Pris: Kr. 3000,- per samling.

Vår kursholder møter opp på din bedrift og gjennomfører en 3-timers opplæring tilpasset bedriftens spesifikke behov.

Pris: Kr. 3000,- for 3 x 45 minutter 

Vi avtaler 3-timers opplæring tilpasset bedriftens spesifikke behov via skjermdeling. 

Lisensavtale Nordic Multiforms AS

Oppdatert: Desember 2021

Jeg aksepterer Lisensavtale hos Nordic Multiforms AS. Dette innebærer også Personvernerklæring og Databehandleravtale. Ved å markere denne avkrysningsruten bekrefter jeg at jeg har lest og aksepterer å være bundet av denne avtalen. Hvis jeg godtar avtalen på vegne av et firma bekrefter jeg at jeg har juridisk myndighet til å gjøre vilkårene i avtalen bindende for firmaet.
 

Innhold: 

1. Avtalen gjelder: 

2. Definisjoner 

3. Bakgrunn 

4. Beskrivelse av standard NM 

4.1 Lisenstyper Nordic Multiforms 

5. Forpliktelser 

5.1 Kunde er forpliktet til å: 

5.2 Nordic Multiforms AS er forpliktet til å: 

5.3 Begge parter er forpliktet til følgende: 

6. Tredjepart 

7. Rettigheter 

7.1 Rettigheter til kildekode 

7.2 Rettigheter til data 

8. Support 

8.1 Beskrivelse av forskjellige typer henvendelser: 

8.2 Hvordan retter vi feil i Nordic Multiforms Programvare? 

8.3 Kunder med spesialtilpasninger utover det som leveres i standard: 

8.4 IT-konsulenttjenester 

9. Kommunikasjon og eskalering 

10. Opphør av avtalen 

11. Størrelse på dataområdet 

12. Ansvar og ansvarsfraskrivelse 

13. Force Majeure 

14. Betaling og pris 

14.1 Klager 

14.2 Mislighold 

15. Taushetsplikt 

16. Personvern 

17. Sikkerhet 

18. Oppetid 

19. Tvisteløsning 

20. Annet 

20.1 Kostnad 

20.2 Varighet 

20.3 Nye funksjoner 

 

1. Avtalen gjelder: 

Nordic Multiforms Programvare.

2. Definisjoner 

I Lisensavtalen skal følgende ord og uttrykk ha denne betydning: 

1. “NM”: Nordic Multiforms AS rammeverk og produkter. 

2. “Hovedforfall”: Utløpet av den avtalte kontraktsperiode. 

3. “Kildekode”: Kildekoden til programvaren i originalt programmeringsspråk. 

4. “Kunde”: Organisasjonen kontrakten er inngått med. 

5. “Produksjonsserver”: Serveren som står for den endelige produksjonen av websider. 

6. “Utviklingsserver”: Videreutvikling og oppgradering skjer først mot utviklingsserveren. 

7. “Dataoverføringer”: Overføring av testet og godkjent data fra utviklingsserver til produksjonsserver. 

8. “Produksjonsversjon”: Versjonen kunder har på sine sider. 

9. “Force Majeure”: “Det beskriver særlige omstendigheter som ikke er under menneskelig kontroll og som det derfor på forhånd er klart at mennesker ikke kan avverge” 

10.“Tilpasninger”: Når en kunde ønsker å ha noe spesielt utviklet, som ikke er en del av standard kode. 

11.“Installasjon”: Begrepet på selve siden som kunden har. Dette er her alle deres aktiviteter lages, og hvor deres websider vises. 

12.“IT-konsulenttjenester”: Ekstra tjeneste utover fri support på telefon og e-post. 

13.“Lisens”: Begrep om de ulike produkter som tilbys med rammeverket fra Nordic Multiforms. https://nordicm.no/pris/

14.“Funksjonsliste”: Liste over mange av de ulike funksjonene som hører til lisensene av Nordic Multiforms Programvare. 

15.“Tredjepart”: Kan bety Nordic Multiforms AS sine underleverandører, eller leverandører selv valgt av kunden (som betaling og e-postklient). Nordic Multiforms sine underdatabehandlere, er en annen databehandler eller flere (underleverandører) som Databehandler engasjerer for å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig.

3. Bakgrunn 

Avtalen omfatter leveranse av produkter basert på NM, med nærmere avtalte tilpasninger. Avtalen baseres på leieprinsippet. NM med tilhørende produkter leies for en nærmere bestemt tidsperiode, med gjensidig rett til fornyelse av leieperioden gitt de begrensninger bestemt av denne avtalen. 

Med lisens menes det i denne avtalen en bruksrett til applikasjonen over Internett og med et webgrensesnitt og ikke retten til å ha en kopi av programmet på egen server/maskin. Kunde gis en ikke eksklusiv rett og ikke overførbar lisens til bruk av applikasjonen.  

Leveransen omfatter NM med tilpasninger, slik de er levert i produksjonsversjon. NM kan ikke tilpasses av kunde eller tredjepart uten særlig avtale med Nordic Multiforms AS. Kunden har ikke tilgang til kildekoden. Nordic Multiforms AS er ikke ansvarlig for NM hvis NM modifiseres av andre, med mindre disse er godkjent av Nordic Multiforms AS. Nordic Multiforms AS er ikke ansvarlig for bruk av moduler som ikke er i produksjonsversjon, for eksempel alfa -og betaversjoner av rammeverksmoduler. 

En installasjon leveres på produksjonsserver hvor Nordic Multiforms AS er ansvarlig for server, linjer, backup og UPS (drift). 

NM leveres for å virke i standard nettlesere, som Chrome, Firefox, Microsoft Edge, Opera og Safari i henhold til standarder gitt av World Wide Web Consortium. Ikke all funksjonalitet vil virke i alle nettlesere til enhver tid pga. nettlesernes til tider manglende evne til å støtte standarder. Kundekrav kan medføre at kompatibiliteten ikke kan beholdes. Kunden vil i disse tilfellene bli gjort oppmerksom på det.

4. Beskrivelse av standard NM 

Det henvises til den til enhver tid gjeldende beskrivelse på www.Nordicm.no 

4.1 Lisenstyper Nordic Multiforms

Alle brukere har tilgang til alle funksjoner i programvaren. Prisen justeres etter antall brukere per bedrift og antall kontakter lagret i hver installasjon.   

   

Det henvises til den til enhver tid gjeldende beskrivelse på www.Nordicm.no

 

5. Forpliktelser 

5.1 Kunde er forpliktet til å: 

• Avvik fra standard “Ut av boksen”. Ha gitt uttrykk for formålet, samt sine krav og behov på en klar måte gjennom kravspesifikasjon, som grunnlag for NMs ytelser
• Akseptere Nordic Multiforms AS sin implementering av krav og endringer slik at disse passer med NM slik denne foreligger hos Nordic Multiforms AS, så lenge dette ikke innebærer vesentlig reduksjon i kvalitet og/eller ytelse for kunden. Avvik fra dette vil øke risikoen for kunden og vil kunne få betydning bl.a. for fremdrift og pris.
• Gi Nordic Multiforms AS tilstrekkelige opplysninger i forbindelse med alle forhold som kan være av betydning for vellykket installasjon og drift av NM. 
• Selv å sørge for at de har nødvendige oppgraderinger og rettigheter til de programmer og/eller utstyr de allerede har installert og som er nødvendig for at de kan virke sammen med NM.
• Foreta nødvendige forberedelser for Nordic Multiforms ASs installasjon av NM med tilleggsytelser.
• Opptre i eget navn overfor sluttkunde og ikke på noen måte forplikte Nordic Multiforms AS overfor en tredjepart. Nordic Multiforms AS har således intet kontraktsmessig forhold til  kundens sluttkunder. Forhold vedrørende reklamasjon og garanti reguleres av den til enhver tid gjeldende lisensavtale. 

