Standard databehandleravtale

Dette er Databehandleravtalen mellom medlemsbedriften i Akershus Revisjon AS («AR») og Kunden.

Databehandleravtalen omhandler behandling av personopplysninger i forbindelse med AR sin leveranse av tjenester hvor Kunden er behandlingsansvarlig og AR er databehandler.

Databehandleravtalens hensikt er å regulere rettigheter og plikter etter gjeldende personvernregelverk herunder: EUs personvernforordning (GDPR), gjeldende personopplysningslov, personopplysningsforskriften og generelle råd og veiledning fra tilsynsmyndigheter.

Denne Databehandleravtalen gjelder for alle Kunder («Behandlingsansvarlige») som mottar tjenester fra AR («Databehandler»). Avtalen mellom AR og Kunden består av Oppdragsavtale og tilhørende Standard avtalevilkår (herunder denne Databehandleravtalen).

Kundens ansatte, honorarmottakere og personer som mottar tilskudd/erstatning omtales som de registrerte i denne Databehandleravtalen.

Formålet med Databehandleravtalen er å sikre behandling av personopplysninger slik at de ikke brukes urettmessig eller kommer uberettigede i hende.

AR sitt behandlingsgrunnlag for behandling av personopplysningene er å finne i gjeldende Avtale. Formålet med AR sin behandling av personopplysninger er å levere tjenester til Kunden hvor håndtering av personopplysninger er en nødvendighet. AR skal kun behandle Kundens personopplysninger i den utstrekning det er nødvendig for å oppfylle AR sine plikter.

Behandlingsgrunnlaget oppfyller de krav som er satt for behandling av personopplysninger etter gjeldende personvernregelverk.

Alle personopplysninger som AR gis tilgang til eller på annen måte behandler gjennom avtaleforholdet med Kunden. Kategorier av registrerte er Kundens egne ansatte, Kundens ledelse og eiere samt familiemedlemmer tilknyttet slike personer som Kunden ønsker at Leverandøren skal bistå. Personopplysninger som oftest behandles er navn, personnummer, adresse, arbeidssted, epostadresse, mobilnummer og økonomiske opplysninger relatert til ligning og lignede. På noen personer kan det også være fotografi av personen og opplysninger om utdannelse, arbeidstid, ferie og lignende.

Avtalen omfatter alle behandlinger som er nødvendige for at AR kan oppfylle sine forpliktelser til Kunden og som databehandler etter gjeldende regelverk samt de behandlinger som følger av det løpende avtaleforholdet mellom partene.

AR kan håndtere personopplysninger i henhold til rammene gitt av Kunden i det til enhver tid gjeldende avtaleforhold mellom partene og for å oppfylle AR sitt ansvar som databehandler etter gjeldende regelverk.

Det vises til kapittel 5 i vår Personvernerklæring som har mer detaljert informasjon om hvilke personopplysninger som vi samler inn og hva vi bruker dem til.

AR skal sikre at personopplysningene behandles i samsvar med gjeldende personvernregelverk.

Kunden har, med mindre annet følger av annet gjeldende regelverk, rett til tilgang og innsyn i personopplysningene som behandles hos AR på vegne av Kunden. AR plikter å bistå Kunden med å få slik tilgang og innsyn. AR skal bistå Kunden med å svare på anmodninger som de registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen. Det skal tas hensyn til behandlingens art og hvilke tekniske og organisatoriske tiltak som er egnet.

 AR skal uten ugrunnet opphold varsle Kunden om avvik. AR skal bistå behandlingsansvarlig med melding til tilsynsmyndigheten (Datatilsynet) og eventuelt de registrerte om brudd på personopplysningssikkerheten. Meldingen fra AR til Kunden skal minimum oppfylle kravene fastsatt i gjeldende personvernregelverk. Kunden skal om nødvendig varsle Datatilsynet. For øvrig skal AR håndtere avviket i samsvar med kravene i gjeldende personvernregelverk.

AR sine ansatte har lovfestet taushetsplikt om dokumentasjon og personopplysninger de får tilgang til under Avtalen. Taushetsplikten gjelder også etter Avtalens opphør.

Kunden har ansvar for at personopplysningene behandles i samsvar med instrukser i Avtalen og til enhver tid gjeldende personvernregelverk. Kunden har videre ansvar for å sikre at personopplysninger ikke lagres uten lovhjemmel når det trekkes ut eller etter Avtalen utleveres informasjon fra AR systemer. Kunden har også ansvar for å ikke sende inn mer enn det som opplagt er nødvendig av personopplysninger til AR. Det vil falle utenfor behandlingens formål.

Kunden plikter å varsle AR om alle avvik som medfører risiko for de registrertes rettigheter, i den utstrekning det er nødvendig. Kundens plikter framkommer for øvrig fra gjeldende personvernregelverk.

AR benytter underleverandører for å oppfylle Avtalen med Kunden. I noen tilfeller har ARbehov for å gi underleverandører tilgang til systemområder som inneholder personopplysninger, for å kunne ivareta forpliktelser i Avtalen. I den grad det er nødvendig at de gis tilgang til AR sine systemer, vil underleverandørene være bundet av taushetserklæringer. Underleverandører skal ikke gis tilganger som er mer omfattende eller av lengere varighet enn det som er påkrevd for å utføre leveransene.

