Databehandleravtale

Denne Databehandleravtalen er et bilag til vår Tjenesteavtale.

Avtalen sikrer at personopplysninger ikke kommer på avveie eller brukes urettmessig.

Databehandler er PRO ISP AS, heretter omtalt som «Leverandør».
Behandlingsansvarlig er kunde, heretter omtalt som «Kunde».

1. Avtalens hensikt

Databehandleravtalens hensikt er å regulere rettigheter og plikter etter rettsgrunnlaget:
  • Lov av 14.april 2000 nr. 31 om behandling av personopplysninger, heretter omtalt som «personopplysningsloven».
  • Forskrift av 15.desember 2000 nr. 1265, heretter omtalt som «personopplysningsforskriften».
  • Regulation 2016/679/EC (General Data Protection Regulation), heretter omtalt som «personvernforordningen».
I det følgende omtales personopplysningsloven og forskriften, samt personvernforordningen i fellesskap som «rettsgrunnlaget».

Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Avtalen regulerer Leverandørs bruk av personopplysninger på vegne av den Kunde, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse i forbindelse med leveranse av ISP-tjenester, herunder drift og administrasjon av domenenavn, virtuelle servere, webhotell og e-post-tjenester (heretter omtalt som «ISP-tjenester»).

2. Instrukser

Leverandør skal følge de skriftlige instrukser for forvaltning av personopplysninger i denne avtalen som Kunde har bestemt skal gjelde.

Leverandør forplikter seg til å overholde alle plikter og lover i henhold til rettsgrunnlaget som gjelder ved bruk av Leverandørs tjenester ved behandling av personopplysninger.

Hvis utlevering av personopplysninger kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett, som Leverandør er underlagt, skal Leverandør underrette Kunde om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige samfunnsinteresser forbyr en slik underretning.

3. Formålsbegrensning

Formålet med Leverandørs forvaltning av personopplysninger på vegne av Kunde, er å levere og administrere Leverandørs ISP-tjenester til Kunde.

Leverandør kan kun behandle Kundes personopplysninger i den utstrekning det er strengt nødvendig for å gjennomføre og imøtekomme kravene i Tjenestavtalen som til enhver tid er tilgjengelige på følgende adresse:
https://www.proisp.no/tjenesteavtale/

Leverandør har ikke selvstendig råderett til personopplysningene, og kan ikke behandle disse til egne formål foruten kvalitetssikring og statistisk analyse av bruk av Leverandørs tjenester.

Leverandør kan kun overføre personopplysninger som omfattes av denne avtalen til samarbeidspartnere eller andre tredjeparter, jf. punkt 10 i denne avtalen.

4. Opplysningstyper og registrerte

Det er Kunde sitt ansvar å vedlikeholde en oversikt over hvilke personopplysninger Leverandør behandler på vegne av Kunde, samt registrerte berørte.

Personopplysninger som behandles på vegne av Kunde i forbindelse med levering og administrasjon av Leverandørs ISP-tjenester kan være navn, fødselsdato, adresser, telefonnumre, epostadresser, IP-adresser, brukernavn, passord, informasjonskapsler, kundenumre, personnummer eller andre nasjonale identitetsnummer, kredittkortnummer, kjøpshistorikk, loggfiler eller enhver annen opplysning, som definert av Kunde, kan bli brukt alene eller sammen med annen opplysning til å identifisere en fysisk person.

De registrerte som Leverandør behandler personopplysninger på vegne av i forbindelse med levering og administrasjon av Leverandørs ISP-tjenester kan være kunder, leverandører, ansatte, studenter, besøkende, medlemmer, deltakere eller enhver annen gruppe av fysiske personer, som definert av Kunde.

5. De registrertes rettigheter

Leverandør plikter å bistå Kunde ved ivaretakelse av den registrertes rettigheter, jf. rettsgrunnlaget.

Den registrertes rettigheter inkluderer retten til informasjon om hvordan hans eller hennes personopplysninger behandles, retten til å kreve innsyn i egne personopplysninger, retten til å kreve retting eller sletting av egne personopplysninger og retten til å kreve at behandlingen av egne personopplysninger begrenses.

I den grad det er relevant, skal Leverandør bistå Kunde med å ivareta de registrertes rett til dataportabilitet og retten til å motsette seg automatiske avgjørelser, inkludert profilering.

