Terms and conditions | Customer DBA (Norway)
Last updated: 26-06-17. Version 2.0.0
Databehandleravtale
Skolon AB
Reg. no. 556958-4120
Pirgatan 13, 374 35 Karlshamn, Sweden
1. Innledning
1. Disse Vilkårene fastsetter den behandlingsansvarlige og databehandlerens rettigheter og plikter når databehandleren utfører behandling av personopplysninger på vegne av den behandlingsansvarlige.
2. Disse Vilkårene er utformet med for å sikre partenes etterlevelse av artikkel 28 nummer 3 i Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (personvernforordningen).
3. I forbindelse med leveringen av Skolon AS behandler databehandleren personopplysninger på vegne av den behandlingsansvarlige i overensstemmelse med disse Vilkårene.
4. Det er fire vedlegg til disse Vilkårene, og vedleggene utgjør en integrert del av Vilkårene.
5. Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger, herunder om behandlingens formål og art, typen av personopplysninger, kategoriene av registrerte og behandlingens varighet.
6. Vedlegg B inneholder den behandlingsansvarliges betingelser for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere som den behandlingsansvarlige har godkjent.
7. Vedlegg C inneholder den behandlingsansvarliges instruks når det gjelder databehandlerens behandling av personopplysninger, en beskrivelse av de sikkerhetstiltakene som databehandleren som minimum skal gjennomføre, og hvordan revisjoner av databehandleren og eventuelle underdatabehandlere skal utføres.
8. Vedlegg D inneholder bestemmelser om andre aktiviteter som ikke er omfattet av Vilkårene.
9. Vilkårene med tilhørende vedlegg skal oppbevares skriftlig, herunder elektronisk, av begge parter.
10. Disse Vilkårene fritar ikke databehandleren fra plikter som databehandleren er pålagt etter personvernforordningen eller annen lovgivning.
2. Den behandlingsansvarliges rettigheter og plikter
1. Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernforordningen (se personvernforordningen artikkel 24), gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes nasjonale rett og disse Vilkårene.
2. Den behandlingsansvarlige har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
3. Den behandlingsansvarlige er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres om å gjøre.
3. Databehandleren handler etter instrukser
1. Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt. Disse instruksene skal være spesifisert i vedlegg A og C. Etterfølgende instrukser kan også gis av den behandlingsansvarlige mens det skjer behandling av personopplysninger, men instruksene skal alltid være dokumenterte og oppbevares skriftlig, herunder elektronisk, sammen med disse Vilkårene.
2. Databehandleren skal omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige, etter databehandlerens mening, er i strid med personvernforordningen eller gjeldende personopplysningsvernbestemmelser i unionsretten eller medlemsstatenes nasjonale rett.
4. Konfidensialitet
1. Databehandleren kan bare gi tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne til personer underlagt databehandlerens instruksjonsmyndighet som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og bare i det nødvendige omfang. Listen av personer som har fått tilgang skal gjennomgås fortløpende. På bakgrunn av en slik gjennomgang kan tilgangen til personopplysninger stenges, dersom den ikke lenger er nødvendig, og personopplysningene skal deretter ikke lenger være tilgjengelig for disse personene.
2. Databehandleren skal etter anmodning fra den behandlingsansvarlige kunne påvise at de aktuelle personene underlagt databehandlerens instruksjonsmyndighet er underlagt ovennevnte taushetsplikt.
5. Sikkerhet ved behandlingen
1. Personvernforordningen artikkel 32 fastslår at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen.
Den behandlingsansvarlige skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene. Avhengig av relevans kan tiltakene omfatte:
a) pseudonymisering og kryptering av personopplysninger
b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene
c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse
d) en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.
2. Ifølge personvernforordningen artikkel 32 skal databehandleren – uavhengig av den behandlingsansvarlige – også vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille den nødvendige informasjonen til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.
3. Databehandleren skal også bistå den behandlingsansvarlige med å overholde den behandlingsansvarliges plikter etter personvernforordningen artikkel 32, ved blant annet å stille til den behandlingsansvarliges rådighet nødvendig informasjon om de tekniske og organisatoriske sikkerhetstiltakene som databehandleren allerede har gjennomført i henhold til personvernforordningen artikkel 32, samt all annen informasjon som er nødvendig for at den behandlingsansvarlige skal kunne overholde sine plikter etter personvernforordningen artikkel 32.
