Databehandlingsavtale

Sist oppdatert:

3. okt. 2025

Databehandleravtale

Denne Databehandleravtalen ("Databehandleravtale") er inngått på den (siste) dagen av signering mellom:

1. [sett inn fullt firmanavn], med registrert kontor i [sett inn adresse og land] og med organisasjonsnummer [sett inn organisasjonsnummer] ("Dataansvarlig"); og

2. Solace Care, med registrert kontor på Luntmakargatan 26, 111 37 Stockholm, Sverige, og med organisasjonsnummer 559519-7079 ("Databehandler");

heretter referert til som Parten eller Partene.

BAKGRUNN

1. Dataansvarlig bestemmer formålet med og midlene for Behandlingen av Personopplysninger (som definert nedenfor).

2. Partene har inngått en tjenesteavtale, i forbindelse med levering av Tjenesten, hvor Databehandleren vil behandle personopplysninger på vegne av Dataansvarlig. Partene har blitt enige om å levere Tjenestene (som definert nedenfor) på de vilkår som er angitt i Tjenesteavtalen (som definert nedenfor).

3. Partene ønsker å supplere Tjenesteavtalen med denne Databehandleravtalen for å formalisere de vilkår og betingelser som gjelder for Behandlingen av Personopplysninger.

4. Formålet med denne Databehandleravtalen er å sikre tilstrekkelige garantier for å beskytte personvernet og for å sikre at Behandlingen av Personopplysninger

1. AVTALE

1. I tillegg til hoveddelen av avtalen, inneholder også denne Databehandleravtalen følgende dokumenter:

Vedlegg 3.1 Instruksjoner for Behandling

Vedlegg 3.2 Tekniske og organisatoriske sikkerhetstiltak

Vedlegg 3.3 Underleverandører

1. Hvis noen bestemmelse i denne Databehandleravtalen er uforenlig med noen av vilkårene i Tjenesteavtalen, skal bestemmelsene i denne Databehandleravtalen ha forrang. Store bokstavtermer som ikke er definert her (hvis noen) har de betydningene som er gitt i Tjenesteavtalen.

1. DEFINISJONER

1. Vilkår som har en definisjon i EUs generelle personvernforordning, GDPR, skal ha den betydningen som er angitt i forordningen i denne Avtalen.

2. I denne Databehandleravtalen har følgende termer følgende betydninger:

| Gjeldende lov | Enhver lov og regelverk gjeldende for Behandlingen av Personopplysninger under denne Databehandleravtalen og Tjenesteavtalen, som, men ikke begrenset til, GDPR. |

| Godkjent formål | Behandlerens Behandling av Personopplysninger i samsvar med denne Behandleravtalen på vegne av Ansvarlig (i) etter nødvendighet for å oppfylle formålet med Tjenesteavtalen eller (ii) som ellers definert skriftlig av den Ansvarliges kontaktperson fra tid til annen; |

| Godkjente underleverandører | Alle underleverandører oppført i Vedlegg 3.1; |

| Kontrakt | Tjenesteavtalen for levering av visse profesjonelle tjenester av Behandleren til Ansvarlig inngått mellom Partene på datoen spesifisert i Vedlegg 3.1; |

| Dataansvarlig | En enhet som bestemmer formålet med og midlene for behandlingen av Personopplysninger. |

| Databehandler | En enhet som behandler Personopplysninger på vegne av en Dataansvarlig. |

| Databehandleravtale (DPA) | Denne Databehandleravtalen – inkludert eventuelle påfølgende endringer av den – som inkluderer vilkårene i hoveddelen av dette dokumentet, sammen med vedleggene og eventuelle tillegg samt dokumenter som uttrykkelig er inkorporert ved referanse |

| Registrert | Den identifiserte eller identifiserbare fysiske personen som er emne for Personopplysninger. |

| GDPR | EU's Generelle Personvernforordning (Forskrift (EU) 2016/679); |

| Personopplysninger | Enhver informasjon relatert til (i) en identifisert eller identifiserbar fysisk person og, (ii) en identifisert eller identifiserbar juridisk enhet (hvor slik informasjon er beskyttet på lignende måte som personopplysninger eller personlig identifiserbar informasjon under gjeldende Datavernlover og -forordninger), hvor for hver (i) eller (ii), slike data er Kundedata. |

| Tjenester| Tjenestene som skal leveres av Databehandleren under Tjenesteavtalen; |

| Standardkontraktklausuler | EU-modellklausuler, den EU-godkjente (beslutning 2010/87/EU) Standardkontraktklausuler for overføring av Personopplysninger fra Dataansvarlige til Databehandlere etablert i tredjeland utenfor Det Europeiske Økonomiske Samarbeidsområdet hvor datavernregler betraktes som utilstrekkelige, inkludert eventuelle instrumenter godkjent av Europakommisjonen som erstatter eller etterfølger slike kontraktsklausuler; |

