Hopp til hovedinnhold
Sang i eldreomsorgen logo.

Databehandleravtale

Denne databehandleravtalen regulerer hvordan personopplysninger kan behandles, og tilfredsstiller kravene i henhold til artikkel 28 nummer 3, i Europaparlamentets og Rådets forordning 2016/679 (personvernforordningen) med henblikk på databehandlerens behandling av personopplysninger (GDPR).

Formålet med databehandleravtalen er å sikre at personopplysningene til kunder og brukere av Sang i eldreomsorgen blir behandlet i samsvar med gjeldende regelverk.

Avtalen er gjeldende mellom:

Sang i eldreomsorgen hos Krafttak for sang (NO 926120476) - heretter Databehandleren

og

Den behandlingsansvarlige (kunder og underbrukere)

1. Hensikt

Avtalens hensikt er å regulere rettigheter og plikter i henhold til artikkel 28 nummer 3, i Europaparlamentets og Rådets forordning 2016/679 (personvernforordningen) med henblikk på databehandlerens behandling av personopplysninger (GDPR).

Avtalen skal sikre at personopplysninger om de registrerte kundene (og deres underbrukere), ikke brukes urettmessig eller kommer uberettigede i hende.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bruk av Krafttak for sang sine tjenester.

2. Formål

Formålet med databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig, er å administrere og oppfylle våre forpliktelser til våre kunder og deres bruker(e).

Personopplysninger som overføres til databehandler kan ikke brukes til andre formål enn ovennevnte formål.

Databehandler kan ikke overføre personopplysninger til underleverandører eller andre tredjeparter uten at dette er forhåndsgodkjent av behandlingsansvarlig. Oversikten over hvilke leverandør(er) dette gjelder er til enhver tid oppdatert i denne avtalen (jfr. pkt. 4. Bruk av underleverandør)

Behandlingsgrunnlag

Nedenfor er en komplett oversikt over hvilke typer personopplysninger Krafttak for sang samler inn, lagrer, hva det brukes til og dets behandlingsgrunnlag.

  • Kundeinformasjon: Institusjonens navn og adresse, leders og kontaktpersons kontaktinformasjon (se under)

    Formålet med ovennevnte personopplysninger å vite hvem som er ansvarlig for avtalen med Sang i eldreomsorgen/Krafttak for sang. KFS kan ikke oppfylle avtalen uten å vite hvem leder og kontaktperson er.
  • Kontaktinformasjon: Navn, e-postadresse, telefonnummer

    Formålet med ovennevnte personopplysninger er å kontakte leder/kontaktperson hvor det er nødvendig for å oppfylle årsavtalen. Eksempler på dette kan være, men er ikke begrenset til, utsending av faktura, innloggingsinformasjon, kursinformasjon.
    I tillegg blir kontaktinformasjon benyttet til utsendelse av "valgfri" informasjon som f. eks. nyhetsbrev, kampanjer og lign. hvor personen selv har samtykket til dette. Kontaktpersonen/lederen kan når som helst avregistrere seg fra slik valgfri informasjon.

  • Brukerinformasjon: Navn, e-postadresse, passord (kryptert)

    Formålet med ovennevnte personopplysninger er å administrere og levere og regulere tjenestene som ligger bak innlogging på sangieldreomsorgen.no for kunden (leder/kontaktpersonen) og dens underbrukere. Brukernes passord inneholder et ekstra lag av kryptering og er utilgjengelig selv for Krafttak for sang/ Sang i eldreomsorgens ansatte og underleverandører.

  • Fakturainformasjon: Navn, organisasjonsnavn, e-post, organisasjonsnummer, ordre-/transaksjons-/fakturahistorikk

    Formålet med ovennevnte personopplysninger er å fakturere riktig til rett instans for avtalen, samtidig som Krafttak for sang oppfyller våre rettslige plikter i henhold til annet lovverk som f. eks. Bokføringsloven.

Alle ovennevnte personopplysninger som er knyttet til Krafttak for sang/ Sang i eldreomsorgens brukerkontoer er oppgitt frivillig av personen gjennom:

  • en bestilling av årsavtale, enten fra våre nettsider, eller gjennom direkte kontakt med en av Krafttak for sang/ Sang i eldreomsorgens ansatte.

    og/eller
  • en lokal administrator (behandlingsansvarlig) som administrerer sine underbrukere.

3. Plikter og rettigheter

Den behandlingsansvarlige

Behandlingsansvarlig har rett til tilgang til og innsyn i personopplysningene som databehandleren håndterer og de systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Den behandlingsansvarlige bestemmer hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen (jf. artikkel 4 nr. 7).

Den behandlingsansvarlige plikter å gi databehandleren dokumenterte instrukser for hvordan personopplysninger skal behandles, dersom dette avviker fra de rutinene og instruksene som er beskrevet i denne avtalen (jf. artikkel 28 nr. 3 bokstav a).

Den behandlingsansvarliges har rett til å si opp avtalen dersom databehandleren ikke lenger oppfyller lovens krav etter artikkel 28 nr. 1.

Databehandler

Databehandler skal følge de rutiner og instrukser for behandling av personopplysninger som behandlingsansvarlig til enhver tid har bestemt skal gjelde (se over).

Databehandler plikter å bistå behandlingsansvarlig ved ivaretakelse av de registrertes rettigheter, jf. personopplysningsloven.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon. Databehandleren plikter også å bistå den behandlingsansvarlige slik at denne kan ivareta sitt eget ansvar etter lov og forskrift.

Databehandler har plikt til konfidensialitet og har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter også ansatte hos tredjeparter som utfører vedlikehold (eller liknende oppgaver) av systemer som databehandleren anvender for å levere eller administrere tjenesten.

