TJENESTEAVTALE

Sist oppdatert: 11.05.2020

Betingelsene er gyldige fra 15.03.2020 og erstatter alle tidligere tjenesteavtaler og betingelser.

Denne avtalen regulerer avtaleforholdet mellom Virksomheter og Assistert Selvhjelp AS, org.nr. 998504163. Vilkår i denne avtalen gjelder for Virksomheter, og personer som handler som et ledd i denne.

Ved å kjøpe, og bruke Assistert Selvhjelp sine produkter og tjenester bekrefter Virksomheten å ha lest, forstått, og samtykker til innholdet i, denne avtalen.

Virksomheten plikter å informere sine brukere om relevant innhold i denne avtalen.

Definisjoner

Assistert Selvhjelp AS («Assistert Selvhjelp») er ansvarlig for nettstedene assistertselvhjelp.no, exporable.com, assistedselfhelp.com og tilhørende digitale tjenester («Nettsider»).

Assistert Selvhjelp utvikler teknologi for å lage internettassistert behandling/selvhjelp («Forfatterverktøy») som man i kombinasjon med faginnhold kan utvikle «Selvhjelpsprogram». Samlet sett beskrives Nettsider, Selvhjelpsprogram, og Forfatterverktøy som «Tjenester».

En «Virksomhet» er en organisasjon. et foretak eller en privat virksomhet som tilbyr Tjenesten til sluttbrukere.

En «Sluttbruker» er en person som har fått tilgang til Tjenester via Virksomheter.

En ansatt i en Virksomhet kan ha rollene «Kontaktperson» og «Veileder».

Avtalen består av:

  1. Salgsbetingelser– generelle salgsbetingelser.
  2. Databehandleravtale– vilkår for Assistert Selvhjelp sin behandling av personopplysninger på vegne av Virksomheten.
  3. Personvernerklæringen som beskriver hvilke personopplysninger vi henter inn og hvordan vi behandler disse.
  4. Opplysninger gitt ved bestilling, eventuelt særskilt avtalte vilkår

De gjeldende salgsbetingelser og betingelser i Databehandleravtalen er tilgjengelig på nettsiden. Ved eventuell motstrid mellom avtalebetingelsene, går det som særskilt er avtalt mellom partene foran, så fremt det ikke strider mot ufravikelig lovgivning. Ingen av denne avtalens bestemmelser skal tolkes slik at Virksomheten fratas rettigheter som Virksomheten har i henhold til ufravikelig lov, eller rettigheter Virksomheten måtte ha om Virksomheten inngår denne avtalen.

Endringer i tjenesteavtalen

Virksomheten aksepterer at Assistert Selvhjelp forbeholder seg retten til å gjøre mindre justeringer og endringer i avtalen som er tilgjengelig på nettsiden, for eksempel for å forenkle eller presisere språk. Dette gjelder likevel bare så lenge endringene ikke kan anses som en forringelse av de opprinnelige vilkår som er avtalt med Virksomheten.

Assistert Selvhjelp plikter å varsle Virksomheten om vesentlige endringer i denne avtalen, inkludert ethvert forhold som innskrenker Virksomhetens bruksrett eller som endrer partenes forpliktelser eller rettigheter for øvrig. Dersom Virksomheten ikke godtar de nye vilkårene for Tjenesten, og Assistert Selvhjelp ikke kan levere tjenesten i henhold til det som er avtalt, kan Virksomheten kreve at avtalen termineres umiddelbart. Virksomheten kan i så tilfelle kreve refusjon som står i forhold til ubrukte Tjenester som brukt/ubrukt og tid som gjenstår i avtalen.

I tilfelle endringer i gjeldende lovverk, endelig dom som gir en annen tolkning av gjeldende lov, eller endringer i tjeneste/oppdragsavtalen som krever endringer av Databehandleravtalen, skal partene samarbeide for å oppdatere avtalen tilsvarende.

Melding om vesentlige endringer skal sendes per epost til den epostadressen som er angitt som kontaktadresse for kundeforholdet.

Kontaktinformasjon

Reklamasjon og personvernforespørsler kan rettes til

Assistert Selvhjelp AS
Sødal Terrasse 44
4630 KRISTIANSAND

E-post: kontakt@assistertselvhjelp.no

Lovvalg, konflikt- og tvisteløsning

Denne avtalen skal reguleres av norsk rett. Klager rettes til Assistert Selvhjelp innen rimelig tid.

Hvis det foreligger en mangel ved tjenesten må Virksomheten så tidlig som mulig og innen rimelig tid etter at den ble oppdaget eller burde ha blitt oppdaget, melde fra til Assistert Selvhjelp om mangelen. Partene skal forsøke å løse eventuelle tvister i minnelighet.

Dersom tvisten ikke løses i minnelighet innen tretti – 30 – dager etter at en av partene har varslet den annen part om tvisten, skal tvisten løses ved de ordinære domstoler.

Partene vedtar Kristiansand tingrett som verneting.

SALGSBETINGELSER

Avtaleinngåelse

Når Assistert Selvhjelp bekrefter ovenfor Virksomheten at bestillingen er mottatt og akseptert, regnes avtalen som bindende for begge parter. Tjenesteavtalens gjeldende betingelser skal fremgå i bestillingsbekreftelse. Partene kan likevel ta forbehold om skrive- eller tastefeil av betydning for intensjonen i Virksomhetens bestilling, eller i tilbudet fra Assistert Selvhjelp, og den annen part innså eller burde ha innsett at det forelå en slik feil. Den part som oppdager feil orienterer den andre parten så tidlig som mulig, uten unødig opphold.

Dersom Behandlingsansvarlig ønsker skriftlig avtale med undertegning skal avtalen enten signeres elektronisk eller foreligge i to originaler, hvorav partene beholder et eksemplar hver. I disse tilfellene vil den signerte avtalen være gjeldende.

Avtaleperiode

Virksomheten kjøper tjenester fra Assistert Selvhjelp i form av løpende og tidsbegrensede abonnement. Dersom ikke annet fremgår av bestillingen, kontrakt og/eller faktura er avtaleperiode på 12 måneder av gangen.

Fornyelse

Det er ingen bindingstid ut over avtaleperioden, men dersom Assistert Selvhjelp ikke har mottatt skriftlig oppsigelse innen utløpsdato, vil tjenestene fornyes fortløpende og automatisk for en ny avtaleperiode med 12 måneder om gangen.

