Bakgrunn for Databehandleravtalen

1. Denne databehandleravtalen beskriver rettigheter og forpliktelser som gjelder når databehandleren behandler personopplysninger på vegne av behandlingsansvarlige. Herunder:

  • Når databehandler er Traveltext AS, eller dennes representanter
  • Når databehandler er Regnskapsbyrå, eller dennes representanter
  • Når Traveltext AS, eller dennes representanter er underleverandører (Til Regnskapsbyrå)
Traveltext AS leverer en én-til-mange-tjeneste og inngår ikke individuelle databehandleravtaler med hver enkelt kunde. Denne databehandleravtalen gjelder derfor for alle programsuiter Traveltext AS leverer, og alle brukerne som benytter tjenesten.

2. Avtalen er utformet for at partene skal overholde personopplysningsloven, samt artikkel 28 nr. 2. 3 Europaparlaments- og rådsforordning (EF) 2016/679 av 27 april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger og om oppheving av direktiv 95/46 / EF (Data Protection Regulation ) som fastsetter spesifikke krav til innholdet i en databehandleravtale.

3. Databehandler leverer programvareløsninger for reise, reiseregning, utleggsbehandling og kjørebok, til det norske/europeiske markedet. Den Behandlingsansvarlige (kunde) bestemmer formålet med behandlingen av personopplysningene og hvilke midler som skal benyttes. Databehandleren har forpliktet seg til å levere tjenestene beskrevet i ordinær leveranseavtale ("Hovedavtalen"). Databehandleravtalen inngår som bilag til denne «Hovedavtalen».

Databehandlerens behandling av personopplysninger er gjort for å oppfylle partenes "hovedavtale". Databehandleravtalen og "hovedavtalen" er gjensidig avhengige og kan ikke termineres separat. Databehandlingsavtalen kan imidlertid - uten å si opp hovedavtalen - bli erstattet av en annen gyldig databehandlingsavtale.

4. Denne databehandleravtalen har forrang i forhold til lignende bestemmelser i andre avtaler mellom partene, herunder "hovedavtalen".

5. For denne avtalen er det vedlagt fire vedlegg. Vedleggene er en integrert del av databehandleravtalen.

6. Databehandleravtalens vedlegg A inneholder detaljer om behandlingen, inkludert formål og art av behandlingen, typen av personopplysninger, kategorier av registrert og varighet av behandlingen.

7. Databehandleravtalens vedlegg B inneholder den behandlingsansvarliges betingelser for, at databehandleren kan gjøre bruk av eventuelle underleverandører, så vel som en liste over eventuelle underleverandører som er godkjent av den behandlingsansvarlige.

8. Databehandleravtalens Vedlegg C gir mer detaljerte instruksjoner om hvilken behandling databehandleren skal utføre på vegne av den behandlingsansvarlige hvilke sikkerhetforanstaltninger (avhengig av behandlingen) som minst må finnes, og hvordan det eventuelt skal føres tilsyn med databehandleren og eventuelle underleverandører.

9. Vedlegg D til databehandleravtalen inneholder partenes mulige regulering av saker som ikke er angitt i databehandleravtalen eller partenes "hovedavtale", herunder vederlag for bistand o.l.

10. Databehandleravtalen og tilhørende vedlegg skal oppbevares skriftlig, herunder elektronisk.

11. Denne databehandleravtale fritar ikke databehandleren for forpliktelser som etter personoppslysningsloven eller enhver annen lovgivning er direkte er pålagt databehandleren.


Den behandlingsansvarliges rettigheter og plikter:

1. Den behandlingsansvarlige har overfor omverdenen (herunder den registrerte) ansvar for at behandling av personopplysninger skjer innenfor rammene av personvernforordningen og personopplysningsloven.

2. Den behandlingsansvarlige har derfor både rettighetene og forpliktelsene til å ta avgjørelser om formålene og hvilke midler som er nødvendig for behandling.