I de tilfellene AR benytter seg av underleverandører eller konsulenter til behandling av personopplysninger, skal AR inngå en skriftlig avtale med underleverandøren eller konsulenten, som sikrer minst samme grad av beskyttelse som denne Databehandleravtalen. Slik avtale skal på forespørsel fremlegges for Kunden.

Ved inngåelse av denne Databehandleravtalen godkjenner Kunden samtlige av AR sine underleverandører.

AR kan inngå avtaler med nye underleverandører etter behov. Kun ved de tilfeller at en ny underleverandør medfører en vesentlig endring i vår behandling av Kundes personopplysninger vil det bli gitt særskilt varsel til de berørte kunder.

AR må på forhånd varsle Kunden før personopplysninger overføres til land utenfor EU/EØS. Hvis utlevering kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett, som AR er underlagt, skal AR underrette Kunden om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige samfunnsinteresser forbyr en slik underretning.

Hvis AR skal benytte underleverandør som opererer fra land utenfor EU/EØS (tredjeland), må AR varsle Kunden før personopplysninger overføres. Kunden skal godkjenne en slik overføring.

AR har selvstendig plikt til å gjennomføre egnede sikkerhetstiltak, men skal også som et minimum oppfylle de krav til sikkerhetstiltak som stilles i til enhver tid gjeldende personvernregelverk. Behandlingen skal være underlagt sikringstiltak som ivaretar konfidensialitet, integritet og tilgjengelighet for behandling av personopplysningene i henhold til gjeldende personregelverk.

AR oppfyller kravene til sikkerhetstiltak eksempelvis med fysiske sikringstiltak, tilgangsstyring, internkontrollrutiner, gjennomføring av sikkerhetskopier, sikring av tilgjengelighet, loggføring, utførelse av sikkerhetsrevisjoner i tillegg til rollebeskrivelser og taushetsplikt for ansatte. Rutiner og tiltak for å oppfylle kravene dokumenteres skriftlig av AR. Dokumentasjonen skal være tilgjengelig på forespørsel fra Kunden. Innsyn i dokumentasjonen skal reguleres strengt (gis kun til begrenset antall autoriserte personer) slik at dette ikke svekker sikkerhetsnivået.

AR sin tilgangsstyring sikrer innenfor rammen av hva som er praktisk og hensiktsmessig at kun personer med tjenstlig behov har tilgang til personopplysninger og/eller systemer hvor disse behandles.

Sikkerhetsbrudd og bruk av informasjonssystemet i strid med fastlagte rutiner skal anses som avvik. Hovedregelen er at alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet. Unntak fra dette gjelder hvis det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern og skal vurderes av behandlingsansvarlig.

Datatilsynet har tilsynsmyndighet ovenfor AR og skal gjennomføre tilsyn i henhold til gjeldende personvernregelverk. AR har videre avtalefestet rett til å gjennomføre jevnlige sikkerhetsrevisjoner av alle sine underleverandører.

AR har opprettet rolle for personvernombud som også skal kontrollere overholdelsen av gjeldende personvernregelverk. Personvernombudet er uavhengig i sitt arbeid og mottar ikke instrukser om utførelsen av oppgavene sine. Personvernombudet skal overholde rutiner for å ivareta at personopplysninger behandles i samsvar med både AR sine interne rutiner og gjeldende personvernregelverk.

Behandlingen er ikke tidsbegrenset og Databehandleravtalen gjelder så lenge AR behandler personopplysninger på vegne av Kunden. AR kan gjøre endringer i denne Databehandleravtalen ved endringer i relevant regelverk for personvern.  AR har kun plikt til å informere Kunden ved vesentlige endringer i Databehandleravtalen.

Ved opphør av Avtalen plikter AR, i tråd med de til enhver tid gjeldende regler, å levere tilbake alle personopplysninger som er behandlet på vegne av Kunden og deretter forsvarlig destruere egne kopier. Dette gjelder også eventuelle sikkerhetskopier og så langt det ikke strider mot andre lovbestemmelser.

Kunden har til enhver tid full rådighet over personopplysningene. Kunden har ansvar for å ta imot henvendelser fra den registrerte. AR skal svare på forespørsler om innsyn, retting eller sletting når det foreligger et lovpålagt grunnlag og/eller når databehandler blir instruert til å svare av Kunden.

Henvendelser fra Kunden skal sendes til firmapost hos det aktuelle AR-medlemmet. Dette gjelder både spørsmål om innsyn, retting og sletting av personopplysninger tilknyttet AR sin tjenesteleveranse.

Tvister eller uoverensstemmelser mellom partene etter denne Databehandleravtalen skal først søkes løst mellom partene. Dersom dette ikke lykkes, skal uenigheten eskaleres til neste nivå oppover i linjen inntil enighet oppnås. Dette er i samsvar med alminnelig praksis i forvaltningen.