Denne databehandleravtalen (DBA) utgjør en del av avtalevilkårene eller annen skriftlig avtale mellom Kunden (“Behandlingsansvarlig”) og SmartDok AS (“SmartDok” eller “Databehandler”) om kjøp og bruk av produkt og tjenester fra SmartDok for å uttrykke Partenes avtale om behandling av personopplysninger. SmartDok og Kunden i fellesskap betegnes som Partene.

1. Innledning

1.1. Partene bekrefter herved at de har nødvendige fullmakter til å inngå denne DBA. DBA vil utgjøre en del av og regulere all behandling av personopplysninger i tilknytning til avtaler om levering av tjenester (Avtalevilkår) mellom partene.

1.2. Dersom Behandlingsansvarlig/Kunden endrer kontaktperson må SmartDok få skriftlig informasjon om dette.

2. Definisjoner

2.1. Definisjonene av personopplysning, særlige kategorier av personopplysning, behandling av personopplysning, den registrerte, behandlingsansvarlig og databehandler skal forstås slik de brukes og tolkes i henhold til gjeldende personvernlovgivning, inkludert lov om behandling av personopplysninger av 15. juni 2018 nr. 38 og personvernforordningen Europaparlaments- og rådsforordning (EU) 2016/679 (GDPR) av 27. april 2016.

3. Formål

3.1. DBA regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig, og beskriver hvordan Databehandleren gjennom tekniske og organisatoriske virkemidler skal bidra til å sikre den registrertes rettigheter på vegne av Behandlingsansvarlig.

3.2. Formålet med Databehandlerens behandling av personopplysninger er å oppfylle formålet listet i Vedlegg A. 

3.3 Ved eventuell motstrid mellom bestemmelser om behandling av personopplysninger har DBA forrang over Avtalevilkår eller tidligere avtaler eller skriftlig kommunikasjon mellom Partene. DBA er gjeldende for perioden som er avtalt i Vedlegg A.

4. Databehandlerens rettigheter og plikter

4.1 Databehandler skal bare behandle personopplysninger på vegne av og i henhold til skriftlige instruksjoner fra Behandlingsansvarlig. Ved å inngå denne DBA instruerer Behandlingsansvarlig Databehandler om å behandle personopplysninger på følgende måte: i) bare i henhold til gjeldende lovgivning, ii) for å oppfylle alle plikter i henhold til Avtalevilkår, iii) som instruert via Behandlingsansvarlig sin bruk av Databehandlers ordinære tjenester og iv) som spesifisert i denne DBA.

4.2 Databehandleren har ved avtaleinngåelsen ingen grunn til å anta at det foreligger regulatoriske hindringer mot å følge instruksjonene fra Behandlingsansvarlig. Dersom Databehandleren ved et senere tidspunkt blir klar over at Behandlingsansvarliges instruksjoner eller behandling av personopplysninger strider mot gjeldende personvernlovgivning, skal Databehandleren melde dette til Behandlingsansvarlig.

4.3 Typen personopplysninger og kategorier av registrerte som er gjenstand for behandling under denne DBA er angitt i Vedlegg A.

4.4 Databehandleren skal sikre konfidensialitet, integritet og tilgjengelighet til personopplysningene i henhold til de regulatoriske krav som gjelder for Databehandleren. Dette inkluderer å implementere systematiske, organisatoriske og tekniske sikkerhetstiltak for å sikre et tilstrekkelig nivå for sikkerhet. Ved avgjørelsen av hva som er et tilstrekkelig nivå skal hensyn til den teknologiske utviklingen og kostnaden ved implementering av tiltak veies mot risikoen ved behandlingen og typen personopplysninger som behandles.

4.5 Databehandleren skal ved tekniske og organisatoriske sikkerhetstiltak bistå Behandlingsansvarlig med å ivareta Behandlingsansvarliges plikter under GDPR artikkel 32 til 36, samt bistå i arbeidet med å behandle forespørsler fra registrerte. Pliktens omfang avgrenses av formen for behandling av personopplysninger og hvilken informasjon som er tilgjengelig for Databehandleren.