5.2 Nordic Multiforms AS er forpliktet til å: 

• Tilrettelegge og drifte NM slik den foreligger hos Nordic Multiforms AS med de krav og endringer som fremkommer i kundens kravspesifikasjon.
• Gi kunden den avtalte disposisjonsretten og tilgang til programmene og egne data slik at dette kan utnyttes uten hinder av andres opphavsrett, eller andre rettigheter.
• Gi kunden tilstrekkelige opplysninger i forbindelse med alle forhold som kan være av betydning for vellykket installasjon og drift av NM.
• Nordic Multiforms AS plikter å varsle kunden hvis opplysninger som er nødvendige for en vellykket implementasjon uteblir. 
• Gi kunden opplysninger om viktige oppdateringer.
• Foreta standard oppgraderinger av NM som ikke er spesialutviklet for kunde vederlagsfritt i avtalt lisensperiode. 

5.3 Begge parter er forpliktet til følgende: 

• Ivareta tilfredsstillende sikkerhet i forhold til bruk, oppbevaring og endring av passord, samt beskyttelse av egne PC-er mot virus, eller andre mulige skade kilder. 

6. Tredjepart 

Partene plikter å samarbeide med tredjepart eller underleverandører i den utstrekning partene finner dette nødvendig for å oppnå formålet med avtalen. Omfanget av slik bistand samt eventuelt vederlag, avtales nærmere. En part kan imidlertid kreves fritatt for slike plikter, dersom han dokumenterer at slikt samarbeid vil virke uheldig inn på forholdet til hans eksisterende underleverandører eller forretningsforbindelser. 

Hver av partene er ansvarlig for ytelser som utføres av tredjepart eller underleverandører han måtte engasjere. 

De underleverandører som Nordic Multiforms AS allerede benytter og er godkjent, vil stå oppført i Databehandleravtale. 

Om kunde selv ønsker å benytte betalingsløsninger, e-postklienter og lignende type tredjeparter, så er dette ikke allerede valgte underleverandører av Nordic Multiforms, men en underleverandør som kunde selv har valgt å benytte. 

7. Rettigheter 

Denne avtale gir bruksrett til den standard NM programvare som er avtalt, forutsatt at lisens og vedlikeholdsavgift er betalt etter avtalte betingelser. Det overføres ingen opphavs- eller eiendomsrett. Det betales 12 mnd forskudd på leie av programvare, inklusive server og backup. Nordic Multiforms AS har retten til å flytte kunder mellom servere og leverandører; dette kan være nødvendig grunnet best ytelse for kunde. 

Vedlikeholdsavtalen gir rett til fri oppgradering av programvaren til nye versjoner. 

Avvik: Spesialtilpasninger og tjenester tilknyttet oppgraderingen er ikke inkludert. Kunden betaler for tiden det tar å gjøre en oppgradering når de har tilpasninger utenom standard. Spesialtilpasninger vil gjøre oppgraderingen mer komplisert. 

Kunden kan ikke kopiere/selge, eller videreutvikle NM for salg til eksterne kunder, ei heller kopiere/selge til andre bedrifter innenfor konsern el. Gjensidig taushetsplikt angående interne, eksterne og tekniske forhold gjelder for begge parter i avtalen. 

Nordic Multiforms AS forbeholder seg retten til å legge eventuelle tilpasninger inn i neste versjon av NM dersom dette defineres som formålstjenlig. 

Alle data, grafisk layout og grafisk spesialdesignede elementer overlevert Nordic Multiforms AS er å betrakte som kundens eiendom, og benyttes kun for den respektive kunden.

7.1 Rettigheter til kildekode 

Dersom Nordic Multiforms AS avvikles eller det på annen måte oppstår tilfeller der det ikke kan tilbys tilfredsstillende tidsmessig vedlikehold av NM programvare, eller dersom Nordic Multiforms AS vesentlig misligholder kontrakten, er kunden berettiget til å gis tilgang til kildekoden, forutsatt at denne kun benyttes av kunden for videre drift– og utvikling av løsningen, og ikke kopieres, selges eller overdras til annet selskap. Det overføres ingen eierrettigheter.

7.2 Rettigheter til data 

Data som blir lagt inn av kunde regnes som kundes eiendom og kunde har full råderett over dataene. Nordic Multiforms AS har likevel rett til å slette data som Nordic Multiforms AS anser som skadelig for systemet eller data som er ulovlig etter norsk lovgivning. Om Nordic Multiforms AS finner ut at kunden samler inn ulovlig informasjon, så kan dette bli meldt inn til Datatilsynet. 

Metoder for datautevering: 

1. Kunden har anledning til å selv hente ut deltagerliste i Excel, kostnadsfritt. 
2. Vi tilbyr all deltagerdata (fornavn,etternavn, firmanavn, e-post, mobil, status og aktivitetsnavn) i tekstfil på standard SQL-format. Beregnet tid 1 time, veiledende timepris. Om det ønskes annet eller mer, må dette bestilles og estimeres. 
3. Andre metoder. Ved eventuelt opphør av denne avtale har kunden rett til å få sine data utlevert på egnet filformat. Tid avhenger av type filformat. Be om pristilbud. 
4. Kunde kan hente ut alle sine NMF for faktura og lignende selv fra systemet. Det kan også bestilles at Nordic Multiforms AS skal gjøres dette til veiledende timespris. 

8. Support 

8.1 Beskrivelse av forskjellige typer henvendelser: 

• Rapportering av feil i Nordic Multiforms Programvare er alltid gratis.
• Hjelp og opplæring over telefonen er gratis. 
• Utvidet støtte i hendhold til “spesialavtale” eller standard avtale, se bestilling lisens.    
• Alle andre oppgaver skal som regel belastes kunden time for time til veiledende timepris kr. 990,- 

8.2 Hvordan retter vi feil i Nordic Multiforms Programvare? 

• Alvorlige og kritiske feil i standardkode rettes umiddelbart og kostnadsfritt.
• Øvrige feil rettes kostnadsfritt som en del av standardutvikling og prioriteres avhengig av alvorlighetsgrad.

8.3 Kunder med spesialtilpasninger utover det som leveres i standard: 

• Tiden vi bruker på å oppgradere kunder som har bestilt tilpasninger som avviker fra standard løsning, belastes time for time til veiledende timepris. Kunden kan velge å fjerne tilpasninger for å unngå denne kostnaden. 
• Retting av feil i tilpasninger som er godkjent og satt i produksjon belastes kunden time for time til veiledende timepris. Feil rapporteres til remi.solberg@nordicm.no eller telefon 90 13 19 19.  

8.4 IT-konsulenttjenester 

Ved behov for IT-konsulenttjenester som bedriften kan brukes etter eget ønske: utvidet opplæring, design, IT-utvikling, Workshop o.l. kr. 990,. per time. 

9. Kommunikasjon og eskalering

Muntlige estimater og godkjennelser er ikke gyldige. For at et tilbud skal være gyldig må det foreligge en kravspesifikasjon i skriftlig form, som er estimert av en på forhånd godkjent person. Kommunikasjon skal være skriftlig for å være tellende i prosjekt og klagesaker. 