Hvis imøtegåelse av de identifiserte risikoene – etter den behandlingsansvarliges vurdering – krever at det gjennomføres ytterligere tiltak enn det databehandleren allerede har gjennomført, skal den behandlingsansvarlige angi disse tiltakene i vedlegg C.
6. Bruk av underdatabehandlere
1. Databehandleren skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nummer 2 og nummer 4 for å gjøre bruk av en annen databehandler (en underdatabehandler).
2. Databehandleren må således ikke bruke en underdatabehandler for å oppfylle Vilkårene uten på forhånd å ha innhentet en generell godkjennelse fra den behandlingsansvarlige.
3. Databehandleren har den behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere. Databehandleren skal skriftlig underrette den behandlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskiftning av underdatabehandlere med minst tretti (30) dagers varsel og dermed gi den behandlingsansvarlige mulighet til å motsette seg slike endringer før den eller de beskrevne underdatabehandler(e) engasjeres. Listen over underdatabehandlere som den behandlingsansvarlige allerede har godkjent fremgår for kunder med avtalen Skolon Basic under det respektive verktøyet inne i Skolon Store. Kunder med avtalen Skolon Plus finner disse via følgende lenke: https://app.skolon.com/library/data-processing/suppliers.
4. Når databehandleren engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal underleverandøren pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning.
Databehandleren er derfor ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter disse Vilkårene og personvernforordningen.
5. En kopi av slik underdatabehandleravtale og eventuelle etterfølgende endringer skal – ved den behandlingsansvarliges anmodning – sendes til den behandlingsansvarlige, som på denne måten har mulighet for å sørge for at underdatabehandleren er pålagt de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i disse Vilkårene. Kommersielle bestemmelser som ikke påvirker det personopplysningsvernrettslige innholdet av underdatabehandleravtalen, er ikke underlagt kravet om kopi til den behandlingsansvarlige.
6. Databehandleren skal i underdatabehandleravtalen inkludere den behandlingsansvarlige som begunstiget tredjepart i tilfelle databehandleren går konkurs, slik at den behandlingsansvarlige kan tre inn i databehandlerens rettigheter og gjøre dem gjeldende overfor underdatabehandler, hvilket for eksempel setter den behandlingsansvarlige i stand til å instruere underdatabehandleren om å slette eller tilbakeføre personopplysningene.
7. Hvis underdatabehandleren ikke oppfyller sine personopplysningsvernforpliktelser blir databehandleren fullt ut ansvarlig overfor den behandlingsansvarlige når det gjelder oppfyllelse av underdatabehandlerens forpliktelser. Dette påvirker ikke de registrertes rettigheter etter personvernforordningen – særlig de nedfestet i personvernforordningen artikkel 79 og 82 – overfor den behandlingsansvarlige og databehandleren, herunder underdatabehandleren.
8. Hvis den behandlingsansvarlige fremmer innsigelse mot databehandlerens bruk av en ny underdatabehandler, i henhold til denne databehandleravtalen punkt 7.3, har den behandlingsansvarlige rett til å si opp databehandleravtalen med umiddelbar virkning. Ved oppsigelse av databehandleravtalen gjelder fortsatt kunders hovedavtale i samsvar med punkt 11.5 i Skolons generelle vilkår.
7. Overføring til tredjeland eller internasjonale organisasjoner
1. Databehandleren kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den behandlingsansvarlige, og slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V. Godkjenning er å anse som gitt når et kjøp gjennomføres i Skolon Store. Gjennomføring av kjøp i Skolon Store innebærer en bekreftelse på at dere som kunde har gjort dere kjent med informasjonen om databehandling, og godkjenner håndteringen av en eventuell tredjelandsoverføring.
2. Hvis overføring av personopplysninger til tredjeland eller internasjonale organisasjoner, som databehandleren ikke er blitt instruert av den behandlingsansvarlige om å gjennomføre, kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning.
3. Uten dokumentert instruks fra den behandlingsansvarlige kan databehandleren innenfor rammene av disse Vilkårene således ikke:
a) overføre personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller en internasjonal organisasjon
b) overlate behandling av personopplysninger til en underdatabehandler i et tredjeland
c) behandle personopplysningene i et tredjeland
4. Den behandlingsansvarliges instruks når det gjelder overføring av personopplysninger til et tredjeland, herunder det eventuelle overføringsgrunnlaget i personvernforordningen kapittel V som overføringen er basert på, skal angis i vedlegg C.6.