3. Den behandlingsansvarlige er ansvarlig for at det er et rettsgrunnlag for behandlingen som databehandleren er pålagt å utføre.


Databehandlerens rettigheter og plikter:

1. Databehandleren kan kun behandle personopplysninger etter instruks fra behandlingsansvarlige, med mindre annet er påkrevd av unionsretten eller den nasjonale lovgivningen i medlemsstatene (EØS) som databehandleren er underlagt. I så fall underretter databehandleren den behandlingsansvarlige om dette kravet før behandling, med mindre loven forbyr slik varsling av med henvisning til viktige samfunnsmessige interesser, Ref. Art 28 punkt. 3 (a).

2. Databehandleren skal umiddelbart informere behandlingsansvarlige, hvis en instruksjon for databehandleren er i strid med personvernforordningen, personopplysningsloven eller andre personvernbestemmelser i EU-lovgivning eller nasjonal lovgivning.


Konfidensialitet

1. Databehandleren sikrer at bare de personer som til enhver tid er autorisert til å gjøre det, har tilgang til personopplysningene som behandles på vegne av den behandlingsansvarlige. Tilgang til informasjonen må derfor umiddelbart avsluttes dersom autorisasjonen er fratatt eller utløpt.

2. Kun personer som er autorisert for tilgang til personopplysninger, kan gis nødvendig tilgang for å oppfylle databehandlerens forpliktelser overfor den behandlingsansvarlige.

3. Databehandleren sikrer at de personer som er autorisert til å behandle personopplysninger på vegne av den behandlingsansvarlige har forpliktet seg til konfidensialitet eller er underlagt passende lovbestemt konfidensialitet (Taushetserklæring).

4. Databehandleren skal etter anmoding fra den behandlingsansvarlige, kunne påvise at de ansatte er underlagt nevnte konfidensialitet/taushetsplikt.


Behandlingssikkerhet

1. Databehandleren skal gjennomføre alle tiltak som kreves i artikkel 32 i databeskyttelsesforskriften, Det iverksettes hensiktsmessige tekniske og organisatoriske tiltak for å sikre et godt og tilfredsstillende sikkerhetsnivå.

2. Ovennevnte forpliktelse innebærer at databehandleren kan gjennomføre en risikovurdering og deretter iverksette nødvendige tiltak for å løse identifiserte risikoer. Blant annet kan det, være følgende tiltak:

a. Pseudonymisering og kryptering av personopplysninger

b. Evne til å sikre fortsatt konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og tjenester.

c. Evne til rettidig gjenoppretting av tilgjengelighet og tilgang til personlige data i tilfelle fysisk eller teknisk hendelse.

d. En prosedyre for periodisk testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre behandlingssikkerhet.

3. I forbindelse med det ovennevnte må databehandleren iverksette minst sikkerhetsnivået og tiltakene som er angitt i dette tilleggets vedlegg C.

4. Partenes mulige regulering / avtale om godtgjørelse eller lignende i forbindelse med den behandlingsansvarlige eller databehandlerens påfølgende behov for å tilveiebringe ekstra sikkerhet vil fremgå av partenes "hovedavtale" eller i Vedlegg D.


Bruk av underleverandører

1. Databehandleren må overholde betingelsene i artikkel 28 nr. 1 i personvernforordningen. 2 og 4, for å bruke en annen databehandler (underleverandør) .

2. Databehandleren har den behandlingsansvarliges generelle godkjennelse til å bruke andre underleverandører, i tillegg til de som står oppført i vedlegg B.6 i denne avtalen.

3. Databehandleren må likevel underrette den behandlingsansvarlige ved eventuelle planer om å skifte ut eller bruke nye underleverandører. Den behandlingsansvarlige må motta en slik underretning minimum 3 uker før endringen trer i kraft.