10. Opphør av avtalen 

Avtaleperioden er 12 md. Avtalen er løpende fra år til år og fornyes automatisk. Oppsigelsesfrist: 1 md. før ny peride starter. Oppsigelse påvirker ikke kundens plikt til å betale for gjenværende del av eksisterende avtaleperiode, men medfører at ny avtaleperiode ikke påløper. Dersom det er tegnet spesialavtale gjelder egen avtaleperioden i henhold til signert avtale/ tilbudsbrev. Alt innhold og data slettes umiddelbart ved slutt på avtaleperioden.  

11. Størrelse på dataområdet 

Ved forbruk av diskplass over det som oppfattes som normalt i forhold til antall brukere kan Nordic Multiforms AS fakturere for det overskytende for det resterende av abonnementsperioden. Dette tas opp direkte med kunde før faktura sendes. 

1. Normalt forbruk av diskplass: 2 Gigabyte (GB) 

2. Unormalt høyt forbruk av diskplass: over 100 Gigabyte (GB). Overstiger denne grensen påløper kr 500,- per md (Til info: Ingen kunder er i nærheten av et forbruk på mer enn 30 Gigabyte) 

12. Ansvar og ansvarsfraskrivelse 

Nordic Multiforms AS er ikke ansvarlig for nedetid som skyldes feil på linjer fram til serveren. 

Nordic Multiforms AS er under ingen omstendighet ansvarlig for avledede eller indirekte skader, herunder tapt fortjeneste eller tap av forventede besparelser eller gevinster. 

Nordic Multiforms AS er ikke ansvarlig for noe krav som tredjepart måtte reise mot kunden, selv om Nordic Multiforms AS måtte være underrettet om muligheten for slike skader, tap eller krav. Uansett omfang begrenses Nordic Multiforms AS ansvar til kontraktsbeløpet. 

For spesialtilpasset funksjonalitet/integrasjoner må det foreligge en kravspesifikasjon for at tilbudet skal være gyldig. Endring av kravspesifikasjonene underveis vil medføre stor risiko for at leveransedato og timeestimat kan bli overskredet. Dersom dette kan skje, skal Nordic Multiforms AS gi kunden beskjed ved mottagelse av endret kravspesifikasjon. Før Nordic Multiforms AS eventuelt overskrider grensen for totalt antall timer, skal problemet forelegges kunden som skal kunne velge om prosjektet stanses eller fortsettes med en avtalt høyere timeramme. Det anbefales at kunden prioriterer kravspesifikasjonen slik at vi jobber ut ifra prioritetene for å få en så komplett løsning som mulig. Ved problemer som skyldes endringer som Nordic Multiforms AS er ansvarlig for gjelder følgende svartider: Nordic Multiforms AS skal gi respons før slutten av neste arbeidsdag. Problemets omfang og alvorlighetsgrad vil avgjøre når en løsning på problemet kan foreligge. Feil må varsles via e-post til remi.solberg@nordicm.no eller annen feilmeldingskanal angitt av NM innen utgangen av påfølgende arbeidsdag. 

13. Force Majeure 

Skulle det inntreffe en ekstraordinær situasjon som ligger utenfor partenes kontroll som gjør det umulig å oppfylle plikter etter denne avtalen og som etter norsk rett må regnes som force majeure, skal motparten varsles om dette så raskt som mulig. Den rammede parts forpliktelser suspenderes så lenge den ekstraordinære situasjonen varer. Den annen parts motytelse suspenderes i samme tidsrom. I en slik ekstraordinær situasjon kan motparten bare gå fra avtalen dersom situasjonen varer eller antas å ville vare lenger enn 90 (nitti) kalenderdager, og da bare med 15 (femten) kalenderdagers varsel. 

14. Betaling og pris 

Betalingsbetingelser og satser er spesifisert i eget tilbud. Alt arbeid som ikke er spesifisert i kravspesifikasjonen blir fakturert separat. 

• Reise faktureres etter statens satser (inkl. diett)+ ½ timepris. 
• SMS til deltagere faktureres iht gjeldende pris pr melding (1 melding teller 160 tegn) 
• Alle priser er i NOK eks MVA. 
• 1 dag = 7,5 timer. 
• 3% purregebyr pr påbegynte måned.
• Minste fakturerbare enhet: 0,5 t.
• Betalingsbetingelser: Normalt 10 dager forfall, hvis ikke annet er avtalt.
• Lisens og timepriser kan justeres den 1.1 hvert år, men justeres tidligst etter 12 mnd. Her gjelder norsk lovgivning for prisregulering.

Sanksjoner ved manglende betaling eller, utleggelse eller distribusjon av materiale/informasjon på Internett som strider med norsk lovgivning:

• Installasjon/software stenges.
• Det arbeides ikke mer i noen prosjekter.
• Det gis ikke support.
• Nordic Multiforms AS overtar da alle rettigheter til kundespesifikk kildekode i løsningen.

14.1 Klager 

Det er 14 dager klagefrist på timeføringer/prosjektrapporter/faktura/produkter og tilpasninger etter at faktura er mottatt, hvis ikke annet er avtalt. Hvis vi ikke mottar en skriftlig klage innen fristen tolkes timeføringer/prosjektrapport/faktura/produkt og tilpasninger som godkjent og det er ikke anledning til å klage på dette senere. Klagen rettes til daglig leder. 

14.2 Mislighold 

Dersom en av partene innstiller sine betalinger, søker akkordforhandlinger eller gjeldsforhandlinger underhånden eller med skifterettens bistand, melder oppløsning eller går konkurs, er den annen part berettiget til å heve avtalen med øyeblikkelig virkning. Ved vesentlig mislighold av avtalens punkter fra kundens side, påberoper Nordic Multiforms AS seg retten til midlertidig å fjerne kundens sider fra Internett. Eventuelt besøkende vil møte følgende tekst "Site unavailable”. Med vesentlig mislighold kan tolkes: manglende betaling, utleggelse eller distribusjon av materiale/informasjon på Internett som strider med norsk lovgivning.

15. Taushetsplikt 

Nordic Multiforms AS og alle dets representanter har taushetsplikt for interne forhold hos kunden. Taushetsplikten gjelder ikke forhold som bryter med loven i det landet NM er installert i. Nordic Multiforms AS kan pålegge kunden taushetsplikt, for eksempel i forbindelse med nye funksjoner i NM. 

16. Personvern 

Nordic Multiforms AS forplikter seg til å følge personopplysningsloven og forskrift om behandling av personopplysninger, hva gjelder behandling av personopplysninger. Kunden har dog selv ansvar for hvilke data som hentes inn i skjema som bygges i løsningen. Nordic Multiforms AS forholder seg til "Databehandleravtalen", og i tillegg eget dokument for “Personvernerklæring” (vedlegg i Databehandleravtalen).

17. Sikkerhet

Ingen webbasert løsning er sikrere enn det svakeste leddet. Med part menes i denne sammenheng; Nordic Multiforms AS, kunde og tredjepart som f.eks. Webhuset AS. 

Nordic Multiforms AS benytter seg p.t. av Webhuset AS. Se forøvrig egen beskrivelse i sikkerhetspolicy. Tredjepart for Nordic Multiforms AS, er de underleverandører som står oppført i Databehandleravtale

18. Oppetid

Nordic Multiforms AS garanterer 98 % oppetid for løsningene som leveres. Nedetid som skyldes linjer eller maskinvare levert av tredjepart, integrasjoner, spesialtilpasninger eller brukerfeil regnes ikke inn i "garantert oppetid". Dersom nedetid på forhånd er varslet, og er akseptert av kunde, vil dette heller ikke regnes inn i "garantert oppetid".

19. Tvisteløsning 

Ved uenighet mellom partene etter denne avtale, skal tvisten først søkes løst med megling mellom partene. Dersom ikke slik mekling fører frem, kan saken anlegges for domstolene på vanlig måte.