4.6 Behandlingsansvarlig kan kreve informasjon om sikkerhetstiltak, dokumentasjon og annen informasjon om hvordan Databehandleren behandler personopplysninger. Dersom Behandlingsansvarlig ber om mer informasjon eller assistanse enn det som Databehandleren tilgjengeliggjør for å oppfylle kravene til rollen som Databehandler i henhold til gjeldende personvernlovgivning, kan Databehandleren kreve betaling for slike eventuelle tilleggstjenester.

4.7 Databehandleren og dens ansatte skal sørge for konfidensialitet ved behandling av personopplysninger som behandles i henhold til denne DBA. Denne plikten gjelder også etter at avtalen opphører.

4.8. Databehandler skal sikre at ansatte som skal behandle personopplysninger på vegne av den Behandlingsansvarlige har forpliktet seg til konfidensialitet eller er underlagt en lovbestemt taushetsplikt.

4.9. Databehandleren vil gjennom å varsle Behandlingsansvarlig uten ugrunnet opphold om brudd på personopplysningssikkerheten, muliggjøre etterlevelse av gjeldende personvernlovgivning vedrørende varsling av tilsynsmyndigheter og registrerte.

Videre vil Databehandleren, i den utstrekning det er praktisk mulig og lovlig, varsle Behandlingsansvarlig om;

  1. i) innsynsbegjæringer fra registrerte,
  2. ii) innsynsbegjæringer fra offentlige myndigheter

4.10. Databehandleren vil kun besvare forespørsler fra registrerte i den grad Behandlingsansvarlig har gitt tillatelse til det. Databehandleren vil kun varsle Behandlingsansvarlig om innsynsbegjæringer fra offentlige myndigheter i den grad slikt varsel er lovlig, samt kun utlevere informasjon til offentlige myndigheter dersom rettslig pålegg foreligger.

4.11 Databehandleren har ikke eierskap til eller kontroll med hvorvidt og hvordan Behandlingsansvarlig velger å benytte seg av eventuelle tredjeparts integrasjoner via Databehandlers API, via direkte databasekobling eller lignende. Ansvaret for slike integrasjoner med tredjepart påhviler utelukkende Behandlingsansvarlig.

4.12. Databehandler kan behandle personopplysninger om brukere og Behandlingsansvarliges bruk av Tjenesten for å innhente tilbakemeldinger og forbedre tjenesten. Behandlingsansvarlig gir Databehandler rett til å bruke og analysere aggregert aktivitetsdata knyttet til bruken av Tjenesten for formål som optimalisering og forbedring av hvordan Databehandler leverer sine tjenester, samt for å muliggjøre utvikling av nye funksjoner og funksjonalitet knyttet til tjenestene. SmartDok skal anses som Behandlingsansvarlig for denne behandlingen, og behandlingen er derfor ikke underlagt denne DBA.

4.13. Ved å bruke tjenesten vil Behandlingsansvarlig laste opp data i tjenesten (“Kundedata”). Behandlingsansvarlig er kjent med og motsetter seg ikke at Databehandler kan bruke Kundedata i et aggregert og anonymisert format for å forbedre tjenestene som leveres til kunder, research, opplæring og/eller statistiske formål.

5. Behandlingsansvarliges rettigheter og plikter

5.1 Ved å signere DBA bekrefter Behandlingsansvarlig at:

  • Behandlingsansvarlig har rett til å behandle personopplysninger og til å gi Databehandleren og dens underdatabehandlere adgang til å behandle personopplysninger.
  • Behandlingsansvarlig er ansvarlig for at personopplysningene som overlates til Databehandleren er lovlig innsamlet, korrekte og tilstrekkelige. 
  • Behandlingsansvarlig er ansvarlig for å gi relevant informasjon til registrerte eller myndigheter vedrørende behandlingen av personopplysninger. 
  • Særlige kategorier av personopplysninger vil bare bli behandlet som en del av Avtalevilkår der dette er uttrykkelig avtalt i Vedlegg A til DBA.