1. GENERELT

1. Denne Databehandleravtalen regulerer Databehandlerens Behandling av Personopplysninger på vegne av Dataansvarlig for å utføre sine Tjenester under Tjenesteavtalen. Databehandleren skal kun Behandle Personopplysningene for det Godkjente Formål og i samsvar med Gjeldende Lov, denne Databehandleravtalen og Tjenesteavtalen. Databehandleren skal umiddelbart informere Dataansvarlig hvis det anser at en instruksjon er i strid med Gjeldende Lov.

2. Dataansvarlig opprettholder formell kontroll og eierskap til Personopplysningene. Databehandleren skal ikke ha andre rettigheter i eller til Personopplysningene enn den ikke-eksklusive, tilbakekallbare og tidsbegrensede retten til å Behandle Personopplysningene for det Godkjente Formål.

3. Det skal ikke være noen gebyrer eller kostnader i forbindelse med Databehandlerens utførelse av sine forpliktelser under denne Databehandleravtalen annet enn gebyrene for Tjenestene angitt i Tjenesteavtalen eller eventuelle spesielle tjenestevedlegg/tillegg knyttet til den.

1. GODKJENTE LOKASJONER FOR BEHANDLINGEN

Databehandleren skal kun Behandle Personopplysningene for det Godkjente Formål. Behandling av Personopplysninger for ethvert annet formål er forbudt og vil bli ansett som et brudd på denne Datavernavtalen og Tjenesteavtalen.

1. GODKJENTE LOKASJONER FOR BEHANDLINGEN

1. Behandlingen av Personopplysningene kan kun skje i tekniske miljøer kontrollert av Dataansvarlig, Databehandleren og/eller Godkjent Underleverandør innenfor Godkjent Territorium.

2. Hvis Personopplysningene er tilgjengelige fra en lokasjon, betraktes dette som en overføring av Personopplysninger til en slik lokasjon. Personopplysninger må ikke være tilgjengelige i lokasjoner utenfor Autorisert Territorium.

1. BISTAND

1. Databehandleren skal, uten unødig forsinkelse, bistå Dataansvarlig og sikre at Databehandlerens underleverandør bistår Dataansvarlig i å svare på eller gi informasjon til Registrerte og nasjonale tilsynsmyndigheter, angående Behandlingen utført av Databehandleren og deres Autoriserte Underleverandører på vegne av Dataansvarlig. Databehandleren skal gi slik informasjon og støtte som Dataansvarlig rimelig ber om for at Dataansvarlig skal kunne overholde Gjeldende Lovgivning og meldinger fra relevante myndigheter.

2. Databehandleren skal bistå Dataansvarlig i å overholde Kapittel 3 i GDPR, særlig:

* Korrigere eller slette unøyaktige Personopplysninger;

* Gi en kopi av Personopplysningene lagret i enhver form for gjenopprettings- eller lagringsanlegg holdt eller kontrollert av Databehandleren eller en Autorisert Underleverandør;

* Gi informasjon om Behandlingen av Personopplysninger;

* Bistå i enhver forespørsel eller varsel, eller forventet forespørsel eller varsel, fra eller på vegne av en Registrert

* Eller de nasjonale tilsynsmyndigheter, i forbindelse med Personopplysninger; og

* Gi ellers all passende støtte til Ansvarlig nødvendig for at Ansvarlig skal kunne overholde sine juridiske forpliktelser, som artiklene 32-36 GDPR, og ta passende tekniske og organisatoriske tiltak for å gi slik støtte.

1. BRUK AV UNDERLEVERANDØRER

1. Databehandleren kan kun bruke en underleverandør som er en Godkjent Underleverandør til å utføre oppgaver i henhold til denne Databehandleravtalen på deres vegne. Databehandleren skal i Underbehandleravtalen nevnt i avsnitt 7.2 sikre at all Behandling av Personopplysninger utført av en Godkjent Underleverandør oppfyller kravene i denne Behandleravtalen. Dette inkluderer, men er ikke begrenset til, verifikasjon at sikkerhetstiltakene implementert av en Autorisert Underleverandør sikrer minst et nivå av beskyttelse tilsvarende det som kreves av Databehandleren under denne Databehandleravtalen.