4. Den behandlingsansvarlige skal ha mulighet til å motsette seg endringene, og skal meddele databehandleren om dette senest 1 uke etter underretningen er mottatt. Dersom den behandlingsansvarlige motsetter seg endringene, vil dette medføre opphør av denne avtale, samt «hovedavtalen».

5. Den behandlingsansvarliges vilkår og betingelser for databehandlerens bruk av eventuelle underleverandører finnes i vedlegg B.5 i denne avtalen. Den behandlingsansvarliges godkjenning av spesifikke underleverandører er oppført i vedlegg B.6 i denne avtalen.

6. Databehandleren sørger for å pålegge underleverandører de samme forpliktelsene som databehandleren selv har etter denne avtalen, gjennom en kontrakt eller andre juridiske dokumentet under EUs lovgivning eller nasjonal lov - hvor det blir gitt de nødvendige garantier for at underleverandøren vil gjennomføre de nødvendige tekniske og organisasjonsmessige tiltak på en måte som tilfredsstiller kravene i personopplysningsloven.

7. Underleverandøravtalene og eventuelle endringer i disse kan gjøres tilgjengelig for den behandlingsansvarlige - ved den behandlingsansvarliges forespørsel - Eventuelle kommersielle vilkår, for eksempel priser som ikke påvirker databeskyttelsesinnholdet i underleverandøravtalen, skal ikke gjøres tilgjengelig for den behandlingsansvarlige. Nærmere om tilgang/form og innhold er oppført i Vedlegg B.7 i denne avtalen.

8. Hvis underleverandøren ikke oppfyller sine plikter som omhandlet i denne avtale, står databehandleren fullt ut ansvarlige overfor den behandlingsansvarlige for oppfyllelse av underleverandørens forpliktelser.


Overføring av informasjon til tredjeland eller internasjonale organisasjoner

1. Databehandleren kan kun behandle personopplysninger etter dokumenterte instruksjoner av behandlingsansvarlige, herunder når det gjelder overføring (lagring, formidling og intern bruk) av personopplysninger til tredjeland eller internasjonale organisasjoner med mindre det følger av EUs lovgivning eller nasjonal lovgivning, som databehandleren er gjenstand for; I så fall informerer databehandleren den behandlingsansvarlige om dette lovlige kravet før behandling, med mindre gjeldende regelverk foryr slik informasjon av hensyn til viktige samfunnsmessige interesser, jf. art 28, stk. 3 litra a.

2. Uten den behandlingsansvarliges instruksjon eller godkjenning kan databehandleren - innenfor rammen av databehandlingsavtalen - blant annet ikke:

a. overføre personopplysninger til en underleverandør i et tredjeland eller i en internasjonal organisasjon,

b. overlate behandling av personopplysninger til en underleverandør i et tredjeland,

c. behandle personopplysninger i en annen av underleverandørens avdelinger i et tredjeland.

3. Den behandlingsansvarliges mulige instruksjon eller godkjenning av overføring av personopplysninger til et tredjeland vil fremgå av vedlegg C.5 i denne avtalen.


Bistand til den behandlingsansvarlige

1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så langt som mulig den behandlingsansvarlige ved hjelp av hensiktsmessige tekniske og organisatoriske tiltak, med oppfyllelsen av den behandlingsansvarliges plikt til å svare på forespørsler for å utøve de registrertes rettigheter som definert i forordningens kapittel 3. Dette betyr at Databehandleren så langt som mulig skal bistå behandlingsansvarlig for at den behandlingsansvarlige sikrer samsvar med:

  1. Opplysningsplikten for innsamling av personopplysninger hos den registrerte
  2. Opplysningsplikten, hvis personopplysninger ikke er innsamlet hos den registrerte.
  3. Den registrertes innsynssrett.
  4. Retten til utbedring/korreksjoner
  5. Retten til å slette ("retten til å bli glemt")
  6. Retten til begrensning av behandling.
  7. Varslingsforpliktelse i forbindelse med utbedring eller sletting av personopplysninger eller begrensning av behandling.
  8. Retten til dataportabilitet.
  9. Retten til innsigelse
  10. Retten til å motsette seg resultatet av automatiske individuelle beslutninger, inkludert profiling

