Tillegg til

ordrebehandling Disse retningslinjene for ordrebehandling utgjør et tillegg til de generelle vilkårene til Jungherz GmbH som operatør av merkevaren AppConfector (heretter kalt «leverandøren»). Som en integrert del av disse godtar du som kunde (heretter kalt «kunden») automatisk dette tillegget i forbindelse med et forretningsforhold. I tilfelle motstrid mellom disse bestemmelsene og de generelle vilkårene, har disse bestemmelsene forrang for ordrebehandling.

Oppdragstaker og Kunden benyttes heretter under den felles betegnelsen «Partene».

Partene er enige om at samtidig som denne avtalen om databehandling på oppdrag trer i kraft, skal den eksisterende avtalen om databehandling på oppdrag mellom partene i henhold til § 11 i den tyske føderale personvernloven og eventuelle andre avtaler om databehandling på oppdrag opphøre ved gjensidig samtykke og erstattes av denne nye avtalen om databehandling på oppdrag.

1. Generelt

(1) Behandleren behandler personopplysninger på vegne av Kunden i henhold til artikkel 4 nr. 8 og artikkel 28 i forordning (EU) 2016/679 – personvernforordningen (GDPR). Denne avtalen regulerer partenes rettigheter og forpliktelser i forbindelse med behandling av personopplysninger.

(2) I den grad begrepet «databehandling» eller «behandling» (av data) brukes i denne avtalen, gjelder definisjonen av «behandling» i henhold til art. 4 nr. 2 i GDPR.

(3) Alle henvisninger i denne avtalen til DSGVO (forordning (EU) 2016/679 fra Europaparlamentet og Rådet av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger og om oppheving av direktiv 95/46/EF (personvernforordningen)) gjelder for DSGVO i sin gjeldende versjon.

2. Oppdragets gjenstand

Gjenstanden for behandlingen, arten og formålet med behandlingen, arten av personopplysningene og kategoriene av registrerte er fastsatt i vedlegg 1 til denne avtalen.

3. Kundens rettigheter og plikter

(1) Kunden er den ansvarlige i henhold til art. 4 nr. 7 i GDPR for behandlingen av data på vegne av databehandlere. I samsvar med art. 4 (5) i denne avtalen har sistnevnte rett til å informere kunden dersom databehandling som etter hans mening er juridisk uakseptabel, er gjenstand for oppdraget og/eller en instruksjon.

(2) Kunden er ansvarlig for å beskytte de berørte personenes rettigheter. Behandleren skal uten opphold informere kunden dersom de registrerte gjør gjeldende sine rettigheter overfor behandleren.

(3) Kunden har til enhver tid rett til å gi behandleren tilleggsinstrukser angående type, omfang og fremgangsmåte for databehandlingen. Instrukser kan gis i tekstform (f.eks. e-post).

(4) Bestemmelser om eventuell godtgjørelse for ekstrautgifter som databehandleren pådrar seg som følge av tilleggsinstrukser gitt av kunden, forblir uberørt

. 5. Oppdragsgiveren skal uten opphold informere databehandleren dersom den oppdager feil eller uregelmessigheter i forbindelse med databehandlerens behandling av personopplysninger.

(6) Dersom det foreligger en plikt til å informere tredjeparter i henhold til art. 33, 34 i GDPR eller en annen lovbestemt meldeplikt som gjelder for kunden, er kunden ansvarlig for å overholde denne plikten.

4. Behandlerens generelle forpliktelser

(1) Behandleren behandler personopplysninger utelukkende innenfor rammen av inngåtte avtaler og/eller i samsvar med eventuelle tilleggsinstrukser gitt av oppdragsgiveren. Unntatt fra dette er lovbestemmelser som kan forplikte behandleren til å behandle opplysningene på en annen måte. I et slikt tilfelle skal behandleren underrette oppdragsgiveren om disse lovkravene før behandlingen, med mindre den aktuelle loven forbyr slik underretning av hensyn til et viktig offentlig interesse. Formålet, arten og omfanget av databehandlingen skal ellers utelukkende reguleres av denne avtalen og/eller oppdragsgiverens instrukser. Enhver databehandling som avviker fra dette er forbudt for databehandleren,

med mindre

databehandleren har gitt sitt skriftlige samtykke.

(2) Databehandleren forplikter seg til å utføre databehandlingen på vegne av kunden utelukkende innenfor Det europeiske økonomiske samarbeidsområdet, med mindre annet er teknisk nødvendig.