6. Bruk av underdatabehandlere og overføring av personopplysninger

6.1 Som en del av leveransen under Avtalevilkår vil Databehandleren bruke underdatabehandlere og Behandlingsansvarlig gir sitt generelle samtykke til dette.

Slike underdatabehandlere kan være andre selskaper i Visma-konsernet eller eksterne tredjeparter. Databehandleren har plikt til å påse at underdatabehandlere påtar seg tilsvarende forpliktelser som de som følger av denne DBA.

6.2 Oversikt over underdatabehandlere fremgår på Visma Trust Center med besøksadresse: https://www.visma.com/trust-centre/transparency/. Databehandleren kan engasjere andre selskaper i Visma-konsernet lokalisert innenfor EU/EØS som underdatabehandler uten at Visma-selskapet listes på Visma Trust Center og uten å varsle Behandlingsansvarlig om dette i forkant. Dette gjelder som regel til formål som utvikling, support, drift etc. Behandlingsansvarlig kan ta kontakt med Databehandler for mer detaljert informasjon om underdatabehandlere.

6.3 Dersom underdatabehandleren er lokalisert utenfor EU/EØS gir Behandlingsansvarlig fullmakt til Databehandleren til å sikre lovlig overføringsgrunnlag for overføringen av personopplysninger ut av EU/EØS på vegne av Behandlingsansvarlig, herunder ved å gjøre bruk av EU standard kontraktsbestemmelser (SCC).

6.4 Behandlingsansvarlig vil bli varslet før Databehandleren endrer underdatabehandler. Dersom Behandlingsansvarlig kommer med innsigelser mot en underdatabehandler innen 30 dager etter å ha blitt varslet, skal partene tilgjengeliggjøre og gjennomgå informasjon og dokumentasjon om underdatabehandleren som påviser dens etterlevelse av personvernlovgivningen. Dersom Behandlingsansvarlig fremdeles motsetter seg underdatabehandleren og har rimelig grunn til dette, vil ikke Behandlingsansvarlig kunne reservere seg mot bruk av underdatabehandleren (grunnet at tjenesten som leveres er et nettbasert standard software produkt). I slike tilfeller vil Behandlingsansvarlig ha mulighet til å si opp den delen av Avtalevilkår der den nye underleverandøren er tenkt brukt.

7. Sikkerhet

7.1 Databehandler skal sørge for et høyt sikkerhetsnivå i sine produkter og tjenester. Dette skal skje ved organisatoriske, tekniske og fysiske sikkerhetstiltak, i henhold til kravene til informasjonssikkerhet som fremgår av GDPR artikkel 32. 

7.2. Avtalevilkår angir tiltakene eller andre datasikkerhetsprosedyrer som Databehandleren implementerer i behandlingen av personopplysningene. Behandlingsansvarlig skal være ansvarlig for hensiktsmessig og tilstrekkelig sikkerhet for utstyret og IT-miljøet som er under den Behandlingsansvarliges ansvar. 

8. Rett til revisjon

8.1 Behandlingsansvarlig kan revidere Databehandler sin etterlevelse av denne  DBA  inntil en gang i året. Hvis lovgivning som Behandlingsansvarlig er underlagt krever det, kan Behandlingsansvarlig kreve flere revisjoner. For å be om revisjon må Behandlingsansvarlig sende en detaljert revisjonsplan minimum 4 uker i forkant av ønsket revisjonsdato, med oversikt over forslagets omfang, varighet og oppstart.  Hvis tredjeparter skal gjennomføre revisjonen, skal dette som hovedregel avtales mellom Partene. Hvis behandling av personopplysninger skjer i et “multitenant” miljø eller lignende, aksepterer Behandlingsansvarlig likevel at revisjonen gjennomføres av en tredjepart utpekt av Databehandler. 