2. Databehandleren skal sikre at en Underbehandleravtale inngås mellom Databehandleren og en Godkjent Underleverandør før en slik Godkjent Underleverandør Behandler Personopplysninger. Avtalen(e) om Behandling av Personopplysninger skal sikre at en slik Godkjent Underleverandør er underlagt krav som er minst like strenge og som gir Dataansvarlig og Registrerte minst et tilsvarende nivå av beskyttelse som de krav som pålegges Databehandleren under denne Behandleravtalen og Gjeldende Lovgivning angående deres Behandlingsaktiviteter.

3. Behandleren skal informere Ansvarlig om eventuelle planlagte endringer relatert til tillegg eller endring av underleverandør og skal gi Ansvarlig tretti (30) dagers varsel for å gi Ansvarlig mulighet til å protestere mot slike endringer. Hvis Dataansvarlig protesterer mot slike endringer, skal den relevante underleverandøren ikke delta i Behandlingen av Personopplysninger på vegne av Dataansvarlig.

4. Ansvarlig kan tilbakekalle en eller flere autorisasjoner utstedt for bruk av en bestemt Autorisert Underleverandør. I slike tilfeller skal Dataansvarlig gi en forklaring til Databehandler med begrunnelse for tilbaketrekningen. I den grad tilbaketrekningen forhindrer Databehandleren i å levere Tjenesten, skal Partene i god tro diskutere hvilke alternative løsninger og/eller underleverandører som kan brukes for å fortsette å levere Tjenesten.

2. BEHANDLING AV PERSONOPPLYSNINGER I BESTEMTE JURISDIKSJONER

1. Hvis Behandlingen av Personopplysninger ikke finner sted

1. innenfor Det Europeiske Økonomiske Samarbeidsområdet, eller

2. et territorium utpekt av Europakommisjonen som et område som garanterer et tilstrekkelig beskyttelsesnivå;

Slik behandling av Personopplysninger skal utføres i samsvar med gjeldende EU-modellkontrakter for overføring av Personopplysninger til tredjeland (Standardkontraktklausuler). Hvis Ansvarlig autoriserer en overføring til et land utenfor a. eller b. over, eller autoriserer tilgang til Personopplysninger fra et land utenfor a. eller b. over, skal Partene inngå EU SCC før slik overføring eller tilgang. Hvis slik overføring innebærer overføring av Personopplysninger til en Godkjent Underleverandør, skal Behandleren sikre at vilkårene i SCC pålegges en slik Godkjent Underleverandør ved å kreve at den Godkjente Underleverandøren signerer vilkårene i SCC med Ansvarlig som en "Eksportør av Personopplysninger" under SCC før slik overføring eller tilgang.

1. Dataansvarlig gir herved sitt godkjennelse for å tillate Databehandleren å inngå SCC-avtaler med relevante Godkjente Underleverandører på vegne av Dataansvarlig for de ovennevnte formålene.

2. For å unngå tvil, kravet om å sikre at den Autoriserte Underleverandøren inngår en avtale for Behandling av Personopplysninger ved bruk av SCC-avtalene når det kreves etter denne Seksjon 8 fritar ikke Behandleren fra sine forpliktelser under Seksjon 7, inkludert, men ikke begrenset til, forpliktelsen til å sikre at sikkerhetstiltakene iverksatt av den relevante Autoriserte Underleverandøren gir Ansvarlig og Registrerte minst et tilsvarende nivå av beskyttelse som de krav som pålegges Databehandleren under denne Databehandleravtalen.

1. TEKNISKE OG ORGANISATORISKE SIKKERHETSTILTAK

1. Databehandleren skal utføre sine forpliktelser og handlinger under denne Databehandleravtalen med all nødvendig ferdighet, omsorg og nøyaktighet. Databehandleren skal bruke tekniske og organisatoriske sikkerhetstiltak som passer for å forhindre skade som kan oppstå fra uautorisert eller ulovlig Behandling, tap, destruksjon, skade, endring eller avsløring av Personopplysninger, med hensyn til Personopplysningenes natur som skal beskyttes.