Dersom det påløper Leverandør gebyrer fra tredjepart i forbindelse med ivaretakelsen av rettighetene kan Leverandør viderefakturere Kunde disse gebyrene forutsatt at Leverandør informerer om gebyrene på forhånd.

6. Tilfredsstillende informasjonssikkerhet

Leverandør skal iverksette tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.

Leverandør skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak.

Leverandør skal etablere kontinuitets- og beredskapsplaner for effektiv håndtering av alvorlige sikkerhetshendelser.

Leverandør skal gi egne ansatte tilstrekkelig informasjon om og opplæring i informasjonssikkerhet slik at sikkerheten til personopplysninger som behandles på vegne av Kunde blir ivaretatt.

Leverandør skal dokumentere opplæringen av egne ansatte i informasjonssikkerhet.

Dokumentasjon i forbindelse med disse tekniske og organisatoriske tiltakene er vedlagt som vedlegg 1 i denne avtalen. Ved Kundes aksept av denne avtalen vil disse tiltakene være grunnlag for avtalen.

De tekniske og organisatoriske tiltakene kan endres av Leverandør som følge av teknologisk utvikling. Sikkerhetsnivået i de spesifiserte tiltakene kan ikke reduseres som følge av dette. Betydelige endringer må dokumenteres.

7. Taushetsplikt

Kun ansatte og innleid personell hos Leverandør som har tjenstlige behov for tilgang til personopplysninger som forvaltes på vegne av Kunde, kan gis slik tilgang.

Leverandørs ansatte, samt innleid personell, har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til gjennom tjenesten. Bestemmelsen om taushetsplikt gjelder også etter avtalens opphør. Taushetsplikten gjelder tilsvarende for underleverandører.

8. Tilgang til sikkerhetsdokumentasjon

Leverandør plikter å gi Kunde tilgang til all sikkerhetsdokumentasjon som er nødvendig for at Kunde skal kunne ivareta sine forpliktelser i henhold til rettsgrunnlaget.

Leverandør plikter å gi Kunde tilgang til annen relevant dokumentasjon som gjør det mulig for Kunde å vurdere om Leverandør overholder vilkårene i denne avtalen.

Ansatte hos Kunde har taushetsplikt for konfidensiell sikkerhetsdokumentasjon som Leverandør gjør tilgjengelig for Kunde.

9. Varslingsplikt ved sikkerhetsbrudd

Leverandør skal uten ubegrunnet opphold varsle Kunde dersom personopplysninger som forvaltes på vegne av Kunde utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern.

Varslet til Kunde skal som minimum inneholde informasjon som beskriver sikkerhetsbruddet, hvilke registrerte som er berørt av sikkerhetsbruddet, hvilke personopplysninger som er berørt av sikkerhetsbruddet, hvilke strakstiltak som er iverksatt for å håndtere sikkerhetsbruddet og hvilke forebyggende tiltak som eventuelt er etablert for å unngå liknende hendelser i fremtiden.

Kunde er ansvarlig for at varsler om sikkerhetsbrudd fra Leverandør blir videreformidlet til Datatilsynet, med mindre Leverandør anser det som hensiktsmessig at Leverandør varsler Datatilsynet.

10. Underleverandører

En underleverandør betegnes i denne avtalen som en part som utfører behandling av personopplysninger direkte relatert til denne avtalen. Betegnelsen inkluderer ikke tilleggstjenester som for eksempel kommunikasjonstjenester, betalingstjenester, post- og transporttjenester, vedlikehold- og supporttjenester, samt andre tiltak for å sikre konfidensialitet, tilgjengelighet og integritet av hardware og software av dataprosesseringssystemer.

Kunde aksepterer at Leverandør kan benytte underleverandører både ved levering av ISP-tjenestene og behandling av personopplysninger, forutsatt at de behandler personopplysninger i tråd med denne avtalen.

Leverandør skal på forespørsel legge frem kopi av avtalen(e) som er inngått med underleverandør(ene) på Kundes forespørsel.

Leverandør skal til enhver tid holde liste over underleverandører, samt hvilke personopplysninger og tjenester den enkelte underleverandør benyttes til databehandling av, tilgjengelig og oppdatert i vedlegg 2 av denne avtalen.

Leverandør kan ikke engasjere andre underleverandører enn de som er nevnt i vedlegg 2. Leverandør plikter å oppdatere vedlegget med underleverandører senest 30 dager før en underleverandør begynner behandling av personopplysninger.