Priser

Den oppgitte prisen for Tjenester er den totale prisen Virksomheten skal betale. Denne prisen inkluderer alle avgifter og tilleggskostnader med mindre annet er særskilt avtalt, og Assistert Selvhjelp kan ikke belaste Virksomheten for kostnader utover dette. 

Assistert Selvhjelp kan ikke gjøre prisendringer for Tjenester i avtaleperioden, men forbeholder seg retten til å gjøre endringer i gjeldende priser ved fornyelse:

Det må i denne forbindelse påregnes årlig justering av pris basert på konsumpris indeks (jfr. SSB). For Virksomheter som kjøper Tjenester der pris er beregnet ut fra befolkningsmasse og/eller bruk innenfor en geografisk avgrensning, vil det kunne gjøres prisjusteringer i forhold til endring/utvikling av beregningsgrunnlag. Slike mindre prisjusteringer vil fremkomme i informasjon som Assistert Selvhjelp sender ut før fornyelse.

Dersom Assistert Selvhjelp skulle ha behov for å gjøre prisendringer ut over dette, i så fall med virkning fra ny avtaleperiode begynner å løpe, skal Virksomheten varsles om dette senest 1 måned i forkant av avtalt fornyelsesdato. Melding om prisendringer skal sendes per epost til den epostadressen som er angitt som kontaktadresse for kundeforholdet.

Assistert Selvhjelp plikter å informere Virksomheten dersom tilbudet inneholder kampanjepriser som gjelder i begrenset tidsrom, samt gi relevant informasjon om varighet og eventuelle særbetingelser. Det tas forbehold om feil i prislister. Priser på nettsiden, eller i annet materiale, oppgis normalt med merverdiavgift.

Levering

Levering er skjedd når Virksomheten, eller Virksomhetens representant, har fått tilgang til å bruke Tjenesten.

Hvis ikke leveringstidspunkt fremgår av bestillingsløsningen, skal Assistert Selvhjelp levere Tjenesten til Virksomheten uten unødig opphold og senest 7 dager etter bestillingen fra Virksomheten. Virksomheten skal varsles per epost når tjenesten er levert.

Assistert Selvhjelp vil underrette Virksomheten så snart som mulig dersom det oppstår forhold som gjør at leveransen blir forsinket eller vesentlige feil skulle oppstå.

Support

Virksomheten står fritt til å kontakte Assistert Selvhjelp for support gjennom hele avtaleperioden. Responstid vil normalt være innen 24 t, på virkedager mellom kl 9-16. Support gjelder primært henvendelser knyttet til praktisk bruk av tjenesten, for eksempel opprettelse av bruker og passord, tilgang til funksjonalitet og tilsvarende spørsmål knyttet til bruk av Tjenesten.

Assistert Selvhjelp bruker tilbakemeldinger aktivt i utvikling av Tjenesten, og vi oppfordrer Virksomheten til å melde inn erfaringer, ønsker og behov knyttet til Tjenesten. Eventuelle feil rettes snarest av utviklere i beredskap. Det gis Ikke garanti om retting innenfor responstid.

Oppdrag i form av organisert opplæring, teknisk utvikling av funksjonalitet som per i dag ikke finnes i løsningen, eller andre konsulenttjenester, kan tilbys etter nærmere avtale, men inngår ikke i denne avtalen. Assistert Selvhjelp skal gi informasjon på forhånd og avklare enighet om oppdrag dersom Virksomheten etterspør tjenester som blir belastet med mertid. Assistert Selvhjelp skal skrive spesifisert timeliste, og underrette Virksomheten før mertid påløper.

Betaling

Virksomheten faktureres for avtaleperioden forskuddsvis. Assistert Selvhjelp kan sende ut faktura for Tjenesten fra det tidspunkt Tjenesten er bestilt.

Betalingsfristen fremgår av fakturaen og er på minimum 14 kalenderdager etter fakturadato, det vil si etter at Tjenesten til Virksomheten er levert.

Alle tjenester som faktureres er tilgjengelig i 12 måneder fra Tjenesten er levert, med mindre annet er avtalt skriftlig ved bestilling eller på annen måte fremkommer skriftlig av særskilt avtalte vilkår.

Faktura for ny avtaleperiode kan utstedes inntil 14 kalenderdager før ny periode begynner å løpe. Betalingsfristen fremgår av fakturaen og er på minimum 14 kalenderdager etter fakturadato.

Kontaktinformasjon for kundeforholdet

Virksomheten plikter å oppgi korrekt kontaktinformasjon ved bestilling, inkludert fullt navn, telefon og epostadresse, og vedlikeholde kontaktinformasjonen inntil kundeforholdet blir brakt til opphør.

Dersom Assistert Selvhjelp blir kjent med at kontaktinformasjonen er feil, plikter Assistert Selvhjelp å oppdatere den ved hjelp av offentlige registre, fortrinnsvis nummeropplysningstjenester og Brønnøysundregistrene (bedrift).

Personopplysninger

Personopplysninger som Assistert Selvhjelp behandler på egne vegne reguleres av Personvernerklæringen. Ved å kjøpe og bruke Assistert Selvhjelp sine Tjenester samtykker Virksomheten i at Assistert Selvhjelp kan behandle personopplysninger om ansatte som oversendes etter retningslinjene i Personvernerklæringen.

Med mindre Virksomheten samtykker til noe annet, skal Assistert Selvhjelp kun behandle personopplysninger som er nødvendige for at Assistert Selvhjelp skal kunne gjennomføre forpliktelsene etter avtalen. Virksomhetens personopplysninger vil kun bli utlevert til andre i lovbestemt tilfelle, eller hvis det er nødvendig for at Assistert Selvhjelp skal få gjennomført avtalen med Virksomheten.

Personopplysninger som Assistert Selvhjelp behandler på vegne av Virksomheten som følge av å bruke Assistert Selvhjelp sine tjenester reguleres av Databehandleravtalen.

