Databehandleravtale

Dette er til enhver tid gjeldende versjon av databehandleravtalen.

1. Avtalens hensikt

Basetribe AS (heretter Basetribe) tilbyr en nettbasert plattform (heretter den digitale tjenesten).

Personopplysningsloven krever at forholdet mellom behandlingsansvarlig og databehandler reguleres i en avtale for å sikre at personopplysninger behandles i samsvar med kravene i personopplysningsloven, personopplysningsforskriften og personvernforordningen fra EU 2016/679 (GDPR).

Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Denne avtalen oppfyller lovkravet og regulerer databehandlers håndtering av personopplysninger på vegne av den behandlingsansvarlige.

  • Det er Kunden som legger inn personopplysninger om sine medlemmer via den digitale tjenesten og som dermed er behandlingsansvarlig for personopplysningene.
  • Basetribe er databehandler.

2. Basetribes rolle

Basetribe utvikler, drifter og vedlikeholder den digitale tjenesten, samt yter service og support.

  • Basetribe kan som ledd i service på programvare, brukerstøtte, feilsøking eller andre lignende enkeltstående oppdrag få tilgang til opplysningene i systemet og således behandle personopplysninger.
  • Basetribe kan få tilgang til opplysninger i systemet og således behandle personopplysninger når det avtales levering av systemer for lagring av data.
  • Basetribe skal ikke behandle noen personopplysninger som det gis tilgang til i henhold til denne avtalen på annen måte eller for annet formål enn det som er nødvendig for å oppfylle sine avtalemessige forpliktelser overfor behandlingsansvarlig.

Det er kun medarbeidere hos Basetribe som kan gis tilgang til personopplysninger. Basetribe skal kun endre eller slette personopplysninger etter avtale med behandlingsansvarlig.

3. Hvilke opplysninger som behandles

De registrerte hos den behandlingsansvarlige består av:

  • Systemansvarlige med dedikerte roller (administrator, instruktør m.fl)
  • Medarbeidere
  • Kunder

Personopplysningene som registreres er:

  • Navn
  • Profilbilde
  • Adresse
  • E-postadresse
  • Telefonnummer
  • Kommunikasjon
  • Faktureringsadresse
  • Kredittkort / betalingsinformasjon (kun i visse tilfeller)
  • Valgfri kontoinformasjon som brukernavn og passord
  • Valgfritt lyd og videoopptak (i forbindelse med nettsider eller kurs)

4. Plikter for behandlingsansvarlig og databehandler

Den behandlingsansvarlige:

  • Skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved sin behandling av personopplysninger gjennom bruk av den digitale tjenesten.
  • Behandlingsansvarlig vil i sin virksomhet ikke registrere sensitive personopplysninger. Se https://www.datatilsynet.no/rettigheter-og-plikter/personopplysninger/ for mer info.
  • Dersom rutiner og instrukser endres i forhold til slik disse er beskrevet ved inngåelse av denne avtalen, skal behandlingsansvarlig dekke merkostnader ved disse endringene.

Basetribe:

  • Vi vil kun behandle ikke-sensitive personopplysninger.
  • Vi har rett til å motsette oss å behandle personopplysninger på en måte som strider mot personopplysningsloven og personopplysningsforskriften.
  • Vi skal straks underrette den behandlingsansvarlige dersom det har skjedd eller skjer et brudd på personopplysningssikkerheten.
  • Vi skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Unntaket er dersom norsk lov pålegger Basetribe en konkret behandling av personopplysninger. I så fall skal vi underrette den behandlingsansvarlige om dette før behandlingen iverksettes, med mindre loven forbyr slik underretning av hensyn til viktige samfunnsinteresser.
  • Vi plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon.
  • Vi skal bistå slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift ved bruken av den digitale tjenesten.
  • Vi skal sikre at kun autoriserte personer har tilgang til opplysningene, og fratar tilgangen dersom autorisasjonen utløper eller av andre grunner ikke lenger gjelder for personen.
  • Basetribe og våre medarbeidere har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen, også etter dens opphør.

5. Bruk av underleverandører

Basetribe benytter underleverandører for å oppfylle sine forpliktelser i forbindelse med

leveranse av den digitale tjenesten. Basetribes underleverandører vil i hovedsak være eiere av nettbaserte tjenester, sikkerhetssystemleverandører og leverandører av programutviklingstjenester.

Underleverandører som på vegne av Basetribe utfører oppdrag der behandling av

personopplysninger inngår eller kan inngå, skal være kjent med og bundet av de samme

avtalemessige og lovmessige forpliktelser som Basetribe, og skal opptre i samsvar med disse.

  • Basetribe har den behandlingsansvarliges generelle godkjennelse til å bruke andre databehandlere.
  • Basetribe må likevel underrette den behandlingsansvarlige ved eventuelle planer om å skifte ut eller bruke nye databehandlere.
  • Den behandlingsansvarlige må motta en slik underretning minimum 2 uker før endringen trer i kraft.
  • Den behandlingsansvarlige skal ha mulighet til å motsette seg endringene, og skal meddele databehandleren om dette senest 1 uke etter underretningen er mottatt.

Oversikt over underleverandører finner du her.

6. Sikkerhet

Basetribe skal oppfylle krav til sikkerhetstiltak etter gjeldende bestemmelser.

  • Vi skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene.
  • Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.
  • Vi plikter å risikovurdere all behandling av personopplysninger.
  • Tiltak gjøres for å redusere sannsynligheten for at personopplysninger går tapt eller kommer på avveie.
  • Avviksmelding skal skje ved at Basetribe melder avviket til behandlingsansvarlig.
  • Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.
  • Sikkerhetsrevisjon foretas ved behov og minst en gang per kalenderår.

Eksempel på sikkerhetstiltak er SSL og TLS kryptering på nettsted og epost, sikkerhetskopi, kryptering av harddisker, overvåking av kritiske systemer og loggføring av hendelser.

7. Rett til innsyn

  • Ved innsynskrav må Basetribe bistå ved å samle opplysningene som er lagret om den registrerte.
  • Basetribe må gjøre opplysningene tilgjengelig for den behandlingsansvarlige for at den behandlingsansvarlige kan vurdere innsynskravet.

8. Databehandleravtalens varighet

  • Databehandleravtalen gjelder så lenge Basetribe behandler personopplysninger på vegne av behandlingsansvarlig.
  • Behandlingen er ikke tidsbegrenset og varer inntil avtalen sies opp av en av partene.
  • Ved brudd på personopplysningslov- eller forskrift kan behandlingsansvarlig pålegge Basetribe å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

9. Ved opphør

Dersom behandlingsansvarlig etter avtalens opphør ønsker å ta vare på data lagret i

den digitale tjenesten skal behandlingsansvarlig:

  • Innen en måned besørge kopiering og tilfredsstillende lokal lagring av slike data.
  • Dataene lagres hos behandlingsansvarlig som selv påtar seg det totale ansvar for datasikkerheten.

Ved opphør av avtalen skal Basetribe:

  • Slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er, eventuelle sikkerhetskopier med videre som inneholder personopplysninger som omfattes av denne avtalen.
  • Basetribe skal skriftlig dokumentere at sletting eller forsvarlig destruksjon er foretatt i henhold til dette punktet innen rimelig tid etter avtalens opphør.

Sist oppdatert 4. Mars 2019