Eksempel på databehandleravtale | Lexolve

Databehandleravtale: Eksempel med Lexolve

Denne databehandleravtalen gjelder når du har selskapskonto hos Lexolve, og gjelder for den persondataen du som kunde legger inn i tjenesten for OG bestemmer formålet for - som når du fyller ut et dokument, laster opp egne dokumenter og/eller bruker når du kontakter en av våre kunderådgivere.

Denne databehandleravtalen gjelder ikke behandlingen av persondata hvor Lexolve AS er behandlingsansvarlig, eller der det brukes tredjepartsleverandører hvor disse er behandlingsansvarlig som signering og innlogging. Denne behandlingen er beskrevet i om reguleres av vår personvernserklæring, og gjelder blant annet:

  • Kontaktinformasjon og e-post til brukere som tilhører kunden, slik som navn, adresse, e-post, betalingsinformasjon og rolle i selskapet, samt navn og e-post til kontrakts- og/eller signeringsmotparter, ansatte, styremedlemmer og aksjonærer som får invitasjon til eller legges inn i Lexolves tjeneste.
  • Kontaktinfo og e-post som brukes til innlogging eller signering, hvor det benyttes tredjepartsleverandører til innlogging (Google og Microsoft) eller til å gjennomføre digital signering (Signicat og Verified)

Innhold

  • Avtalens parter
  • Avtalens bakgrunn og formål
  • Definisjoner
  • Generelt
  • Behandlingsansvarliges instruksjonsmyndighet
  • Databehandlers plikt å bistå behandlingssansvarlig
  • Personopplysningssikkerhet
  • Databehandlerens bruk av underdatabehandler
  • Databehandlerens overføring av personopplysninger til utlandet
  • Håndtering av De registrertes rettigheter
  • Avvikshåndtering og varsling
  • Revisjon og inspeksjon
  • Konfidensialitet og taushetsplikt
  • Avtalens varighet
  • Opphør
  • Lovvalg og verneting
  • Vedlegg til avtalen
  • Vedlegg A: Beskrivelse av personopplysningene og formålet med behandlingen
  • Vedlegg B: Beskrivelse av tekniske og organisatoriske sikkerhetstiltak
  • Vedlegg C: Underdatabehandlere 

Databehandleravtale

Avtalens parter

Kunden, heretter “Behandlingsansvarlig” (hvor kontaktpersonen hos Behandlingsansvarlig anses å være den personen som først lagde selskapskonto i Lexolve), og

Lexolve AS, org.nr. 918 567 852, heretter “Databehandler” (hvor kontaktpersonen er Heidi Daaland, [email protected]),

som hver for seg kalles “part” og sammen “Partene”.

Avtalens bakgrunn og formål

Databehandler har forpliktet seg til å levere Tjenestene beskrevet i Vilkår for bruk av Lexolve (tilgjengelig på https://lexolve.com/terms-of-use), “Vilkårene”. Leveransen av disse Tjenestene innebærer at Databehandler vil behandle personopplysninger på vegne av Behandlingsansvarlig.

Som kunde bestemmer Behandlingsansvarlig formålet med Behandlingen av Personopplysninger og hvilke midler som skal benyttes.

Denne Databehandleravtalen (“Databehandleravtalen”) fastsetter rammene for Databehandlers Behandling av Personopplysningene på vegne av Behandlingsansvarlig.

Formålet med denne Databehandleravtalen er å:

  1. regulere Partenes rettigheter og plikter ved Behandling av Personopplysninger,
  2. sikre at kravene i Personopplysningslovgivningen og GDPR etterleves ved gjennomføringen av Vilkårene, og
  3. sikre at Personopplysninger ikke Behandles urettmessig, kommer uberettigede i hende eller Behandles til andre formål enn det som er fastsatt i denne Databehandleravtalen.

Ved motstrid mellom bestemmelsene i denne Databehandleravtaler og andre avtaler mellom Partene, herunder Vilkårene, skal bestemmelsene i Databehandleravtalen gå foran.

Definisjoner

Følgende definisjoner gjelder for denne Databehandleravtalen:

"Databehandleravtalen" betyr de bestemmelser som fremgår av denne databehandleravtalen med vedlegg.

"Personopplysning" betyr alle typer opplysninger eller informasjon som anses som personopplysninger etter Personvernlovgivningen og GDPR. Dette omfatter, men er ikke begrenset til, de opplysningene som fremgår av Vedlegg 1.

"Behandling" (av Personopplysninger) betyr enhver bruk av Personopplysninger, for eksempel innsamling, lagring, organisering, endring eller tilpasning, utlevering og/eller overføring.

"GDPR" betyr EU-forordning 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (slik den er implementert i norsk rett).

