Databehandleravtale

1. Parter

Avtalen gjelder så lenge Kunden benytter Tjenesten og Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

2. Formål med behandlingen

Databehandler behandler personopplysninger utelukkende for å levere Tjenesten til Behandlingsansvarlig. Dette omfatter:

• Drift og vedlikehold av HMS-plattformen, inkludert avvikshåndtering, risikovurdering, sjekklister og handlingsplaner.
• Lagring og behandling av brukerdata knyttet til internkontroll og HMS-arbeid.
• Utsending av varsler, påminnelser og rapporter på vegne av Behandlingsansvarlig.
• Teknisk support og feilretting knyttet til Tjenesten.
• Generering av rapporter og statistikk for Behandlingsansvarlig.

Databehandler skal ikke behandle personopplysninger til andre formål enn det som er beskrevet ovenfor, med mindre Behandlingsansvarlig gir skriftlig instruks om dette.

3. Kategorier av personopplysninger

Følgende kategorier av personopplysninger behandles i Tjenesten:

Ansattdata

• Navn, e-postadresse og telefonnummer
• Stilling og avdelingstilhørighet
• Rolle og tilgangsnivåer i Tjenesten

HMS-data

• Avviksmeldinger (kan inneholde beskrivelser av hendelser som involverer navngitte personer)
• Risikovurderinger og tiltak
• Skaderegistreringer (personskader, nestenulykker)
• Opplæringsregistreringer og kompetanseoversikter
• Vernerunderapporter og sjekklister

Tekniske data

• IP-adresser og innloggingslogger
• Tidspunkt for bruk av Tjenesten

Registrerte: Ansatte, verneombud, ledere og andre personer tilknyttet Behandlingsansvarligs organisasjon som bruker eller er registrert i Tjenesten.

4. Sikkerhetstiltak

Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet i forhold til risikoen, jf. GDPR artikkel 32. Følgende tiltak er implementert:

Kryptering

• All dataoverføring er kryptert med TLS 1.2 eller nyere.
• Data lagres kryptert i ro (AES-256) i databasen.
• Passord lagres med sikker enveis-hashing (bcrypt).

Tilgangskontroll

• Rollebasert tilgangsstyring (RBAC) basert på minste privilegium.
• Sterk autentisering med mulighet for tofaktorautentisering.
• Tilgangslogger som registrerer hvem som har aksessert data.

Infrastruktur

• Database hostet hos Supabase på AWS eu-central-1 (Frankfurt, EU). Data forlater ikke EU/EØS.
• Automatiske sikkerhetskopier med punkt-i-tid-gjenoppretting.
• Regelmessige sikkerhetsgjennomganger og sårbarhetstesting.

Hendelseshåndtering

• Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig ved sikkerhetsbrudd som involverer personopplysninger, og senest innen 24 timer etter at bruddet er oppdaget.
• Varselet skal inneholde beskrivelse av bruddet, berørte kategorier av data, antall berørte registrerte og tiltak som er iverksatt.

5. Underbehandlere

Behandlingsansvarlig gir herved Databehandler en generell skriftlig forhåndsgodkjenning til å benytte underbehandlere, jf. GDPR artikkel 28(2). Databehandler skal informere Behandlingsansvarlig om endringer i underbehandlere minst 30 dager før endringen trer i kraft, slik at Behandlingsansvarlig kan gjøre innsigelse.

Følgende underbehandlere benyttes per dato:

Databehandler skal sikre at alle underbehandlere er bundet av tilsvarende forpliktelser som følger av denne Avtalen, gjennom egne databehandleravtaler.

6. Rettigheter og plikter

Behandlingsansvarligs plikter

• Sikre at det foreligger gyldig rettslig grunnlag for behandlingen av personopplysninger i Tjenesten.
• Gi Databehandler skriftlige instrukser om behandlingen.
• Informere registrerte om behandlingen i samsvar med GDPR artikkel 13 og 14.
• Håndtere henvendelser fra registrerte om utøvelse av deres rettigheter.

Databehandlers plikter

• Kun behandle personopplysninger i henhold til dokumenterte instrukser fra Behandlingsansvarlig.
• Sikre at personer som er autorisert til å behandle personopplysninger har forpliktet seg til konfidensialitet.
• Bistå Behandlingsansvarlig med å oppfylle sine plikter etter GDPR artikkel 32-36, herunder sikkerhetstiltak, konsekvensutredninger og forhåndsrådføringer.
• Bistå Behandlingsansvarlig med å svare på henvendelser fra registrerte, så langt dette er teknisk mulig.
• Stille all nødvendig informasjon til rådighet for å dokumentere at forpliktelsene i denne Avtalen overholdes, og tillate revisjon.

7. Revisjon og etterlevelse

Behandlingsansvarlig har rett til å gjennomføre revisjoner, enten selv eller ved hjelp av en uavhengig tredjepart, for å verifisere at Databehandler overholder denne Avtalen. Revisjoner skal varsles minst 30 dager i forveien og gjennomføres på en måte som ikke unødvendig forstyrrer Databehandlers virksomhet.

Databehandler skal samarbeide fullt ut med slike revisjoner og stille relevant dokumentasjon og personell til rådighet.

8. Sletting av data ved opphør

Ved opphør av Avtalen, eller etter Behandlingsansvarligs anmodning, skal Databehandler:

• Gi Behandlingsansvarlig mulighet til å eksportere alle personopplysninger i et strukturert, alminnelig brukt og maskinlesbart format innen 30 dager etter opphør.
• Slette alle personopplysninger innen 30 dager etter utløpet av eksportperioden, med mindre oppbevaring er påkrevd etter gjeldende lovgivning.
• Sikre at også underbehandlere sletter personopplysningene i samsvar med denne bestemmelsen.
• Bekrefte skriftlig at sletting er gjennomført, dersom Behandlingsansvarlig anmoder om dette.

Eventuelle sikkerhetskopier som inneholder personopplysninger vil bli slettet i henhold til den regulære rotasjonsplanen, og senest innen 90 dager etter opphør.

9. Varighet

Denne Avtalen trer i kraft når Behandlingsansvarlig begynner å bruke Tjenesten, og gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

Forpliktelsene knyttet til konfidensialitet og sletting av data gjelder også etter at Avtalen er opphørt.

10. Lovvalg og verneting

Denne Avtalen er underlagt norsk lov. Eventuelle tvister som oppstår i forbindelse med denne Avtalen skal avgjøres av norske domstoler med Oslo tingrett som verneting.