2. Databehandleren bistår den behandlingsansvarlige med å sikre etterlevelse av behandlingsansvarliges plikter under dataforordningens artikkel 32-36 under hensyntagen til behandlingens karakter og den informasjonen som er tilgjengelig for databehandleren, se. Art 28 punkt. 3,

Dette innebærer at databehandleren under hensyntagen til behandlingens karakter skal bistå den behandlingsansvarlige til å sikre overholdelse av:

  1. Forpliktelsen til å iverksette hensiktsmessige tekniske og organisatoriske tiltak for å sikre et nivå av sikkerhet som samsvarer med å dekke den risiko som er forbundet med behandlingen
  2. plikten til å varsle brudd på persondatasikkerheten til tilsynsmyndigheten (Datatilsynet) uten ugrunnet opphold, og om mulig innen 72 timer, etter at den behandlingsansvarlige har blitt klar over misligholdet, med mindre det er usannsynlig at det innebærer en risiko for individers rettigheter og friheter.
  3. plikten til - uten ugrunnet opphold - å informere den/de registrerte om brudd på persondatasikkerheten hvis et slikt brudd er sannsynlig å utgjøre en høy risiko for individers rettigheter og friheter
  4. plikten til å gjennomføre en konsekvensanalyse vedrørende datasikkerhet, dersom en type behandling trolig vil innebære en stor risiko for individers rettigheter og friheter
  5. plikten til å konsultere tilsynsmyndigheten (Datatilsynet) før behandling, der en konsekvensanalyse viser at behandling vil føre til en høy risiko i fravær av tiltak gjennomført av databehandleren for å begrense risikoen.

3. Databehandleren (Traveltext AS) vil kunne ta betalt for tjenester som gjelder bistand beskrevet ovenfor til den behandlingsansvarlige. Partenes eventuelle regulering / avtale for betaling eller lignende med hensyn til databehandlerens bistand til den behandlingsansvarlige etter denne avtalen - vil fremkomme på partenes "Hovedavtale" og/eller i denne avtalens vedlegg D. Eventuelle prisendringer og andre endringer/presiseringer som gjelder hva/hvilke tjenester eller funksjoner/verktøy som til enhver tid er omfattet av betaling, vil bli varslet minimum 1 mnd. før de innføres, og bli lagt fortløpende til vedlegg D. i denne avtale.


Melding om brudd på persondatasikkerheten

1. Databehandleren skal uten opphold informere den behandlingsansvarlige eller dens representant, etter å ha vært klar over at det har vært brudd på persondatasikkerheten hos databehandleren eller en eventuell underleverandør. Databehandlerens varsel til den behandlingsansvarlige skal, hvis mulig, skje senest 24 timer etter at databehandler ble klar over bruddet, slik at behandlingsansvarlige har mulighet til å etterleve sin mulig plikt til å melde fra til bruddet til tilsynsmyndigheten innen 72 timer.
2. I samsvar med denne avtalens punkt b (nedenfor), skal databehandleren - under hensyntagen til behandlingens natur, og tilgjengelig informasjonen - bistå den behandlingsansvarlige til å gi melding om brudd på persondatasikkerhetne til tilsynsmyndigheten. Dette kan bety at databehandleren bl.a. skal bistå med å gi følgende opplysninger, slik det er fastsatt i artikkel 33 nr. 3 i personvernforordningen.