Offentliggjøring

Så fremt annet ikke er avtalt, forbeholder Assistert Selvhjelp seg retten til å offentliggjøre hvilke Virksomheter som benytter løsningen; herunder benytte Virksomheten sitt navn, inkludert eventuell logo, i offentlighet, på nettsider, og i infomateriell, samt og til å informere interessenter fra relevante Virksomheter om kontaktpersoners opplysninger, uten forutgående samtykke. Virksomheten kan reservere seg for slik bruk ved å meddele Assistert Selvhjelp skriftlig per post eller epost. Ut over dette vil Person- eller Virksomhetsopplysninger ikke solgt, gitt eller byttet bort til tredjepart uten eksplisitte samtykke fra Virksomheten. Ved reservasjon plikter Assistert Selvhjelp å fjerne Virksomhetens referanser fra nettsider og infomateriell, så langt det er mulig, uten unødig opphold.

Spesifikke betingelser for kjøp og bruk av Forfatterverktøy

Prosjektledelse

Virksomheten er prosjektleder og koordinator for alt prosjektarbeid dersom ikke annet er avtalt eller beskrevet i tilbudet fra Assistert Selvhjelp.

Leveringstid

Leveringstid angir den tiden som det er estimert at Assistert Selvhjelp vil bruke, og løper fra dato som Virksomheten har fullført alt forarbeid som er nødvendig for at Assistert Selvhjelp kan ferdigstille delleveransen.

Hvis det settes en endelig frist for levering av tjenesten/oppdragsavtalen, må eventuell frist for innlevering av Virksomhetens forarbeid spesifiseres for hver delleveranse. Dersom ikke annet er avtalt vil dato for ferdigstillelse være leveringstid etter siste påbegynte delleveranse.

Kompensasjon for merarbeid

Assistert Selvhjelp er ikke ansvarlig for endringer som Virksomheten initierer eller forårsaker. Virksomheten bærer i disse tilfeller ansvar for merarbeid og økonomiske belastninger som konsekvens av dette. Årsaker kan eksempelvis være, men er ikke begrenset til; ønsker om endringer etter avlevert forarbeid eller gjennomganger/revisjoner før publisering, endringer som følge av ny innsikt underveis i prosessen, innspill eller krav fra tredjepart, endringer eller forsinkelser i tidsplan, ønske om ny eller endret funksjonalitet. Assistert Selvhjelp kan tilby uttrykk som er tilpasset kundens profil (farger, logo etc) mot tillegg. Webdesign og grafisk design inngår ikke i dette, om det ikke foreligger eksplisitt avtale om annet.

Assistert Selvhjelp forbeholder seg retten til å kreve kompensasjon pr time for merarbeid, så fremt kunden er varslet om at dette vil påløpe. Alternativt forbeholder Assistert Selvhjelp seg retten til å fastholde oppfyllelse av den opprinnelige avtalen og tilhørende leveranse. Assistert Selvhjelp skal skrive spesifisert timeliste, og underrette Virksomheten før mertid påløper. Så langt som mulig gir Assistert Selvhjelp informasjon så raskt som mulig dersom Virksomheten ligger an til å bli belastet med mertid.

Forsinkelse og manglende levering

Dersom Assistert Selvhjelp ikke leverer Tjenesten eller leverer den for sent i henhold til avtalen mellom partene, og dette ikke skyldes Virksomheten eller forhold på Virksomheten sin side, kan Virksomheten etter omstendighetene holde kjøpesummen tilbake, kreve oppfyllelse, heve avtalen eller kreve erstatning.

Samlet erstatning pr. kalenderår er begrenset til et beløp som tilsvarer Avtalens samlede årlige vederlag ekskl. merverdiavgift. Erstatning for indirekte tap kan ikke kreves. Indirekte tap omfatter, men er ikke begrenset til, tapt fortjeneste av enhver art og tapte besparelser. Ved krav om misligholdsbeføyelser bør meldingen av bevishensyn være skriftlig (e-post eller brev).

Dersom avtalens gjennomføring helt eller delvis hindres, eller i vesentlig grad vanskeliggjøres av forhold som ligger utenfor partenes kontroll, suspenderes partenes plikter i den utstrekning forholdet er relevant, og for så lang tid som forholdet varer. Slike forhold inkluderer, men er ikke begrenset til, streik, lockout, linjefeil eller strømbrudd hos aksessleverandør, linjefeil eller strømbrudd hos annen tredjepart, samt ethvert forhold som vil bli bedømt som force majeure.

DATABEHANDLERAVTALE

Om avtalen

Avtalen regulerer rettigheter og plikter mellom behandlingsansvarlig og databehandler etter personopplysningsloven (LOV-2018-06-15-38) og EUs personvernforordning (2016/679/EC av 27.april 2016, General Data Protection Regulation, heretter omtalt som personvernforordningen). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Avtalen regulerer databehandlers bruk av personopplysningene på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bruk av tjenester levert av Databehandler.

Ved motstrid mellom databehandleravtalens regulering og de rammer som følger av personvernforordningen eller annen relevant lovgivningen, viker avtalens regulering.

Avtalens parter

Avtalen inngås mellom Virksomheter (heretter kalt «Behandlingsansvarlig») som tilbyr Assistert selvhjelp videre til Sluttbrukere som en del av tjenestetilbudet, og Assistert Selvhjelp AS (heretter kalt «Databehandler»).

Omfang

Denne avtalen kommer til anvendelse på all behandling av Personopplysninger som Databehandler foretar på grunnlag av Assistert Selvhjelp på for internettassistert behandling/selvhjelp rettet mot psykisk helse (heretter omtalt som “tjeneste/oppdragsavtalen”). I tilfelle konflikt mellom denne avtalen og tjeneste/oppdragsavtalen, skal denne databehandleravtalen gjelde.

Tjenester som inngår i denne avtalen, er de tjenester som inngår i tjeneste/oppdragsavtalen og som innebærer behandling av personopplysninger.

Denne databehandleravtalen regulerer behandling av personopplysninger som gjøres på vegne av Behandlingsansvarlig for å sikre at all behandling av Personopplysninger i forbindelse med “tjeneste/oppdragsavtalen” skjer i henhold til gjeldende lovgivning om behandling av personopplysninger.

«Personopplysning» skal bety informasjon som kan knyttes til en enkeltperson, som definert i til enhver tid gjeldende personopplysningslovgivning.

«Behandling» av Personopplysninger, skal bety enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, som definert i til enhver tid gjeldende lovgivning.