(3) Når det gjelder behandling av personopplysninger i henhold til oppdraget, garanterer databehandleren den kontraktsmessige gjennomføringen av alle avtalte tiltak.

(4) Databehandleren er forpliktet til å utforme sin virksomhet og sine driftsprosedyrer på en slik måte at opplysningene som databehandleren behandler på vegne av kunden, sikres i den grad det er nødvendig i hvert enkelt tilfelle og beskyttes mot uautorisert tilgang fra tredjeparter. Behandleren skal på forhånd avtale endringer i organiseringen av databehandlingen på vegne av kunden, som er av betydning for datasikkerheten, med kunden

. (5) Behandleren skal uten opphold informere kunden dersom han mener at en instruks fra kunden strider mot lovbestemmelser. Behandleren har rett til å utsette gjennomføringen av den aktuelle instruksjonen inntil den er bekreftet eller endret av oppdragsgiveren. Dersom behandleren kan påvise at behandling i samsvar med kundens instruksjoner kan føre til ansvar for behandleren i henhold til art. 82 i GDPR, har behandleren rett til å utsette videre behandling i denne forbindelse inntil ansvaret mellom partene er avklart.

(6) Behandling av data

på vegne av

kunden utenfor databehandlerens eller underleverandørens forretningslokaler er kun tillatt med kundens samtykke i skriftlig eller tekstform. Behandling av data for kunden i private hjem er kun tillatt med kundens samtykke i skriftlig eller tekstform i enkelttilfeller.

(7) Databehandleren skal behandle dataene som den behandler på vegne av kunden separat fra andre data. En fysisk adskillelse er ikke obligatorisk.

5. Databeskyttelsesansvarlig hos databehandleren

(1) Databehandleren bekrefter at han har utnevnt en databeskyttelsesansvarlig i samsvar med art. 37 i GDPR. Databehandleren skal sikre at den databeskyttelsesansvarlige har de nødvendige kvalifikasjoner og ekspertise. Databehandleren skal informere kunden separat i tekstform om navnet og kontaktopplysningene til sin databeskyttelsesansvarlige.

(2) Plikten til å utpeke en personvernansvarlig i henhold til punkt 1 kan fravikes etter oppdragsgiverens skjønn dersom databehandleren kan bevise at den ikke er lovpålagt å utpeke en personvernansvarlig, og databehandleren kan bevise at det foreligger driftsmessige ordninger som sikrer at personopplysninger behandles i samsvar med lovbestemmelsene, bestemmelsene i denne avtalen og eventuelle ytterligere instrukser fra oppdragsgiveren.

6. Databehandlerens rapporteringsplikt

(1) Behandleren er forpliktet til uten opphold å underrette kunden om ethvert brudd på personvernbestemmelser eller på de inngåtte avtalevilkårene og/eller instruksene gitt av kunden som har funnet sted i løpet av behandlingen av data utført av ham eller av andre personer involvert i behandlingen. Det samme gjelder ethvert brudd på beskyttelsen av personopplysninger som behandles av behandleren på vegne av kunden.

(2) Videre skal databehandleren uten opphold informere kunden dersom en tilsynsmyndighet i henhold til art. 58 i GDPR iverksetter tiltak mot databehandleren, og dette kan også gjelde en kontroll av behandlingen som databehandleren utfører på vegne av kunden.

(3) Behandleren er klar over at kunden kan være underlagt en meldeplikt i henhold til art. 33, 34 i GDPR, som foreskriver en melding til tilsynsmyndigheten innen 72 timer etter at bruddet er oppdaget. Behandleren skal støtte kunden i gjennomføringen av meldepliktene. Behandleren skal særlig uten unødig opphold, men senest innen 48 timer etter å ha blitt kjent med slik tilgang, underrette kunden om enhver uautorisert tilgang til personopplysninger som behandles på vegne av kunden. Behandlerens underretning til kunden må særlig inneholde følgende opplysninger:

• en beskrivelse av arten av bruddet på personvernet, om mulig med angivelse av kategoriene og det omtrentlige antallet berørte personer, de berørte kategoriene og det omtrentlige antallet berørte personoppføringer;
• en beskrivelse av tiltakene som behandleren har iverksatt eller foreslått for å avhjelpe bruddet på personvernet og, der det er hensiktsmessig, tiltak for å redusere eventuelle negative virkninger.

