Vedlegg 1 til Cobuilder-plattformens generelle vilkår og betingelser: Databehandleravtale (DPA)

1. Formål

Denne Databehandleravtalen (DPA), med eventuelle vedlegg, endringer og oppdateringer, regulerer forholdet mellom Partene iht. GDPR (EUs personvernforordning 2016/679), der Kunden opptrer som Behandlingsansvarlig (iht. definisjonen i GDPR) og Cobuilder som Databehandler (iht. definisjonen i GDPR).

Formålet med denne Databehandleravtalen er å fastsette vilkårene for hvordan Cobuilder, som Databehandler av personopplysninger levert av Kunden, kan behandle slike opplysninger, samt å gi Cobuilder et rettslig grunnlag for all behandling iht. de Generelle vilkår og betingelser eller Kundens uttrykkelige anmodning.

Databehandleren og enhver person som opptrer på vegne av Databehandleren, som har tilgang til personopplysninger, skal kun behandle nevnte opplysninger etter dokumenterte instrukser fra Behandlingsansvarlig. Partene er enige om at denne Databehandleravtalen utgjør slike instrukser fra Kunden. Kunden garanterer at den skal påse at nye formål eller behandlingsaktiviteter dokumenteres skriftlig før de iverksettes av Cobuilder.

Personopplysningene som kan behandles av Cobuilder iht. de Generelle vilkår og betingelser, omfatter alle personopplysninger som Kunden har gjort tilgjengelig for Cobuilder gjennom bruk av Cobuilder-plattformene, herunder navn, e-postadresser, telefonnumre, passord og stillingstitler til Kundens ansatte.

Cobuilder behandler personopplysninger om Kundens ansatte kun i den utstrekning slik behandling er nødvendig for at Cobuilder skal kunne oppfylle sine forpliktelser iht. de Generelle vilkår og betingelser, Spesifikke vilkår og betingelser, Kundens instrukser og gjeldende lovgivning.

2. Databehandlers plikter

Databehandler skal følge de rutiner og instrukser for behandling av personopplysninger som Behandlingsansvarlig har bestemt skal gjelde. Behandlingsansvarlig anmoder herved om at Databehandler holder Kunden og Kundens ansatte oppdatert, via e-post- og tekstmeldingskorrespondanse, om produkter og tjenester som leveres iht. Avtalen, herunder nye funksjoner, brukerveiledninger, teknisk utvikling, kampanjer og lignende informasjon. Enhver enkeltperson som ikke ønsker å motta slike oppdateringer, skal gis mulighet til å reservere seg mot dette. Databehandler skal bistå Behandlingsansvarlig med å oppfylle deres forpliktelser iht. gjeldende personopplysningslovgivning, herunder personvernforordningen (GDPR), inkludert Behandlingsansvarliges plikt til å besvare forespørsler fra registrerte om utøvelse av sine rettigheter som registrert, samt sikre etterlevelse av GDPR artikkel 32 til og med 36.

Med mindre annet er avtalt eller følger av lov, har Behandlingsansvarlig rett til å få innsyn i og kontrollere de personopplysningene som behandles, samt systemene som benyttes for dette formålet. Databehandleren plikter å yte nødvendig bistand til dette.

Databehandleren skal holde Behandlingsansvarliges dokumentasjon og personopplysninger konfidensielle. Denne bestemmelsen gjelder også etter Databehandleravtalens oppsigelse. Databehandleren skal sikre at personer som er autorisert til å behandle personopplysningene, er kontraktsmessig forpliktet til å behandle opplysningene konfidensielt, dersom vedkommende ikke er underlagt en passende lovpålagt taushetsplikt.

Databehandleren skal iverksette nødvendige tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er tilpasset risikoen knyttet til behandlingen av personopplysninger, og for å sikre at behandlingen oppfyller kravene i gjeldende personvernlovgivning, herunder kravene i GDPR, samt beskyttelse av den registrertes rettigheter. Databehandler skal umiddelbart informere Behandlingsansvarlig dersom Databehandleren mener at en instruks fra Behandlingsansvarlig er i strid med GDPR eller andre lovbestemmelser om vern av personopplysninger.

