Databehandleravtale

Databehandleravtale i henhold til personvernlovgivningen, General Data Protection Regulation (heretter GDPR) Eurpopaparlamentets- og rådsforordningen (EU) 2016/679 vedrørende Skytjenester Identitetshåndtering mellom Oppdragsgiver (kunder av KapitalKontroll) og Leverandør (KapitalKontroll AS):

Grunnlaget for denne databehandleravtale er avtale mellom Oppdragsgiver og Leverandør om bruk av KK2 som innfordringsverktøy. Dataene som behandles i henhold til denne avtale er data som Oppdragsgiver legger inn i KK2 til bruk ved innkreving av pengekrav. Denne avtalen gjelder så lenge Oppdragsgiver benytter KK2. Det vil også gjelde for Kapitalkontroll AS for data som forblir registrert i KK2 etter at selve bruksavtalen avsluttes.

1       Avtalens hensikt  

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 20. juli 2018 om behandling av personopplysninger (personopplysningsloven). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende, sikre de registrertes rettigheter og ivareta personvernprinsippene i henhold til artikkel 5.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

2       Formål 

Redegjørelse for formålet med databehandleravtalen:

Behandling av personopplysninger som databehandleren gjør på vegne av den behandlingsansvarlige, består i å stille system for innfordring til rådighet, samt å utføre nødvendig vedlikehold av systemet.  Systemet skal brukes til oppbevaring av den behandlingsansvarliges kundeopplysninger.

Formålet med behandlingen av personopplysninger er å administrere innfordringssaker ved å sørge for fakturering av utestående fordringer og å holde oversikt over kommunens til enhver tid slike saker.

Type personopplysninger som databehandleren behandler i forbindelse med levering og administrasjon av leverandørers kompetanse er hovedsakelig:

  • Kjønn (MR/MS prefix)

  • Fornavn

  • Etternavn

  • Fødselsdato

  • E-post

  • Telefon kontor/privat/mobil

  • Ansattnummer, kostnadssted, avdeling

  • Postadresse

  • Kredittkortinformasjon

  • Passinformasjon

Denne avtalen omfatter behandling av data i forbindelse med innkreving av utestående fordringer, herunder men ikke begrenset til:

  • Renteberegning av kravet

  • Produksjon av innfordringstiltak som f.eks. purringer, SMS, Eposter og begjæringer om tvangsfullbyrdelse

  • Langtidsovervåking ved mislighold av krav

  • Innfordringstiltak overfor samskyldnere 

3       Behandlingsansvarliges plikter 

Oppdragsgiver i denne avtalen er behandlingsansvarlig.

Behandlingsansvarlig plikter å ha et informasjonssikkerhetsstyringssystem som tilfredsstiller krav gitt i lov og forskrift om behandling av personopplysninger.

Behandlingsansvarlig skal kun anskaffe system som har innebygget personvern og personvern som standardinnstilling, ref. GDPR artikkel 25.

Behandlingsansvarlig bestemmer selv hvilke krav som kan kreves inn ved bruk av KK2.  Han bestemmer også hvilke hjelpemidler som maskiner etc han benytter på sin side.  Han bestemmer selv hvilke tilleggsfunksjoner som han velger å bruke.

4       Databehandlers plikter 

Leverandør i denne avtalen er databehandler.

Databehandler bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Avtalen oppfyller kravene i personopplysningsloven og vern av den registrertes rettigheter, herunder innfrir alle krav etter artikkel 32 i personvernforordningen. 

Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.

Databehandler plikter å bistå behandlingsansvarlige med å overholde forpliktelsene etter artikkel 32-36 som er relevante i dette avtaleforholdet.

Databehandleren må straks underrette den behandlingsansvarlige dersom det har skjedd eller skjer et brudd på personopplysningssikkerheten (jf. artikkel 33 nr. 2). Dersom bruddet medfører en risiko for de registrertes rettigheter og friheter, må varselet til den behandlingsansvarlige inneholde den informasjonen som kreves for at den behandlingsansvarlige skal kunne gi en utførlig beskrivelse av bruddet til tilsynsmyndigheten (jf. artikkel 33 nr. 3). Dersom bruddet medfører at den behandlingsansvarlige må varsle de registrerte (jf. artikkel 34), må databehandleren gi den informasjonen som kreves for at den behandlingsansvarlige kan ivareta plikten til å gi slik underretning på en tydelig måte, og i tråd med artikkel 33 nr. 3. bokstav b), c) og d).

Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Databehandler plikter å ivareta at kun de med tjenstlig behov og er autorisert får tilgang til opplysningene. Alt personell hos databehandler har undertegnet taushetserklæring om opplysninger de har fått tilgang til. Kapitalkontroll AS har gjennomført en vurdering av sikkerhetsrisiki. Sikkerhetstiltak er beskrevet i eget vedlegg til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.

