Databehandleravtale

Mellom Rubic AS (“Databehandler”) og Kunden (“Behandlingsansvarlig”)

1. Formål og definisjoner

Formålet med denne Databehandleravtalen er å regulere Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig, ved leveringen av Rubics produkter («Tjenesten») som beskrevet nærmere i abonnementsavtalen (AM).

Databehandleravtalen regulerer Databehandlers rettigheter og forpliktelser for å sikre at all Behandling av Personopplysninger skjer i henhold til gjeldende lovgivning om behandling av personopplysninger.

Behandling av Personopplysninger (som definert under) er underlagt krav og forpliktelser med hjemmel i lov. Når Behandlingsansvarlig er en virksomhet etablert i Det Europeiske Økonomiske Samarbeidsområdet (EØS), vil relevant lovgivning om behandling av personopplysninger være EU-forordning 2016/679 datert 27. april 2016, og all relevant nasjonal lovgivning. Partene er enige om å revidere denne databehandleravtalen i den grad det er nødvendig i henhold til obligatoriske nye krav som følge av EU-forordning 2016/679, revidert kommunikasjonsvernforordning («ePrivacy») og den norske implementeringen av disse.

«Personopplysning» skal bety opplysninger og vurderinger som kan knyttes til en enkeltperson, som definert i til enhver tid gjeldende lovgivning og EU- forordning 2016/679.

«Behandling» av Personopplysninger, skal bety enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, som definert i til enhver tid gjeldende lovgivning og EU- forordning 2016/679.

«Tredjeland» skal bety land utenfor EU/EØS som ikke er ansett å sikre tilstrekkelig beskyttelsesnivå for Personopplysninger.

2. Behandlingsansvarliges plikter

For å få tilgang til Tjenesten, må Behandlingsansvarlig gi visse opplysninger til Databehandler, inkludert riktig navn, kontaktopplysninger og e-postadresse til alle brukerne. Videre må brukerne av Tjenesten tillate Databehandler å lagre og hente informasjon ved bruk av «informasjonskapsler» som er nødvendig for å aktivere prosedyrer ved innlogging / utlogging som brukes ved Tjenesten, og for å sikre at uautoriserte personer ikke får tilgang til Tjenesten.

Behandlingsansvarlig bekrefter og aksepterer at alle Personopplysninger som Behandlingsansvarlig laster opp i Tjenesten, for eksempel opplastede Personopplysninger relatert til Behandlingsansvarliges egne medlemmer, kan overføres til tredjeparter (underdatabehandler), basert i Det Europeiske Økonomiske Samarbeidsområdet (EØS), som vil tjene som vert av Tjenesten, inkludert levering av all maskinvare, infrastruktur, datalagring og kommunikasjonslinjer. Forpliktelsene til tredjeparten med hensyn til Personopplysninger fremgår av en separat databehandleravtale mellom Databehandler og tredjeparten og innenfor rammen av denne Databehandleravtalen. Alle opplysninger i tilknytning til Tjenesten er lagret på servere i Europa.

Behandlingsansvarlig bekrefter at Behandlingsansvarlig:

 • Har tilstrekkelig hjemmelsgrunnlag for Behandling av Personopplysninger,
 • Har rett til å la Databehandler behandle Personopplysningene,
 • Har ansvaret for nøyaktigheten, integriteten, innholdet, pålitelighet og lovligheten av Personopplysningene,
 • Oppfyller gjeldende lovkrav om eventuell melding og konsesjon til aktuelle tilsynsmyndigheter,
 • Har informert den som personopplysningene gjelder i tråd med gjeldende lovgivning

Behandlingsansvarlig skal:

 • Svare på henvendelser fra de registrerte om Behandling av Personopplysninger i henhold til denne Databehandleravtalen,
 • Vurdere nødvendigheten av spesifikke tiltak som angitt i denne Databehandleravtalens pkt. 3.3.2 og 3.3.4, og bestille slike tiltak fra Databehandler.

Behandlingsansvarlig skal implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre og demonstrere overholdelse av EU-forordning 2016/679 fra det tidspunkt den trer i kraft i Norge.