5. Disse Vilkårene skal ikke forveksles med standard personvernbestemmelser som omhandlet i personvernforordningen artikkel 46 nummer 2 bokstav c og d, og disse Vilkårene kan ikke utgjøre et grunnlag for overføring av personopplysninger under personvernforordningen kapittel V.
8. Bistand til den behandlingsansvarlige
1. Databehandleren bistår, idet det tas hensyn til behandlingens art og i den grad det er mulig, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III.
Dette innebærer at databehandleren så langt det er mulig skal bistå den behandlingsansvarlige i den behandlingsansvarlige oppfyllelse av:
a) opplysningsplikten ved innsamling av personopplysninger fra den registrerte
b) opplysningsplikten dersom personopplysninger ikke er blitt samlet inn fra den registrerte
c) den registrertes rett til innsyn
d) retten til retting
e) retten til sletting («retten til å bli glemt»)
f) retten til begrensning av behandling
g) underretningsplikten i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
h) retten til dataportabilitet
i) retten til å protestere
j) retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisk behandling, herunder profilering
2. I tillegg til databehandlerens forpliktelse til å bistå den behandlingsansvarlige i henhold til Vilkårene 6.3., bistår databehandleren også, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren, den behandlingsansvarlige med:
a) den behandlingsansvarliges forpliktelse ved brudd på personopplysningssikkerheten til uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet på personopplysningssikkerheten til den kompetente tilsynsmyndigheten, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter
b) den behandlingsansvarliges forpliktelse til uten ugrunnet opphold å underrette den registrerte om bruddet på personopplysningssikkerheten når det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter
c) den behandlingsansvarliges forpliktelse til før behandlingen å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (vurdering av personvernkonsekvenser)
d) den behandlingsansvarliges forpliktelse til å rådføre seg med den kompetente tilsynsmyndigheten, før behandlingen dersom en vurdering av personvernkonsekvenser tilsier at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen.
3. Partene skal i vedlegg C oppgi de egnede tekniske og organisatoriske tiltakene gjennom hvilke databehandleren skal bistå den behandlingsansvarlige, samt omfanget og utstrekningen av den påkrevde bistanden. Dette gjelder for forpliktelsene som følger av Vilkårene 9.1. og 9.2.
9. Underretning om brudd på personopplysningssikkerheten
1. Ved brudd på personopplysningssikkerheten skal databehandleren underrette den behandlingsansvarlige om bruddet uten ugrunnet opphold etter å ha fått kjennskap til det.
2. Databehandlerens underretning til den behandlingsansvarlige skal om mulig skje så snart som mulig etter at databehandleren har fått kjennskap til bruddet på personopplysningssikkerheten, slik at den behandlingsansvarlige kan overholde sin forpliktelse til å melde bruddet til den kompetente tilsynsmyndigheten, jf. personvernforordningen artikkel 33.
3 I overensstemmelse med Vilkår 9 nummer 2 bokstav a skal databehandleren bistå den behandlingsansvarlige med å melde bruddet til den kompetente tilsynsmyndigheten. Det innebærer at databehandleren skal bistå med å fremskaffe informasjon listet opp nedenfor, som ifølge personvernforordningen artikkel 33 nummer 3 skal fremgå av den behandlingsansvarliges melding av bruddet til den kompetente tilsynsmyndigheten:
a) arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt
b) de sannsynlige konsekvenser av bruddet på personopplysningssikkerheten
c) de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
4. Partene skal i vedlegg C oppgi all informasjon som databehandleren skal fremskaffe når vedkommende bistår den behandlingsansvarlige med å melde brudd på personopplysningssikkerheten til den kompetente tilsynsmyndigheten.
10. Sletting og returnering av opplysninger
1. Ved opphør av databehandlertjenestene skal databehandleren slette alle personopplysninger som er blitt behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at opplysningene er slettet med mindre unionsretten eller medlemsstatenes nasjonale rett krever oppbevaring av personopplysningene.