  1. Naturen av bruddet på persondatasikkerheten, herunder om mulig kategoriene og omtrentlig antall berørte registrerte samt kategoriene og omtrentlig antall berørte registreringer av personopplysninger.
  2. Sannsynlige konsekvenser av brudd på personopplysninger.
  3. Tiltakene som er truffet eller foreslås truffet for å håndtere bruddet på persondatasikkerheten, herunder om det er hensiktsmessig, tiltak for å begrense mulig skadevirkninger


Sletting og tilbakelevering av data

1. Ved opphør av tjenester knyttet til behandling som kreves, forpliktes databehandleren til, etter den behandlingsansvarliges valg, å slette eller returnere alle personlige data til den behandlingsansvarlige, samt å slette eksisterende egne kopier, med mindre EU lov eller nasjonal lov foreskriver lagring av personoplysningene. Databehandleren velger selv hvilket format slike data blir overlevert på, men det må være innenfor det som kan betegnes som et standard-format, f.eks. excel, eller lignende. Dersom databehandleren gjør tilgjengelig verktøy/funksjonalitet hvor den behandlingsansvarlige, eller dennes representant selv kan hente og slette (herunder anonymisere/scramble) data, anses dette som oppfyllelse av databehandlers forpliktelse på dette punkt, og den behandlingsansvarlige vil selv være ansvarlig for at sletting og tilbakelevering finner sted. Databehandler vil i dette tilfellet kun være ansvarlig for å slette egne ekstra kopier av datasett, og dokumentere dette.


Tilsyn og revision

1. Databehandler gir behandlingsansvarlig all nødvendig informasjon for å påvise databehandlerens etterlevelse av personvernforordningens artikkel 28 og denne avtalen, og gir mulighet for, og bidrar til, revisjoner (herunder inspeksjoner), utført av behandlingsansvarlig eller en annen revisor som er autorisert av den behandlingsansvarlige.
2. Den detaljerte prosedyren for den behandlingsansvarliges tilsyn av databehandleren fremgår av Vedlegg C i denne avtale.
3. Den behandlingsansvarliges tilsyn med eventuelle underleverandører skjer gjennom databehandleren. Detaljene ved slik prosedyre fremgår av Vedlegg C i denne avtale.
4. Databehandleren er forpliktet til å gi myndigheter som etter den til enhver tid gjeldende lovgivning har tilgang til den behandlingsansvarliges og databehandlerens fasiliteter, eller representanter som opptrer på myndighetens vegne, tilgang til databehandleren sine fysiske fasiliteter mot riktig identifikasjon.


Partenes avtaler om andre forhold

1. En eventuell (særlig), regulering av konsekvensene av partenes mislighold av databehandleravtalen vil fremgå av partenes "hovedavtale" eller av denne avtalens Vedlegg D.
2. En eventuell regulering av andre forhold mellom partene vil fremgå av partenes " hovedavtale " eller av denne avtalens Vedlegg D.


Ikrafttredelse og oppsigelse

1. Denne avtalen trer i kraft ved elektronisk aksept av vilkår som blir tilgjengelig ved bruk av programvare levert av Traveltext AS, (som akseptert og inngått i "Hovedavtale").
2. Avtalen kan reforhandles av begge parter dersom loven endres eller uoverensstemmelser i avtalen gir anledning til dette.
3. Partenes eventuelle regulering / avtale om betaling, vilkår, betingelser eller lignende med hensyn til endringer i denne avtale vil fremgå av partene "hovedavtale" eller i denne avtalens Vedlegg D.
4. Oppsigelse av databehanderlavtalen kan skje i henhold til de oppsigelsesvilkår, inkl. eventuelt oppsigelsesvarsel, som angitt i "hovedavtalen".
5. Avtalen er gjeldende så lenge behandlingen består. Uansett "hovedavtalens" og / eller databehandleravtalens oppsigelse, vil databehandleravtalen gjelde inntil behandlingen avsluttes og fram til sletting av data hos databehandleren og eventuelle underleverandører er foretatt.