20. Annet 

Kundeforholdet er offentlig og kan synliggjøres i ulike kanaler av begge parter. Produkter fra Nordic Multiforms AS inneholder tekst i bunn av e-post og nettsider, hvor det vises til profilering av Nordic Multiforms AS. Om det ønskes at det fjernes fra deres installasjon, så kan dette gjøres mot en kostnad pr år, ta kontakt om aktuelt.

20.1 Kostnad 

Kostnader i henhold til eventuelt oversendt pristilbud eller priser på Nordicm.no

20.2 Varighet

Avtalen er normalt løpende basert på årlig abonnement og skriftlig oppsigelse må sendes 1 (en) måned før abonnementet utløper, ref. dato på signert ordrebekreftelse.

 

Databehandleravtale

Nordic Multiforms AS

Oppdatert: 2024

Mellom

Lisenskjøper (behandlingsansvarlig)

og

Nordic Multiforms AS  (databehandler)

Org. nr.: 926 100 947

Sentrum 2

3186 HORTEN

Norge

 

Databehandleravtale 1

1. Innhold 

2. Innledning 

3. Behandlingsansvarliges rettigheter og plikter 

4. Databehandleren skal handle etter instrukser 

5. Konfidensialitet 

6. Sikkerhet ved behandlingen 

7. Bruk av underdatabehandlere 

8. Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner 

9. Bistand til den behandlingsansvarlige 

10. Melding om brudd på personopplysningssikkerheten 

11. Sletting og retur av data 

12. Revisjon og inspeksjoner 

13. Ytterligere bestemmelser 

14. Start og opphør 

15. Den behandlingsansvarliges og databehandlers kontaktopplysninger 

Vedlegg A – Informasjon om behandlingen 

A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlig: 

A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal i hovedsak relatere seg til (behandlingens gjenstand): 

A.3. Behandlingen omfatter de følgende typer personopplysninger om de registrerte: 

A.4. Behandlingen omfatter følgende kategorier registrerte: 

A.5. Databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig kan utføres når Kontraktsbestemmelsene får virkning. Behandlingen har følgende varighet: 

Vedlegg B – Godkjente underdatabehandlere 

B.1. Godkjente underdatabehandlere 

B.2. Forutgående varsel for tillatelse for underdatabehandlere 

Vedlegg C – Instrukser for bruk av personopplysninger 

C.1. Omfanget av/instrukser for behandlingen 

C.2. Sikkerhet ved behandlingen 

Krypteringstiltak 

Tiltak for å sikre personopplysningenes fortrolighet (konfidensialitet) 

Tiltak for å sikre personopplysningenes integritet 

Tiltak for å sikre tilgjengeligheten til personopplysningene 

Tiltak for å sikre robusthet i behandlingssystemene og -tjenestene 

Tiltak for fysisk sikring av lokaler hvor data behandles 

Andre datasikkerhetstiltak: 

C.3. Bistand til den behandlingsansvarlige 

C.4. Fremgangsmåte for lagringstid/sletting 

C.5. Behandlingssted 

C.6. Instrukser for overføring av personopplysninger tredjestat 

Twilio SendGrid 

C.7. Fremgangsmåte for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, av behandlingen av personopplysninger som utføres av databehandleren 

C.8. Fremgangsmåter for revisjoner, inkludert inspeksjoner, av behandlingen av personopplysninger som utføres av underdatabehandlere 19

Vedlegg D – Ytterligere bestemmelser avtalt mellom partene 

 

1. Innhold

Hver omtalt som en «part» eller sammen som «partene»

Databehandleravtale gjelder for alle Kunder ved Kontraktsinngåelse.

2. Innledning

1. Disse standard kontraktsbestemmelser (Kontraktsbestemmelsene) regulerer rettigheter og plikter for behandlingsansvarlig og databehandler, når det behandles personopplysninger på vegne av den behandlingsansvarlige. 
2. Kontraktsbestemmelsene er utformet for å sikre partenes overholdelse med artikkel 28(3) i Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning – GDPR). 
3. I forbindelse med leveranse av Nordic Multiforms programvare, vil databehandleren behandle personopplysninger på vegne av den behandlingsansvarlige i henhold til Kontraktsbestemmelsene.
4. Kontraktsbestemmelsene skal ha forrang over andre tilsvarende bestemmelser i andre avtaler mellom partene. 
5. Fire vedlegg er inntatt i Kontraktsbestemmelsene og anses som omfattet av Kontraktsbestemmelsene.
6. Vedlegg A inneholder detaljer om behandlingen av personopplysninger, herunder behandlingens formål og art, typen personopplysninger, kategorier av registrerte og varigheten av behandlingen.
7. Vedlegg B inneholder den behandlingsansvarliges vilkår for databehandlerens bruk av underdatabehandlere og en liste over underdatabehandlere godkjent av den behandlingsansvarlige.
8. Vedlegg C inneholder den behandlingsansvarliges instrukser for behandlingen av personopplysninger, minimum sikkerhetstiltak som skal implementeres av databehandleren og hvordan revisjoner av databehandleren og eventuelle underdatabehandlere skal gjennomføres.
9. Vedlegg D inneholder regulering av andre aktiviteter som ikke er dekket av Kontraktsbestemmelsene.
10. Kontraktsbestemmelsene skal ikke frita databehandleren fra plikter som databehandleren skal følge etter personvernforordningen (GDPR) eller annen lovgivning.

3. Behandlingsansvarliges rettigheter og plikter

1. Den behandlingsansvarlige er ansvarlig for å sikre at behandlingen av personopplysninger utføres i samsvar med GDPR (se artikkel 24 i GDPR), personvernreglene i gjeldende EU eller Medlemsstats personvernregler og Kontraktsbestemmelsene.
2. Den behandlingsansvarlige har rett og plikt til å fatte beslutninger om formålene med og midlene for behandlingen av personopplysninger.
3. Den behandlingsansvarlige skal være ansvarlig, for blant annet, å sikre at behandlingen av personopplysninger, som databehandleren er instruert om å utføre, har et rettslig grunnlag.

4. Databehandleren skal handle etter instrukser 

Databehandleren skal behandle personopplysninger bare på dokumenterte instrukser fra den behandlingsansvarlige, med mindre det kreves i henhold til unionsretten eller Medlemsstatenes nasjonale rett som databehandleren er underlagt. Slike instrukser skal være spesifisert vedlegg A og C. Senere instrukser kan også gis av den behandlingsansvarlige i løpet av behandlingen av personopplysninger, men slike instrukser skal alltid være dokumenterte og oppbevares i skriftlig form, herunder elektronisk, i overensstemmelse med Kontraktsbestemmelsene.

Databehandleren skal omgående underrette den behandlingsansvarlige dersom vedkommende mener at en instruks gitt av den behandlingsansvarlige er i strid med GDPR eller andre bestemmelser om vern av personopplysninger i unionsretten eller Medlemsstatenes nasjonale rett.

5. Konfidensialitet

1. Databehandleren skal kun gi tilgang til personopplysninger som behandles på vegne av den behandlingsansvarlige til personer som er under databehandlerens myndighet og som er forpliktet til konfidensialitet eller er underlagt egnet lovfestet taushetsplikt og kun som har nødvendig behov for tilgang. Listen over personer som har tilgang til personopplysningene skal regelmessig gjennomgås. Som følge av gjennomgang skal tilgang til personopplysningene bli trukket tilbake dersom slik tilgang ikke lenger er nødvendig for personene. 
2. Databehandleren skal på anmodning fra den behandlingsansvarlige påvise at de involverte personene under databehandlerens myndighet er omfattet av ovennevnte konfidensialitetsplikt. 