2. Vedlegg 3.2 "Tekniske og organisatoriske sikkerhetstiltak" gir videre instruksjoner om tekniske og organisatoriske sikkerhetstiltak.

2. KONFIDENSIALITET

1. Databehandleren skal sikre at det selv og dets ansatte samt underleverandører og deres ansatte beholder all Personopplysning konfidensielt og at Personopplysningene kun er tilgjengelige for Databehandlerens ansatte basert på informasjonsbehovet. Databehandleren skal spesielt sikre at alt personell som er involvert i Behandlingen av Personopplysninger har gjennomgått opplæring.

2. Personopplysningene skal betraktes som konfidensiell informasjon for Dataansvarlig og, i tillegg til vilkårene i denne Databehandleravtalen, skal behandles som konfidensiell i henhold til konfidensialitetsforpliktelsene avtalt mellom Partene i Tjenesteavtalen eller på annen måte.

3. Konfidensialitetsforpliktelsene fastsatt i denne Seksjon 10, inkludert forpliktelsen til ansatte, konsulenter osv., til å beholde Personopplysningene konfidensielt, skal fortsette å gjelder selv etter at denne Datavernavtalen utløper eller blir avsluttet.

3. REVISJON

1. Dataansvarlig har rett til, etter å ha informert Databehandleren minst ti (10) virkedager på forhånd, å gjennomgå Databehandlerens (og eventuelle underleverandørers) overholdelse av denne Databehandleravtalen. Hvis Dataansvarlig med rimelighet mistenker et brudd på Personopplysningene, skal en varslingsperiode på minst tjuefire (24) timer gjelde. Databehandleren skal gi all nødvendig informasjon for å demonstrere samsvar med denne Databehandleravtalen. Hvis en revisjon (eller annen omstendighet) viser at denne Behandleravtalen ikke overholdes, skal Databehandleren rette opp dette.

2. Partene skal bære sine egne kostnader i forbindelse med revisjoner utført eller nevnt i denne Seksjon 11.

4. RAPPORTERING AV EN BRUDD PÅ PERSONOPPLYSNINGER

1. Hvis Databehandleren mistenker eller blir kjent med et Brudd på Personopplysninger, skal Databehandleren uten unødig forsinkelse (og i alle tilfeller senest førtito (48) timer etter å ha blitt kjent med det) varsle Dataansvarlig ved å sende en e-post til kundens spesifiserte kontaktperson i Tjenesteavtalen. Databehandleren er forpliktet til å samarbeide for å rette opp problemet så snart det er rimelig og praktisk. Varslet skal, hvor slik informasjon er tilgjengelig, inneholde følgende informasjon:

1. Beskrivelse av Personopplysningsbruddet, inkludert, der det er mulig, kategoriene og det omtrentlige antallet Registrerte berørt, et sammendrag av hendelsen som forårsaket Personopplysningsbruddet, datoen og tidspunktet for den relevante hendelsen, samt Personopplysningenes natur og innhold, samt den fysiske arten av bruddet og de berørte lagringsmediene;

2. Beskrivelse av arten av Personopplysningsbruddet (f.eks. tap, tyveri, kopiering);

3. Beskrivelse av de sannsynlige konsekvensene og potensielle risikoen som Personopplysningsbruddet kan ha for de berørte Registrerte;

4. Beskrivelse av tiltakene foreslått eller gjort av Databehandleren og/eller en Godkjent Underleverandør, som relevant, for å håndtere og redusere effektene av Personopplysningsbruddet;

5. Kontaktinformasjon for Databehandlerens Datavernansvarlig eller annen Kontaktperson.

1. Avhengig av arten av Personopplysningsbruddet kan Dataansvarlig være pålagt å rapportere til datavernmyndigheten i landet hvor den befinner seg. Databehandleren skal derfor, etter forespørsel fra Dataansvarlig, gi enhver annen informasjon som Dataansvarlig rimelig ber om for å oppfylle relevant datavernlovgivning og/eller forespørsler fra Datavernmyndigheten.