"Personvernlovgivning" betyr lov om behandling av personopplysninger av 15. juni 2018 nr. 38 med tilførende forskrift som implementerer GDPR og all annen relevant lovgivning som regulerer partenes behandling av Personopplysninger.

"Lov" betyr enhver annen gjeldende lovgivning som Partene er underlagt.

"Underdatabehandler" betyr andre databehandlere som Databehandleren bruker til å behandle Personopplysningene.

"De registrerte" betyr enhver identifisert eller identifiserbar person som Personopplysningene knytter seg til.

Generelt

Partene skal Behandle Personopplysninger i samsvar med Personvernlovgivningen, GDPR og denne Databehandleravtalen.

Databehandler skal utelukkende samle inn, registrere, sammenstille, lagre og på andre måter Behandle Personopplysninger i den utstrekning det er nødvendig for å oppfylle Vilkårene og Databehandleravtalen.

Behandlingsansvarlig må sikre at det finnes et lovlig grunnlag for Behandlingen av Personopplysningene.

Behandlingsansvarliges instruksjonsmyndighet

Databehandler skal kun Behandle Personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig.

Databehandler kan også Behandle Personopplysninger hvis dette kreves i henhold til Lov som Databehandler er underlagt. I så tilfelle skal Databehandler varsle Behandlingsansvarlig om den rettslige forpliktelsen i forkant av Behandlingen, med mindre den aktuelle Loven forbyr at slik informasjon gis av hensyn til allmenn interesse.

Behandlingsansvarliges instrukser til Databehandler er fastsatt av denne Databehandleravtalen med vedlegg.

Vedlegg A til Databehandleravtalen beskriver hvilke kategorier Personopplysninger Databehandler kan Behandle og formålet med Behandlingen. Databehandler skal ikke Behandle Personopplysninger til andre formål enn det som fremgår her.

Behandlingsansvarlig kan gi Databehandler etterfølgende instrukser så lenge Databehandler Behandler Personopplysninger på vegne av Behandlingsansvarlig. Slike etterfølgende instrukser skal gis Databehandler skriftlig og må være dokumenterte.

Partene skal umiddelbart varsle hverandre dersom den ene Parten mener at instrukser eller krav fra den andre Parten er i strid med Personvernlovgivningen eller GDPR.

Databehandlers plikt å bistå behandlingssansvarlig

Idet det tas hensyn til Behandlingens art og den informasjonen som er tilgjengelig for Databehandler, skal Databehandler bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser i henhold til GDPR artikkel 32 – 36. Dette innebærer at Databehandler vil måtte kunne bistå i forbindelse med vurdering av personvernkonsekvenser og forhåndsdrøftelser.

Personopplysningssikkerhet

Databehandler skal oppfylle de krav til informasjonssikkerhet som følger av Personvernlovgivningen og GDPR, og herunder gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, i tråd med GDPR artikkel 32.

De tekniske og organisatoriske tiltakene som skal gjennomføres er beskrevet i vedlegg B.

Databehandler skal også bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser hva gjelder tilstrekkelig informasjonssikkerhet i henhold til GDPR artikkel 32.

Databehandlerens bruk av underdatabehandler

Dersom Databehandler engasjerer en Underdatabehandler til å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig, skal den aktuelle Underdatabehandleren pålegges de samme forpliktelsene som fastsatt i denne Databehandleravtalen gjennom en avtale eller annet rettslig dokument.

Databehandler skal sikre at Underdatabehandler er kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfyller disse kravene.

Databehandler skal overfor Behandlingsansvarlig være fullt ut ansvarlig for at Underdatabehandler oppfyller sine forpliktelser, iht. til ansvarsreguleringen og ansvarsbegresningene iht. Vilkårene.

De Underdatabehandlerne som Databehandler benytter i forbindelse med Vilkårene fremgår av Vedlegg C. Behandlingsansvarlig aksepterer at Databehandler benytter disse Underdatabehandlerne.

Behandlingsansvarlig aksepterer at Databehandler benytter andre Underdatabehandlere enn de som er beskrevet i Vedlegg C.

Dersom Databehandler ønsker å benytte seg av nye Underdatabehandlere skal Databehandleren underrette Behandlingsansvarlig om navn og kontaktinformasjon på Underdatabehandlere. Slik informasjon sendes alle Databehandlers kunder på e-post i forkant, og en oppdatert liste over underbehandlere vil finnes i en oppdatert versjon av Databehandleravtalen tilgjengelig på https://lexolve.com/dpa.

Behandlingsansvarlig er selv ansvarlig for å ha gitt nødvendig samtykke til kundekommunikasjon fra Databehandler for å motta informasjon om Underbehandlere på e-post.