11. Revisjon, herunder inspeksjon
1. Databehandleren skal stille til den behandlingsansvarliges disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernforordningen artikkel 28 og disse Vilkårene. Videre skal databehandleren muliggjøre og bidra til revisjoner, herunder inspeksjoner, som utføres av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige.
2. Prosedyrene for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av databehandleren og underdatabehandlere er spesifisert i vedlegg C.7 og C.8.
3. Databehandleren forplikter seg til å gi tilsynsmyndighetene, som etter gjeldende lovgivning har tilgang til den behandlingsansvarliges eller databehandlerens lokaler, eller representanter som opptrer på slike tilsynsmyndigheters vegne, adgang til databehandlerens fysiske lokaler ved presentasjon av behørig legitimasjon.
12. Partenes avtale om andre forhold
1. Partene kan avtale andre bestemmelser som gjelder databehandlertjenestene, f.eks. erstatningsansvar, så lenge disse andre bestemmelsene ikke direkte eller indirekte strider mot disse Vilkårene eller er til skade for den registrertes grunnleggende rettigheter og friheter og beskyttelsen som følger av personvernforordningen.
13. Ikrafttredelse og opphør
1. Denne databehandleravtalen tilbys i digitalt format og inngås ved henvisning. Databehandleravtalen gjelder fra og med det tidspunkt da den respektive Hovedavtalen er inngått av partene, og opphører å gjelde i forbindelse med at den respektive Hovedavtalen opphører å gjelde. Med mindre annet er uttrykkelig angitt i databehandleravtalen, kan ikke databehandleravtalen sies opp separat fra den Hovedavtalen den gjelder i relasjon til, men opphører senest i forbindelse med at behandlingen av personopplysninger under den respektive Hovedavtalen har opphørt.
Vedlegg A – Opplysninger om behandlingen
A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige er:
Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige er knyttet til å levere tjenester som beskrevet i Hovedavtalen.
Med Hovedavtalen menes følgende avtale(r) inngått mellom partene:
Anskaffelse av digitale læremidler og nettbasert løsning for kjøp, oversikt og administrasjon av lisenser.
Behandlingen har følgende formål:
Formålet med behandlingen av personopplysninger er å gjøre det mulig for ansatte i
grunnskolen å bestille læringsressurser som er nødvendige for å kunne ivareta formålet med
opplæringen som følger av opplæringsloven § 1-1 .
A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal primært dreier seg om (behandlingens art):
Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige omhandler (karakteren av behandlingen):
Samle inn, registrere, organisere, strukturere , lagre, tilpasse eller endre, gjenfinne,
konsultere, bruke , levere ut ved overføring , spre eller gjøre tilgjengelig på annen måte,
sammenstille eller samkjøre, begrense, slette eller tilintetgjøre.
A.3. Behandlingen omfatter følgende typer av personopplysninger om de registrerte:
Behandlingen omfatter følgende typer av personopplysninger om de registrerte (flere valg mulig):
Andre personopplysninger:
Personlig kontaktinformasjon som navn, telefonnummer og e-post adresse. I tillegg
registreres navn og adresse til aktuell virksomhet (skole). IP-Adresse og stedsreferanse (basert på IP-Adresse) og brukernavn. Organisasjonsinformasjon , rettigheter, koblede
lisenser til digitale læremidler/verktøy, rolle (eks . Elev/Lærer), Informasjon om webaktivitet, interaksjon , data om tjenestebruk , innlogget tid.
A.4. Behandlingen omfatter følgende kategorier av registrerte:
Behandlingen omfatter følgende kategorier av registrerte:
Ansatte, elever og foresatt.
A.5. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige kan begynne etter at Vilkårene har trådt i kraft. Behandlingen har følgende varighet:
Databehandlers behandling av personopplysninger kan påbegynne når Hovedavtalen har trådt i kraft. Behandlingen har følgende varighet:
Datadeling via Skolon opphører når kunden ikke lenger har en gyldig lisens for et verktøy. Kunden har også selv ansvar for å slå av datadeling i Feide. Skolon instruerer underdatabehandleren om å slette personopplysninger senest 90 dager etter at en lisens utløper.