Behandlingsansvarlig har plikt til å melde avvik til aktuelle tilsynsmyndigheter og eventuelt til de registrerte uten ugrunnet opphold i henhold til gjeldende lovgivning.

3. Databehandlers forpliktelser

3.1 Overholdelse av gjeldende rett

Databehandler skal overholde alle bestemmelser for beskyttelse av Personopplysninger fastsatt i denne Databehandleravtalen, og i gjeldende personvernlovgivning som er relevant for Behandling av Personopplysninger. Databehandler skal bistå Behandlingssansvarlig i å sikre og dokumentere at Behandlingsansvarlig overholder sine forpliktelser under gjeldende lovgivning om Behandling av Personopplysninger.

Databehandler skal overholde instrukser og rutiner gitt av Behandlingsansvarlig med hensyn til Behandling av Personopplysninger.

3.2 Restriksjoner for behandling

Databehandler skal bare behandle Personopplysninger på, og i samsvar med instruks fra Behandlingsansvarlig. Databehandler skal ikke uten forutgående skriftlig avtale med Behandlingsansvarlig eller skriftlige instrukser fra Behandlingsansvarlig behandle Personopplysninger utover det som er nødvendig for å overholde forpliktelser overfor Behandlingsansvarlig etter Avtalen.

3.3 Informasjonssikkerhet

3.3.1 Plikt til å sikre informasjonssikkerhet

Databehandler skal ved planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet, og tilgjengelighet i forbindelse med Behandling av Personopplysninger i samsvar med bestemmelser om informasjonssikkerhet i gjeldende lovgivning om Behandling av Personopplysninger.

Tiltakene og dokumentene om internkontroll skal på forespørsel gjøres tilgjengelig for behandlingsansvarlig.

3.3.2 Vurdering av tiltak

I vurderingen av hvilke tekniske og organisatoriske tiltak som skal implementeres, skal Databehandler i samråd med Behandlingsansvarlig ta i betraktning:

 • Beste praksis,
 • Kostnaden ved implementering,
 • Karakteren og omfanget av behandlingen,
 • Konteksten og formålet med behandlingen,
 • Alvorlighet av den risiko Behandlingen av Personopplysninger medfører for den registrertes rettigheter og friheter.

Databehandler skal i samråd med Behandlingsansvarlig vurdere:

 • Implementering av pseudonymisering og kryptering av Personopplysninger
 • Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet og robustheten til systemer for behandling og tjenester
 • Evnen til å gjenopprette tilgjengelighet og tilgang til Personopplysninger til rett tid i tilfelle fysiske eller tekniske hendelser
 • En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til Behandlingen

3.3.3 Henvendelser fra de registrerte

Tatt i betraktning arten av Behandlingen, skal Databehandler implementere tekniske og organisatoriske tiltak for bistå Behandlingsansvarlig med å svare på henvendelser angående utøvelse av de registrertes rettigheter.

3.3.4 Bistand til Behandlingsansvarlig

Databehandler skal gi bistand slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter gjeldende lov og forskrift, herunder bistå Behandlingsansvarlig med å:

 • Implementere tekniske og organisatoriske tiltak som nevnt over,
 • Overholde varslingsplikt til tilsynsmyndigheter og registrerte personer som følge av avvik,
 • Utføre vurdering av personvernkonsekvenser («data privacy impact assessments»),
 • Utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig
 • Varsle Behandlingsansvarlig dersom Databehandler mener at en instruks fra Behandlingsansvarlig er i strid med gjeldende personvernregelverk.

Bistand som nevnt over, skal utføres i den utstrekning det er nødvendig ut fra Behandlingsansvarliges behov, karakteren av behandlingen og informasjonen tilgjengelig for Databehandler.

3.3.5 Kompensasjon

Bistand fra Databehandler som fastsatt i denne Databehandleravtalen, samt bistand i forbindelse med særskilte rutiner og instrukser pålagt av Behandlingsansvarlig, skal kompenseres av Behandlingsansvarlig i samsvar med Databehandlers vanlige betingelser og timesatser.