Denne avtalen vil i tillegg gjelde for ytterligere behandling av personopplysninger basert på eventuelle skriftlige avtaler mellom partene som inngås i løpet av denne avtalens virksomhetsperiode og som innebærer at Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig (heretter omtalt som “senere skriftlige avtaler mellom partene”)

Personopplysninger skal kun benyttes til de formålene som følger av denne avtalen, tjeneste/oppdragsavtalen og senere skriftlige avtaler mellom partene i den utstrekning det er strengt nødvendig for å gjennomføre og imøtekomme kravene i avtalene.

Tema for behandlingen

Partene til denne Databehandleravtalen har inngått “tjeneste/oppdragsavtalen”:

Databehandleren skal Behandle Personopplysninger som Sluttbrukere registrerer i tjenesten med en anonymisert tilgangskode som tildeles av Behandlingsansvarlig:

Databehandler skal lagre data og gjøre dem tilgjengelig for Sluttbrukere ved innlogging med den anonymiserte tilgangskoden. Det er bare i den utstrekning at tredjepersoner gjøres kjent med tilleggsopplysninger som identifiserer Sluttbrukeren som benytter en anonymisert tilgangskode at dette er Personopplysninger.

Behandlingsansvarlig vil, forutsatt samtykke fra Sluttbrukeren ved dennes første innlogging i Tjenesten, ha tilgang på en rapportfunksjon hvor de kan se registreringer og fremdrift i den anonymiserte tilgangskoden.

Databehandler får ikke tilgang til Personopplysninger så lenge det kun benyttes anonymisert tilgangskode (jfr. «pseudonnymisering»).

Behandlingens formål, kategorier av opplysninger og hvem er registrert

Disse opplysningene er angitt i vedlegg 1, vedlegget må fylles ut av avtalepartene.

Rammene for databehandlers behandling av personopplysninger

Databehandleren skal bare behandle personopplysningene basert på dokumenterte instrukser fra den behandlingsansvarlige, med mindre det kreves i henhold til rettsregler som databehandleren er underlagt; i så fall skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning. Databehandleren skal til enhver tid kunne dokumentere Behandlingsansvarliges instrukser. Databehandler skal varsle Behandlingsansvarlig om instrukser og rutiner som innebærer brudd på gjeldende lovgivning om behandling av personopplysninger. Databehandleren vil benytte kontaktopplysninger som er oppgitt for Behandlingsansvarlig, og skal bruke kommunikasjonsform som er hensiktsmessig ut fra hastegrad.

Databehandler har ikke selvstendig råderett over personopplysningene, og kan ikke behandle disse til egne formål.

Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysninger som behandles hos databehandleren. Sluttbrukerens gjør registreringene i tjenesten med en anonymisert tilgangskode, og det er bare Behandlingsansvarlig som vil ha tilgang tilleggsopplysninger som gjør det mulig å finne ut hvem som registrerer opplysninger i tilgangskodene.

Behandlingsansvarlig og Sluttbrukere vil ha tilgang de opplysningene som er registrert hos databehandler. Dersom Behandlingsansvarlig likevel ønsker innsyn og tilgang til opplysninger som er registrert hos Databehandler, må anmodning kun ta utgangspunkt i den anonymiserte tilgangskoden til den aktuelle Sluttbrukeren.

Sluttbruker kan påvirke behandlingen

Sluttbrukere kan bruke Tjenesten etter at behandlingsansvarlig har avsluttet tilbudet, og må aktivt ta stilling til om de vil endre tilgangskoden de har fått av Behandlingsansvarlig, og/eller trekke tilbake samtykke til å sine dele data forutsatt at dette er gitt. Dette beskrives for Sluttbrukere i Personvernerklæringen,

Dersom Sluttbrukeren kun trekker tilbake samtykke til å dele sine registreringer med Behandlingsansvarlig, uten å endre tilgangskode, vil det medføre at Behandlingsansvarlig mister tilgang på Sluttbrukerens registreringer i tjenesten. Dersom Sluttbrukeren i tillegg velger å endre tilgangskoden vil det medføre at de opprinnelige tilleggsopplysningene hos Behandlingsansvarlig ikke lenger vil kunne benyttes til å identifisere personen. Dette får som konsekvens at informasjonen ikke lenger utgjør personopplysninger, og følgelig at behandlingen av personopplysninger vil opphøre.

Behandlingsansvarliges plikter

Behandlingsansvarlig skal etterleve de forpliktelser som fremkommer av personopplysningsloven, personvernforordningen og annen særlovgivning, samt denne avtalen.

Behandlingsansvarlig bekrefter at Behandlingsansvarlig:

  • har tilstrekkelig hjemmelsgrunnlag for Behandling av Personopplysninger
  • har rett til å la Databehandler behandle Personopplysningene
  • har ansvaret for nøyaktigheten, integriteten, innholdet, pålitelighet og lovligheten av Personopplysningene
  • oppfyller gjeldende lovkrav om eventuell melding og konsesjon til aktuelle tilsynsmyndigheter
  • har informert den som Personopplysningene gjelder i tråd med gjeldende lovgivning

Behandlingsansvarlig skal:

  • svare på henvendelser fra de registrerte om Behandling av Personopplysninger i henhold til denne Databehandleravtalen,
  • vurdere nødvendigheten av spesifikke tiltak som angitt i denne Databehandleravtalens pkt. 2.3.2 og 2.3.4, og bestille slike tiltak fra Databehandler.

Behandlingsansvarlig har plikt til å melde avvik til aktuelle tilsynsmyndigheter og eventuelt til de registrerte uten ugrunnet opphold i henhold til gjeldende lovgivning.

Databehandlers plikter

Generelt

Databehandler forplikter seg til å behandle personopplysninger kun i samsvar med relevant lov og regelverk, denne avtalen, tjeneste/oppdragsavtalen, Behandlingsansvarliges dokumenterte instruksjoner og andre gjeldende avtaler mellom partene. Databehandler skal ikke ved noen handling eller unnlatelse, sette behandlingsansvarlig i en slik situasjon at behandlingsansvarlig bryter noen bestemmelse i gjeldende lov og regelverk.