3. Bruk av underleverandører

Databehandleren skal ikke benytte en underleverandør uten å ha innhentet enten et spesifikt eller generelt skriftlig forhåndssamtykke fra Behandlingsansvarlig. Dersom Cobuilder har mottatt et generelt skriftlig samtykke, skal Cobuilder informere Kunden om planer om å benytte andre underleverandører, slik at Kunden gis mulighet til å fremsette innsigelser. Alle underleverandører benyttet av Cobuilder skal være kjent med vilkårene i denne Databehandleravtalen og overholde de samme forpliktelsene. En oversikt over Databehandlerens underleverandører er tilgjengelig i Vedlegg A til denne avtalen. Vedlegg A skal oppdateres dersom det skjer endringer i bruken av underleverandører.

4. Behandlingsansvarliges rettigheter og plikter

Behandlingsansvarlig har de rettigheter og forpliktelser som gjeldende lovgivning til enhver tid krever av Behandlingsansvarlig for behandling av personopplysninger. Ved brudd på denne Databehandleravtalen eller personvernforordningen (GDPR), kan Behandlingsansvarlig kreve at Databehandleren stopper den videre behandlingen av opplysningene med øyeblikkelig virkning.

5. Sikkerhet og revisjoner

En oversikt over Databehandlerens tekniske og organisatoriske sikkerhetstiltak følger av Vedlegg B til denne Databehandleravtalen. Databehandleren skal varsle Behandlingsansvarlig om eventuelle sikkerhetsbrudd uten unødig forsinkelse. Behandlingsansvarlig er ansvarlig for å videresende varselet til relevant myndighet.

Behandlingsansvarlig kan, for egen regning, gjennomføre revisjoner av Databehandlers behandling av personopplysningene. Databehandler skal, etter anmodning, legge til rette for og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Behandlingsansvarlig eller en annen kontrollør som er autorisert av Behandlingsansvarlig. Databehandler skal, etter anmodning, stille all informasjon som er nødvendig for å vise at kravene i denne Databehandleravtalen er oppfylt, til rådighet for Behandlingsansvarlig, herunder sikkerhetsdokumentasjon.

6. Varighet og opphør

Denne Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, og følger de samme regler for oppsigelse som Avtalen.

Etter Behandlingsansvarliges valg, skal Databehandler, ved avslutning av levering av tjenester knyttet til behandlingen (ved opphør av denne Databehandleravtalen), slette eller tilbakelevere alle personopplysninger mottatt på vegne av Behandlingsansvarlig. Databehandler skal slette eksisterende kopier av slike personopplysninger, dokumenter og data, med mindre gjeldende lovgivning pålegger lagring av personopplysningene eller slike dokumenter/data. Dette gjelder også eventuelle sikkerhetskopier.

7. Meddelelser og tvisteløsning

Meddelelser iht. denne Databehandleravtalen skal sendes per e-post til Partenes kontaktpersoner iht. Avtalen. Denne Databehandleravtalen skal være underlagt samme nasjonale lovgivning, og tvister skal avgjøres av samme domstoler som avtalt i Avtalen.

Cobuilder, 1 april 2025.

Vedlegg A til Databehandleravtalen: OVERSIKT OVER UNDERLEVERANDØRER

Databehandleren skal gjøre Kunden oppmerksom på forhånd om hver leverandør som Databehandleren ønsker å bruke til å bistå seg med behandling av personopplysninger på vegne av Kunden.

Navn Underleverandør Behandling av data Land Nettsted
Paraflow Communications Ltd. Cloud Service Provider for Microsoft Azure Sofia, Bulgaria https://www.paraflow.bg/
Microsoft Azure IT-infrastruktur Nederland https://azure.microsoft.com/en-us/overview/what-is-azure/
Cobuilder International Ltd. (heleid datterselskap av Cobuilder AS) Utvikling, support, marketing, regnskap Sofia, Bulgaria Dette dokumentet

Vedlegg B til Databehandleravtalen: Databehandlers generelle behandlingssikkerhet

Databehandleren garanterer at egnede tekniske og organisatoriske sikkerhetstiltak til enhver tid er på plass for å sikre tilfredsstillende informasjonssikkerhet slik at personopplysninger beskyttes mot ulovlig eller ufrivillig destruksjon, tap, skade, endring, uautorisert tilgang. Dette gjelder særlig hvor behandlingen involverer overføring av data over et nettverk og for all annen ulovlige former for overføring av data.