3.4 Avvik og avviksmeldinger

Enhver bruk av informasjonssystemene og Personopplysninger i strid med etablerte rutiner, instrukser fra Behandlingsansvarlig eller gjeldende lovgivning om behandling av Personopplysninger, så vel som sikkerhetsbrudd, skal behandles som avvik.

Databehandler skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket, og hindre gjentagelse.

Databehandler skal umiddelbart varsle Behandlingsansvarlig om ethvert brudd på denne Databehandleravtalen eller utilsiktet, ulovlig eller uautorisert tilgang, bruk eller utlevering av Personopplysninger, eller at Personopplysninger kan ha blitt kompromittert eller brudd på Personopplysningenes integritet. Databehandler skal gi Behandlingsansvarlig all informasjon nødvendig for å sette Behandlingsansvarlig i stand til å overholde gjeldende lovgivning om behandling av personopplysninger og sette Behandlingsansvarlig i stand til å besvare henvendelser fra datatilsynsmyndigheter. Det er Behandlingsansvarlig sitt ansvar å melde avvik til Datatilsynet i henhold til gjeldende lovgivning.

3.5 Konfidensialitet

Databehandler har taushetsplikt om Personopplysninger og annen konfidensiell informasjon. Databehandler skal sikre at alle personer som utfører arbeid for Databehandler, enten ansatte eller innleide, som har tilgang til eller er involvert i Behandling av Personopplysninger etter AM er underlagt taushetsplikt og er informert om og overholder forpliktelsene etter denne Databehandleravtalen. Taushetsplikten gjelder også etter opphør av AM eller denne Databehandleravtalen.

3.6 Sikkerhetsrevisjoner

Databehandler skal jevnlig foreta sikkerhetsrevisjoner for systemer og lignende som er relevant for Behandlingen av Personopplysninger som omfattes av denne Databehandleravtalen. Behandlingsansvarlig skal ha tilgang til rapporter som dokumenterer sikkerhetsrevisjoner.

Behandlingsansvarlig har rett til å kreve sikkerhetsrevisjon utført av uavhengig tredjepart valgt av Databehandler. Vedkommende tredjepart vil utarbeide en rapport som vil bli overlevert Behandlingsansvarlig på forespørsel. Behandlingsansvarlig er innforstått med at Databehandler kan beregne seg en særskilt godtgjørelse for gjennomføringen av revisjonen.

3.7 Bruk av underleverandør (underdatabehandler)

Databehandler har rett til å benytte underleverandører og Behandlingsansvarlig aksepterer bruk av underleverandører. Databehandler skal, i skriftlig avtale med enhver underleverandør, sikre at Behandling av Personopplysninger utført av underleverandører skal være underlagt de samme forpliktelser og begrensninger som de er pålagt Databehandler i henhold til denne Databehandleravtalen. Det samme gjelder alle som leverer tjenester til underleverandørene.

Dersom Databehandler planlegger å skifte ut eller benytte ny underleverandør, skal Databehandler skriftlig varsle Behandlingsansvarlig 4 måneder før ny underleverandør starter Behandling av Personopplysninger, og Behandlingsansvarlig kan innen 1 måned varsle om at han motsetter seg endringen. Dersom Behandlingsansvarlig motsetter seg endringen, kan Behandlingsansvarlig si opp avtalen med 3 måneders oppsigelsestid. Dersom Behandlingsansvarlig ikke sier opp avtalen, anses den nye underleverandøren akseptert.

Underleverandører av Rubic AS omfatter:

Kompani Kvam AS

 

OrgNr 918594396

Supporttjenester, konsulenttjenester
Abaris Consulting AS

 

OrgNr 979955138

Tjenester innen programvareutvikling
Stripe, IncLeverer betalingstjenester
Nets A/SLeverer betalingstjenester
Sveve AS

 

OrgNr 996159442

Leverer SMS tjenester
Mailchimp / MandrillLeverer epost tjenester
Microsoft AzureHosting av Rubic systemer
Swedbank

 

OrgNr 880824872

Leverer betalingstjenester
Headit AS

 

OrgNr 982691729

Tjenester innen programvareutvikling
AmazonHosting av Rubic Systemer
SafeSpot AS

 

OrgNr 922142009

Integrasjon for smittesporing i Rubic Funksjonær.
Skjer kun i arrangementer hvor integrasjon med SafeSpot er satt opp og etter eksplisitt samtykke fra funksjonær/søker.