Databehandler skal:

  • ha løpende kontroll på alle kategorier av behandlingsaktiviteter utført på vegne av behandlingsansvarlig.
  • gi behandlingsansvarlig tilgang til og innsyn i personopplysninger som Behandles hos Databehandleren (jfr. «Rammene for databehandlers behandling av personopplysninger»).
  • føre og vedlikeholde en oversikt over alle opplysninger og behandlinger eller dersom det er relevant, protokoll over sine egne behandlingsaktiviteter i henhold til personvernforordningen artikkel 30.
  • treffe alle rimelige tiltak for å sikre at Personopplysningene til enhver tid er korrekt og oppdatert.
  • etablere rutiner for å slette informasjon når den ikke lenger er nødvendig ut fra formålet med Behandlingen og slette informasjon i henhold til fastsatte rutiner og retningslinjer.
  • ha rutiner for og teknisk mulighet til å begrense Behandlingen av den registrertes personopplysninger dersom den registrerte ønsker det med hjemmel i gjeldende lovgivning.
  • påse at samtlige personer som gis tilgang til Personopplysninger som behandles på vegne av Behandlingsansvarlig er kjent med denne avtalen og gjeldende avtaler mellom partene, og er underlagt disse avtalenes bestemmelser.
  • sikre at krav til innebygd personvern og personvern som standardinnstilling innfris i databehandlers løsninger dersom dette er relevant. Dette inkluderer å bygge inn funksjonalitet for å oppfylle personvernprinsipper samt funksjonalitet for å sikre den registrertes rettigheter.
  • gi behandlingsansvarlig nødvendig bistand slik at behandlingsansvarlig skal kunne oppfylle sine forpliktelser overfor de registrerte.
  • samarbeide med og bistå Behandlingsansvarlig ved oppfyllelse av de registrertes rettigheter knyttet til tilgang til opplysninger, herunder å svare på anmodninger fra den registrerte med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III
  • omgående underrette den Behandlingsansvarlige dersom Databehandler mener at en instruks er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger.
  • bistå Behandlingsansvarlig for å sikre overholdelse av forpliktelsene i personvernforordningen artiklene 35-36 som omhandler vurdering av personvernkonsekvenser og forhåndsdrøftinger med Datatilsynet. Ved vurderinger av personvernkonsekvenser plikter Databehandler å vurdere sikkerhetstiltak som kan bidra til å redusere risikoen behandlingen medfører for de registrerte.

Databehandlerens bistand i forbindelse med ovennevnte skal gjøres kostnadsfritt.

Avvik og avviksmeldinger

Enhver bruk av informasjonssystemene og Personopplysninger i strid med etablerte rutiner, instrukser fra Behandlingsansvarlig eller gjeldende lovgivning om Behandling av Personopplysninger, så vel som sikkerhetsbrudd, skal behandles som avvik.

Databehandler skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket, og hindre gjentagelse.

Databehandler skal umiddelbart og uten unødig opphold varsle Behandlingsansvarlig om ethvert brudd på denne Avtalen eller utilsiktet, ulovlig eller uautorisert tilgang, bruk eller utlevering av Personopplysninger, eller at Personopplysninger kan ha blitt kompromittert eller brudd på Personopplysningenes integritet. Databehandler skal gi Behandlingsansvarlig all informasjon nødvendig for å sette Behandlingsansvarlig i stand til å overholde gjeldende lovgivning om Behandling av Personopplysninger og sette Behandlingsansvarlig i stand til å besvare henvendelser fra datatilsynsmyndigheter. Databehandler vil dersom ikke annet er skriftlig avtalt bruke kontaktopplysninger som er oppgitt av Behandlingsansvarlig, og bruke kommunikasjonsform som er hensiktsmessig i forhold til hastegrad. Det er Behandlingsansvarlig sitt ansvar å melde avvik til Datatilsynet i henhold til gjeldende lovgivning.

Konfidensialitet

Databehandler har taushetsplikt om personopplysninger og annen konfidensiell informasjon, herunder, men ikke begrenset til, forretningshemmeligheter. Databehandler skal sikre at alle som utfører arbeid for Databehandler, enten ansatte eller innleide, som har tilgang til eller er involvert i Behandling av Personopplysninger etter Avtalen (i) er underlagt taushetsplikt og (ii) er informert om og overholder forpliktelsene etter denne Databehandleravtalen. Taushetsplikten gjelder også etter opphør av Avtalen.

Sikkerhetsrevisjoner

Databehandler vil foreta nødvendige sikkerhetsrevisjoner for systemer og lignende som er relevant for Behandlingen av Personopplysninger som omfattes av denne Databehandleravtalen. Behandlingsansvarlig skal ha tilgang til rapporter som dokumenterer sikkerhetsrevisjoner.

Databehandler gjør tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i personvernforordningen er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen revisor på fullmakt fra den behandlingsansvarlige. Behandlingsansvarlig er innforstått med at Databehandler kan beregne seg en særskilt godtgjørelse for gjennomføringen av revisjonen.

Behandlingsansvarlig kan vise slik rapport til tilsynsmyndigheter og andre som har krav på å kjenne innholdet.

Tekniske, organisatoriske og sikkerhetsmessige tiltak

Databehandler plikter å treffe og gjennomføre alle nødvendige og adekvate planlagte og systematiske tekniske, organisatoriske og sikkerhetsmessige tiltak slik at det til enhver tid er tilfredsstillende informasjonssikkerhet ved Behandling av Personopplysninger.

Databehandleren skal:

  • etablere og etterkomme nødvendige tekniske og organisatoriske tiltak med hensyn til vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet ved Behandling av Personopplysninger for å sikre tilfredsstillende informasjonssikkerhet i henhold til personvernforordningen artikkel 32.
  • ha rutiner for autorisasjon og styring som sikrer at bare de av Databehandlers medarbeidere som har reelt behov for tilgang til systemer og opplysningene for å ivareta nødvendige oppgaver for gjennomføring av tjeneste/oppdragsavtalen får slik tilgang. Tilgangsnivået skal være i henhold til reelt behov knyttet til å gjennomføre oppdraget. Databehandler skal trekke tilbake tilganger dersom autorisasjonen utløper eller av andre grunner ikke lenger gjelder for personen.
  • avdekke, registrere, rapportere og lukke avvik knyttet til informasjonssikkerhet, herunder loggføre og dokumentere ethvert forsøk på ikke-autorisert tilgang og andre brudd på personopplysningssikkerheten i datasystemene. Slik dokumentasjon skal oppbevares hos Databehandler.
  • ved mistanke om eller konstatering av avvik, omgående varsle Behandlingsansvarlig. I varselet opplyses avviket med forklaring om årsak, tidsrom og tidspunktet avviket ble oppdaget, kategoriene av og omtrentlig antall registrerte som er berørt, kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt, navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes, antatte konsekvenser av avviket og hvilke umiddelbare tiltak som er igangsatt eller vurderes igangsatt for å håndtere avviket.
  • omgående varsle Behandlingsansvarlig ved uautorisert utlevering av personopplysninger.
  • registrere all autorisert og uautorisert tilgang til informasjon. Alle oppslag som gjøres skal registreres slik at de kan spores til den enkelte bruker (dvs. ansatte hos databehandler, underleverandører og behandlingsansvarlig). Loggene skal oppbevares til det ikke lenger antas å være bruk for dem eller i henhold til det tjeneste/oppdragsavtalen spesifiserer.
  • bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene i personvernforordningen artiklene 32–34.
  • varsle Behandlingsansvarlig om alle forhold som medfører endring i risikobildet.