Kontaktpersoner / kontaktpunkter til den behandlingsansvarlige og databehandleren

1. Partene kan kontakte hverandre gjennom følgende kontaktpersoner / kontaktpunkter:

  1. Databehandler: Som angitt i "Hovedavtale" eller til privacy@ttn.no
  2. Behandlingsansvarlig: Som angitt i "Hovedavtale"
2. Partene må kontinuerlig informere hverandre om endringer vedrørende kontakt / kontaktpunkt som gjelder følgende informasjon: Navn – Adresse – Telefon - E-post


Vedlegg A informasjon om behandling:

Databehandleravtalen gjelder alltid som følge av at Traveltext har ansvar for lagring/drift.


Formål

Formålet med databehandler sin behandling av personopplysninger på vegne av den behandlingsansvarlige er generelt:
Gjennomføre «Hovedavtalen», ved at den behandlingsansvarlige eller dennes representanter kan benytte systemet, som eies og forvaltes av Traveltext AS, og eventuelle tilhørende integrerte systemer –for å kunne føre reiseregning og kjørebok, samt håndtere utlegg. Det vises her spesielt til oppbevaringsplikt for denne type data / lagring av data, som benyttes som regnskapsgrunnlag.
Behandlingen er ikke tidsbegrenset og varer til avtalen sies opp eller avbrytes av en av partene.


Alle programsuiter

Kategorier av personopplysn.Kategorier av registrerteFormålet med behandlingen
Personalia: Navn, fødselsdato/pers.nr., alder, kundenummer, relasjoner, kjønn m.v. Behandlingsansvarlige sine kunder, leverandører, ansatte Gjennomføre «Hovedavtalen», herunder konsulenttjenester og support knyttet til denne, samt lagring av data
Kontaktinformasjon: Adresse, e-post, mobil/tlf.nr., land Behandlingsansvarlige sine kunder, leverandører, ansatte, kontaktpersoner Gjennomføre «Hovedavtalen», herunder konsulenttjenester og support knyttet til denne, samt lagring av data
Transaksjonsinformasjon: Reisedetaljer, utlegg, bilag, kredittkorttransaksjoner o.l. Behandlingsanvarlige sine ansatte Gjennomføre «Hovedavtalen», herunder konsulenttjenester og support knyttet til denne, samt lagring av data
Transaksjonsinformasjon teknisk: Påloggingsinformasjon, IP-adresser, loggdata, analysedata o.l. Behandlingsansvarlige sine ansatte/brukere, Databehandler sine ansatte/brukere Gjennomføre «Hovedavtalen», herunder konsulenttjenester og support knyttet til denne, samt lagring, sikring, overvåkning m.m. av data


Vedlegg B Betingelser for databehandlerens bruk av underleverandører, og oversikt over godkjente underleverandører

B.1 Generell godkjennelse av underleverandører
Databehandleren har den behandlingsansvarliges generelle godkjennelse til å bruke andre underleverandører enn de som fremgår i p,t. B.2 under. Databehandleren må likevel underrette den behandlingsansvarlige ved eventuelle planer om å skifte ut eller bruke nye underleverandører. Den behandlingsansvarlige må motta en slik underretning minimum 3 uker før endringen trer i kraft.
Slik underretning anses utført ved å benytte eksisterende system for generell informasjonsmelding som er tilgjengelig som en del av leveransen i «hovedavtalen», eller ved annen direkte henvendelse.

B.2 Godkjente underleverandører
Den behandlingsansvarlige har når databehandleravtalen / "Hovedavtalen" trer i kraft godkjent bruk av følgende underleverandører:

NavnNettadresseType behandling
Microsoft Azure https://azure.microsoft.com Drift, lagring
Uni Micro https://unimicro.no Drift, utvikling, regnskap, administrasjon, support
Google Analytics https://analytics.google.com Drift, overvåkning, analyse
Mailchimp https://mailchimp.com Mail-utsendelse
Berg-Hansen https://berg-hansen.no Reisebestilling
24SevenOffice https://24sevenoffice.no Integrasjon regnskap og lønn
TripleTex https://tripletex.no Regnskap, lønn
Atlassian https://atlassian.com Drift, utvikling
Salestext https://info.traveltext.no Salg, support
Enklere grep   Analyse
Freshdesk https://freshdesk.com Kundesupport


Den behandlingsansvarlige har spesifikt godkjent bruk av ovennevnte underleverandører, til nettopp den behandling som er beskrevet. Databehandleren kan ikke - uten den behandlingansvarliges aksept - benytte den enkelte underleverandør til en annen behandling enn beskrevet, annet enn dersom det er for å understøtte nye produkter (fra eksisterende underleverandør) utover de som er beskrevet.