I de tilfeller Kunde motsetter seg bruk av en ny underleverandør skal Leverandør underrettes omgående og uten opphold. Kunde kan om ønskelig meddele opphør umiddelbart. Allerede innbetalte beløp for inneværende avtaleperiode(r) vil i så fall bli refundert. Dersom Kunde i stedet ønsker å fortsette avtaleforholdet må Kunde godkjenne bruk av underleverandør eller la være å bestille tjenester hvor underleverandør benyttes.

11. Overføring til land utenfor EU/EØS

Personopplysninger som Leverandør forvalter i henhold til denne avtalen kan overføres til et land utenfor EU/EØS hvis det er nødvendig for å kunne levere tjenesten i henhold til Tjenesteavtale gitt at enten (a) en slik overføring er lovlig i henhold til rettsgrunnlaget eller (b) Kunde har innhentet nødvendig aksept fra berørte registerte.

Hvis utlevering av personopplysninger kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett, som Leverandør er underlagt, skal Leverandør underrette Kunde om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige samfunnsinteresser forbyr en slik underretning.

12. Sikkerhets- og konsekvensrevisjon

Kunde kan benytte sin rett til å utføre revisjon av Leverandør av en uavhengig tredjepart som er bundet av taushetsplikt (jf. punkt 7) for å verifisere at sikkerhetskravene følges, at uautorisert bruk av personopplysninger ikke skjer, samt alle relaterte problemstillinger.

En slik revisjon kan kreves en gang per år eller som følge av hendelse ved substansiert påstand om misbruk av personopplysninger.

Leverandør skal bistå med nødvendig oppfølgning for at en slik revisjon skal kunne gjennomføres.

Eventuelle funn som følge av revisjonen skal evalueres av Leverandør og tiltak implementeres etter Leverandørs egen vurdering.

Alle kostnader som følge av en slik revisjon bæres av Kunde. Dette inkluderer kostnader til den uavhengige tredjeparten, kostnader Leverandør påføres i form av benyttet arbeidstid, materielle kostnader og andre kostnader som følge av revisjonen.

Leverandør skal bistå Kunde dersom bruk av tjenestene medfører at Kunde har plikt til å utrede personvernkonsekvenser før tjenestene tas i bruk, jf. rettsgrunnlaget. Leverandør kan bistå Kunde ved iverksetting av personvernfremmende tiltak dersom konsekvensutredning viser at dette er nødvendig.

13. Ved opphør

Ved opphør av avtalen plikter Leverandør å tilbakelevere alle personopplysninger som er mottatt på vegne av den Kunde og som omfattes av denne avtalen. Tilbakelevering av personopplysninger gjøres med et standardisert format via Leverandørs kundeportal. Eksport av data utover det Leverandørs kundeportal muliggjør skal skje for Kunde sin regning, og faktureres etter medgått tid og til gjeldende timepriser.

Kunde aksepterer at Leverandør sletter alle data ved opphør, inkludert eventuelle sikkerhetskopier, etter at siste avtaleperiode har løpt ut, og at data vil bli slettet etter de retningslinjer og prosedyrer som Leverandør til enhver tid fastsetter.

Leverandør skal skriftlig bekrefte eller dokumentere at sletting er foretatt etter avtalens opphør på Kundes forespørsel. Kostnader for destruksjon og dokumentasjon skal dekkes av Kunde.

Leverandør vil ikke innestå for tap av data som skyldes at eksport av data ikke er gjennomført før utløpsdato for tjenesten(e).

14. Avtalens varighet

Avtalen gjelder fra Kunde aksepterer Tjenesteavtalen (som denne avtalen er en del av) ved å markere boksen "Jeg har lest og aksepterer PRO ISP sin tjenesteavtale", og gjelder så lenge Leverandør behandler personopplysninger på vegne av Kunde for gjeldende Tjenesteavtale. Ved mislighold av vilkårene i denne avtalen som skyldes feil eller forsømmelser fra Leverandørs side, kan Kunde si opp avtalen med øyeblikkelig virkning. Leverandør vil fortsatt være pliktig til å følge bestemmelsene i punkt 13.

15. Meddelelser

Leverandør vil sende meddelelser skriftlig etter denne avtalen til den enhver tid oppgitte kundekontakten i kundeforholdet. Kunde må sende meddelelser skriftlig til support@proisp.no.

16. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Stavanger tingrett som verneting. Dette gjelder også etter opphør av avtalen.