6. Sikkerhet ved behandlingen

1. Artikkel 32 i GDPR angir at, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål av behandlingen og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. 

2. Den behandlingsansvarlige skal vurdere risikoen til rettigheter og friheter for fysiske personer som omfattes av behandling og implementere tiltak for å redusere risikoen. Avhengig av relevans, kan slike tiltak omfatte følgende: 

• Pseudonymisering og kryptering av personopplysninger,
• evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene,
• evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse,
• en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.

3. I henhold til artikkel 32 i GDPR, skal databehandleren også – uavhengig fra den behandlingsansvarlige – vurdere risikoen til rettigheter og friheter for fysiske personer som omfattes av behandlingen og implementere tiltak for å redusere risikoen. For dette formål skal den behandlingsansvarlige tilveiebringe databehandleren med all informasjon som er nødvendig for å identifisere og vurdere slik risiko. 
4. Videre skal databehandleren bistå den behandlingsansvarlige i å sikre overholdelse av den behandlingsansvarliges plikter etter artikkel 32 i GDPR, ved å bl.a. å sørge for at den behandlingsansvarlige får informasjon om tekniske og organisatoriske tiltak som er implementert av databehandleren i henhold til artikkel 32 i GDPR sammen med all annen informasjon som er nødvendig for den behandlingsansvarlige til å overholde dennes plikter under artikkel 32 i GDPR.

Dersom det i ettertid – ved vurderingen foretatt av den behandlingsansvarlige – viser seg at den identifiserte risiko krever implementering av ytterligere tiltak av databehandleren enn de tiltak som allerede er implementert av databehandleren etter artikkel 32 i GDPR, skal den behandlingsansvarlige spesifisere disse ytterligere tiltak som skal implementeres i Vedlegg C.

7. Bruk av underdatabehandlere

1. Databehandleren skal overholde kravene inntatt i artikkel 28(2) og (4) i GDPR for å engasjere en annen databehandler (en underdatabehandler).

2. Databehandleren skal derfor ikke engasjere annen databehandler (underdatabehandler) for oppfyllelse av Kontraktsbestemmelsene uten at det på forhånd er innhentet generell skriftlig tillatelse fra den behandlingsansvarlige.

3. Databehandleren er gitt generell tillatelse fra den behandlingsansvarlige for å engasjere underdatabehandlere. Databehandleren skal skriftlig underrette den behandlingsansvarlige om eventuelle planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere minst 1 måned på forhånd, og dermed gi den behandlingsansvarlige muligheten til å motsette seg slike endringer før underdatabehandler(e) engasjeres. Ytterligere tid for underrettelse for spesifikk underdatabehandling kan inntas i Vedlegg B. Liste over underdatabehandlere som allerede er godkjent av den behandlingsansvarlige kan inntas i Vedlegg B.

4. Dersom databehandleren engasjerer en underdatabehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal de samme forpliktelsene som er fastsatt i Kontraktsbestemmelsene bli pålagt underdatabehandleren ved avtale eller et annet rettslig dokument i henhold til unionsretten eller Medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i Kontraktsbestemmelsene og GDPR.

Databehandleren skal derfor være ansvarlig for at underdatabehandleren minimum overholder de forpliktelser som databehandleren er pålagt etter Kontraktsbestemmelsene og GDPR.

5. En kopi av slik underdatabehandleravtale og etterfølgende endringer skal – på den behandlingsansvarliges forespørsel – oversendes den behandlingsansvarlige, og dermed gi den behandlingsansvarlige muligheten til å sikre at de samme plikter for behandling av personopplysninger pålegges underdatabehandleren. Bestemmelser for kommersielle forhold som ikke har betydning for behandling av personopplysninger under underdatabehandleravtalen, er ikke omfattet plikten til oversendelse til den behandlingsansvarlige.

6. Dersom underdatabehandleren ikke oppfyller sine forpliktelser for databehandling, skal databehandleren overfor den behandlingsansvarlige ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser. Dette har ikke betydning for de rettigheter den registrerte har under GDPR – spesielt de rettigheter som er forutsatt i artikkel 79 og 82 i GDPR – overfor den behandlingsansvarlige og databehandleren, inkludert underdatabehandleren.

8. Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner

1. Enhver overføring av personopplysninger til tredjestat eller internasjonale organisasjoner av databehandleren skal kun finne sted på grunnlag av dokumenterte instrukser fra den behandlingsansvarlige og skal kun skje i overensstemmelse med kapittel V i GDPR.
2. Dersom overføring til tredjestat eller internasjonale organisasjoner, som databehandleren ikke er blitt instruert til å foreta av den behandlingsansvarlige, som er påkrevet etter unionsretten eller Medlemsstatenes nasjonale rett som databehandleren er underlagt, skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, med mindre de rettslige kravene av hensyn til viktige allmenne interesser forbyr en slik underretning.
3. Uten dokumenterte instrukser fra den behandlingsansvarlige, kan databehandleren derfor ikke innenfor disse Kontraktsbestemmelser:
   1. overføre personopplysninger til en behandlingsansvarlig eller databehandler i en tredjestat eller en internasjonal organisasjon
   2. overføre behandlingen av personopplysninger til en underdatabehandler i en tredjestat
   3. la personopplysningene behandles av en databehandler i en tredjestat
4. Den behandlingsansvarliges instrukser vedrørende overføring av personopplysninger til en tredjestat inkludert, hvis relevant, overføringsgrunnlagene etter kapittel V i GDPR som de er basert på, skal inntas i Vedlegg C.6.
5. Kontraktsbestemmelsene skal ikke forstås som standard personvernbestemmelser etter artikkel 46(2)(c) og (d) i GDPR, og Kontraktsbestemmelsene kan ikke benyttes som overføringsgrunnlag etter kapittel V i GDPR.

9. Bistand til den behandlingsansvarlige

1. Hensyntatt arten av behandling, skal databehandleren bistå den behandlingsansvarlige ved hjelp av egnede tekniske og organisatoriske tiltak, i den grad det er mulig, med å oppfylle den behandlingsansvarliges plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III i GDPR.

Dette omfatter at databehandleren, i den grad det er mulig, skal bistå den behandlingsansvarlige med den behandlingsansvarliges overholdelse av:

• Retten til å bli informert ved innsamling av personopplysninger fra den registrerte
• retten til å bli informert dersom personopplysninger ikke har blitt samlet inn fra den registrerte
• retten til innsyn av den registrerte
• retten til retting
• retten til sletting («retten til å bli glemt»)
• retten til begrensning av behandling 
• underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling 
• retten til dataportabilitet
• retten til å protestere mot å omfattes av automatiserte individuelle avgjørelser, inkludert profilering

2. I tillegg til databehandlerens plikt til å bistå den behandlingsansvarlige i henhold til punkt 6.3., skal databehandleren videre, hensyntatt arten av behandlingen og informasjon som er tilgjengelig for databehandleren, bistå den behandlingsansvarlige med overholdelse av:
   1. Den behandlingsansvarliges plikt til uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde brudd på personopplysningssikkerheten til vedkommende tilsynsmyndighet, Datatilsynet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter, 
   2. den behandlingsansvarliges plikt til å underrette om brudd på personopplysningssikkerheten til den registrerte, om det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter,
   3. den behandlingsansvarliges plikt til å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (en vurdering av personvernkonsekvenser), 
   4. den behandlingsansvarliges plikt til å rådføre seg med vedkommende tilsynsmyndighet, Datatilsynet, før behandling hvor en vurdering av personvernkonsekvensene som tilsier at behandlingen vil medføre en høy 

5. risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen.