Vedlegg B – Underdatabehandlere
B.1. Godkjente underdatabehandlere
I samsvar med General terms skal leverandører av digitale verktøy/læremidler som kjøpes via Skolon-plattformen, anses som godkjente underdatabehandlere av personopplysningsdatabehandleren. Behandlingen hos disse underdatabehandlerne aktiveres i det kunden velger å lisensiere det respektive digitale verktøyet/læremiddelet. En liste over disse verktøyene er tilgjengelig inne i Skolons plattform, hvor kunder kan få oversikt over hvilke personopplysninger som deles med verktøyet, samt hvilke underdatabehandlere som benyttes.
Ved innkjøp av læremidler har kunden ansvar for å godkjenne den foreslåtte håndteringen, inkludert leverandørens håndtering av underdatabehandlere og personopplysninger.
Databehandleren er ikke ansvarlig for behandling av personopplysninger som skjer i eksterne applikasjoner anskaffet via Eksternt Kjøp (External Purchase). Behandlingsansvarlig skal holde Databehandleren skadesløs for ethvert krav eller skade som oppstår som følge av slik behandling.
Databehandleren kan ikke bruke den enkelte Underdatabehandleren til en annen behandling enn avtalt eller la en annen Underdatabehandler utføre den beskrevne behandlingen i andre tilfeller enn det som følger av Bilag B, punkt B.1 om skifte av Underdatabehandler.
B.2. Varsel for godkjennelse av underdatabehandlere
Ved inngåelse av Hovedavtalen med Skolon godkjenner Behandlingsansvarlig bruk av de underdatabehandlerne som er listet opp inne i Skolons plattform. Merk at også mor-, søster- og datterselskaper til Databehandleren regnes som Underdatabehandlere hvis de bidrar til leveransen og behandler personopplysninger.
For endringer i bruk av Underdatabehandlere er det i tillegg avtalt følgende:
Endring av databehandleravtale og underdatabehandlere varsles kunden skriftlig via Skolons plattform, senest 30 dager før endringen trer i kraft. Kunden er ansvarlig for godkjenning av bruk av en leverandør, og godkjenner dermed også håndtering av leverandørens data. Dersom kunden ikke godtar endringer for en underdatabehandler, har kunden selv ansvar for å stoppe datadeling for den aktuelle leverandøren via Skolons plattform og Feide. Kunden har i disse tilfellene også mulighet til å vurdere aktivering av pseudonymisering i Skolons plattform for fortsatt bruk av tjenesten.
Vedlegg C – Instruks for behandling av personopplysninger
C.1. Behandlingens gjenstand/instruks for behandlingen
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved at databehandleren utfører følgende:
Personopplysningene skal utelukkende behandles i det omfang og for de formål som er beskrevet i
a) Hovedavtalen
b) Skolon General Terms
c) Databehandleravtalen
Databehandler har ikke råderett over personopplysningene utover det som er nødvendig for å oppfylle sine plikter etter Databehandleravtalen, og kan ikke behandle disse til egne formål.
Formålet med behandling av personopplysninger er å kunne tilby Skolon Platformen med de
funksjoner og det bruk det er tiltenkt, og som er tilpasset til hver enkelt bruker i løsningen .
Nærmere beskrivelse av behandlingen , behandlingens formål og hvilke personopplysninger
som omfattes fremgår av Tjeneste/oppdragsavtalen.
C.2. Informasjonssikkerhet
Sikkerhetsnivået skal gjenspeile:
Ut fra en vurdering av omfanget av personopplysninger som blir behandlet, typen opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt at behandlingen:
Ikke krever et høyt sikkerhetsnivå. Begrunnelse:
Ut fra en vurdering av omfanget av personopplysninger som blir behandlet, typen
opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt at behandlingen ikke krever et høyt sikkerhetsnivå. Behandlingen omfatter bare opplysninger som er allment kjent som navn og adresse. Til tross for dette har vi i Skolon et høyt sikkerhetsnivå i alle behandlinger fordi vi som selskap tar sikkerhet på største alvor.
Databehandleren har heretter rett og plikt til å fatte beslutninger om hvilke tekniske og organisatoriske sikkerhetstiltak som skal gjennomføres for å etablere det nødvendige (og avtalte) sikkerhetsnivået
Databehandleren skal likevel – under alle omstendigheter og som et minimum – gjennomføre følgende tiltak, som er avtalt med den behandlingsansvarlige :
Skolon har prosesser på plass for å sikre at de ansatte bare har tilgang til systemene de
trenger, og at alle som har tilgang til dataene våre har signert en taushetserklæring (NDA).