Slike tekniske og organisatoriske sikkerhetstiltak omfatter, men er ikke begrenset til: Fysisk adgangskontroll, digital adgangskontroll som passordbeskyttelse, tilgangskontroll, overføringskontroll, begrensning av tilgjengelighet. Leverandøren følger retningslinjene for informasjonssikkerhet iht. ISO 27001: 2022. Se også Leverandørens personvernerklæring på nettsiden https://cobuilder.com/no/privacy-policy/.

Dette innebærer at Databehandler skal implementere tiltak for å sikre at Behandlingsansvarliges personopplysninger holdes konfidensielle, og sikre at personopplysninger ikke gjøres tilgjengelig ulovlig eller tapes. Videre skal Databehandler sette inn tiltak for å unngå uautorisert manipulering eller ødeleggelse av personopplysninger, og tiltak for å stanse virus og andre skadelige programmer. Databehandleren plikter å holde Behandlingsansvarliges personopplysninger separat fra eventuelle tredjeparters data for å redusere risikoen for skade og/eller uautorisert tilgang til personopplysningene. Separat betyr alle tekniske tiltak som er nødvendig for å sikre at personopplysningene er beskyttet fra uautorisert tilgang og ødeleggelse, og at disse gjennomføres og vedlikeholdes. Dersom Databehandlers ansatte, som ikke har tjenstlig behov for tilgang, har tilgang til Behandlingsansvarliges personopplysninger er det å anse som ulovlig tilgang. Databehandler skal sikre at tjenesteleverandører av tredjepartsløsninger gjennomfører nødvendige og tilstrekkelige sikkerhetstiltak for å sikre Behandlingsansvarliges personopplysninger.

Databehandleren skal på forespørsel fra Behandlingsansvarlige gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne Databehandleravtalen er oppfylt.

1. Definitions

Organisatoriske sikkerhetstiltak

  1. Sikkerhetsstyring
      1. Roller og ansvar: Behandler har implementert styringssystem for informasjonssikkerhet og databeskyttelse med hensyn til behandling av personopplysninger. Roller og ansvar:
        • Roller og ansvar knyttet til behandling av personopplysninger er klart definert og fordelt i samsvar med sikkerhetspolicy.
        • Ved interne omorganiseringer eller oppsigelser og endring av arbeidsforhold er tilbakekall av rettigheter og plikter med respektive overleveringsprosedyrer klart definert.
      2. Retningslinjer for tilgangskontroll: Spesifikke tilgangskontrollrettigheter tildeles hver rolle som er involvert i behandlingen av personopplysninger, etter behov-å-vite-prinsippet.

I tillegg til tilgangskontroll og tidsavbrudd (policy based) når en bruker ikke er aktiv på sin arbeidsstasjon, får ansatte jevnlig opplæring i bevissthet rundt informasjonssikkerhet.

      1. Ressurs-/kapitalforvaltning: Behandler har et register over IT-ressursene som brukes til behandling av personopplysninger (maskinvare, programvare og nettverk). En bestemt person er tildelt oppgaven med å vedlikeholde og oppdatere registeret (f.eks. IT-ansvarlig).
      2. Endringshåndtering: Behandler sørger for at alle endringer i IT-systemet blir registrert og overvåket av en bestemt person (f.eks. IT- eller sikkerhetsansvarlig). Regelmessig overvåking av denne prosessen finner sted.
  2. Incident response and business continuity
    1. Håndtering av hendelser / brudd på personopplysninger:
      • En hendelsesresponsplan med detaljerte prosedyrer er definert for å sikre effektiv og ryddig respons på hendelser knyttet til personopplysninger.
      • Behandler vil uten unødig forsinkelse rapportere til Behandlingsansvarlig enhver sikkerhetshendelse som har resultert i tap, misbruk eller uautorisert innhenting av personopplysninger.
    2. Forretningskontinuitet: Behandler etablerer hovedprosedyrene og kontrollene som skal følges for å sikre det nødvendige nivået av kontinuitet og tilgjengelighet for IT-systemet som behandler personopplysninger (i tilfelle en hendelse/personopplysningsbrudd).
  3. Menneskelige ressurser
    1. Konfidensialitet for personell: Behandler sikrer at alle ansatte forstår sitt ansvar og forpliktelser knyttet til behandling av personopplysninger. Roller og ansvar er tydelig kommunisert under prosessen før ansettelse og/eller introduksjon.
    2. Opplæring: Behandler sørger for at alle ansatte er tilstrekkelig informert om sikkerhetskontrollene til IT-systemet som er knyttet til deres arbeidshverdag. Ansatte som er involvert i behandlingen av personopplysninger er også godt informert om relevante databeskyttelseskrav og juridiske forpliktelser gjennom regelmessige bevissthetskampanjer.