1. ANDRE RAPPORTER

1. Databehandleren skal, uten unødig forsinkelse, videresende en Registrertes forespørsel om tilgang til sin/sine Personopplysninger til Dataansvarlig. Databehandleren skal henvise alle forespørsler fra Registrerte til Dataansvarlig og skal gi Dataansvarlig rimelig bistand som den måtte kreve i forbindelse med en slik klage;

2. Behandleren skal varsle Ansvarlig uten unødig forsinkelse hvis det mottar en forespørsel fra en datavernmyndighet eller annen statlig myndighet som krever at Behandleren eller noen av deres Autoriserte Underleverandører gir Datavernmyndigheten eller annen statlig myndighet tilgang til den Ansvarliges Personopplysninger. Slik varsling skal, hvis mulig, og i den utstrekning det er tillatt av Gjeldende Lov, gis før Databehandleren avslører data.

3. Hvis noen lov, regelverk, myndighet eller reguleringsorgan krever eller krever at Behandleren beholder dokumenter eller materiale som det ellers ville blitt pålagt å returnere eller ødelegge under Seksjon 17, skal det, i den utstrekning loven tillater det, varsle Ansvarlig skriftlig og gi detaljer om dokumentene eller materialet det er pålagt å beholde. Databehandleren skal ikke bryte Seksjon 17 med hensyn til de beholdte dokumentene eller materialene, men Seksjon 10 skal fortsatt gjelde for dem.

2. GYLDIGHETSPERIODE

1. Denne Databehandleravtalen trer i kraft på den (siste) signeringsdatoen og forblir i kraft så lenge Databehandleren eller Godkjente Underleverandører behandler eller har tilgang til Personopplysningene (Varigheten).

3. BRUDD

1. Enhver manglende overholdelse av kravene i denne Databehandleravtalen skal anses som et kontraktsbrudd fra Databehandlerens side. Databehandleren skal sikre at alle brudd er rettet så snart som mulig. Databehandleren skal kontinuerlig oppdatere Dataansvarlig om utviklingen og dokumentere alle tiltak som er tatt for å rette opp manglende overholdelse.

2. Til tross for det foregående kan Dataansvarlig med umiddelbar effekt instruere Databehandleren, for å unngå tvil, inkludert eventuelle Godkjente Underleverandører, om å stoppe eller avslutte all videre Behandling av Personopplysningene når et brudd på denne Databehandleravtalen oppstår.

3. Hver Part skal være ansvarlig for eventuelle administrative bøter pålagt dem av en datavernmyndighet eller en domstol med kompetent jurisdiksjon på grunn av den Partens unnlatelse av å overholde sine forpliktelser under Gjeldende Lov eller å Behandle Personopplysninger i strid med Gjeldende Lov eller denne Databehandleravtalen. Imidlertid, hvis Dataansvarlig blir bøtelagt på grunn av Databehandleren som har brutt eller brutt Gjeldende Lov eller denne Databehandleravtalen, skal Databehandleren kompensere Dataansvarlig for denne kostnaden og for alle relaterte skader, tap eller utgifter. Slik kompensasjon er ikke underlagt beløpsgrensene angitt i Seksjon 14 av Tjenesteavtalen.

4. Ansvar overfor en Registrert som har lidd skade som følge av et brudd på GDPR skal deles mellom Dataansvarlig og Databehandleren i samsvar med Artikkel 82 GDPR.

4. RETUR ELLER SLETTE DATA

1. Ved opphør eller avslutning av Tjenesteavtalen, skal Databehandleren slette alle personopplysninger som er behandlet på vegne av Dataansvarlig og bekrefte for Dataansvarlig at dette er gjort, med mindre Unionen eller medlemsstatens lover krever at personopplysningene lagres. Alternativt skal Databehandleren, etter instruks fra Dataansvarlig, returnere personopplysningene i et passende standardformat til Dataansvarlig og/eller en tredjepartsleverandør.

5. GYLDIGHETSPERIODE OG OPPHØR, MV.

1. Denne Databehandleravtalen skal forbli i full kraft så lenge Databehandleren (eller noen underleverandør) Behandler Personopplysninger på vegne av Dataansvarlig eller inntil den erstattes av en ny Databehandleravtale. Ingen endring av denne Databehandleravtalen skal være gyldig med mindre den er gjort skriftlig og signert av autoriserte representanter.

2. Personopplysninger kan ikke lagres lenger enn nødvendig for å oppfylle det opprinnelige formålet med Behandlingen i samsvar med denne Datavernavtalen. Databehandleren skal følge prosessene og prosedyrene for suksessiv sletting av data som angitt i Vedlegg 3.1.