Ved opphør av tjenesten avsluttes tilgangen, IT-utstyr trekkes tilbake og sikrer at data ikke
følger med personen som slutter. Disse retningslinjene beskriver, på et overordnet nivå,
hvordan Skolon jobber med sikkerheten vår.
Skolon har prosedyrer og retningslinjer på plass for følgende områder
Begrensning av data som den ansatte har tilgang til
Alle ansatte har signert taushetserklæring (NDA)
Informasjonssikkerhet
Håndtering av hendelser
Risikoanalyse
Oppdateringer av tjenester
Sikker konfigurasjon av tilgang til våre forretningssystemer
Utdanning og opplæring
Opplæring i kvittering av data og hvordan det skal håndteres.
Skolon samarbeider med svenske leverandører som har den høyeste sikkerhetsklassifiseringen både fysisk og digitalt, i samsvar med internasjonale
sertifiseringsstandarder . Hele serverparken og løsningen vår speiles i sanntid til et eksternt
datasenter i Norden for å forhindre potensielle problemer knyttet til fysisk drift eller ulike typer angrep.
I alle stadier av livssyklusen som berører utvikling fokuserer vi på sikkerhet og kontinuitet.
Ingen systemer er 100 % trygge, men vi gjør vårt ytterste for å minimere risikoen. Eksempler
på hvordan vi jobber med disse problemene er:
Tydelig og godt strukturert kode med riktig dokumentasjon
Bruk av kjente og oppdaterte rammeverk for å beskytte mot de vanligste
angrepshendelsene
Hendelsesrapportering og omgående håndtering av mottatte saker
Oppdatering av programvare , rammeverk og servermaskinvare
Kontinuerlig forbedring med hele utviklingsteamet
Penetrasjons- og sårbarhetstesting med en ekstern sikkerhetsekspert som foregår
via kontinuerlig overvåking, samt individuelle belastnings- og penetrasjonstester ,
som også inkluderer gjennomgang av kildekode .
All kode er fagfellevurdert og testet før den slippes ut i produksjon
Alle utgivelser testes både før, under og etter utgivelse
Passord og tilgang lagres aldri i kode uten at det gjøres individuelt og kryptert.
Systemene, kildekoden og dataene våre er underlagt en automatisert
sikkerhetskopieringsprosess med forskjellige nivåer av sikkerhetskopierings- og
tilbakelesingstid , alt fra sanntidsspeiling til offline sikkerhetskopiering på fysiske medier som
skal beskyttes i tilfelle ransomware eller andre angrep finner sted.
Forpliktelser for alle ansatte:
Må opprettholde og oppfylle kravene i Skolons sikkerhetspolicy som avtalt i
arbeidsavtalen .
Rapportere forsøk, brudd eller uredelighet i håndteringen av data via skjemaer som
er ment for slik rapportering.
All håndtering av våre data må holdes konfidensiell og ikke spres til andre eksterne
parter annet enn gjennom etablerte prosesser for informasjonshåndtering i våre
forretningssystemer.
Arbeidet med systemene våre vil bli gjort på maskinvare som ansatte mottok fra
Skolon
Kan ikke bruke informasjonen annet enn i den enkelte ansattes arbeidsoppgaver
Må beholde passord og annen sikkerhetsinformasjon i passordbehandlere og ikke
på fysiske lapper eller lignende.
Tilgang til systemene våre gjøres bare med fysisk sikkerhetsnøkkel i kombinasjon
med brukernavn og minst 12 tegn langt passord med spesialtegn , tall og store og
små bokstaver.
Brannmur og antivirus er aktivert på alle arbeidsenheter
Hvis du forlater enhetene, låser du dem og tar med den fysiske sikkerhetsnøkkelen.
Installasjon av programvare kan bare skje etter godkjenning fra Sikkerhetsrådet.
Installasjon av utvidelser i nettleseren kan bare skje etter godkjenning fra Sikkerhetsrådet .
Oppdatere operativsystemet og programvaren når nye versjoner gis ut.