7. Behandlerens samarbeidsplikt

(1) Behandleren skal støtte kunden i dennes plikt til å svare på forespørsler om utøvelse av den registrertes rettigheter i samsvar med artikkel 12–23 i GDPR. Bestemmelsene i § 11 i denne avtalen gjelder.

(2) Behandleren skal delta i utarbeidelsen av lister over behandlingsaktiviteter utført av oppdragsgiveren. Behandleren skal på en hensiktsmessig måte gi kunden den nødvendige informasjonen.

(3) Under hensyntagen til typen behandling og den informasjonen som er tilgjengelig for ham, skal behandleren bistå kunden med å oppfylle forpliktelsene fastsatt i art. 32–36 i personvernforordningen.

(4) Behandleren har rett til å kreve en rimelig kostnadsbasert godtgjørelse fra kunden for disse tjenestene.

8. Kontrollbeføyelser

(1) Kunden har rett til når som helst, i den grad det er nødvendig, å kontrollere at databehandleren overholder lovbestemmelsene om personvern og/eller at de avtalte kontraktsbestemmelsene mellom partene og/eller at databehandleren følger kundens instrukser.

Bevis for overholdelse av forpliktelsene som påhviler en databehandler i henhold til GDPR, skal primært fremlegges gjennom uavhengige testrapporter og sertifisering.

Dersom kunden, på grunnlag av faktiske bevis, har rimelig tvil om at testrapportene eller sertifiseringene er utilstrekkelige eller uriktige, eller dersom spesielle hendelser i henhold til art. 33 nr. 1 i GDPR i forbindelse med utførelsen av kundens databehandling rettferdiggjør dette, kan kunden gjennomføre inspeksjoner i samsvar med punkt 8. (2).

(2) For å sette kunden i stand til å gjennomføre en inspeksjon av oppdraget, og særlig for å kontrollere de tekniske og organisatoriske tiltakene som er iverksatt hos den oppdragsgitte databehandleren før oppstart og regelmessig under databehandlingen, skal den oppdragsgitte databehandleren tillate inspeksjon av en nøytral tredjepart (sverget revisor) utpekt av kunden. Den oppdragsgitte databehandleren har rett til å fastsette datoer for inspeksjon i henhold til driftsmessige muligheter. Inspeksjonen skal gjøres mulig innen rimelig tid etter anmodningen. Alternativt kan databehandleren også etterkomme kundens rett til inspeksjon ved å fremlegge en inspeksjonsrapport utarbeidet av en uavhengig, edsvoren revisor på vegne av databehandleren. Utøvelsen av inspeksjonsretten skal ikke forstyrre databehandlerens forretningsdrift i urimelig grad eller være misbrukende.

(3) Databehandleren har rett til å kreve rimelig godtgjørelse fra kunden for inspeksjoner i henhold til punkt 8. (2).

9. And

el av

underleverandører

(1) Behandlerens bruk av underleverandører er kun tillatt med kundens skriftlige samtykke. Behandleren skal spesifisere alle underleverandørforhold som allerede eksisterer på tidspunktet for inngåelsen av kontrakten i vedlegg 2 til denne kontrakten.

(2) Behandleren skal velge underleverandøren med omhu og kontrollere før oppdraget gis at underleverandøren er i stand til å overholde avtalene inngått mellom kunden og behandleren. Underleverandøren skal særlig på forhånd og regelmessig i løpet av avtaleperioden kontrollere at underleverandøren har truffet de tekniske og organisatoriske tiltakene som kreves i henhold til art. 32 i GDPR for beskyttelse av personopplysninger. Resultatet av kontrollen skal dokumenteres av underleverandøren og gjøres tilgjengelig for kunden på forespørsel.

(3) Behandleren er forpliktet til å innhente bekreftelse fra underleverandøren på at denne har utnevnt et personvernombud i samsvar med art. 37 i GDPR. Dersom underleverandøren ikke har utnevnt et personvernombud, skal behandleren informere kunden om dette og fremlegge dokumentasjon som viser at underleverandøren ikke er lovpålagt å utnevne et personvernombud.

(4) Behandleren skal sikre at bestemmelsene avtalt i denne kontrakten og eventuelle tilleggsinstrukser fra kunden, hvis slike foreligger, også gjelder for underleverandøren.