Vedlegg 1

Tekniske og organisatoriske tiltak i henhold til art. 32 av personvernforordningen

  1. Konfidensialitet
    1. Fysisk tilgangskontroll
      1. Datasentre i Stavanger og Nedre Vats
        1. Elektronisk tilgangskontroll med personlig ID
        2. Logging av tilgang
        3. Rutiner for følge av besøk
        4. Dokumentert distribusjon av adgangskort
        5. 24/7 videoovervåkning fra operasjonssenter
      2. Datasentre i utlandet
        1. Verifisert at disse har minst samme nivå for tilgangskontroll som datasentre i Stavanger og Nedre Vats
      3. Monitorering
        1. Elektronisk tilgangskontroll med logg
        2. Videoovervåkning av alle inn- og utganger
      4. Elektronisk tilgangskontroll
        1. For virtuelle servere
          1. Kunde får tilsendt et automatisk generert passord med tilstrekkelig vanskelighetsgrad
          2. Ingen passord lagres i Leverandørs systemer
          3. 2-faktorautentisering er tilgjengelig for Kunde
          4. Både Kunde og Leverandør har tilgang til konsoll/VNC
          5. Leverandørs personell kan kun benytte konsoll i forbindelse med å yte support eller feilsøke problemer med tjenesten
          6. Både Kunde og Leverandør har tilgang til å sette nytt passord for innlogging til operativsystem så fremt servermal støtter dette. Leverandørs personell kan kun benytte denne muligheten i forbindelse med å yte support eller feilsøke problemer med tjenesten med tillatelse fra Kunde.
          7. Leverandør er ansvarlig for å holde tjenesten oppdatert med siste tilgjengelige sikkerhetsoppdateringer og teknologi
        2. For webhotell
          1. Kunde får tilsendt et automatisk generert passord med tilstrekkelig vanskelighetsgrad
          2. Ingen passord lagres i Leverandørs systemer
          3. 2-faktorautentisering er tilgjengelig for Kunde
          4. Både Kunde og Leverandør har tilgang til å sette nytt passord for innlogging til kontrollpanel. Leverandørs personell kan kun benytte denne muligheten i forbindelse med å yte support eller feilsøke problemer med tjenesten.
          5. Passord må ha tilstrekkelig vanskelighetsgrad
          6. Leverandør er ansvarlig for å holde tjenesten oppdatert med siste tilgjengelige sikkerhetsoppdateringer og teknologi
        3. For Hosted Exchange
          1. Kunde får tilsendt et automatisk generert passord med tilstrekkelig vanskelighetsgrad
          2. Ingen passord lagres i Leverandørs systemer
          3. Både Kunde og Leverandør har tilgang til å sette nytt passord for innlogging til kontrollpanel. Leverandørs personell kan kun benytte denne muligheten i forbindelse med å yte support eller feilsøke problemer med tjenesten.
          4. Passord må ha tilstrekkelig vanskelighetsgrad
          5. Leverandør er ansvarlig for å holde tjenesten oppdatert med siste tilgjengelige sikkerhetsoppdateringer og teknologi
        4. Sletting
          1. Alle datasentre
            1. Brukte disker som gjenbrukes skal følge prosedyre for å sikre at alle data er slettet før gjenbruk
            2. Defekte disker ødelegges slik at gjenoppretting av data gjøres så vanskelig som mulig
          2. Isolering
            1. For Leverandørs administrasjonssystemer
              1. Fysisk og logisk separert fra Kundes tjenester
              2. Backup er logisk separert fra Kundes tjenester og fysisk separert fra Leverandørs administrasjonssystemer
            2. For virtuelle servere
              1. Kunde er ansvarlig for isolering i den virtuelle serveren
              2. Leverandør er ansvarlig for isolering mellom Kundes virtuelle servere, samt verten disse ligger på
              3. Leverandør er ansvarlig for å holde tjenesten oppdatert med siste tilgjengelige sikkerhetsoppdateringer og teknologi for å sikre isoleringen
            3. For webhotell og Hosted Exchange
              1. Leverandør er ansvarlig for logisk isolering mellom Kundes tjenester
              2. Leverandør er ansvarlig for å holde tjenesten oppdatert med siste tilgjengelige sikkerhetsoppdateringer og teknologi for å sikre isoleringen
              3. Backup er fysisk isolert fra tjenesten
              4. Backup for tjenestene er logisk isolert seg imellom
            4. Pseudonymisering
              1. Kunde er ansvarlig for pseudonymisering, med unntak av logger som genereres av Leverandørs tjenester og Leverandørs portal
              2. Leverandør benytter pseudonymisering hvor det ikke går ut over sikkerhet
  2. Integritet (Art. 32 Para.1 klausul b personvernforordningen)
    1. Dataforflytning
      1. Alle ansatte, samt innleid personell, har blitt opplært i henhold til art. 23 para. 4 av personverforordningen og er forpliktet til å påse at personopplysninger behandles i henhold til rettsgrunnlaget.
      2. Sletting av data i henhold til rettsgrunnlaget ved terminering av avtalen
      3. Kryptert transport av alle personopplysninger
    2. Datainnsamling
      1. For Leverandørs administrasjonssystemer
        1. Data legges inn og hentes ut av Kunde
        2. Endringer logges
      2. For virtuell server
        1. Kunde er ansvarlig for kontroll av datainnsamling
      3. For webhotell
        1. Kunde er ansvarlig for kontroll av datainnsamling
  3. Tilgjengelighet og resiliens (art. 32 para. 1 klausul b personvernforordningen)
    1. Tilgjengelighet
      1. For Leverandørs administrasjonssystemer
        1. Backup hver time
        2. Diskspeiling
        3. Monitorering av servere og tjenester på disse
        4. Redundant UPS, PDU og nettverkstilknytning
        5. DDoS beskyttelse
        6. Bruk av sikkerhetsløsninger (som brannmur, spamfilter mm.)
      2. For virtuell server
        1. Backup daglig av vertsmasking og virtuelle servere
        2. Diskspeiling
        3. Monitorering av vertsservere og tjenester på disse
        4. Redundant UPS, PDU og nettverkstilknytning
        5. DDoS beskyttelse
        6. Bruk av sikkerhetsløsninger (som brannmur mm.)
      3. For webhotell
        1. Backup daglig
        2. Diskspeiling
        3. Monitorering av servere og tjenester på disse
        4. Redundant UPS, PDU og nettverkstilknytning
        5. DDoS beskyttelse
        6. Bruk av sikkerhetsløsninger (som brannmur, spamfilter mm.)
      4. Rask gjenoppretting (art. 32 para. 1 klausul c personvernforordningen)
        1. For Leverandørs administrasjonssystemer, virtuelle servere og vertsmaskiner er det definert prosedyre for hvordan og hvem som skal informeres for å utføre raskest mulig gjenoppretting
  4. Prosedyrer for regelmessig testing og evaluering (art. 32 para. 1 klausul d personvernforordningen; art. 25 para. 1 personvernforordningen)
    1. Ansatte av Leverandør blir jevnlig instruert i forhold til rettsgrunnlaget, samt er kjent med prosedyrer og retningslinjer for prosessering av data på vegne av Kunde.
    2. Benyttelse av internkontroll og avvikssystem
    3. Databeskyttelsesvennlig tankesett benyttes ved programvareutvikling av Leverandørs systemer (art. 25 para. 2 personvernforordningen).