Ikke gi tilgang til Skolons kontorlokaler uten kontroll av den besøkende
Øvelser på sikkerhetskopiering og fjerning gjøres fortløpende i samarbeid med vår
underleverandør GleSYS. I tillegg til fjerning og sikkerhetskopiering har vi en fullstendig kopi
av hele miljøet vårt i GleSYS serverpark i Finland . Hvis noe går ned eller et angrep skulle
skje, er vi oppe igjen om noen minutter i det andre datasenteret . Dette har blant annet ført til at tilgjengeligheten til våre kunder har vært svært høy.
Skolon sikkerhetskopierer og lagrer kopier en måned tilbake i tid for åredusere risikoen for
feil fjerning eller konsekvensene av angrep, slik som ransomware . Selv fysisk separerte
sikkerhetskopier blir tatt. Disse lagres helt offline.
I samsvar med IT- sikkerhetspolicyen gjennomfører Skolon eksterne sikkerhetsrevisjoner og
har oppfølginger med eksterne, såkalte «etiske» hackere, som får tilgang til kildekoden vår
og kan dermed på et dypere nivå finne sikkerhetshull og risikoer som ellers er vanskelige å
oppdage .
De går også gjennom forskjellige tilgangsnivåer og prøver å finne måter å utnytte
sårbarheter og kode som ikke er sikker nok til å oppgradere rettighetene sine . I tillegg til
dette har vi også inntrenging og kontinuerlig overvåking av våre eksterne angrepspunkter
gjennom tjenesteleverandøren Detectify. Detectify handler på egen installasjon med fiktive
personopplysninger. På denne måten finner vi ut av sårbarheter og har mulighet til å fikse
eventuelle mangler før det fører til brudd eller økt risiko for inntrenging.
Skolon har kraftig DDOS-beskyttelse på plass for å sikre at eventuelle tjenestenektangrep
kan avverges før brukerne våre opplever problemer.
Faste ansatte i Skolon har kun tilgang til demodata , og vi har kontinuerlig arbeid som sikrer
at bare de ansatte som trenger tilgang i sitt daglige arbeid får tilgang.
Vi logger all tilgang og endringer i vår database i tillegg til i kildekoden vår. Bare to utviklere
har tilgang til live brukerdata i løpet av oppdateringer og vedlikeholdsarbeid .
2-trinns tilgang til alle forretningssystemer med sikkerhetsnøkkel Yubikey. Dette sikrer at
ingen ansatte på Skolon kan få tilgang til noen data med mindre de har Yubikey med seg for
å autentisere seg med spesielt sterk autentisering, vi vurderte at MFA / 2-faktor autentisering
ikke var nok, men at nøkkelen som en fysisk, ekstern nøkkel vil forbedre sikkerheten
ytterligere. Våre datamaskiner er låst av Yubikey, hvis du trekker ut Yubikey, kan ingen logge
inn på datamaskinen. Vi tillater ikke at tredjeparts programvare får tilgang til dataene våre
uten å gå nøye gjennom dem både når det gjelder sikkerhet og GDPR.
Skolon bruker et sentralt passordstyringssystem for deling av vanlige passord, og disse
utveksles på en rullerende tidsplan og er minst 20 tegn lange . I tillegg har de felles kontoene
ikke tilgang til kundenes personopplysninger.
Det er gjort en vurdering av om pseudonymisering og kryptering av personopplysninger i
systemet er relevant, samt penetrasjonstester for å minimere tap av informasjon ved
hendelser. Alle overføringer gjøres med minst 256-bit kryptering i henhold til gjeldende
bransjestandarder .
C.3 Bistand til den behandlingsansvarlige
Databehandleren skal i den grad det er mulig – i det nedenfor beskrevne omfang og utstrekning – bistå den behandlingsansvarlige i samsvar med Vilkårene 9.1 og 9.2 ved å gjennomføre følgende tekniske og organisatoriske tiltak:
Databehandleren skal ved behov bistå den behandlingsansvarlige i arbeidet med å oppfylle kravene i personvernforordningen artikkel 15 (Innsynsrett/registerutdrag), artikkel 16 (Retting) og artikkel 17 (Sletting, dersom personopplysningene ikke lenger tjener noe formål eller mangler rettslig grunnlag for behandling) innenfor rammen av den eksisterende tjenesteavtalen.