8.2 Hvis revisjonens omfang er behandlet i ISAE, ISO eller lignende rapport av kvalifisert tredjepart i løpet av de siste 12 månedene, og Databehandler bekrefter at det ikke finnes kjente endringer fra dette, skal Behandlingsansvarlig akseptere disse rapportene i stedet for å forespørre ny revisjon.      

8.3 I alle tilfeller skal revisjon utføres i samråd med virksomhetens ordinære åpningstider, i henhold til virksomhetens retningslinjer og ikke forstyrre den ordinære virksomheten.

8.4 Behandlingsansvarlig er ansvarlig for kostnader forårsaket av sin revisjon. Dersom Behandlingsansvarlige ber om mer assistanse enn den som tilbys av Databehandleren for å oppfylle gjeldende personvernlovgivning, kan Databehandleren kreve betaling for denne tilleggstjenesten.

9. Varighet

9.1 DBA gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig i henhold til Avtalevilkår.

9.2 DBA opphører i forbindelse med avslutning av Avtalevilkår. Ved opphør av DBA, skal Databehandler slette eller returnere personopplysninger som er behandlet på vegne av Behandlingsansvarlig i tråd med Avtalevilkår. En slik sletting vil skje så snart det er praktisk mulig, med mindre EU lovgivning eller annen lokal lovgivning krever lengre lagringstid. Med mindre annet er avtalt mellom Partene, skal arbeidet forbundet med dette kompenseres basert på; i) kompleksiteten ved forespørselen og ii) betaling for medgått tid. 

10. Endringer og ugyldighet

10.1 SmartDok forbeholder seg retten til å oppdatere og endre DBA etter eget skjønn. Den gjeldende og tidligere versjoner av DBA er tilgjengelige på SmartDoks nettside (https://smartdok.no/blogg/databehandleravtale/). Behandlingsansvarlig vil alltid bli varslet om eventuelle vesentlige endringer minst 30 dager før de trer i kraft.

11. Mislighold

11.1 Begge parter har et individuelt ansvar etter gjeldende personvernlovgivning i forhold til de personopplysningene de behandler og skal holdes selvstendig ansvarlig for å betale alle bøter og erstatning direkte til registrerte som ilegges den respektive part av myndigheter eller domstoler i henhold til personvernlovgivningen. Ansvaret mellom partene reguleres av Avtalevilkår.

Vedlegg A – Kategorier av registrerte, Kategorier av personopplysninger, Formål, Behandlingens art, Varighet

A.1 Kategorier av registrerte

  • kundens sluttbruker
  • ansatt hos kunde
  • kontaktpersoner av kunde

A.2 Kategorier av personopplysninger

  • kontaktinformasjon som navn, telefon, adresse, e-postadresse mv.
  • jobbrelatert informasjon som tittel, arbeidsgiver, utdannelse etc.
  • økonomisk informasjon som lønn, arbeidede timer etc.
  • I noen moduler behandles lokasjon

A.3 Særlige kategorier av personopplysninger (sensitive personopplysninger)

Databehandleren behandler ingen særlige kategorier av personopplysninger (sensitive personopplysninger) for å levere Tjenesten.

A.4 Behandlingens formål

Formålet med Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig er:
Levering av Tjenesten i henhold til Avtalevilkår.

A.5 Behandlingens art

Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig skal i hovedsak gjelde (behandlingens art):
lagring, registrering, testing, endring/redigering, rapportering, sending.

A.6 Behandlingens varighet

Varighet for behandlingen av personopplysninger er 12 måneder etter avslutning av kontrakt i henhold til Avtalevilkår.