3. Databehandleren har rett til å slette Personopplysningene tretti (30) dager etter at Tjenesteavtalen har utløpt eller blitt avsluttet. Dataansvarlig har rett til å be om en forlengelse av denne Databehandleravtalen for Behandlingen av Personopplysninger så lenge dette er nødvendig for å beskytte forpliktelsene og rettighetene til Dataansvarlig og/eller Registrerte.

6. TVISTELØSNING

1. Enhver tvist, kontrovers eller krav som oppstår som følge av eller er relatert til denne Avtalen, eller brudd, opphør eller ugyldighet av den, skal løses i samsvar med vilkårene i Tjenesteavtalen.

VEDLEGG 3.1 - INSTRUKSJONER FOR BEHANDLINGPersonopplysninger som skal behandles

Personopplysninger av følgende kategorier vil bli behandlet.

| Framtidsplanering | Brukere kan laste opp dokumenter og fylle ut informasjon relatert til deres framtidsplanering som kan være til nytte for familiemedlemmene å vite om etter dødsfall. | Brukere lastet opp dokumenter og informasjon vedrørende deres framtidsplanering. | Bruker | 10 år |

VEDLEGG 3.2 - TEKNISKE OG ORGANISATORISKE SIKKERHETSTILTAK

Databehandleren skal ta passende tekniske og organisatoriske tiltak for å beskytte Personopplysningene på en slik måte at behandlingen overholder kravene i Datavernlovgivningen og sikrer at de registrertes rettigheter under Datavernlovgivningen beskyttes.

Databehandleren forsikrer og garanterer tiltak som gir et sikkerhetsnivå som passer til gjeldende teknologi, kostnadene ved implementering og arten, omfanget, konteksten og formålet med Behandlingen, samt sannsynligheten og alvorlighetsgraden av risikoene for de Registrertes rettigheter og friheter. Hvor nødvendig, skal tiltakene inkludere.

1. Tiltak for pseudonymisering og kryptering av personopplysninger.

Solace opprettholder Kundedata i et kryptert format i ro med bruk av Advanced Encryption Standard og under overføring med TLS 1.2 eller høyere.

1. Tiltak for å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og tjenester.

Solace forplikter seg til strenge konfidensialitetsforpliktelser. I tillegg krever Solace at hver underleverandør signerer konfidensialitetsavtaler.

1. Tiltak for å sikre evnen til å fortsette i tilfelle en fysisk eller teknisk hendelse.

Solace utfører vanlige sikkerhetskopier av Kundedata, som er vert i AWS datasentre. Sikkerhetskopier beholdes i flere regioner og er kryptert under overføring og i ro med bruk av Advanced Encryption Standard (AES-256).

1. Prosesser for regelmessig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for å sikre sikkerheten ved behandlingen.

Solace opprettholder et sikkerhetsprogram basert på risikovurdering. Rammeverket for Solace sitt sikkerhetsprogram inkluderer administrative, organisatoriske, tekniske og fysiske vernetiltak designet for å beskytte Tjenestene og konfidensialiteten, integriteten og tilgjengeligheten av Kundedata. Solace sitt sikkerhetsprogram skal være tilpasset Tjenestenes natur og størrelsen og kompleksiteten av Solace sin driftsvirksomhet.

1. Tiltak for brukeridentifikasjon og autorisasjon.

Solace-ansatte er pålagt å bruke unike brukertilgangsreferanser og passord for autorisasjon. Flerfaktorautentisering kreves gjennom hele systemet. Solace følger prinsippene om minst nødvendighet gjennom rollebaserte og tidsbegrensede tilgangsmodeller ved tildeling av systemtilgang. Solace-personell er autorisert til å få tilgang til Kundedata basert på deres arbeidsfunksjon, rolle, ansvar og senioritet. Tilgang fjernes umiddelbart ved rolleendring eller avslutning.

1. Tiltak for å beskytte data.

Kundedata krypteres når de overføres mellom Kunden og Solace ved hjelp av TLS 1.2 eller høyere. Kundedata lagres kryptert ved bruk av Advanced Encryption Standard.

1. Tiltak for å sikre fysisk sikkerhet av steder der personopplysninger behandles.

Solace sitt hovedkvarter og kontorarealer har et fysisk sikkerhetsprogram for å overvåke den generelle kontorsikkerheten.

Tjenestene opererer på Amazon Web Services ("AWS") og Google Cloud ("GCS") og beskyttes av sikkerhets- og miljøkontrollene til Amazon og Google, henholdsvis.