(5) Behandleren skal inngå en kontrakt med underleverandøren som oppfyller kravene i art. 28 i GDPR. I tillegg skal behandleren pålegge underleverandøren de samme forpliktelser for beskyttelse av personopplysninger som de som er fastsatt mellom oppdragsgiveren og behandleren.

(6) Spesielt skal den som behandler oppdraget være forpliktet til å sikre gjennom kontraktsbestemmelser at kontrollbeføyelsene (punkt 8 i denne kontrakten) til kunden og tilsynsmyndighetene også gjelder for underleverandøren, og at tilsvarende kontrollrettigheter er avtalt av kunden og tilsynsmyndighetene. Videre skal det avtales kontraktsmessig at underleverandøren skal tolerere disse kontrolltiltakene og eventuelle inspeksjoner på stedet.

(7) Underleverandørforhold i henhold til punkt 1 til 6 skal ikke anses som tjenester som databehandleren innhenter fra tredjeparter som en rent tilleggs tjeneste for å utføre virksomheten. Slike tjenester omfatter for eksempel rengjøringstjenester, rene telekommunikasjonstjenester uten noen spesifikk henvisning til tjenester som databehandleren leverer til oppdragsgiveren, post- og budtjenester, transporttjenester og sikkerhetstjenester. Behandleren er likevel forpliktet til å sikre, også i tilfelle av tilleggstjenester levert av tredjeparter, at passende forholdsregler og tekniske og organisatoriske tiltak er iverksatt for å sikre beskyttelsen av personopplysninger. Vedlikehold og service av IT-systemer eller applikasjoner utgjør et underleverandørforhold og ordrebehandling i henhold til art. 28 i GDPR, som krever godkjenning dersom vedlikeholdet og testingen gjelder slike IT-systemer som også brukes i forbindelse med levering av tjenester til oppdragsgiveren, og dersom personopplysninger som behandles på

vegne

av oppdragsgiveren kan nås under vedlikeholdet.

10. Taushetsplikt

(1) Ved behandling av data på vegne av oppdragsgiveren er databehandleren forpliktet til å behandle data som den mottar eller blir kjent med i forbindelse med oppdraget, konfidensielt.

Behandleren

forplikter seg til å overholde de samme regler for taushetsplikt som påligger oppdragsgiveren. Oppdragsgiveren er forpliktet til å informere behandleren om eventuelle spesielle regler for taushetsplikt.

(2) Behandleren forsikrer at han er kjent med gjeldende personvernbestemmelser og at han er fortrolig med anvendelsen av disse. Behandleren garanterer videre at han har gjort sine ansatte kjent med de personvernbestemmelser som gjelder for dem og har forpliktet dem til å opprettholde taushetsplikt. Oppdragstakeren garanterer videre at han spesielt har forpliktet sine ansatte som er involvert i utførelsen av arbeidet til å opprettholde taushetsplikt og har informert dem om oppdragsgiverens instrukser.

(3) Ansattes forpliktelse i henhold til punkt 2 må på forespørsel dokumenteres overfor oppdragsgiveren.

11. Beskyttelse av de berørte personers rettigheter

(1) Oppdragsgiveren er alene ansvarlig for å ivareta de berørte personers rettigheter. Behandleren er forpliktet til å støtte oppdragsgiveren i dennes forpliktelse til å behandle henvendelser fra registrerte i samsvar med art. 12–23 i GDPR. Behandleren skal særlig sikre at den informasjonen som kreves i denne forbindelse, blir gitt til oppdragsgiveren uten unødig opphold, slik at oppdragsgiveren kan oppfylle sine forpliktelser i henhold til art. 12 nr. 3 i GDPR.

(2) I den grad samarbeid med den oppdragsgitte databehandleren er nødvendig for å sikre de registrertes rettigheter – særlig til informasjon, retting, sperring eller sletting – skal den oppdragsgitte databehandleren treffe de nødvendige tiltak i samsvar med oppdragsgiverens instrukser. Dersom mulig skal databehandleren støtte oppdragsgiveren med egnede tekniske og organisatoriske tiltak for å oppfylle sin forpliktelse til å svare på forespørsler om utøvelse av de registrertes rettigheter. Behandleren har rett til å kreve rimelig godtgjørelse fra oppdragsgiveren for disse tjenestene.