Mail om endring er sendt til kontaktperson 30.8.2024

Versjon 1.5 (08.01.2021)

Databehandleravtale

(SmartDok AS som databehandler)

Denne DATABEHANDLERAVTALEN (heretter DBA) regulerer vilkår og betingelser for

behandling av personopplysninger hos SmartDok AS. I henhold til denne DBA er Kunden behandlingsansvarlig og SmartDok AS (heretter SmartDok) databehandler. Denne DBA erstatter eventuelle tidligere avtaler som gjelder personvern og som regulerer SmartDoks behandling av personopplysninger på Kundens vegne. 

 

Innledende bemerkninger

Partene anerkjenner at gjeldende personvernlovgivning stiller krav til at det foreligger en

DBA mellom Kunden og SmartDok ved behandlingen av personopplysninger.

Partene har vedtatt å inngå denne DBA for å regulere behandling av personopplysninger slik det kreves av gjeldende personvernlovgivning.

Partene er enige om følgende:

  1. Definisjoner og fortolkninger

1.1. Begrepene i denne DBA skal ha følgende betydning:

Gjeldende personvernlovgivning

EUs personverndirektiv 95/46 / EC, eller annen fremtidig EU-lovgivning, nasjonale eller internasjonalt bindende personvernlover eller forskrifter som er gjeldende i løpet av denne DBAs gyldighetstid, og som regulerer Kunden eller SmartDok. «Gjeldende personvernlovgivning» inkluderer bindende veiledning, avgjørelser eller vedtak fra reguleringsorganer, domstoler eller andre relevante organer, i tillegg til den kommende Europeiske Unions Personvernforordning (heretter kalt GDPR) når den trer i kraft den 25. mai 2018.

Behandlingsansvarlig 

Den parten som alene eller i felleskap med andre bestemmer formålet og virkemidlene for behandling av personopplysninger. 

Registrerte 

En identifisert eller identifiserbar fysisk person.

Personopplysninger 

Enhver opplysning om en identifisert eller identifiserbar fysisk person. En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Sikkerhetsbrudd 

Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Behandling 

Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, som f.eks. Innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

Databehandler 

Selskapet som er part i denne avtalen og som behandler personopplysninger på vegne av Kunden. 

Underleverandør 

En tredjeparts underleverandør som er tilsatt av SmartDok for å bistå i behandlingen av personopplysninger på vegne av Kunden.

  1. Behandling av personopplysninger

2.1. SmartDok garanterer at man i tråd med denne DBA har implementert, og vil fortsette å implementere egnede tekniske og organisatoriske tiltak så lenge denne DBA er gjeldende. Tiltakene skal sikre at behandlingen av personopplysninger i henhold til denne DBA oppfyller kravene til gjeldende personvernlovgivning og sikrer den registrertes rettigheter.

2.2. SmartDok forplikter seg til å kun behandle personopplysninger i tråd med dokumenterte instrukser fra Kunden, med mindre annet kreves i henhold til gjeldende personvernlovgivning. SmartDok skal til enhver tid kunne dokumentere konkrete instrukser fra Kunden. Kunden garanterer at vedkommende har rett til å behandle personopplysningene i tråd med gjeldende personopplysningslov før disse blir oversendt til SmartDok.

Kunden bekrefter herved at den er ansvarlig for å bestemme formålene og virkemidlene for SmartDoks behandling av personopplysninger. Kundens opprinnelige instrukser til SmartDok knyttet til behandlingens omfang, varighet, art og hensikt, samt kategorier av registrerte, fremgår av denne DBA og i Vedlegg 1.

2.3. SmartDok skal overholde gjeldende personvernlovgivning og gjeldende anbefalinger fra tilsynsmyndighetene eller andre kompetente myndigheter.

SmartDok skal også godta endringer i denne DBA som kreves under gjeldende personvernlovgivning.