Dersom Behandlingsansvarlig motsetter seg Databehandlers bruk av Underdatabehandlere må Behandlingsansvarlig si opp avtalen med Databehandler.

Databehandlerens overføring av personopplysninger til utlandet

Databehandler kan overføre de Personopplysningene Databehandler behandler på vegne av Behandlingsansvarlig til de land der Databehandler og Underdatabehandlerne driver sin virksomhet og lagre dem der. Disse landene er angitt i Vedlegg C. Behandlingsansvarlig er kjent med dette og godtar denne overføringen så lenge den er nødvendig for å gjennomføre de avtalte leveransene.

Behandlingsansvarlig godtar at Personopplysningene behandles utenfor Norge. Databehandler skal likevel ikke overføre Personopplysninger til land utenfor EU/EØS-området eller til en internasjonal organisasjon uten etter forutgående skriftlig samtykke fra Behandlingsansvarlig, med mindre EU-kommisjonen har fastslått at landet eller den internasjonale organisasjonen sikrer et tilstrekkelig beskyttelsesnivå.

Dersom Behandlingsansvarlig godtar en slik overføring av Personopplysninger til et land utenfor EU/EØS-området eller til en internasjonal organisasjon, skal Databehandler sørge for at overføringen skjer i tråd med reglene i GDPR kapittel V.

Databehandleren forplikter seg også til å vurdere beskyttelsesnivået i det tredjelandet eller de tredjeland som personopplysninger skal overføres til, og sørge for at det iverksettes supplerende tiltak av tekniske, organisatoriske eller kontraktsmessige tiltak for å sikre et i hovedsak tilsvarende beskyttelsesnivå som i EU/EØS.

Håndtering av De registrertes rettigheter

Behandlingsansvarlig skal være kontaktpunkt for De registrerte og gi nødvendig informasjon om Behandlingen.

Behandlingsansvarlig er ansvarlig for håndteringen av De registrertes anmodninger om innsyn, retting, sletting, begrensning, dataportabilitet mv., samt å sikre at slike anmodninger imøtekommes.

Databehandler skal, idet det tas hensyn til Behandlingens art og i den grad det er mulig ved hjelp av egnede tekniske og organisatoriske tiltak, bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som De registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i GDPR kapittel III.

Dersom Databehandler mottar en forespørsel fra Den registrerte, skal Databehandler snarest mulig varsle Behandlingsansvarlig.

Avvikshåndtering og varsling

Enhver bruk av informasjonssystemer i strid med Databehandlers fastlagte rutiner, Behandlingsansvarliges instrukser, Personvernlovgivningen eller GDPR, samt ethvert annet sikkerhetsbrudd, skal håndteres som et avvik.

Partene skal etablere og opprettholde rutiner og systematiske tiltak for oppfølging av avvik, herunder tiltak for gjenoppretting av normaltilstand, fjerning av årsaken til avviket og hindre gjentakelse.

Partene skal, så snart de får kunnskap om et avvik, uten ugrunnet opphold og senest innen 36 timer, informere hverandre om eventuelle sikkerhetsbrudd og umiddelbart iverksette alle nødvendige og hensiktsmessige tiltak for å gjenopprette normaltilstand.

Behandlingsansvarlig er ansvarlig for å sende avviksmelding til Datatilsynet og De registrerte i henhold til GDPR artikkel 33 og 34. Databehandler skal, om nødvendig, bistå Behandlingsansvarlig med å sikre at GDPR artikkel 33 og 34 overholdes.

Revisjon og inspeksjon

Databehandler skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise overholdelse av Databehandlers forpliktelser i henhold til Personvernlovgivningen, GDPR og denne Databehandleravtalen.

Databehandler skal muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Behandlingsansvarlig eller en annen inspektør på fullmakt fra Behandlingsansvarlig, av Databehandlers overholdelse av GDPR, Personvernlovgivningen og denne Databehandleravtalen. Behandlingsansvarlig har rett til å gjennomføre slike revisjoner på egen kostnad, maksimalt én gang i året med fire ukers forhåndsvarsel.

Konfidensialitet og taushetsplikt

Databehandler har taushetsplikt om de Personopplysninger og den dokumentasjon som Databehandler får tilgang til gjennom Databehandleravtalen. Taushetsplikten gjelder også etter Databehandleravtalens opphør.

Databehandler skal ikke utlevere eller gi tilgang til Personopplysningene til andre enn egne ansatte, Underdatabehandlere eller til ansatte hos Behandlingsansvarlig, uten at dette er avtalt skriftlig med Behandlingsansvarlig eller følger av lov, forskrift eller vedtak av offentlig myndighet.