Tekniske tiltak: Databehandleren skal tilrettelegge for at retting og sletting av personopplysninger kan skje direkte via den tekniske koblingen (automatisert synkronisering) som er opprettet mellom den behandlingsansvarlige og databehandleren, der brukerdata som skal slettes enten fjernes i den behandlingsansvarliges eget system eller slettes manuelt i plattformen. Data lagres i plattformen i 90 dager etter sletting, før alle opplysninger anonymiseres. Tilgang og adgang til opplysningene styres gjennom databehandlerens policy for tilgangskontroll (Access control policy).
Organisatoriske tiltak: Databehandleren skal skriftlig informere den behandlingsansvarlige dersom en registrert, tilsynsmyndigheten eller en tredjepart ber om informasjon fra databehandleren som gjelder behandlingen av den behandlingsansvarliges personopplysninger.
C.4 Oppbevaringsperiode/sletteprosedyrer
Partene har avtalt følgende om sletting/tilbakelevering av personopplysninger:
Alle personopplysninger som behandles under denne Databehandleravtale skal slettes uten ugrunnet opphold og senest innen 90 kalenderdager etter opphør av Hovedavtalen. Dette samme gjelder eventuell annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig.
C.5 Lokasjon for behandling
Behandling av personopplysninger som omfattes av Vilkårene kan ikke, uten den behandlingsansvarliges skriftlige forhåndsgodkjennelse, finne sted på andre lokasjoner enn følgende:
Behandling av de personopplysninger som avtalen omfatter kan ikke uten den Behandlingsansvarliges forutgående med tilgang fra andre lokasjoner enn de som er angitt i Bilag B.2. Med lokasjon menes:
• Sted det er mulig å få tilgang til personopplysningene fra (aksessering)
• Sted hvor personopplysningene bearbeides (prosesseres)
• Sted hvor personopplysningene lagres
I Skolons plattform kan kunden få oversikt over hvilke personopplysninger som deles med verktøyet, samt hvilke underdatabehandlere som benyttes. Kunder med avtalen Skolon Basic finner disse opplysningene under det respektive verktøyet inne i Skolon Store. Kunder med avtalen Skolon Plus finner disse via følgende lenke: https://app.skolon.com/library/data-processing/suppliers.
Begrensningen ovenfor gjelder ikke Databehandlerens mor-, søster- og datterselskaper som er etablert innenfor EØS-området. Databehandleren skal imidlertid på forespørsel fra den Behandlingsansvarlige redegjøre for hvor personopplysningene til enhver tid behandles.
C.6 Instruks for overføring av personopplysninger til tredjeland
Databehandleren gjennomfører ingen overføringer av personopplysninger til underdatabehandlere i tredjeland ved bruk av Skolon-plattformens ordinære, grunnleggende funksjonalitet.
Ved kjøp fra Skolon Store regnes den respektive leverandøren som underdatabehandler til Skolon. Godkjenning og instruks om overføring anses som gitt når den behandlingsansvarlige gjennomfører et kjøp av et verktøy i Skolon Store. Gjennomføring av et kjøp innebærer en bekreftelse på at kunden har gjort seg kjent med leverandørens datahåndtering og godkjenner håndteringen av en eventuell tredjelandsoverføring. Den behandlingsansvarlige plikter selv å kontrollere leverandørens datahåndtering og eventuelle overføringer i plattformens oversikt før kjøpet gjennomføres. Kunder med avtalen Skolon Basic finner disse opplysningene under det respektive verktøyet inne i Skolon Store. Kunder med avtalen Skolon Plus finner disse via følgende lenke: https://app.skolon.com/library/data-processing/suppliers.
C.7 Prosedyrer for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av behandlingen av personopplysninger som er overlatt til databehandleren
For å kontrollere etterlevelse av Gjeldende personvernregler og Databehandleravtalen er det avtalt følgende (flere valg mulig):
Databehandleren skal benytte ekstern revisor til å attestere at sikkerhetstiltak er etablert og virker etter hensikten. Slik revisjon skal:
I) gjennomføres én gang årlig,
II) utføres i henhold til anerkjente attestasjonsstandarder, for eksempel ISAE 3402.
III) utføres av en uavhengig tredjepart med tilstrekkelig kunnskap og erfaring
Rapportene skal fremlegges for Behandlingsansvarlig på forespørsel.
Databehandler skal i tillegg gi slik informasjon og bistand som er nødvendig for at Behandlingsansvarlig kan etterleve sine forpliktelser etter Gjeldende personvernregelverk.