2.4. SmartDok skal bistå Kunden med å oppfylle sine juridiske forpliktelser i henhold til gjeldende personvernlovgivning. Herunder, men ikke begrenset til,

Kundens forpliktelser til å svare på forespørsler om utøvelse av den registrertes rett til å be om innsyn, korrigering, begrensning av behandlingen, sletting, samt retten til å få oversendt kopi av de personopplysninger som behandles. SmartDok skal kun behandle personopplysningene etter dokumenterte instruksjoner fra behandlingsansvarlig og svarer ikke på direkte forespørsler fra registrerte.

2.5. SmartDok skal umiddelbart informere Kunden dersom SmartDok mangler instruksjoner på hvordan personopplysningene skal behandles i en bestemt situasjon, eller hvis noen instruksjoner som er gitt i henhold til denne DBA eller på annen måte er i strid med gjeldende personvernlovgivning.

2.6. Dersom registrerte, kompetente myndigheter eller andre tredjeparter ber om informasjon fra SmartDok vedrørende behandlingen av personopplysninger som omfattes av denne DBA, skal SmartDok henvise forespørselen til Kunden. SmartDok kan ikke på noen måte handle på vegne av eller som en representant for Kunden.

2.7. SmartDok skal ikke, uten forutgående instruksjoner fra Kunden, overføre eller på annen måte utlevere personopplysninger eller annen informasjon knyttet til behandlingen av personopplysninger til en tredjepart. I det tilfellet at SmartDok i henhold til gjeldende personvernlovgivning er pålagt å utlevere personopplysninger som SmartDok behandler på vegne av Kunden, må SmartDok umiddelbart informere Kunden om dette, samt be om konfidensialitet i forbindelse med utleveringen av anmodet informasjon.

2.8. SmartDok forplikter seg til å gi Kunden all informasjon og nødvendig assistanse for å demonstrere at forpliktelsene i denne DBA er overholdt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner på stedet av Kunden eller annen inspektør med fullmakt fra Kunden.

  1. Underleverandører

3.1. Kunden godtar at SmartDok kan engasjere tredjeparts underleverandører som er oppført på https://www.visma.com/trust-centre/transparency/?usp=sharing i forbindelse med levering av tjenestene i henhold til denne DBA, og kan oppdatere listen over underleverandører dersom SmartDok finner det hensiktsmessig, under forutsetning av at:

3.1.1. SmartDok på forhånd informerer Kunden om eventuelle endringer av underleverandører, og

3.1.2. Kunden har en mulighet til å motsette seg endring av underleverandør, på bakgrunn av legitime personvernhensyn, for eksempel at underleverandøren ikke er i stand til å oppfylle lovpålagte personvernkrav.

3.2. Dersom Kunden motsetter seg bruk av en spesifikk underleverandør, skal partene i god tro forhandle og enes om en rimelig løsning på hvordan videre levering av tjenesten skal gjennomføres, herunder fordeling av eventuelle kostnader mellom partene. Dersom partene ikke kommer til enighet om en løsning innen én (1) måned etter datoen Kunden ga SmartDok skriftlig varsel om at samtykke ikke gis, har SmartDok rett til å terminere ytelsen av tjenesten for de berørte delene.

3.3. SmartDok skal sørge for at eventuelle godkjente underleverandører inngår skriftlige avtaler som pålegger dem de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i denne DBA.

3.4. SmartDok er fullt ut ansvarlig overfor Kunden hva gjelder utførelsen av underleverandørenes forpliktelser.

3.5. Kunden kan kreve at SmartDok reviderer underleverandører eller bekrefter at en slik revisjon er gjennomført. Eventuelt kan SmartDok hvis mulig, innhente eller bistå Kunden med å innhente en tredjemanns revisjonsrapport om underleverandørens drift for å sikre samsvar med gjeldende personvernlovgivning.