3. Partene skal angi i Vedlegg C egnede tekniske og organisatoriske tiltak som databehandleren skal bistå den behandlingsansvarlige med i tillegg til omfang og om bistand er påkrevet. Dette gjelder de plikter som er forutsatt i punkt 9.1. og 9.2. 

10. Melding om brudd på personopplysningssikkerheten

1. I tilfelle brudd på personopplysningssikkerheten, skal databehandleren uten ugrunnet opphold etter å ha fått kjennskap til det, underrette den behandlingsansvarlige om bruddet på personopplysningssikkerheten.
2. Databehandlerens underretning til den behandlingsansvarlige skal, om mulig, skje innen 36 timer etter databehandleren har fått kjennskap til bruddet på personopplysningssikkerheten for å overholde den behandlingsansvarliges plikt til å melde bruddet på personopplysningssikkerheten til relevant tilsynsmyndighet, jf. artikkel 33 i GDPR.
3. I henhold til punkt 9(2)(a), databehandleren skal bistå den behandlingsansvarlige i å melde bruddet på personopplysningssikkerheten til vedkommende tilsynsmyndighet, hvilket omfatter at databehandleren skal bistå i å innhente informasjonen nedenfor som, i henhold til artikkel 33(3) i GDPR, skal inntas i den behandlingsansvarliges melding til vedkommende tilsynsmyndighet:
   1. Arten av personopplysninger, herunder når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt,
   2. de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
   3. de tiltak som er truffet eller foreslått å bli tatt av den behandlingsansvarlige for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger.
4. Partene skal angi i Vedlegg D det databehandleren skal tilveiebringe når denne bistår den behandlingsansvarlige i meldingen av bruddet på personopplysningssikkerheten til tilsynsmyndigheten.

11. Sletting og retur av data

1. Databehandleren påtar seg å kun behandle personopplysninger for det formål og for den varighet som pålegges etter nevnte bestemmelser og kun under de betingelser som bestemmelsene setter. Ved opphør av bestemmelsene om tjenestene knyttet til behandling av personopplysninger, er databehandleren forpliktet til å slette alle personopplysninger som er behandlet på vegne av den behandlingsansvarlige og bekrefte overfor den behandlingsansvarlige at dette er gjort.

12. Revisjon og inspeksjoner

1. Databehandleren skal gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise overholdelse av pliktene som følger av artikkel 28 og Kontraktsbestemmelsene, og tillate og bidra til revisjoner, inkludert inspeksjoner, utført av den behandlingsansvarlige eller annen revisor bemyndiget av den behandlingsansvarlige.

2. Fremgangsmåter for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, av databehandleren og underdatabehandlere er regulert nærmere i Vedlegg C.7 og C.8.
3. Databehandleren skal være pålagt å gi tilsynsmyndigheter, som etter relevant lovgivning skal ha tilgang til den behandlingsansvarliges og databehandlers lokaler, eller representanter som handler på vegne av slike tilsynsmyndigheter, tilgang til databehandlerens fysiske lokaler ved fremleggelse av egnet identifikasjon. 

13. Ytterligere bestemmelser

Partene kan avtale ytterligere bestemmelser vedrørende behandling av personopplysninger som spesifiserer f.eks. ansvar, så lenge disse ikke er i direkte eller indirekte motstrid med Kontraktsbestemmelsene eller forringer de grunnleggende rettigheter og friheter for registrerte og den beskyttelse som GDPR gir. 

14. Start og opphør

1. Kontraktsbestemmelsene skal gjelde når de er signert av begge parter. Kunden signerer Kontrakten.
2. Begge parter skal ha rett til å kreve at Kontraktsbestemmelsene reforhandles dersom det skjer endringer i rettslige forhold eller uventede forhold gir grunn til slik reforhandling.

3. Kontraktsbestemmelsene skal gjelde for så lenge det leveres tjenester fra databehandleren knyttet til behandling av personopplysninger. Så lenge det leveres tjenester for behandling av personopplysninger kan ikke Kontraktsbestemmelsene sies opp dersom ikke andre bestemmelser om behandling av personopplysninger er avtalt mellom partene. 
4. Dersom behandling av personopplysninger opphører, og personopplysningene slettes eller tilbakeleveres til den behandlingsansvarlige etter punkt 11.1. og Vedlegg C.4, kan Kontraktsbestemmelsene sies opp med skriftlig varsel fra en av partene til den andre part. 

15. Den behandlingsansvarliges og databehandlers kontaktopplysninger

1. Databehandler kan kontaktes ved følgende kontakter/kontaktpunkter:
   remi.solberg@nordicm.no
2. Behandlingsansvarlig sin kontakt er den som allerede har fylt ut Kontrakten.
3. Partene skal være forpliktet til å fortløpende informere hverandre om endringer i kontakter/kontaktpunkter.

 

Vedlegg A – Informasjon om behandlingen

A.1. Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlig:

Databehandler leverer programvare for påmelding, booking og e-læring hvor Behandlingsansvarlig kan samle inn informasjon til alt av aktiviteter (f eks påmeldinger, kurs, møter, reiser, booking, fest, nettbutikk o.l.. Lagrer alle data som kunden samler inn fra sine deltagere, kunder og respondenter. 

Funksjoner for å sende e-post, invitasjoner, sms, kursbevis og lignende.  Funksjoner for å opprette og sende spørreundersøkelser.  Funksjoner for kortbetaling, faktura sendt fra systemet, faktura sendt via Tripletex, faktura sendt via EHF-ordre til andre fakturasystemer.

A.2. Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige skal i hovedsak relatere seg til (behandlingens gjenstand):

Behandlinger rundt gjennomføring av aktiviteter, se punkt A.1

A.3. Behandlingen omfatter de følgende typer personopplysninger om de registrerte:

Databehandler Nordic Multiforms AS registrerer selv kun sine kunder, her er personopplysninger info om kontaktperson, orgnummer og faktura info. 

Behandlingsansvarlig registrerer alle som de ønsker i sine egne påmeldingsskjema. Behandlingsansvarlig velger selv 100 % hvilke personopplysninger de ønsker å samle inn. Databehandler setter ingen grenser på hva behandlingsansvarlig kan samle inn. Det er som regel alltid navn, epost, telefon, allergi, adresse. Og det kan også være informasjon i forbindelse med betaling, som orgnummer, adresse til bedrift, mva pliktig, og referanse som kobles til betalingsleverandøren. Litt mer spesielle påmeldinger kan f eks samle inn informasjon om fødselsnummer, passnummer, type medlemskap, medlem i organisasjoner, foreninger, trening. Kan i enkelte tilfeller samles inn sensitive personopplysninger, som feks: opplysninger om helse, medlemskap i foreninger, medlemskap som angir seksuell legning etc. 

A.4. Behandlingen omfatter følgende kategorier registrerte:

Databehandler Nordic Multiforms AS registrerer selv kun sine kunder. 

Behandlingsansvarlig registrerer alle som de ønsker i sine egne påmeldingsskjema. 

A.5. Databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig kan utføres når Kontraktsbestemmelsene får virkning. Behandlingen har følgende varighet:

Frem til avtaleslutt.