Tekniske sikkerhetstiltak

  1. Tilgangskontroll og autentisering

Et tilgangskontrollsystem som gjelder for alle brukere som har tilgang til IT-systemet er implementert. Systemet gjør det mulig å opprette, godkjenne, gjennomgå og slette brukerkontoer.

    • Bruk av felles brukerkontoer unngås. I tilfeller der dette er nødvendig, sikres det at alle brukere av felleskontoen har samme roller og ansvar.
    • Ved tildeling av tilgang eller tildeling av brukerroller skal «behov-for-å-vite-prinsippet» følges for å begrense antallet brukere som har tilgang til personopplysninger kun til de som trenger det for å oppnå Behandlerens behandlingsformål.
    • Hvor autentiseringsmekanismer er basert på passord.
    • Autentiseringslegitimasjonen (som bruker-ID og passord) skal aldri overføres ubeskyttet over nettverket.
  2. Logging og overvåking:

Loggfiler aktiveres for hvert system/applikasjon som brukes til behandling av personopplysninger. De inkluderer alle typer tilgang til data (visning, endring, sletting)

  1. Sikkerhet for data i hvile
    1. Server/Databasesikkerhet

Database- og applikasjonsservere er konfigurert til å kjøre med en separat konto, med minimum OS-privilegier for å fungere korrekt.

Database- og applikasjonsservere behandler kun personopplysningene som faktisk er nødvendige for å behandle for å oppnå behandlingsformålene.

    1. Arbeidsstasjonssikkerhet:
      • Brukere kan ikke deaktivere eller omgå sikkerhetsinnstillinger.
      • Antivirusapplikasjoner og deteksjonssignaturer konfigureres med jevne mellomrom.
      • Brukere har ikke rettigheter til å installere eller deaktivere uautoriserte programmer.
      • Systemet har tidsavbrudd når brukeren ikke har vært aktiv i en viss tidsperiode.
      • Kritiske sikkerhetsoppdateringer utgitt av operativsystemutvikleren installeres regelmessig.
      • Alle arbeidsstasjoner har kryptert harddisk.
  2. Nettverks-/kommunikasjonssikkerhet:
    • Hver gang tilgang utføres via Internett, er kommunikasjonen kryptert gjennom kryptografiske protokoller.
    • Trafikk til og fra IT-systemet overvåkes og kontrolleres gjennom brannmurer og inntrengningsdeteksjonssystemer.
  3. Sikkerhetskopier:
    • Prosedyrer for sikkerhetskopiering og datagjenoppretting er definert, dokumentert og tydelig knyttet til roller og ansvar.
    • Sikkerhetskopier gis et passende nivå av fysisk og miljømessig beskyttelse i samsvar med standardene som brukes på opprinnelsesdataene.
    • Utførelse av sikkerhetskopier overvåkes for å sikre ferdigstillelsen.
  4. Mobile/bærbare enheter:
    • Prosedyrer for administrasjon av mobile og bærbare enheter er definert og dokumentert og etablerer klare regler for riktig bruk.
  5. Applikasjonslivssyklussikkerhet:

Under utviklingslivssyklusen følges beste praksis, toppmoderne og godt anerkjent sikker utviklingspraksis eller standarder.

  1. Sletting/avhending av data:

Programvarebasert overskriving eller fysisk destruksjon utføres på media før de avhendes. I tilfeller der dette ikke er mulig (CDer, DVDer osv.) vil fysisk ødeleggelse bli utført.

    • Makulering av papir og bærbare medier som brukes til å lagre personopplysninger utføres.
  2. Fysisk sikkerhet:

Den fysiske omkretsen av IT-systeminfrastrukturen er ikke tilgjengelig for ikke-autorisert personell. Det skal settes inn egnede tekniske tiltak (f.eks. inntrengningsdeteksjonssystem, låsesystemer basert på adgangskort med kode) eller organisatoriske tiltak (f.eks. sikkerhetsvakt) for å beskytte sikkerhetsområder og deres tilgangspunkter mot inntreden uvedkommende.