 

4. Ansvar, brudd

I tilfelle brudd på denne Databehandleravtalen, eller forpliktelser etter gjeldende lovgivning om Behandling av Personopplysninger, skal de relevante bestemmelser om brudd i AM komme til anvendelse.

Krav fra en part som følge av den andre partens manglende oppfyllelse etter Databehandleravtalen skal være omfattet av de samme ansvarsbegrensninger som følger av AM. Med hensyn til om begrensningen i AM er nådd, skal krav under denne Databehandleravtalen og AM sees i sammenheng, og begrensningen i AM skal sees på som en samlet begrensning.

Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold dersom Databehandler ikke vil være, eller har grunn til å tro at den ikke vil være, i stand til å overholde sine forpliktelser etter denne Databehandleravtalen.

5. Varighet og avslutning av Databehandleravtalen, endringer

Denne Databehandleravtalen skal gjelde fra den dato den er signert av begge parter og inntil Databehandlers plikt til ytelse av tjenester i henhold til AM opphører, med unntak av de bestemmelser i AM og Databehandleravtalen som fortsetter å løpe etter avslutning.

Ved avslutning av denne Databehandleravtalen skal Personopplysninger/opplysninger returneres i standardisert format og medium sammen med nødvendige instruksjoner for å legge til rette for Behandlingsansvarliges videre bruk av Personopplysningene/ opplysningene. Databehandler skal først returnere og deretter slette alle Personopplysninger og andre opplysninger. Databehandler (og dennes underleverandører) skal umiddelbart stanse Behandling av Personopplysningene fra dagen fastsatt av Behandlingsansvarlig.

Som et alternativ til å returnere Personopplysninger (eller andre data) kan Behandlingsansvarlig, etter egen vurdering, skriftlig instruere Databehandler om at alt eller deler av Personopplysningene (eller andre data) skal slettes av Databehandler, med mindre preseptorisk lovgivning forhindrer Databehandler fra slik sletting.

Databehandler har ikke rett til å beholde kopi av noen opplysninger gitt av Behandlingsansvarlig i forbindelse med AM eller denne Databehandleravtalen i noe format, og all fysisk og logisk tilgang til slike Personopplysninger eller data skal slettes.

Databehandler skal gi Behandlingsansvarlig en skriftlig erklæring, hvoretter Databehandler garanterer at alle Personopplysninger eller andre opplysninger nevnt ovenfor har blitt returnert eller slettet i henhold til Behandlingsansvarliges instrukser, og at Databehandler ikke har beholdt noen kopi, utskrift eller beholdt dataene i annet medium.

Forpliktelsene etter pkt. 3.5 og 4 skal fortsette å gjelde etter avslutning. Videre skal bestemmelsene i Databehandleravtalen gjelde fullt ut for eventuelle Personopplysninger beholdt av Databehandler i strid med dette pkt. 5.

Partene skal revidere denne Databehandleravtalen i tilfelle relevante endringer i gjeldende lovgivning.

6. Tvister og jurisdiksjon

Denne Databehandleravtalen skal være underlagt norsk rett. Eventuelle tvister mellom partene skal forsøkes løst ved forhandlinger. Dersom forhandlingene ikke fører frem løses tvisten ved de ordinære domstolene. Partene vedtar Hedmarken tingrett som rett verneting for slike tvister.

 

For Behandlingsansvarlig (Kunden) : For Databehandler (Rubic):
   
Dato/Sted Dato/Sted
   
Signatur fra person med myndighet til å binde Behandlingsansvarlig   Signatur fra Databehandlers representant
   
Navn, i blokkbokstaver Navn, i blokkbokstaver
   
Stilling Stilling