  1. Overføring til tredjestater

4.1. Enhver overføring av personopplysninger til en stat som ikke er medlem i enten EU eller EFTA krever samtykke fra Kunden og skal kun skje dersom vilkårene for overføring til tredjestater eller internasjonale organisasjoner etter gjeldende personvernlovgivning, herunder kapittel V i GDPR, er oppfylt.

  1. Informasjonssikkerhet og konfidensialitet

5.1. For å bistå Kunden med å oppfylle sine juridiske forpliktelser som inkluderer, men ikke begrenser seg til, sikkerhetstiltak og konsekvensutredninger, er SmartDok forpliktet til å treffe hensiktsmessige tekniske og organisatoriske tiltak for å beskytte de personopplysningene som behandles, og skal derfor følge Kundens eventuelle skriftlige krav eller retningslinjer knyttet til informasjonssikkerheten.

5.2. SmartDok skal opprettholde et tilstrekkelig sikkerhetsnivå for behandlingen av personopplysningene som er passende i forhold til behandlingsrisikoen.

SmartDok skal beskytte personopplysningene fra ødeleggelse, endring, ikke-autorisert utlevering, eller ikke-autorisert tilgang. SmartDok skal (med hensyn til teknisk utvikling, gjennomføringskostnader, sammenheng/formål med behandling, samt den varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter) gjennomføre egnede tekniske og organisatoriske tiltak.

5.3. SmartDok skal føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av Kunden. SmartDok skal utarbeide og oppdatere en beskrivelse av sine tekniske, organisatoriske og fysiske tiltak for å opprettholde og være i overensstemmelse med gjeldende personvernlovgivning.

5.4. SmartDok forplikter seg til å ikke, uten Kundens skriftlige forhåndsgodkjenning, utlevere eller på annen måte gjøre personopplysninger behandlet under denne DBA tilgjengelig for tredjeparter, med unntak av de underleverandører som er engasjert i samsvar med denne DBA.

5.5. SmartDok skal være forpliktet til å sikre at kun personer som direkte trenger tilgang til personopplysninger for å oppfylle SmartDoks forpliktelser har tilgang til slik informasjon. SmartDok skal sørge for at alle personene som er involvert i behandlingen av personopplysningene har forpliktet seg til konfidensialitet eller er underlagt lovbestemt taushetsplikt.

Taushetsplikten som er fastsatt i punkt 5.4 og 5.5 skal gjelde utover utløpet eller opphøret av denne DBA.

  1. Sikkerhetsbrudd

6.1. Ved Sikkerhetsbrudd hos SmartDok som involverer personopplysninger som behandles på vegne av Kunden, skal SmartDok, sett i lys av typen behandling og den informasjonen som er tilgjengelig for SmartDok, bistå Kunden med å sikre overholdelse av Kundens forpliktelser i henhold til GDPR artikkel 33. 41

6.1.1. beskrive typen brudd på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt.

6.1.2. inneholde navnet på og kontaktopplysningene til vedkommende som kan kontaktes for mer informasjon.

6.1.3. beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten.

6.1.4. beskrive de tiltak som er tatt eller foreslås tatt av Kunden for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

  1. Periode og varighet

Bestemmelsene i denne DBA skal gjelde så lenge SmartDok behandler personopplysninger på vegne av Kunden.

  1. Konsekvenser ved terminering eller utløp av DBA

8.1. Ved terminering eller utløp av denne DBA skal SmartDoks behandlingsaktiviteter opphøre. SmartDok skal, i tråd med Kundens ønske, slette alle Kundens personopplysninger, samt slette eksisterende kopier, med mindre gjeldende personvernlovgivning krever lagring av personvernopplysningene. SmartDok skal sørge for at alle underleverandører gjør det samme.

8.2. På forespørsel fra Kunden skal SmartDok gi melding om de tiltakene som er gjennomført med hensyn til ferdigstillelsen av behandlingen.

