Databehandleravtale

  1. Formål
    1. Denne avtalen har til formål å regulere rettigheter og plikter om behandling av personopplysninger i henhold til GDPR art. 28. Avtalen skal sikre at personopplysninger om den registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
    2. Avtalen regulerer databehandlerens bruk av personopplysninger på vegne av den behandlingsansvarlige - herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.
    3. Meddelelser etter denne avtalen skal sendes skriftlig til hallo@nordhost.no.
  2. Definisjoner
    1. Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.
    2. Databehandler: Den som behandler Personopplysninger på vegne av den Behandlingsansvarlige.
    3. Personopplysninger: Opplysninger og vurderinger som kan knyttes til en enkeltperson.
    4. Behandling av personopplysninger: Enhver bruk av Personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.
  3. Opplysninger som behandles
    1. Databehandleren leverer og drifter tjenester som webhotell, domenenavn, CloudVPS (virtuell server), co-location (server hosting), serverleie samt konsulent og rådgiver-tjenester. For de tjenestene det utføres drift av, vil leverandøren være databehandler på vegne av behandlingsansvarlig.
    2. Som databehandler har NordkappNett AS tillatelse fra behandlingsansvarlig om å behandle følgende data i henhold til den inngåtte tjenesteavtalen, personvernpolitikk og denne avtalen:
      • Fullt navn
      • Personnummer
      • (Firmanavn og organisasjonsnummer)
      • Adresse
      • Telefonnummer
      • E-post
      • IP-adresse
      • Relevante logger
      • Informasjonskapsler (Cookies)
  4. Behandlingsansvarliges rettigheter og plikter
  5. Kunden i egenskap av behandlingsansvarlig følgende ansvar:

    1. Angi hvilken kategori av personopplysninger, samt hvilken informasjon som kan behandles og sette formålet med behandling av den gitte informasjonen.
    2. Påse at personopplysninger behandles i henhold til gjeldende lovverk.
    3. Ved overføring av data til tjenesten gi databehandleren tillatelse til å behandle disse data.
    4. Utføre sikringstiltak, og backup av den lagrede informasjon.
  6. Databehandlerens rettigheter og plikter
  7. Leverandøren i egenskap av databehandler har følgende ansvar:

    1. Databehandler skal kun behandle data etter gitte instrukser fra behandlingsansvarlig.
    2. Databehandler er ansvarlig for å dokumentere hvor informasjon lagres.
    3. Alle ansatte skal være kjent med avtalen, samt ha signert taushetserklæring.
    4. Databehandler skal ha på plass de nødvendige tekniske og organisatoriske sikkerhetstiltak for å sikre tilstrekkelig sikkerhet for dine data, herunder beskyttelse mot uautorisert eller ulovlig behandling og utilsiktet tap, ødeleggelse eller skade.
    5. Behandlingsansvarlig skal til enhver tid kunne få tilgang til opplysninger som er lagret.
    6. Databehandler er behjelpelig med å slette/rotere bort opplysninger som ikke lengre skal lagres. Begrenset til våre tjeneste-logger og backuper. Behandlingsansvarlig er selv ansvarlig for filer/database på eget område.
    7. Ved sikkerhetsbrudd skal berørte parter varsles av databehandler innen 24 timer. Det skal opprettes et avvik på hendelsen, som lukkes kun ved dokumentere tiltak.
    8. Dersom databehandler behandler personopplysninger til andre formål, eller med andre virkemidler enn avtalt, blir databehandler å regne som behandlingsansvarlige med de plikter og ansvar det medfører, jf. GDPR art. 82,83, og 84.
    9. På forespørsel være behjelpelig ved revisjoner og/eller inspeksjoner for å etterleve de krav som stilles i denne avtalen og av GDPR.
  8. Sikkerhet, anbefalinger og revisjon
    1. Leverandøren behandler all data, inkludert personinformasjon, i henhold til interne sikkerhetsrutiner og prosesser. Dette inkluderer blant annet
      • Fysisk tilgangskontroll til utstyr plassert i datasentre
      • Jevnlig backup til dedikerte backup-servere
      • Jevnlige sikkerhetsoppdateringer
      • Kryptering av kommunikasjon og data
      • Logging
    2. For kunder som benytter seg av tjenester på delte servere, er det anbefalt å ikke lagre sensitiv personinformasjon. Det hviler også et ansvar på kunden for å ivareta sikkerheten for filer og data som er lastet opp, samt valg av gode passord, multifaktorautentisering der det er mulig, og oppdateringer av websiden.
    3. Krypterte protokoller for all kommunikasjon med tjenestene er tilgjengelig, og disse bør brukes så langt det lar seg gjøre.
  9. Varighet og opphør av avtalen
    1. Denne avtalen har samme varighet, oppsigelsestid og opphør som tjenesten NordkappNett AS leverer. Når avtalen utløper vil tjenesten bli slettet fra systemet og informasjon roteres ut av backup maksimalt 3 måneder etter endt avtale.
    2. Dersom en av partene ikke overholder sine plikter i henhold til denne avtalen kan avtalen sies opp med umiddelbar virkning.
  10. Verneting
    1. Denne avtalen er underlagt norsk rett, og Oslo Tingrett utnevnes som verneting. Dette gjelder også etter avtalens utløp.
  11. Underleverandører
    1. Databehandler benytter underleverandører for å gjennomføre levering av tjenestene. Denne listen inneholder de underleverandører som databehandler har inngått databehandleravtaler med.
Leverandør Sted/land/område Kategori
Nexthop AS Norge Rack/hosting
Nexthop AS Norge Linjer/uplink
Weservit BV Nederland DNS-tjeneste
Contabo GmbH Germany Hosting
Microsoft EU/EØS E-post/skytjenester
Pax8 UK, Ltd. Storbritannia Skytjenester
N-able Technologies Ltd. Storbritannia E-postfiltrering
Norid AS Norge Domenenavn
Domeneshop AS Norge Domenenavn
Enom Inc. USA Domenenavn/SSL sertifikater
AS Domain Registry American Samoa Domenenavn
GeoTrust Inc. USA SSL sertifikater
Stensby Regnskap AS Norge Regnskap
Tawk.to Inc. USA Chat programvare
WHMCS Ltd. England CRM/ordre/faktura-system
Teletopia Interactive AS Norge SMS-tjenester
BN Bank ASA Norge Bankforbindelse
Stripe USA Betalingsløsning
QuickPay ApS Danmark Betalingsløsning
Vipps AS Norge Betalingsløsning
INBS.Software Konrad Keck Polen Utvikling
Tobias Lins - Splitbee.io Østeriket GDPR kompatibel analyseringstjenester
Google Ireland Limited EU/EØS Lagringsløsning
TrustPilot, Inc. USA Tilbakemelding og analyse
Facebook Ireland Ltd. EU/EØS Markedsføring og analyse

06.02.2024, Nordhost, NordkappNett AS