Bruk av underleverandører

Behandlingsansvarlig tillater Databehandler å benytte underleverandører for oppfyllelse av forpliktelsene under Databehandleravtalen.

Behandlingsansvarlig gir Databehandleren generell tillatelse til bruk og endring av underdatabehandler for Behandling av Personopplysninger etter Avtalen. I tilfelle Databehandleren har planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere, skal Databehandleren underrette den Behandlingsansvarlige skriftlig (herunder elektronisk) om planene og dermed gi den Behandlingsansvarlige muligheten til å motsette seg slike endringer.

Behandlingsansvarlig skal skriftlig (herunder elektronisk) motsette seg bytte av underdatabehandler senest 14 dager etter elektronisk meddelelse om mulig endring av underdatabehandler. Behandlingsansvarlig kan kun motsette seg bruk av underdatabehandleren dersom det er saklig begrunnet. Dersom databehandler ikke tar behandlingsansvarliges motforestillinger til følge, kan behandlingsansvarlig si opp Avtalen med tre måneders frist beregnet fra skriftlig (herunder elektronisk) meddelelse om oppsigelse.

Databehandler skal:

  • sikre at underleverandørene påtar seg tilsvarende forpliktelser som Databehandler under denne avtalen og gjeldende lovgivning.
  • holde en oppdatert liste over identiteten og stedlig plassering av underleverandører som angitt i Personvernerklæringen.
  • Behandlingsansvarliges forespørsel, legge frem dokumentasjon fra underleverandøren som underbygger at det er en seriøs og pålitelig leverandør, som kan tilfredsstille kravene til beskyttelse i GDPR (endret).
  • underrette Behandlingsansvarlig om eventuelle planer om å benytte andre underleverandører eller skifte ut underleverandører. Slike bytter skal varsles i god tid slik at Behandlingsansvarlig gis mulighet til å motsette seg endringen.
  • sikre at Behandlingsansvarlig og tilsynsmyndighetene har samme rett til innsyn og kontroll med Behandling av Personopplysninger hos en underleverandør som Behandlingsansvarlig har overfor Databehandler etter denne databehandler avtalen.
  • ved opphør av databehandleravtalen, sikre at underleverandører oppfyller plikten til å slette eller forsvarlig destruere alle personopplysninger og alle eventuelle kopier og sikkerhetskopier av opplysningene som framgår av denne avtalen på samme måte som Databehandler så langt det ikke strider mot andre lovbestemmelser.

Databehandler er til enhver tid fullt ut ansvarlig overfor Behandlingsansvarlig for alt arbeid som utføres av underleverandører og for underleverandørenes etterlevelse av bestemmelsene i denne avtalen.

Tilgang til personopplysninger for tredjeparter krever konkret avtale utover denne avtalen mellom partene for alle andre enn Databehandlers underleverandører.

Overføring av personopplysninger til utlandet

Hovedregelen er at ingen av personopplysningene som behandles under denne avtalen skal føres ut av Norge som følge av å bruke våre tjenester, og personopplysningene lagres på servere i Norge. Databehandler har følgende unntak som innebærer overføring til utlandet:

Det benyttes faste utviklere som har oppholdssted utenfor EU. Utviklerne har på lik linje med øvrig personell hos databehandleren ikke tilgang til tilleggsopplysninger som gjør det mulig å identifisere Sluttbrukere. De utformer løsninger for nettsidene, slik at Assistert Selvhjelps tjenester er enkle, oversiktlige og fungerer tilfredsstillende, herunder overholder kravene til personvern. Ved utforming og testing av løsningen vil utviklere ha behov for adgang til avidentifiserte opplysninger (pseudonymisering).  

Utviklerne må ha adgang til disse opplysningene for å kunne ivareta informasjonssikkerheten og lage en løsning som tilfredsstiller kravene i personopplysningsloven. Det gis hjemmel for dette i GDPR i seg selv, ved at det gir Databehandler mulighet til å «gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med» personopplysningsloven, jf. GDPR artikkel 6 nr. 1 bokstav c (rettslig plikt) og se GDPR artikkel 24 nr. 1 og 32.

Ved overføring av personopplysninger til land utenfor EU/EØS (tredjeland) benytter Databehandler godkjente overføringsgrunnlag.

Databehandler bekrefter at ingen andre underleverandører som er angitt i Personvernerklæringen overfører personopplysninger som omfattes av denne avtalen til utlandet.

Taushetsplikt

Databehandlers ansatte og andre som opptrer på Databehandlers vegne i forbindelse med Behandling av personopplysninger i henhold til denne avtalen, tjeneste/oppdragsavtale og senere skriftlige avtaler mellom partene (heretter omtalt som «personer som er autorisert til å behandle personopplysningene»), er underlagt taushetsplikt etter denne avtalen og gjeldende regelverk.

Databehandler skal påse at alle som Behandler Personopplysninger under databehandleravtalen er kjent med taushetsplikten.

Ansatte og andre som opptrer på Databehandlers vegne i forbindelse med Behandling av Personopplysninger skal ha undertegnet taushetserklæring. Bestemmelsen gjelder tilsvarende for underleverandører.

Partene har i tillegg taushetsplikt om konfidensiell informasjon knyttet til hverandres virksomhet, som er formidlet i forbindelse med oppdraget.

Partene plikter å ta de forholdsregler som er nødvendige for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet.

Taushetsplikten gjelder også etter avtalens opphør.