(3) Dette berører ikke eventuelle bestemmelser om mulig godtgjørelse for ekstrautgifter som den oppdragsgitte behandleren pådrar seg som følge av samarbeidstjenester i forbindelse med håndhevelse av de registrertes rettigheter overfor oppdragsgiveren.

12. Taushetsplikt

(1) Begge parter forplikter seg til å behandle all informasjon mottatt i forbindelse med gjennomføringen av denne kontrakten som konfidensiell i ubegrenset tid og å bruke den utelukkende til gjennomføring av kontrakten. Ingen av partene har rett til å bruke denne informasjonen, helt eller delvis, til andre formål enn de nettopp nevnte, eller til å gjøre denne informasjonen tilgjengelig for tredjeparter.

(2) Ovennevnte forpliktelse gjelder ikke informasjon som en av partene påviselig har mottatt fra tredjeparter uten å være forpliktet til taushetsplikt, eller som er allment kjent.

13. Behandling

Behandleren skal ikke motta særskilt godtgjørelse for denne kontrakten.

14. Tekniske og organisatoriske tiltak for datasikkerhet

(1) Behandleren forplikter seg overfor kunden til å overholde de tekniske og organisatoriske tiltakene som kreves for å overholde gjeldende personvernbestemmelser. Dette omfatter særlig kravene i art. 32 i GDPR.

(2) Statusen for de tekniske og organisatoriske tiltakene som eksisterer på tidspunktet for inngåelsen av kontrakten, er vedlagt denne kontrakten som vedlegg 3. Partene er enige om at endringer i de tekniske og organisatoriske tiltakene kan være nødvendige for å tilpasse seg tekniske og juridiske forhold. Vesentlige endringer som kan påvirke integriteten, konfidensialiteten eller tilgjengeligheten av personopplysninger, skal avtales på forhånd mellom databehandleren og kunden. Tiltak som kun innebærer mindre tekniske eller organisatoriske endringer og som ikke påvirker integriteten, konfidensialiteten og tilgjengeligheten av personopplysningene negativt, kan iverksettes av databehandleren uten å konsultere kunden. Kunden kan når som helst be om en oppdatert versjon av de tekniske og

organisatoriske

tiltakene

som er iverksatt

av databehandleren.

(3) Databehandleren skal regelmessig og etter behov kontrollere effektiviteten av de tekniske og organisatoriske tiltakene som er iverksatt av ham. Dersom det er behov for optimalisering og/eller endring, skal den oppdragsgitte databehandleren informere kunden.

15. Oppdragets varighet

(1) Kontrakten trer i kraft ved oppdragets tildeling og inngås for ubestemt tid.

(2) Kontrakten opphører ved oppsigelse av hovedkontrakten (en app-pakke eller en hvilken som helst tjeneste) uten at det er behov for en separat oppsigelse.

Eventuelle slettings- og tilbakeleveringsforpliktelser etter opphør av denne avtalen reguleres av punkt 16.

(3) Oppdragsgiver kan si opp avtalen når som helst uten varsel dersom det foreligger et alvorlig brudd på personvernbestemmelsene som gjelder for databehandleren eller på forpliktelser i henhold til denne avtalen, dersom databehandleren ikke er i stand til eller ikke er villig til å utføre en instruks gitt av oppdragsgiveren, eller dersom databehandleren nekter oppdragsgiveren eller den kompetente tilsynsmyndigheten tilgang i strid med avtalen.

16. Oppsigelse

(1) Etter oppsigelse av avtalen skal den oppdragsgitte databehandleren, etter kundens valg, returnere til kunden eller slette alle dokumenter, data og opprettede behandlings- eller bruksresultater som har kommet i hans besittelse i forbindelse med avtaleforholdet. Slettingen skal dokumenteres på en passende måte. Eventuelle lovbestemte oppbevaringsforpliktelser eller andre forpliktelser til å lagre dataene forblir uberørt. Når det gjelder datamedier, må disse destrueres dersom kunden ber om sletting, og det må da oppfylles minst sikkerhetsnivå 3 i DIN 66399; kunden må fremlegge bevis for destruksjonen med henvisning til sikkerhetsnivået i henhold til DIN 66399.

(2) Kunden har rett til å kontrollere at dataene er fullstendig og i henhold til avtalen returnert og slettet hos den oppdragsutførende databehandleren. Dette kan også gjøres ved å inspisere databehandlingsutstyret hos databehandleren. Inspeksjonen på stedet skal varsles av kunden med rimelig varsel.