Vedlegg 2

Underleverandører

Her følger en oversikt over underleverandører hvor dine personopplysninger er berørt, samt hvilke tjenester og personopplysninger:
  • Rapid Web Services, LLC
    Alle våre SSL sertifikat bestilles og administreres via Rapid Web Services, LLC. Selskapet holder til i USA og oppfyller kravene til EU-US privacy shield. Følgende personopplysninger er berørt:
    • Navn
    • Adresse
    • Telefonnummer
    • E-postadresse
  • Uninett Norid AS
    Alle våre .no-domener, samt underdomener av .no, registreres og administreres via Uninett Norid AS. Følgende personopplysninger er berørt:
    • Navn
    • Adresse
    • Telefonnummer
    • E-postadresse
    • PID-nummer
  • NIC.SE
    Alle våre .se-domener registreres og administreres via NIC.SE. Følgende personopplysninger er berørt:
    • Navn
    • Adresse
    • Telefonnummer
    • E-postadresse
    • Personnummer
    • Land man er statsborger i
  • Realtime Register B.V.
    Alle andre toppnivådomener utenom .no og .se registreres og administreres via Realtime Register B.V. Følgende personopplysninger er berørt:
    • Navn
    • Adresse
    • Telefonnummer
    • E-postadresse
    • Personnummer
    • Land man er statsborger i
    • Land man er født i
    • Fødselsdato
    • Utstedelsesenhet og dato av pass