Det er en forutsetning at den behandlingsansvarlige har en egen avtale om bruk av de ulike produktene direkte med underleverandør. En slik avtale kan – men må ikke, omfatte en egen databehandleravtale som nærmere spesifiserer vilkårene for behandling av personopplysninger.


Vedlegg C Instruks vedrørende behandling av personopplysninger

C.1 behandlingens gjenstand / instruksjon
Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skjer ved, at databehandleren:
a) Drifter og/eller lagrer data i system som angitt i «Hovedavtalen», og som den behandlingsansvarlige eller dennes representanter kan benytte, og som eies og forvaltes av TravelText AS, og eventuelle tilhørende integrerte systemer – for å kunne føre reiseregning og kjørebok, og behandle utlegg og tilstøtende tjenester.
b) Gir nødvendig assistanse etter forespørsel fra den behandlingsansvarlige, og/eller videreutvikler og kvalitetssikrer systemet - i form av gjennomgang / analyse av data, feilsøking, opplæring, testing og utbedring til bruk av system nevnt i pkt. a) ovenfor som bestemt i «Hovedavtalen» – for å kunne føre reiseregning og kjørebok, og behandle utlegg og tilstøtende tjenester.

C.2 Behandlingssikkerhet
Databehandleren har rett og plikt til å ta avgjørelser om de tekniske og organisatoriske sikkerhetstiltak som kan benyttes for å skape den nødvendige (og avtalte) sikkerheten rundt informasjon.
Databehandleren skal - i alle tilfeller og minst - iverksette følgende tiltak:
Systemadgang:
Alle systemer og tjenester hos Traveltext AS er sikret med tilgangskontroller som tilfredsstiller gjeldende regelverk og egne risikovurderinger. Herunder bl.a. men ikke begrenset til brukernavn/passord, multifaktor autentisering. Alle data som Traveltext AS oppbevarer eller håndterer på vegne av Behandlingsansvarlige sikres for å hindre uautorisert tilgang.
Fysisk sikkerhet:
Traveltext skal ha tilfredsstillende fysiske sikringstiltak på alle sine lokasjoner, og der det er nødvendig vil lokasjonene være delt inn i ulike soner (for sentral infrastruktur, serverpark m.m.). Ved bruk av underleverandører vil Traveltext AS gjennom avtaler sikre at kravet til fysisk sikring er tilfredsstillende.
Systemmessig sikkerhet:
Traveltext AS benytter bare anerkjente underleverandører for våre løsninger. Systemer og tjenester sikres ved regelmessig testing, vurdering og evaluering, der formålet er å sikre konfidensialitet, integritet og tilgjengelighet for leverte systemer og tjenester.Alle data i løsningene er logisk separert på klientnivå for å sikre mot uautorisert tilgang. Alle tjenester og systemer vi drifter overvåkes kontinuerlig, og hendelser håndteres løpende av driftspersonell i henhold til egne prosedyrer og rutiner.Alle data som lagres i våre skyløsninger blir regelmessig sikkerhetskopiert. I tillegg vil egne sikkerhetskopier regelmessig kopieres til en annen sekundær lokasjon.
Systemene og tjenestene har støtte for tilgangsstyring slik at den Behandlingsansvarlige selv kan, og har ansvar for, å administrere hva den enkelte bruker har tilgang til.