Gjennomføring av innsyn, verifikasjon og revisjon

Behandlingsansvarlig skal gi Databehandler varsel i rimelig tid ved krav om innsyn og kontroll, vanligvis minst 30 dagers varsel. For krav om dokumentinnsyn bør det gis minst 14 dagers varsel. Behandlingsansvarlig skal medvirke til at innsyn og kontroll kan koordineres mellom flere Behandlingsansvarlige som får levert tjenester fra Databehandler. Innsyn og kontroll kan gjennomføres av Behandlingsansvarlig eller tredjepart som Behandlingsansvarlig utpeker. Databehandler kan kreve dekket dokumenterte merkostnader som påløper ved slike revisjoner.

Varighet og opphør

Denne databehandleravtalen gjelder fra inngåelse av Tjenesteavtalen og gjelder til avtalen og alle gjeldende avtaler mellom partene, som innebærer at Databehandler skal Behandle Personopplysninger på vegne av behandlingsansvarlig, er opphørt.

Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre Behandlingen av opplysningene med øyeblikkelig virkning.

Avtalen kan sies opp skriftlig av begge parter med en gjensidig frist på 6 måneder.

Ved opphør av databehandleravtalen skal Databehandler slette opplysninger som databehandler har mottatt og behandlet på vegne av behandlingsansvarlig. Dette skjer gjennom at den koden som gir adgang til opplysningene endres, slik at informasjonen ikke lenger kan kobles til en fysisk person av den Behandlingsansvarlige eller en annen person.

Etter at alle opplysningene er overført til Behandlingsansvarlig og bekreftet mottatt av denne, skal Databehandler irreversibelt slette eller forsvarlig destruere alle opplysningene og alle eventuelle kopier og sikkerhetskopier av opplysningene i sine systemer, med mindre ufravikelige rettsregler krever at personopplysningene fortsatt lagres.

Benyttes delt infrastruktur der direkte sletting ikke er teknisk mulig skal Databehandler sørge for at data gjøres utilgjengelig inntil disse dataene er overskrevet av systemet.

Databehandlerens bistand i forbindelse med ovennevnte skal gjøres kostnadsfritt. Alle rutiner og sikring av informasjon skal være i funksjon helt til alle data er slettet eller destruert.

Databehandler skal gi Behandlingsansvarlig skriftlig bekreftelse på at opplysningene er overført og slettet som angitt over.

Overdragelse av rettigheter og plikter

Behandlingsansvarlig kan helt eller delvis overdra sine rettigheter og plikter etter avtalen til en annen virksomhet, som da er berettiget til tilsvarende vilkår. Databehandler kan kreve å få dekket eventuelle merutgifter som er forbundet med overdragelsen.

Databehandler kan overdra sine rettigheter og plikter etter avtalen med skriftlig samtykke fra Behandlingsansvarlig. Slikt samtykke kan ikke nektes uten saklig grunn. Rett til vederlag etter avtalen kan fritt overdras, men overføring fritar ikke Databehandler fra ivaretakelse av plikter og ansvar etter denne avtale.

Mislighold

Dersom en av partene ikke oppfyller sine plikter etter denne avtalen og dette ikke skyldes forhold som den andre parten har ansvaret eller risikoen for, kan den krenkede part påberope seg mislighold. Dette skal dette meddeles den andre parten skriftlig uten ugrunnet opphold.

Ved mislighold kan den krenkede part holde tilbake sin motytelse, men ikke åpenbart mer enn det som synes påkrevd for å avhjelpe virkningene av misligholdet, og bare inntil forholdet er brakt i overensstemmelse med avtalen.

Hvis det foreligger vesentlig mislighold, kan den andre parten – etter å ha gitt skriftlig varsel og rimelig frist til å bringe forholdet i orden – heve hele eller deler av avtalen med øyeblikkelig virkning og kreve erstatning for eventuelle tap dette har medført. Samlet erstatning pr. kalenderår er begrenset til et beløp som tilsvarer Avtalens samlede årlige vederlag ekskl. merverdiavgift.

Erstatning for indirekte tap kan ikke kreves. Indirekte tap omfatter, men er ikke begrenset til, tapt fortjeneste av enhver art og tapte besparelser.

Meddelelser og kontakt

Meddelelser, underretting, varsel eller annen kommunikasjon mellom Behandlingsansvarlig og Databehandler skal gis skriftlig, eller bekreftes skriftlig til epostadressene som partene har oppgitt ved avtaleinngåelse.

VEDLEGG 1 – FORMÅL OG KATEGORIER

Formålet med og varigheten av behandling av personopplysninger, hvilke personopplysninger som behandles, kategorier av de registrerte og behandlingens art er beskrevet nedenfor.

Hensikten er at dataene danner grunnlaget for de protokoller over behandlinger som både behandlingsansvarlig og databehandler er bundet til å opprette og holde oversikt over.

Formål med behandlingen:

Personaladministrasjon
Helsetjenester
Kameraovervåkning
Lovpålagte oppgaver
Inkasso
Kundebehandling
Leverandørhåndtering
Annet (vennligst spesifiser):

Formålet er å gi Veiledere hos behandlingsansvarlig innsikt i Sluttbrukerens registreringer, og dermed kunne gi effektiv oppfølging av Sluttbrukere som benytter Tjenesten. I praksis vil det handle om at Veilederen i perioden Sluttbrukeren benytter tjenesten under aktiv oppfølging kan:

  • følge fremdrift og bruk hos den som veiledes i forkant av avtaler
  • tilpasse arbeidsmengde mellom oppfølgingstimer best mulig
  • ha et bedre grunnlag for å vurdere nytteverdi og effekt

Personopplysningene som behandles gjelder følgende kategorier av registrerte tilknyttet behandlingsansvarlig:

Ansatte
Barn
Samarbeidspartnere/næringsdrivende
Innbyggere
Elever
Flyktninger
Pasienter
Pårørende
Leverandører
Nettstedsbesøkende
Andre (vennligst spesifiser):

Kategorier av personopplysninger:

Kontaktinformasjon – navn, telefonnummer, e-post, bostedsadresse, personnr./fødselsnr., osv.
Særlige kategorier av personopplysninger. Se nedenfor.
Arbeidsrelatert informasjon – stilling/rolle, organisasjon, bedrift, telefonnummer, e-post, arbeidssted, arbeidshistorikk, osv.
Overvåkning/overvåkningsdata – logger fra adgangskontroll (fysiske og logiske), osv.
Betalingsinformasjon – finansielle transaksjoner, mottakere, kontonummer, beløp, dato, tid, sted for kjøp, osv.
Betalingskortinformasjon – kredittkortnummer, utløpsdato, CCV-nummer annen kortholder informasjon, osv.
Annet, vennligst spesifiser under:

Opplysningene som lagres dreier seg om de registreringer som gjøres i Tjenesten etter innlogging med den unike koden. Eksempler på opplysninger som lagres:

  • Standardiserte svar/svarkategorier relatert til spørsmål og oppgaver om atferd, emosjoner, tanker og opplevelse av ulike situasjoner
  • Hvilket innhold som er gjennomgått
  • Oversikt over scoringer på kartleggingsverktøy, for eksempel kartlegging av symptomer på angst og depresjon
  • Automatisk informasjon om dato/klokkeslett for innlogging, og tidsbruk
  • Klikkstrøm-data, type operativsystem og nettleser og andre brukeropplysninger som en er en del av tjenesteanalysen
  • Evaluering og tilbakemeldinger knyttet til bruk av Tjenestene

Personvernlovgivningen gjelder ikke for anonymiserte opplysninger. Opplysningene er anonyme hvis det ikke er mulig, med de hjelpemidlene som med rimelighet kan tenkes å ha blitt brukt, å identifisere enkeltpersoner i datasettet. Det er bare i den utstrekning at tredjepersoner har tilgang på tilleggsopplysninger som gjør det mulig å identifisere person, at dette er personopplysninger. For å oppnå dette må den anonymiserte tilgangskoden kobles aktivt og intensjonelt til andre personopplysninger hos Behandlingsansvarlig i forbindelse med utlevering av en tilgangskode.

Særlige kategorier av personopplysninger (sensitive):

Rasemessig eller etnisk opprinnelse
Politiske meninger
Religiøs eller filosofisk overbevisning
Fagforeningsmedlemskap
Genetiske data med det formål entydig å identifisere en fysisk person
Biometriske data med det formål entydig å identifisere en fysisk person
Helseopplysninger
Opplysninger om en fysisk person seksuelle forhold eller legning
Opplysninger om straffedommer
Opplysninger om lovovertredelser

Spesielle sikkerhetsbehov.

Avkrysning på noen av de følgende spørsmålene vil innebære at det må inngås en avtale om økt sikkerhet. En behandling av sensitive personopplysninger vil resultere i spesielle behov for sikkerhet på minst ett av områdene under. Dette må gjenspeiles i hovedavtalen.

Særlig behov for konfidensialitet
Særlig behov for integritet
Særlig behov for tilgjengelighet
Særlig behov for personvernfremmede teknologier (for eks. innebygd personvern)

Behandlingsaktiviteter (Hva skal databehandler gjøre med personopplysningene?):

Innsamling
Registrering
Lagring
Strukturering
Organisering
Tilpasning eller endring
Gjenfinning
Sammenstilling
Utlevering
Sletting eller tilintetgjøring
Annet, vennligst spesifiser under:

VEDLEGG 2 – DETALJERTE KRAV TIL INFORMASJONSSIKKERHET

Databehandler har en selvstendig plikt til å gjennomføre egnede sikkerhetstiltak etter artikkel 32.

Plikt til å sikre informasjonssikkerhet

Databehandler skal ved planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet, og tilgjengelighet i forbindelse med Behandling av Personopplysninger i samsvar med bestemmelser om informasjonssikkerhet i gjeldende lovgivning om Behandling av Personopplysninger.

Sluttbrukertilgang

Tjenesten bygges opp slik at det i utgangspunktet ikke inneholder personsensitiv informasjon. Dette innebærer blant annet at tjenesten ikke inneholder spørsmål som kan identifisere en person og at den som bruker tjenesten vil bli anonymisert:

Det brukes et system for anonymisering og pseudonymiesring med unike koder for å gi brukere tilgang til systemet. Ingen data som kan identifisere Sluttbrukeren lagres i databasen. Dette gjelder også IP-adresser. Det eneste som knytter en person til en individuelt tilpasset tjeneste er en tilgangskode bestående av tall og bokstaver (eksempelvis «BG42KD2») som Sluttbrukeren får utlevert av Behandlingsansvarlig. Databehandler kan ikke finne ut hvem som har brukt programmene basert på de registrerte opplysningene.

Vurdering av tiltak

I vurderingen av hvilke tekniske og organisatoriske tiltak som skal implementeres, skal Databehandler i samråd med Behandlingsansvarlig ta i betraktning:

  • beste praksis,
  • kostnaden ved implementering,
  • karakteren og omfanget av behandlingen,
  • konteksten og formålet med behandlingen,
  • alvorlighet av den risiko behandlingen av personopplysninger medfører for den registrertes rettigheter.

Databehandler skal, i samråd med Behandlingsansvarlig, vurdere:

  • Implementering av pseudonymisering og kryptering av Personopplysninger
  • Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet og robustheten til systemer for behandling og tjenester
  • Evnen til å gjenopprette tilgjengelighet og tilgang til personopplysninger til rett tid i tilfelle fysiske eller tekniske hendelser
  • En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til Behandlingen

Henvendelser fra de registrerte

Tatt i betraktning arten av Behandlingen, skal Databehandler implementere tekniske og organisatoriske tiltak for å bistå Behandlingsansvarlig med å svare på henvendelser angående utøvelse av de registrertes rettighet

Bistand til Behandlingsansvarlig

Databehandler skal gi bistand slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift, herunder bistå Behandlingsansvarlig med å:

  • Implementere tekniske og organisatoriske tiltak som nevnt over,
  • overholde varslingsplikt til tilsynsmyndigheter og registrerte personer som følge av avvik,
  • utføre vurdering av personvernkonsekvenser («data privacy impact assessments»),
  • utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig
  • varsle Behandlingsansvarlig dersom Databehandler mener at en instruks fra Behandlingsansvarlig er i strid med gjeldende personvernregelverk.

Bistand som nevnt over, skal utføres i den utstrekning det er nødvendig ut fra Behandlingsansvarlig sitt behov, karakteren av behandlingen og informasjonen tilgjengelig for Databehandler.

Kompensasjon

Bistand fra Databehandler som fastsatt i denne Databehandleravtalen, samt bistand i forbindelse med særskilte rutiner og instrukser pålagt av Behandlingsansvarlig, skal kompenseres av Behandlingsansvarlig i samsvar med Databehandlers vanlige betingelser og timesatser.