Databehandler skal sikre at personer som er autorisert til å Behandle Personopplysningene, har forpliktet seg til å Behandle opplysningene konfidensielt i form av en konfidensialitetsavtale eller er underlagt en egnet lovfestet taushetsplikt.

Avtalens varighet

Avtalen gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig.

Opphør

Når Databehandleravtalen opphører skal Databehandler slette alle Personopplysninger som omfattes av Databehandleravtalen senest innen 6 måneder etter Databehandleravtalens opphør, eller straks dersom Behandlingsansvarlig gir skriftlig instruks om dette via chat eller e-post.

Behandlingsansvarlig er selv ansvarlig for å hente ut opplysninger fra plattformen som behandlingsansvarlig ønsker å beholde etter at kundeforholdet er avsluttet. Databehandler har ingen ansvar for at behandlingsansvarlig får tilgang til opplysninger etter at kundeforholdet er avsluttet.

Databehandleren skal skriftlig dokumentere at sletting er foretatt i henhold til avtalen innen rimelig tid etter Databehandleravtalen opphører.

Unntak gjelder dersom Personvernlovgivningen, GDPR eller Lov krever at Personopplysningene skal oppbevares videre.

Lovvalg og verneting

Avtalen er underlagt norsk rett. Partene vedtar Oslo tingrett som verneting.

Vedlegg til avtalen

Vedlegg A Beskrivelse av personopplysningene og formålet med behandlingen

Vedlegg B Tekniske og organisatoriske tiltak for informasjonssikkerhet

Vedlegg C Oversikt over Databehandlers Underdatabehandlere

***

Vedlegg A: Beskrivelse av personopplysningene og formålet med behandlingen

Denne databehandleravtalen gjelder ikke behandlingen av persondata hvor Lexolve AS er behandlingsansvarlig, eller der det brukes tredjepartsleverandører hvor disse er behandlingsansvarlig. Denne behandlingen er beskrevet i om reguleres av vår personvernserklæring, og gjelder blant annet.

  • Kontaktinformasjon og e-post til brukere som tilhører kunden, slik som navn, adresse, e-post, betalingsinformasjon og rolle i selskapet, samt navn og e-post til kontrakts- og/eller signeringsmotparter, ansatte, styremedlemmer og aksjonærer som får invitasjon til eller legges inn i Lexolves tjeneste.
  • Kontaktinfo og e-post som brukes til innlogging eller signering, hvor det benyttes tredjepartsleverandører til innlogging (Google og Microsoft) eller til å gjennomføre digital signering (Signicat og Verified)

Lexolve AS er databehandler for persondata hvor våre kunder bestemmer formålet for behandlingen og bruker i tjenesten ved utfylling av dokumenter, opplasting av egne dokumenter, og/eller ved beskrivelse i kontakt med våre kunderådgivere.

fsg

Vedlegg B: Beskrivelse av tekniske og organisatoriske sikkerhetstiltak

Behandlingen kan potensielt omfatte en stor mengde personopplysninger, og det er ingen begrensning i typen personopplysninger som kan ligge i plattformen sett hen til muligheten for fritekstredigering og opplasting av egne dokumenter. Det er derfor etablert et ‘høyt’ sikkerhetsnivå:

  • Innlogging med enten MFA/2FA eller SSO
  • All kommunikasjon gjøres over krypterte forbindelser (HTTPS eller SSH).
  • Sikkerhetsnivået kontrolleres årlig, og HTTPS-konfigurasjonen justeres ved behov for å vedlikeholde et A+ sikkerhetsnivå.
  • Plattformen bruker industristandard AES-symmetrisk kryptering med 256-bits nøkler for kryptering av personopplysninger i alle dokumenter og relatert data (“at rest”) i vår database.
  • All data “in transit” bruker SSL/TLS, men kan potensielt være ukryptert i private nettverk hos vår skyleverandør hvor ingen andre har tilgang til det private nettverket.
  • Alle personopplysninger som utfylles i malene lagres kryptert på disk og i databasen.
  • Tilgangskontroller etablert for utviklingsmiljø, jevnlig opplæring og gjennomgang av rutiner, og alle har signert konfidensialitetsavtale..
  • Logger fra Lexolve applikasjoner eller andre tjenester for å drifte applikasjoner lagres ikke lengre enn 30 dager.
  • IT-sikkerhetsfirma henter jevnlig uavhengige og eksterne vurderinger av IT- og datasikkerheten i selskapet.
  • Lexolve benytter seg av innlogging med enten MFA/2FA eller SSO hos våre underleverandørers tjenester.

Vedlegg C: Underdatabehandlere 

Godkjente underdatabehandlere

Underdatabehandlere