C.3 lagringsperiode / sletterutine
I de tilfeller hvor det er databehandleren som oppbevarer/lagrer personopplysninger og det ikke er tilgjengeliggjort verktøy for den behandlingsansvarlige til å selv slette personopplysninger, blir personopplysningene oppbevart av databehandleren inntil den behandlingsansvarlige anmoder om å få opplysningene slettet og/eller tilbakelevert.
I de tilfeller hvor det er databehandleren som oppbevarer/lagrer personopplysninger og det er tilgjengeliggjort verktøy for den behandlingsansvarlige til selv å slette personopplysninger, blir personopplysningene oppbevart av databehandleren inntil den behandlingsansvarlige selv har hentet og/eller slettet disse.
I de tilfeller hvor databehandleren ikke oppbevarer/lagerer personopplysninger er den behandlingsansvarlige selv ansvarlig for oppbevaring og sletting av slike opplysninger.
I de tilfeller hvor databehandleren oppbevarer midlertidige kopier, f.eks. i form av backup tilsendt for hjelp/support skal disse slettes så snart som mulig etter at behovet for slike data er borte, og senest innen 10 dager, og uansett på anmodning fra den behandlingsansvarlige.
Anonymisering/Scrambling av data vil være å betrakte som sletting på lik linje med ordinær sletting.

C.4 Lokasjoner for behandling
behandling av de i avtalen omfattede personopplysninger kan ikke uten den behandlingsansvarliges aksept skje på andre enn følgende steder:
• Norge - Av Traveltext (databehandler)
• Irland – Av Microsoft Azure (underleverandør)
• Andre Lokasjoner - Av andre underleverandører, som angitt i punkt C5 (under)

C.5 instruksjoner eller godkjenning vedrørende overføring av personopplysninger til tredjeland
Databehandleren kan overføre de Personopplysningene Databehandleren behandler på vegne av den Behandlingsansvarlige til de land der Databehandleren og Underleverandørene driver sin virksomhet og lagre dem her.
Den Behandlingsansvarlige er kjent med dette og godtar denne overføringen så lenge den er nødvendig for å gjennomføre de avtalte leveransene.
Den Behandlingsansvarlige godtar at Personopplysningene kan behandles utenfor Norge. Databehandler skal likevel ikke overføre Personopplysninger til land utenfor EU/EØS-området uten et samtykke fra den Behandlingsansvarlige.
Dersom den Behandlingsansvarlige godtar en slik overføring, skal Databehandleren sørge for at overføring skjer basert på godkjente overføringsgrunnlag, jfr. GDPR artikkel 44-46..

Vedlegg D Partenes regulering av andre forhold

D.1 Vederlag for bistand til den behandlingsansvarlige, eller dennes representanter
Generelt så vil databehandler (Traveltext AS) kunne fakturere timepris for medgått tid til bistand som beskrevet i denne avtales punkt: «Bistand til den behandlingsansvarlige», samt eventuell annen bistand relatert til personlovgivningen, med den til enhver tid gjeldende timepris for konsulentbistand.
D.2 Vederlag for verktøy/funksjonalitet
Traveltext vil kunne tilby spesielle verktøy eller funksjonalitet for at den behandlingsansvarlige selv på en enkel måte settes i stand til å utføre operasjoner som kreves eller ønskes, etter den til enhver tid gjeldende personvernlovgivning. Traveltext vil kunne kreve vederlag for å gi tilgang til slikt verktøy/funksjonalitet, for å dekke inn eventuelle kostnader med utvikling og vedlikehold av dette.
D.3 Særlig om Regnskapsbyrå
Denne databehandleravtalen understøtter kravspesifikasjoner for utkontraktering av system og drift, utarbeidet av Regnskap Norge: https://www.regnskapnorge.no/artikler/teknologi2/kravspesifikasjoner-ved-utkontraktering-av-system--og-driftsoppgaver-fra-regnskapsvirksomheten-til-andre/