17. Tilbakeholdelsesrett

Partene er enige om at databehandlerens påberopelse av tilbakeholdelsesrett i henhold til § 273 BGB (tysk sivilrett) med hensyn til de behandlede dataene og de tilhørende datamediene er utelukket.

18. Avsluttende bestemmelser

(1) Dersom kundens eiendom er i fare hos databehandleren på grunn av tiltak fra tredjeparter (for eksempel beslag eller konfiskering), insolvensbehandling eller andre hendelser, skal databehandleren informere kunden om dette uten opphold. Databehandleren skal uten opphold informere kreditorene om at dataene behandles i henhold til oppdraget.

(2) Sideavtaler må inngås skriftlig.

(3) Dersom enkelte deler av denne kontrakten skulle være ugyldige, skal dette ikke påvirke gyldigheten av de gjenværende bestemmelsene i kontrakten.

Vedlegg 1 – Oppdragets gjenstand

1. Gjenstand og formål med behandlingen

Oppdraget fra kunden til databehandleren omfatter følgende arbeid og/eller tjenester: Tilveiebringelse av mobilapplikasjoner (beskrevet nærmere i den gjeldende tjenestebeskrivelsen), samt nettsider med tilsvarende innhold. Dette inkluderer innsamling, behandling og videresending av registrerte data.

2. Type(r) personopplysninger

Følgende typer data behandles regelmessig: Trafikkdata, innholdsdata, kontaktdata, personlige stamdata og kommunikasjonsdata (navn, adresse, telefonnummer, faksnummer, e-postadresse).

3. Krets av berørte personer

Kretsen av personer som berøres av databehandlingen: Brukere av din konto, deltakere som ringer og blir oppringt eller avsender/mottaker av SMS/faks, ansatte, kunder, forretningspartnere, interessenter og tjenesteleverandører til kunden.

Hvis kunden er en partner til databehandleren: Kontakt-, personopplysninger og kommunikasjonsdata (navn, adresse, telefonnummer, faksnummer, e-postadresse) til leverandører/selskaper henvist av partneren som har lagt inn bestillingen.

Kunden er forpliktet til å informere brukerne av kontoen og – om nødvendig – bedriftsrådet eller tilsvarende representanter om behandlingen av opplysningene nevnt i punkt 2.

4. Sted for databehandling:

Alle opplysninger behandles på servere innenfor Det europeiske økonomiske samarbeidsområdet.

Vedlegg 2 – Underleverandør

For behandling av data på vegne av oppdragsgiveren benytter databehandleren tjenester fra tredjeparter som behandler data på hans vegne («underleverandører»).

Databehandleren benytter ulike underleverandører for å levere sine tjenester.

Disse underleverandørene er i utgangspunktet følgende selskaper tilhørende databehandleren og utfører forarbeid for realiseringen av databehandlerens tjenester. De nødvendige avtaleforholdene er på plass mellom selskapene for behandling av disse dataene.

Dette er følgende selskaper:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlin,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Frankrike

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Berlin

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Irland

Vedlegg 3 – Tekniske og organisatoriske tiltak hos databehandleren

Databehandleren skal treffe følgende tekniske og organisatoriske tiltak for datasikkerhet i henhold til art. 32 i GDPR.

1. Konfidensialitet

Tilgangskontroll

For å forhindre uautorisert tilgang til databehandlingssystemene som brukes til å behandle eller bruke data, har databehandleren og dens underleverandører, som Netcup og Google Cloud Division, implementert omfattende formelle tilgangskontrollprosesser.

Lokalene som benyttes inneholder serverrom og et rom for serverteknologi. For å få tilgang utstedes elektroniske nøkler til utvalgte ansatte hos underleverandøren. Nøklene gir kun den respektive underleverandørens ansatte rett til å åpne/lukke enkelte dører som er godkjent for dette formålet. Alle åpnings- og lukkingsoperasjoner med en nøkkel loggføres elektronisk sammen med nøkkelens unike ID. Kun ansatte hos underleverandøren som er direkte autorisert av ledelsen, er ansvarlige for administrasjonen av nøklene.

Serverrommet er låst til enhver tid og kan kun betres av utvalgte ansatte hos underleverandøren.

Innenfor bygningen på det respektive stedet er tilgangsrettighetene til underleverandørens ansatte – selv de som har nøkkel – begrenset til det omfanget som er nødvendig for den spesifikke oppgaven som skal utføres.