 

Vedlegg B – Godkjente underdatabehandlere

B.1. Godkjente underdatabehandlere

Ved inngåelse av Kontraktsbestemmelsene gir den behandlingsansvarlige tillatelse til engasjement av følgende underdatabehandlere:

Den behandlingsansvarlige skal ved inngåelse av Kontraktsbestemmelsene gi tillatelse til bruk av de ovennevnte underdatabehandlere for behandlingen beskrevet for denne. Databehandleren skal ikke ha rett til – uten den behandlingsansvarliges eksplisitte skriftlige tillatelse – å engasjere en underdatabehandler for «annen» behandling enn den som er blitt avtalt eller benytte en annen underdatabehandler til å foreta den beskrevne behandlingen.

B.2. Forutgående varsel for tillatelse for underdatabehandlere

Se punkt 7.3.

Vedlegg C – Instrukser for bruk av personopplysninger

C.1. Omfanget av/instrukser for behandlingen

Databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig skal bli utført av databehandleren på følgende måte:

Data behandles iht GDPR og alt som står i denne avtalen.

C.2. Sikkerhet ved behandlingen

Sikkerhetsnivået skal ta hensyn til:

«At behandlingen omfatter et stort omfang av personopplysninger som omfattes av artikkel 9 i GDPR om ‘særlige kategorier personopplysninger’ som er årsaken til et ‘høyere’ nivå av sikkerhet bør etableres.»

 

Databehandleren skal heretter ha rett til å ta beslutninger om tekniske og organisatoriske sikkerhetstiltak som skal iverksettes for å sørge for det nødvendige (og avtalte) sikkerhetsnivå. 

Databehandleren skal allikevel – i alle tilfelle og minimum – implementere de følgende tiltak som er avtalt med den behandlingsansvarlige:

Krypteringstiltak

Definisjon og forklaring: Kryptering er prosessen med koding av data på en slik måte at bare autoriserte personer har tilgang til opplysningene.

På webhuset server: I databasen så er alle data lagret i klartekst, bortsett fra passord som er kryptert. 

Tilgang til databasene er med passord, og kunnskap for å håndtere det. 

Databehandler benytter HTTPS, data “in transit” er dermed kryptert. 

Tiltak for å sikre personopplysningenes fortrolighet (konfidensialitet)

Definisjon og forklaring: Eksempler kan være tiltak for å kontrollere tilgang, og for å skille opplysningene fra opplysninger som Databehandler behandler på vegne av andre behandlingsansvarlige.

Kun kunden (Behandlingsansvarlig) sine ansatte som de har gitt brukere får se hva som fylles ut. 

Fra Databehandler sin side, er det ansatte med taushetsplikt, som heller ikke logger seg inn med mindre det gjelder Support, oppgradering og annen hjelp. 

Felt som er merket av kunden som ‘sensitiv data’ skal ikke sendes via e-post. 

Om kunden har benyttet innstillinger for sletting på vanlige felt og sensitive felt, så skal dette gjennomføres basert på innstillinger. 

Tiltak for å sikre personopplysningenes integritet

Kunden henter selv inn informasjonen, og må selv passe på hva og hvordan dette gjøres. Databehandler overvåker ingen informasjon. Om Databehandler oppdager informasjon som er brudd på personvernloven, kan det varsles til Datatilsynet. 

Tiltak for å sikre tilgjengeligheten til personopplysningene

Databehandler tar daglig backup av alle serverne, både filer og databaser. Databehandler har også rutiner for gjenoppretting.

Tiltak for å sikre robusthet i behandlingssystemene og -tjenestene

Det er backup, det betyr at data dermed kan gjenopprettes fra backup. Det er ikke valgt redundante servere, så vi velger ikke selv lokale som serverne er i. Her har hver av serverleverandørene mange tiltak, disse kan leses nærmere i Sikkerhetsdokumentet til Databehandler. 

Tiltak for fysisk sikring av lokaler hvor data behandles

Databehandler sine servere i Oslo. Her har hver av serverleverandørene mange tiltak, disse kan leses nærmere i Sikkerhetsdokumentet til Databehandler. 

Andre datasikkerhetstiltak:

Databehandler har opprettet rutine for revisjon av underdatabehandlere. Dette er allerede en rett som er sikret i egne Databehandleravtaler, og vil tre i kraft hvis Databehandler eller Databehandler sine kunder skal ha ønske om å utføre revisjon. Dette er for å forsikre seg om at de følger våre Databehandleravtaler som respektive underdatabehandlere.

C.3. Bistand til den behandlingsansvarlige

Databehandleren skal såfremt det er mulig – innenfor omfanget og i den grad bistanden er spesifisert nedenfor – bistå den behandlingsansvarlige i henhold til punkt 9.1 og 9.2 ved å implementere de følgende tekniske og organisatoriske tiltak:

Databehandler skal ikke utlevere personopplysninger til tredjeparter uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig. Unntak gjelder for eventuelle godkjente underdatabehandlere (se vedlegg B) når de har behov for opplysningene for å kunne utføre sine oppgaver.

Databehandler sikrer at kun de personer som er autorisert til å behandle personopplysninger, har tilgang til personopplysningene som behandles på vegne av Behandlingsansvarlig.

Det er et internkontrollsystem for internsikkerhet og personvern. For tekniske tiltak se vedlegg C.2 

Databehandler bistår kunden i å oppfylle deres registrertes rettigheter ved behov. 

C.4. Fremgangsmåte for lagringstid/sletting

For Databehandler: Personopplysninger skal lagres så lenge kundeforholdet varer + ca 2 uker (angretid/ventetid) hvoretter personopplysninger skal automatisk slettes av Databehandleren. Ved oppsigelse av bestemmelser om tjenester knyttet til behandlingen av personopplysninger, skal databehandleren enten slette eller tilbakelevere personopplysninger i henhold til punkt 11.1, hvis ikke den behandlingsansvarlige – etter inngåelse av avtalen – har endret den behandlingsansvarliges opprinnelige valg. Slik 

endring skal dokumenteres og oppbevares skriftlig, herunder elektronisk, i tilknytning til Kontraktsbestemmelsene.

For Behandlingsansvarlig: Det er opp til Behandlingsansvarlig å benytte innstillinger databehandler har gjort tilgjengelig for å bestemme hvor lenge de ønsker at personopplysninger skal lagres før de slettes. 

C.5. Behandlingssted

Behandling av personopplysninger etter Kontraktsbestemmelsene skal ikke utføres på andre lokasjoner enn de følgende uten at det foreligger skriftlig forhåndssamtykke fra den behandlingsansvarlige:

Webhusets server – Norge

C.6. Instrukser for overføring av personopplysninger tredjestat

Dersom den behandlingsansvarlige verken i Kontraktsbestemmelsene eller i det etterfølgende gir dokumenterte instrukser vedrørende overføring av personopplysninger til en tredjestat, skal Databehandleren ikke ha rett til å overføre personopplysninger til tredjestat innenfor rammene av Kontraktsbestemmelsene.

Twilio SendGrid

Epostbekreftelse med ordreinformasjon sender ikke felt som Kunden har markert som sensitiv data på epost, via SendGrid. 

Vi bruker tjenesten Twilio SendGrid for utsendelse av epost. Twilio SendGrid er en amerikansk tjeneste og det rettslige grunnlaget for overføring av personopplysninger er Twilio SendGrid Binding Corporate Rules (BCC). For å begrense mengden og typen personopplysninger som behandles av Twilio Sendgrid har vi innført ny funksjonalitet som gir våre kunder mulighet til å huke av for informasjon som av kunden regnes som sensitivt, hvilket vil medføre at denne informasjonen ikke sendes per epost og heller ikke blir behandlet av Twilio SendGrid. Twilio SendGrid bruker TLS kryptering for data «in transit», se https://sendgrid.com/policies/security/ og tjenesten har støtte for tofaktorautentisering. Twilio Send Grid er SOC 2 Type II sertifisert. Twilio SendGrid publiserer løpende «transparency report» om myndigheters forespørsler om tilgang til data, og hvor de opplyser om forespørsler både fra europeiske myndigheter og amerikanske, se deres rapporter på https://www.twilio.com/legal/transparency.

