrert geografisk posisjon)
  • Kjøretøyopplysninger (f.eks. registreringsnummer)
Behandling av personopplysninger Dette formålet omfatter for eksempel følgende behandling av personopplysninger:
  • Innsamling av posisjonsopplysninger fra kjøretøy og overføring til Tjenesten
  • Lagring av posisjonsopplysninger fra kjøretøy i Tjenesten
  • Sammenstilling av posisjonsopplysninger for nåværende posisjon, historikk og kjørebok
  • Uthenting av rapporter og statistikk
Lagring av personopplysninger
  • Personopplysninger lagres så lenge Kunden bruker Tjenesten.
  • Posisjonsopplysninger lagres i en periode på 3 måneder regnet fra registrering.
  • Kjørebøker (start-/stoppadresse, strekning, kilometerstand, type og formål) lagres i åtte år og blir deretter slettet.
MASKIN Kategorier av registrerte Følgende kategorier av registrerte kan være omfattet av behandlingen:
  • Kundens ansatte og annet personale som er innleid eller på annen måte benyttet av Kunden
  • Eksterne personer (som bruker Kundens kjøretøy)
Kategorier av personopplysninger Følgende kategorier av personopplysninger kan behandles, avhengig av hvilke opplysninger som registreres av Kundens brukere:
  • Identitetsopplysninger (f.eks. navn, bruker-ID og opplysning om ID-kort)
  • Kontaktopplysninger (f.eks. e-postadresse)
Behandling av personopplysninger Dette formålet omfatter for eksempel følgende behandling av personopplysninger:
  • Uthenting av rapporter og statistikk
Lagring av personopplysninger
  • Personopplysninger lagres så lenge Kunden bruker Tjenesten.
BRUKERADMINISTRASJON Kategorier av registrerte Følgende kategorier av registrerte kan være omfattet av behandlingen:
  • Kundens ansatte og annet personale som er innleid eller på annen måte benyttet av Kunden
  • Eksterne personer (som bruker Kundens kjøretøy)
Kategorier av personopplysninger Følgende kategorier av personopplysninger kan behandles, avhengig av hvilke opplysninger som registreres av Kundens brukere:
  • Identitetsopplysninger (f.eks. navn, bruker-ID og opplysning om ID-kort)
  • Kontaktopplysninger (f.eks. e-postadresse)
  • Organisatoriske opplysninger (f.eks. tittel)
Behandling av personopplysninger Dette formålet omfatter for eksempel følgende behandling av personopplysninger:
  • Innsamling gjennom registrering av brukerkonto
Lagring av personopplysninger Personopplysninger lagres så lenge Kunden bruker Tjenesten, eller til Kunden gir beskjed om noe annet. BEHANDLING AV SPØRSMÅL OG SUPPORT Kategorier av registrerte Følgende kategorier av registrerte kan være omfattet av behandlingen:
  • Kundens ansatte og annet personale som er innleid eller på annen måte benyttet av Kunden
  • Eksterne personer (som bruker Kundens kjøretøy)
Kategorier av personopplysninger Følgende kategorier av personopplysninger kan behandles, avhengig av hvilke opplysninger som registreres av Kundens brukere:
  • Identitetsopplysninger (f.eks. navn, bruker-ID og opplysning om ID-kort)
  • Kontaktopplysninger (f.eks. e-postadresse)
  • Organisatoriske opplysninger (f.eks. tittel)
  • Posisjonsopplysninger (f.eks. opplysning om registrert geografisk posisjon)
  • Kjøretøyopplysninger (f.eks. registreringsnummer)
  • Kommunikasjon (f.eks. innhold i meldinger)
Behandling av personopplysninger Dette formålet omfatter for eksempel følgende behandling av personopplysninger:
  • Kommunikasjon i forbindelse med spørsmål eller support
  • Feilbehandling og feilsøking
Lagring av personopplysninger Personopplysninger lagres så lenge Kunden bruker Tjenesten. UTVIKLING OG FORBEDRING AV TJENESTENE Kategorier av registrerte Følgende kategorier av registrerte kan være omfattet av behandlingen:
  • Kundens ansatte og annet personale som er innleid eller på annen måte benyttet av Kunden
  • Eksterne personer (som bruker Kundens kjøretøy)
Kategorier av personopplysninger Følgende kategorier av personopplysninger kan behandles, avhengig av hvilke opplysninger som registreres av Kundens brukere:
  • Identitetsopplysninger (f.eks. navn, bruker-ID og opplysning om ID-kort)
  • Kontaktopplysninger (f.eks. e-postadresse)
  • Posisjonsopplysninger (f.eks. opplysning om registrert geografisk posisjon)
  • Kjøretøyopplysninger (f.eks. registreringsnummer)
Behandling av personopplysninger Dette formålet omfatter for eksempel følgende behandling av personopplysninger:
  • Oppbevaring av opplysninger i et testmiljø
  • Bruk av opplysninger for å gjennomføre tester
Lagring av personopplysninger Personopplysninger oppbevares så lenge det er nødvendig for å avidentifisere opplysningene, teste funksjonalitet og verifisere rettelser. TEKNISK FUNKSJONALITET OG SIKKERHET Kategorier av registrerte Følgende kategorier av registrerte kan være omfattet av behandlingen:
  • Samtlige kategorier av registrerte som er angitt ovenfor.
Kategorier av personopplysninger Følgende kategorier av personopplysninger kan behandles, avhengig av hvilke opplysninger som registreres av Kundens brukere:
  • Samtlige kategorier av personopplysninger som er angitt ovenfor
  • Tekniske opplysninger (f.eks. IP-adresse)
Behandling av personopplysninger Dette formålet omfatter for eksempel følgende behandling av personopplysninger:
  • Sikkerhetskopiering
  • Feilsøking
  • Hendelseshåndtering
Lagring av personopplysninger Personopplysninger lagres i samme tidsrom som det som er angitt for det respektive formål angitt ovenfor med behandlingen av personopplysninger. Personopplysninger i logger lagres for feilsøking og hendelseshåndtering i en periode på 12 måneder fra tidspunktet for logghendelsen. Opplysninger i sikkerhetskopier lagres i en periode på 4 måneder regnet fra dagen for kopien. 5. Tekniske og organisatoriske sikkerhetstiltak Leverandørens styringssystem for informasjonssikkerhet er oppbygd og i påkommende tilfelle sertifisert og gjennomgått i henhold til gjeldende sikkerhetsstandard. Leverandøren og Underdatabehandlere iverksetter følgende tekniske og organisatoriske tiltak for å beskytte Personopplysningene som er omfattet av denne Databehandleravtalen:
  • Tiltak for å sikre konfidensialitet, f.eks. adgangskontroll med rutiner for passordbehandling og autentisering, logging, tilgangsstyring for brukere (i henhold til prinsippet om laveste tilgang), kryptering ved overføring m.m.
  • Tiltak for å sikre tilgjengelighet, f.eks. sikkerhetskopiering, brannmurer, antivirussystem, logging og monitorering.
  • Tiltak for å sikre riktighet, f.eks. rutiner for sikker utvikling, innsamling og analyse av anonymiserte data.
I tillegg har Leverandøren rutiner for å håndtere sikkerhetshendelser, personalet er omfattet av konfidensialitet, gjennomgår opplæring i datasikring og informasjonssikkerhet, og penetrasjonstester gjennomføres på regelmessig basis. (v 1.1 – 28.9.2021)

Vedlegg 2: Benyttede Underdatabehandlere

Følgende Underdatabehandlere benyttes av Leverandøren for å levere Tjenestene på tidspunktet for inngåelse av Avtalen.
Identitet Adresse Sted for behandling Tjeneste
Amazon Web Services 410 Terry Avenue North, Seattle, WA 98109-5210 Irland Infrastrukturtjeneste
Zendesk 1019 Market street, San Francisco, CA 94103 EU Behandling av henvendelsen
Google Workspace 650 PAGE MILL RD, PALO ALTO CA 94304 EU1 E-post og lagring av dokumentasjon
Tilbake
Lukk