I åpningstiden gjennomføres en kontroll av personer som kommer inn i bygningen ved den permanent bemannede resepsjonen. Utenfor åpningstiden er alle innganger til bygningen låst og sikret med alarm. Bygningen er i tillegg sikret av et sikkerhetsselskap. Alle alarmer fra alarmsystemet rapporteres direkte til et sikkerhetsselskap.

Standard sikkerhetstiltak anvendes i alle datasentre. Disse tilsvarer den nyeste teknologien og beste praksis i IT-bransjen. Disse inkluderer elektroniske adgangskontrollsystemer med loggføring, hvor kun autoriserte personer har adgang til bygningen, alarmsystemer, videoovervåking innendørs/utendørs, sikkerhetspersonell 24/7, sikring av bygningen med piggtråd, beskyttelse av eksterne sikkerhetstjenester som automatisk blir informert via en dedikert alarmlinje i tilfelle en alarm.

Nøklene til de enkelte rommene og burene i datasenteret må alltid hentes hos sikkerhetspersonellet.

Adgangskontroll

For å sikre at de som er autorisert til å bruke et system for databehandling kun får tilgang til data i henhold til sin tilgangsrettighet, og at lagrede data eller data som behandles ikke kan leses, kopieres, endres eller fjernes av uautoriserte personer, bruker databehandleren et sentralt system for administrasjon av tilgangsrettigheter. All tilgang lagres lokalt og på den sentrale loggserveren. Administratorrettigheter kan kun utøves via et sentralt administrasjonsprogram.

Tilgang til alle data er begrenset til det omfanget som er nødvendig for at alle autoriserte personer skal kunne utføre sine spesifikke oppgaver. De lovfestede kravene til personvern, særlig de som følger av personvernforordningen (GDPR) og TKG, overholdes.

Adskillelse

Behandleren behandler dataene på serversystemer som er logisk adskilt ved hjelp av et system med logiske og fysiske tilgangskontroller i nettverket.

2. Integritet

Inndatakontroll

For å sikre at ordrebehandleren i ettertid kan kontrollere og fastslå om og av hvem data er lagt inn, endret eller slettet i databehandlingssystemene, loggføres alle tilganger til kundens lagrede data lokalt og på den sentrale loggserveren.

Videresendingskontroll

For å sikre at data ikke kan leses, kopieres, endres eller fjernes av uautoriserte personer under elektronisk overføring, transport eller lagring, og at det er mulig å verifisere hvor data skal overføres av dataoverføringssystemer, er tilgang til alle systemer som behandler kundedata underlagt effektive tilgangskontroller. Disse tilgangskontrollmekanismene er allerede beskrevet mer detaljert ovenfor under punkt 3.

3. Tilgjengelighet og robusthet

Behandleren bruker en kombinasjon av redundante systemer og sikkerhetskopiløsninger i alle systemer for å beskytte de lagrede dataene og for å kunne gjenopprette dem om nødvendig. Disse systemene drives utelukkende i lokaler som er sikret og utstyrt i henhold til dagens tekniske standard, som har nødvendig klimaanlegg, brann- og røykvarslingssystemer og for hvilke det foreligger detaljerte beredskapsplaner.

4. Prosedyrer for regelmessig gjennomgang, vurdering og evaluering

Alle våre egne ansatte og de ansatte hos underleverandøren får regelmessig opplæring i personvernspørsmål. Denne opplæringen gjennomføres helt internt, slik at det er mulig å tilpasse den nøyaktig til de spørsmålene som er relevante for databehandleren. Individuelle spørsmål blir også behandlet i detalj under disse opplæringsøktene.

Alle ansatte hos databehandleren som kommer i kontakt med behandling av personopplysninger i forbindelse med sitt arbeid, er forpliktet til å behandle personopplysninger konfidensielt. Dette gjøres regelmessig ved ansettelse av nye ansatte ved hjelp av en kontraktsmessig forpliktelseserklæring, som hver ansatt må avgi.

Databehandleren har utnevnt et personvernombud. Sammen med sine stedfortredere skal personvernombudet sikre at henvendelser fra registrerte besvares i tide.

Behandleren skal føre et register over behandlingsaktiviteter i henhold til art. 30 nr. 1 og 2 i GDPR. Denne listen over behandlingsaktiviteter er ikke offentlig.

(per 16. februar 2022)