  1. Ansvarsbegrensning

9.1. Med mindre annet er bestemt, skal partene være ansvarlige etter alminnelige bestemmelser som følger av gjeldende rett i henhold til DBA punkt 8. Partene vil imidlertid ikke bli ansvarlige for driftstap, tap av gevinst, tap av omdømme og eventuelle andre indirekte tap og følgeskader. Tap av data skal betraktes som et indirekte tap. Vilkår for erstatningsansvar er nærmere beskrevet i “Avtalevilkår”, punkt 8.1.

  1. Diverse

10.1. Ingen forsinket eller manglende håndhevelse av bestemmelsene i denne DBA innebærer en frafallelse av partenes rett til å håndheve den aktuelle eller de øvrige bestemmelsene. Det samme gjelder ved en enkel eller delvis håndhevelse av slike rettigheter. For å ha virkning må enhver frafallelse være skriftlig, signert av den parten som frafaller sin rettighet.

10.2. Dersom en kompetent domstol anser noen av denne DBAs bestemmelser for å være ugyldig, ulovlig eller ikke rettslig bindende, vil de gjenværende bestemmelsene i denne DBA fortsatt inneha sin fulle virkning og kraft, og skal tolkes slik at de på best mulig måte bidrar til å gjennomføre partenes intensjon.

10.3. Uten at andre rettigheter etter denne avtalen tar skade, skal eventuelle forpliktelser som enten uttrykkelig eller av deres art fortsetter etter terminering/utløp av denne DBA, ha fortsatt virkning og forbli gjeldende.

10.4. Denne DBA kan bli inngått mellom en eller flere parter, hvorav alle partene har hver sin original som tilsammen utgjør et felles avtaleverk. Partene erkjenner “Lest og akseptert” funksjonen i SmartDok, e-signatur eller skannet signatur som tilstrekkelig for å binde den annen part.

  1. Konfliktløsning

11.1. Denne DBA er underlagt norsk rett. Partene er enige om at Oslo Tingrett skal ha enerett og eksklusiv jurisdiksjon, samt være vernetinget for enhver sak som oppstår som følge av denne DBA. Partene underlegger seg selv og ens eiendom til vernetinget og jurisdiksjonen til domsmyndigheten. Hver part frafaller med ugjenkallelig virkning enhver innvending som de nå eller senere har knyttet til å fremme rettslige skritt overfor dette vernetinget, herunder behandling av ethvert krav hvor rettslige skritt har blitt brakt inn for feil og upassende forum.

Bjørn Tore Hagberg
CEO, SmartDok AS

 

Vedlegg 1

Databehandlingsinstruksjoner

Formål

Formålet med behandlingen er levering av følgende tjenester eller oppgaver fra SmartDok til Kunden:

  • Ytelse av applikasjon/produkt/tjeneste til Kunde.
  • Vedlikehold og utvikling av applikasjon/produkt/tjeneste
  • Teknisk support, herunder feilsøking og feilretting
  • Helpdesk
  • Systemintegrasjon

Kategorier av data

Personopplysningene som behandles kan omfatter følgende:

  • Navn, fødselsdato, personnummer, mobilnummer, e-post,

brukernavn/passord.

  • Opplysninger om pårørende
  • Sysselsettingsdetaljer, inkludert ansattnummer,

arbeidsgivers navn, fravær, andre fordeler, jobb ytelse,

utdanning / kvalifikasjon, bilde.

  • Elektronisk mannskapsliste i henhold til Byggherreforskriften.
  • Oversikt over SMSer som er sendt på vegne av Kunden i systemet.
  • GPS-spor ved aktivering fra brukerens side.
  • Eventuelt andre opplysninger som Kunden selv registrere i systemet.

Kategorier av registrerte

  • Ansatte
  • Eventuelt andre som Kunden selv velger å registrere i systemet, som f.eks. samarbeidspartnere av Kunden.

Behandlingsvirksomhet/aktiviteter

Nødvendig behandlingsvirksomhet for å oppfylle formålet.