Ytterligere informasjon om AWS sikkerhet er tilgjengelig på [aws.amazon.com/security/](https://aws.amazon.com/security/) og [aws.amazon.com/security/sharing-the-security-responsibility/](http://aws.amazon.com/security/sharing-the-security-responsibility/). For AWS SOC-rapporter, vennligst se [aws.amazon.com/compliance/soc-faqs/](https://aws.amazon.com/compliance/soc-faqs/). Detaljert informasjon om GCS sikkerhet er tilgjengelig på [cloud.google.com/docs/tutorials#security](https://cloud.google.com/docs/tutorials#security).

1. Tiltak for å sikre systemkonfigurasjon, inkludert standardkonfigurasjon.

Solace stoler på infrastruktur-som-kode-prosesser og internt utviklede moduler for å sikre enhetlig og repeterbar systemkonfigurasjon gjennom hele infrastrukturen. En omfattende endringsadministrasjonsprosess sikrer at hver endring blir gjennomgått av domeneeksperter før utrulling. I tillegg er automatiserte prosesser på plass for å validere overholdelse av beste praksis og skanne etter sårbarheter eller andre potensielle sikkerhetstrusler.

1. Tiltak for intern IT og IT-sikkerhetsstyring og ledelse.

Solace sitt sikkerhetsprogram skal være tilpasset Tjenestenes natur og størrelsen og kompleksiteten av Solace sin driftsvirksomhet.

Sikkerhet håndteres på høyeste nivå i selskapet, med Administrerende Teknologisjef og Administrerende Direktør som regelmessig diskuterer problemstillinger og koordinerer sikkerhetsinitiativer. Informasjonssikkerhetspolitikker og -standarder gjennomgås og godkjennes av ledelsen minst årlig og er gjort tilgjengelig for alle Solace ansatte til deres referanse.

1. Tiltak for sertifiseringer/sikkerhet av prosesser og produkter.

Solace utfører tredjepartsrevisjoner for å bekrefte samsvar med sikkerhetsrammeverket og årlig applikasjonspersjonstesting. Solace sine sikkerhetskontroller og prosesser er satt i overensstemmelse med ISO27001:2022-sertifiseringen.

1. Tiltak for å sikre dataminimering.

Solace opererer under et strengt dataminimeringsprinsipp balansert med forpliktelsene som følger av den regulerte naturen til den leverte tjenesten.

1. Tiltak for å sikre begrenset datalagring.

Solace opererer under et strengt datalagringsprinsipp balansert med forpliktelsene som følger av den regulerte naturen til den leverte tjenesten.

1. Tiltak for å sikre ansvarlighet.

Solace har vedtatt tiltak for å sikre ansvarlighet, som inkluderer å implementere datavernspolicyer over hele virksomheten, opprettholde dokumentasjon av behandlingsaktiviteter, registrering og rapportering av sikkerhetshendelser som involverer Personopplysninger.

1. Tiltak for å tillate dataportabilitet og sikre sletting.

Solace vil gi bistand til Kunden etter hva som rimelig kan kreves i henhold til Gjeldende Datavernlover for å respondere på forespørsler fra individer som ønsker å utøve sine rettigheter under Gjeldende Datavernlover (f.eks., rettigheter til datatilgang, rettelse, sletting, begrensning, portabilitet og innsigelse).

1. For overføringer til underleverandører, beskriv også de spesifikke tekniske og organisatoriske tiltakene som skal tas av underleverandøren for å kunne gi bistand til Dataansvarlig og for overføringer fra en behandlende enhet til en underleverandør, til dataeksportøren.

Når Solace engasjerer en underleverandør under denne Avtalen, inngår Solace og underleverandøren en avtale med datavernvilkår som er tilnærmet like dem som inneholdt heri. Hver underleverandøravtale må sikre at Solace er i stand til å oppfylle sine forpliktelser overfor Kunden. I tillegg til å implementere tekniske og organisatoriske tiltak for å beskytte personopplysninger, må underleverandører: a) varsle Solace i tilfelle en sikkerhetshendelse slik at Solace kan varsle Kunden; b) slette data når det blir instruert av Solace i samsvar med Kundens instruksjoner til Solace; c) ikke engasjere ytterligere underleverandører uten autorisasjon; d) ikke endre sted hvor data behandles; eller e) behandle data på en måte som er i strid med Kundens instruksjoner til Solace.