Innholdet i eposten blir lagret hos SendGrid frem til de får sendt eposten, dette kan ta opptil noen dager hvis mottakerens epostserver har midlertidige feil.

Metadata fra e-postene som sendes blir lagret hos vår SendGrid konto i 30 dager, men vi har abonnement slik at vi kun ser de siste 7 dagene. Metadata innebærer her avsenderepostadresse (som regel Nordic Multiforms sin noreply@nordicm.no med mindre dere har koblet til egen konto), mottaker e-postadresse, tittel på eposten. Det inneholder også tekniske detaljer som API nøkkel, meldings-ID og IP adresse den ble sendt fra. Det 

vises også historikk på om e-posten er åpnet, når den eventuelt ble åpnet, om den ble blokkert av brannmur og lignende. I Nordic Multiforms sin SendGrid konto har vi ikke mulighet til å gå inn og se på innholdet i eposter som kunder har sendt. SendGrid lagrer denne metadataen i maksimalt 30 dager.

Nordic Multiforms har undersøkt og vurdert alternative leverandører for epostutsendelse uten å så langt lykkes med å finne en ren europeisk aktør som leverer tjenester som vil fungerer godt med Nordic Multiformss tjenester.

C.7. Fremgangsmåte for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, av behandlingen av personopplysninger som utføres av databehandleren

1. Databehandler skal dokumentere og gjøre tilgjengelig for Behandlingsansvarlig, informasjon som er nødvendig for å påvise etterlevelse av Databehandleravtalen og gjeldende personvernregler. 

2. Databehandler skal muliggjøre og bidra ved revisjoner av Databehandlers behandlingsaktiviteter som utføres av Behandlingsansvarlig eller av annen inspektør med fullmakt fra Behandlingsansvarlig. Databehandler skal også muliggjøre og bidra ved revisjoner fra tilsynsmyndigheter. 

3. Databehandleren kan foreta jevnlige revisjoner av sine behandlingsaktiviteter. Dette kan Databehandler gjøre på egen hånd eller via annen inspektør med fullmakt fra Databehandler. Databehandleren kan oversende kopi av revisjonsrapporter fra slike revisjoner til Behandlingsansvarlig om de ønsker. Behandlingsansvarlig skal ha rett til å fremlegge slike revisjonsrapporter til sine eksterne revisorer og tilsynsmyndigheter. 
4. Om Behandlingsansvarlig krever bruk av ekstern inspektør, må Behandlingsansvarlig selv dekke kostnader for dette.
5. Databehandleren kan utføre revisjoner av underdatabehandlere. Dette kan sendes Behandlingsansvarlig om de har bedt om en revisjon, eller ønsker å få tilsendt. Tid som medfører å utføre og holde revisjon vil bli fakturert kunden (Behandlingsansvarlig, kunde av Databehandler) pr time til standard timepris.

Dersom en revisjon avdekker avvik fra forpliktelsene i Databehandleravtalen, skal Databehandler så snart som mulig avhjelpe slike avvik (og, hvis relevant, påse at den relevante underdatabehandler gjør det samme). Behandlingsansvarlig kan kreve at hele eller deler av behandlingsaktivitetene midlertidig opphører til vellykket utbedring er bekreftet. Ved særlig alvorlige brudd kan Behandlingsansvarlig kreve behandlingen stoppet, opplysningene tilbakeføres til Behandlingsansvarlig og terminere Hovedavtalen samt Databehandleravtalen.

Om databehandler utfører revisjon, skal Databehandler betale for dette selv. 

Om behandlingsansvarlig ønsker revisjon, må behandlingsansvarlig selv ta kostnadene for dette. 

Databehandleren skal ved revisjon fra en uavhengig tredjepart vedrørende databehandlerens overholdelse av GDPR, opprettholde de relevante personvernreglene i unionsretten eller Medlemsstatenes nasjonale rett og Kontraktsbestemmelsene. 

Partene avtaler hvilke rapporter som skal innhentes ved eventuell ønske om revisjon/inspeksjon. 

Rapportene skal uten ugrunnet opphold oversendes den behandlingsansvarlige for informasjon. Den behandlingsansvarlige kan bestride omfanget og/eller metodikken for rapporten og kan i slikt tilfelle anmode om ny revisjon/inspeksjon med endret omfang og/eller annen metodikk.

Basert på resultatene av en slik revisjon/inspeksjon, kan den behandlingsansvarlige be om ytterligere tiltak for å sikre overholdelse av GDPR, de relevante personvernreglene i unionsretten eller Medlemsstatenes nasjonale rett og Kontraktsbestemmelsene.

Den behandlingsansvarlig eller den behandlingsansvarliges representanter skal i tillegg ha tilgang til å inspisere, herunder fysisk inspisere, lokasjonene hvor behandlingen av personopplysninger gjennomføres av databehandleren, inkludert fysiske lokaler samt systemer benyttet for og knyttet til behandlingen. Slik inspeksjon skal bli utført når den behandlingsansvarlige anser det påkrevet.

C.8. Fremgangsmåter for revisjoner, inkludert inspeksjoner, av behandlingen av personopplysninger som utføres av underdatabehandlere

Se punkt C.7. 

Databehandleren skal innen rimelig tid på Behandlingsansvarlig sin kostnad  innhente rapporter fra en uavhengig tredjepart vedrørende underdatabehandlerens overholdelse av GDPR, de relevante personvernreglene i unionsretten eller Medlemsstatenes nasjonale rett og Kontraktsbestemmelsene.

Partene har avtalt at de følgende typer rapporter kan benyttes for overholdelse av Kontraktsbestemmelsene: revisorrapporter og inspeksjonsrapporter. 

Rapportene skal uten ugrunnet opphold oversendes den behandlingsansvarlige for informasjon. Den behandlingsansvarlige kan bestride omfanget og/eller metodikken for rapporten og kan i slikt tilfelle anmode om ny revisjon/inspeksjon med endret omfang og/eller annen metodikk.

Basert på resultatene av en slik revisjon/inspeksjon, kan den behandlingsansvarlige be om ytterligere tiltak for å sikre overholdelse av GDPR, de relevante personvernreglene i unionsretten eller Medlemsstatenes nasjonale rett og Kontraktsbestemmelsene.

Den behandlingsansvarlig eller den behandlingsansvarliges representanter skal i tillegg ha tilgang til å inspisere, herunder fysisk inspisere, lokasjonene hvor behandlingen av personopplysninger gjennomføres av underdatabehandleren, inkludert fysiske lokaler samt 

systemer benyttet for og knyttet til behandlingen. Slik inspeksjon skal bli utført når den databehandleren (eller den behandlingsansvarlige) anser det påkrevet.

Dokumentasjon for slike inspeksjoner skal uten opphold oversendes den behandlingsansvarlige for informasjon. Den behandlingsansvarlige kan bestride omfanget og/eller metodikken for rapporten og kan i slikt tilfelle anmode om ny inspeksjon med endret omfang og/eller annen metodikk.

Vedlegg D – Ytterligere bestemmelser avtalt mellom partene

Personvernerklæring er til enhver tid oppdatert på Databehandler sin nettside: https://nordicm.no/personvern/

Lisensavtale er på side for Kontraktbestemmelse, og bør leses før signering.

Sikkerhetsdokument kan sendes Kunde ved forespørsel.