Databehandler skal ikke utlevere opplysninger eller informasjon som denne behandler for den Behandlingsansvarlige til tredjepart uten eksplisitt pålegg fra den behandlingsansvarlige.  Henvendelser om innsyn i registrerte data skal databehandler videreformidle til behandlingsansvarlige.

Databehandleren må gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene i artikkel 28 er oppfylt, for den behandlingsansvarlige.

Databehandleren må muliggjøre og bidra til revisjoner (slik som inspeksjoner) som gjennomføres av den behandlingsansvarlige eller en annen inspektør, på fullmakt fra den behandlingsansvarlige.

 

Databehandler skal levere et system som har innebygget personvern og personvern som standardinnstilling, ref. GDPR artikkel 25.

Ved opphør av avtalen eller ved instruks fra behandlingsansvarlige skal databehandler sørge for at registrerte personopplysninger slettes.

5       Bruk av underleverandører

Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter.

Kapitalkontroll har en tilknyttet programmerer som har tilgang til systemet. Han har undertegnet avtale om levering av tjenester til Kapitalkontroll AS som eneste kunde. Han likestilles med ansatt og har undertegnet taushetserklæring. 

KK2 har integrasjoner mot andre systemer. De fleste av disse leverer opplysninger til KK2, blant disse er.

·       Brønnøysundregistrene

·       Skatteetaten

·       Norsk Lysningsblad

KK2 har noen leverandører som det leveres opplysninger til.  Dette er blant annet:

·       SvarUt via oppdragsgivers avtale om utsendelse av dokumenter

·       Digipost via egen avtale som oppdragsgiver knytter seg til

·       Skatteetaten

Disse avleveringene anses ikke som en lekkasje hos behandlingsansvarlige, men er i henhold til avtaler som Behandlingsansvarlige har inngått.

6       Avtale med underleverandører

En slik avtale gjøres som et tillegg til denne avtalen.

Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. Databehandler bærer det fulle ansvaret for at underlevandøren(e) oppfyller sine forpliktelser med hensyn til vern av personopplysninger.

7       Sikkerhet og avvik

Databehandler skal treffe alle tiltak som er nødvendig for å sikre informasjonssikkerhet i tråd med kravene i GDPR artikkel 32. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.

Personopplysninger skal ikke overføres til land utenfor EØS-området uten at dette er skriftlig avtalt med behandlingsansvarlig på forhånd. Dette gjelder ikke dersom norsk lov pålegger databehandler en konkret behandling av personopplysninger.

Avviksmelding etter personvernlovgivningen skal skje ved at databehandler melder avviket til behandlingsansvarlig, uten grunnet opphold, slik at behandlingsansvarlig kan oppfylle sitt krav, etter GDPR artikkel 33 og 34, og melde avviket innen 72 timer til Datatilsynet og umiddelbart ved høy risiko til den registrerte. Dette gjelder hendelser som berører konfidensialitet, integritet og tilgjengelighet.

8       Sikkerhetsrevisjoner

Behandlingsansvarlig skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner periodisk for systemer og lignende som omfattes av denne avtalen. Databehandler skal muliggjøre og bidra til revisjoner og inspeksjoner som gjennomføres av den behandlingsansvarlige eller en annen på dennes vegne.

8.1     Revisjon

Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Revisjonen skal kontinuerlig gjennomgås med hensyn til personvernkrav, personvernprinsippene og de registrertes rettigheter.

9       Avtalens varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.

Ved brudd på denne avtale eller personvernreglene kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Avtalen kan sies opp av begge parter med en gjensidig frist på 3 måneder.

10   Opphør

Ved opphør av denne avtalen plikter databehandler å slette alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.

Databehandler lagrer lite data, data kommer fra Behandlingsansvarlig sine systemer så tilbakelevering er ikke aktuelt.

Det avtales at databehandler skal slette eller forsvarlig destruere alle dokumenter, data, osv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier, de vil bli overskrevet etter noen måneder.

Data destrueres ved at de slettes og at disker over tid overskrives med ny informasjon. Mer omfattende destruering ved multiple overskrivinger må avtales særskilt og vil koste ekstra.

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.

11   Meddelelser

Meddelelser etter denne avtalen skal sendes skriftlig til:

Oppdragsgiver som er behandlingsansvarlig

Att: Avtaleforvalter hos Oppdragsgiver

12   Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av avtalen.

 

13   Gyldighet

Denne avtalen gjelder for alle kunder av KapitalKontroll AS hvor det ikke er inngått en egen databehandleravtale.