VEDLEGG 3.3 - UNDERLEVERANDØRER LISTE

Godkjente underleverandører

Tabellen nedenfor gir en oppsummering av kategorier av personopplysninger, lagringslokasjoner, dataflyt og rettslig grunnlag for hver Godkjente Underleverandørs behandlingsaktiviteter.

| :------------------------: | :-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------: | :----------------------------------------------------------------------------------------------------------------------------------------------------------: | :-------------------------------------------: | :------------------------------------------------------------------------: | :-------------------------------------------------------------------------------------: |

| Amazon Web Services | Dette er en webhotellleverandør. Vi bruker den til å være vert for vår plattformkode og database. | Kontaktinformasjon, Data fra ditt prosjekt, Data som identifiserer deg | EU & USA | EU-US Data Privacy Framework | [aws.amazon.com/](https://aws.amazon.com/privacy/) |

| GitHub | GitHub er en nettjeneste og skybasert tjeneste som hjelper oss med å lagre og administrere vår CMS-kode. Brukere bruker også GitHub til å sende oss feilrapporter og forespørsler om funksjoner. | Kontaktinformasjon, Data som identifiserer deg | USA | EU-US Data Privacy Framework | [docs.github.com/fr/site-policy/privacy-policies/github-privacy-statement](https://docs.github.com/fr/site-policy/privacy-policies/github-privacy-statement) |

| Google Cloud Platform | Vi definerer en OAuth 2.0-app på Google for å støtte pålogging via Google på Solace Cloud | Kontaktinformasjon, Data som identifiserer deg | USA | EU-US Data Privacy Framework | [cloud.google.com/terms/cloud-privacy-notice](https://cloud.google.com/terms/cloud-privacy-notice) |

| Complianz | Complianz er et WordPress-plugin som lar oss be om og håndtere brukernes samtykke til informasjonskapsler (som er nødvendig for å oppfylle GDPR-kravene). | Data som identifiserer deg | EØS | Europakommisjonens Standardkontraktklausuler | [complianz.io/legal/privacy-statement/](https://complianz.io/legal/privacy-statement/) |

| Google Analytics | Google leverer Forretnings-IT-systemer til Solace. Vi bruker Google Analytics til å spore bruk av nettstedet og lage rapporter, og Google Ads til å plassere sponserte søkeresultater og måle deres effektivitet. | Kontaktinformasjon, Data om hvordan du bruker Strapi | USA | EU-US Data Privacy Framework | [policies.google.com/privacy](https://policies.google.com/privacy) |

| Datadog | Overvåking og logging | Innholdsdata, Bruks- og interaksjonsdata, Enhets- og tekniske data, Autentiserings- og tilgangsdata | EU | EU-US Data Privacy Framework | [datadoghq.com/legal/terms/2014-12-31/](https://www.datadoghq.com/legal/terms/2014-12-31/) |

| Hotjar | Analyse av nettsteders oppførsel og tilbakemelding | Atferds- og interaksjonsdata, Enhets- og tekniske data, Skjema- og inndata, ID-er og analyserdata, Valgfri Brukertilbakemelding data | Irland | Standardkontraktsklausuler (SCC) | [hotjar.com/legal/policies/terms-of-service/](https://www.hotjar.com/legal/policies/terms-of-service/) |

| Loom | Videomeldinger for asynkron kommunikasjon | Innholdsdata, Bruks- og interaksjonsdata, Enhets- og tekniske data, Autentiserings- og tilgangsdata, Valgfri Tilbakemelding eller StøtteData | EU | EU-US Data Privacy Framework | [atlassian.com/legal/loom/terms-of-service](https://www.atlassian.com/legal/loom/terms-of-service) |

| Typeform | Nettbasert skjema- og undersøkelsesbygger | Kontaktinformasjon Demografisk Informasjon Atferdsdata Tekniske Data Samtykkedata | EØS, Irland | Europakommisjonens Standardkontraktklausuler (SCC) | [admin.typeform.com/to/dwk6gt?typeform-source=www.google.com](https://admin.typeform.com/to/dwk6gt?typeform-source=www.google.com) |

UNDERTEGNET AV HVOR PÅ PARTENE HAR UTFØRT DENNE AVTALEN FRA DEN EFFEKTIVE DATOEN.

Solace (Behandler)

Signatur: ____________________________________

Navn: Person

Tittel: Person

Dato: Dato

Person (Ansvarlig)

Signatur: ____________________________________

Navn: Person

Tittel: Person

Dato: Dato