Kun ansatte hos databehandler som har tjenstlige behov for tilgang til personopplysningene, kan gis slik tilgang. Databehandleren plikter å dokumentere sine rutiner og retningslinjer for tilgangsstyring på forespørsel fra behandlingsansvarlig.

Sensitive opplysninger

Krafttak for sang/ Sang i eldreomsorgens samler, lagrer og behandler ikke sensitive personopplysninger (jfr. artikkel 9 og 10 i forordningen (https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-2#gdpr/a9)). Vi samler, lagrer og behandler heller ikke personopplysninger til elever og andre mindreårige. Elevtilgang til våre tjenester gis gjennom gis gjennom en felles brukerkonto, som registreres av lærer/administrator (kunden).

Personvern-ansvarlig (opprinnelig personvernombud)

Alle henvendelser knyttet til personvern kan sendes til leder for Krafttak for sang; Jarle@krafttakforsang.no eller post@sangieldreomsorgen.no

Sang i eldreomsorgen har ikke et eget personvernombud og er med i et felles samarbeid om personvernlovgivningen med organisasjoner i SEF - Samarbeidsforum for estetiske fag (https://www.sef.no/). Dette samarbeidet har som mål å sikre etterlevelse av regelverket for alle våre organisasjoner.

Innsyn, retting og sletting av data

Krafttak for sang/ Sang i eldreomsorgen har plikt til å legge til rette for at registrerte personer får oppfylt rettighetene sine på en enkel måte. Dette gjøres på følgende måter:

  • Innsyn: En bruker kan når som helst få full innsyn i sine data ved å logge seg inn på "Min profil". Unntaket er faktura- og transaksjonshistorikk. Denne informasjonen skal utleveres innen en måned ved å kontakte Sang i eldreomsorgen.no; post@sangieldreomsorgen.no
  • Retting: Et medlem eller en bruker kan når som helst endre sine data ved å logge seg inn på "Min profil". Unntaket er e-postadresse. Dette kan endres ved å kontakte Krafttak for sang/ Sang i eldreomsorgen; ; post@sangieldreomsorgen.no
  • Sletting:
    A: En bruker kan når som helst be om sletting av sine data ved å kontakte Krafttak for sang/ Sang i eldreomsorgen. Dette skal skje senest 30 dager etter endt avtale (jfr. pkt. VI. Avtalens varighet), dersom ikke annet er avtalt.
    Ved sletting blir brukeren automatisk utmeldt fra Krafttak for sang/ Sang i eldreomsorgen; post@sangieldreomsorgen.no.

    B: En lokal administrator (behandlingsansvarlig) kan når som helst fjerne sin(e) underbruker(e) gjennom administrasjonskonsollen i "Min profil". Fjernede brukerkontoer blir ikke slettet men satt som "inaktiv".
    Inaktive brukerkontoer blir slettet innen 6 måneder med inaktivitet.

4. Bruk av underleverandør

Krafttak for sang/ Sang i eldreomsorgen har egne avtaler med underleverandører som regulerer og ivaretar alle plikter som databehandleren selv er forpliktet å ivareta iht. denne avtalen.

Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

Databehandler kan ikke overføre personopplysninger til underleverandører utenfor EU/EØS-området, med mindre underleverandørene er sertifisert etter Safe Harbour-ordningen eller opplysningene overføres til underleverandører i land godkjent av EU (https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en#adequacy-decisions-latest).

Oversikt over underleverandører og systemer

  • Kult Byrå AS (https://kult.design/) - Webutvikling
  • Tripletex AS (https://www.tripletex.no/databehandleravtale/) - Økonomi og regnskap
  • Sanity (https://www.sanity.io/legal/privacy) - Hosting og skylagring
  • Google Workspace (https://cloud.google.com/privacy/gdpr) - Intranett og skylagring
  • Microsoft 365 (Outlook)

5. Sikkerhet

Databehandler skal implementere og iverksette tilstrekkelige tekniske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot tilfeldig eller ulovlig ødeleggelse eller tap, endring, uautorisert eksponering eller tilgang.

Databehandler skal oppfylle de krav til sikringstiltak som stilles etter personopplysningsloven og personopplysningsforskriften. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på forespørsel fra behandlingsansvarlige.

Avviksmelding etter personopplysningsforskriften skal skje ved at databehandler melder avviket til behandlingsansvarlig.

Databehandler plikter å holde personopplysninger fra behandlingsansvarlig forsvarlig adskilt fra personopplysninger tilhørende andre medlemmer og brukere. Databehandler plikter å dokumentere dette på forespørsel fra behandlingsansvarlig.

Databehandler benytter seg av underleverandører som holder et strengt krav til sikkerhet. En detaljert og oppdatert beskrivelse av underleverandørenes sikkerhetsrutiner og mekanismer er tilgjengelige på deres nettsider, og skal til enhver tid være tilgjengelig på forespørsel fra behandlingsansvarlig.

Sikkerhetsrevisjoner

Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner av og lignende som omfattes av denne avtalen. Behandlingsansvarlig skal gis tilgang til revisjonsrapportene.

Dersom en uavhengig tredjepart gjennomfører sikkerhetsrevisjoner hos databehandleren, skal behandlingsansvarlig informeres om dette og ha tilgang til oppsummeringer av revisjonsrapportene.

6. Avtalens varighet

Avtalen følger vilkår for årsavtale hos Krafttak for sang/ Sang i eldreomsorgen ( se brukervilkår), og gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.

Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

7. Tvister og verneting

Denne avtale reguleres av norsk rett.
Alle tvister som måtte oppstå mellom partene skal søkes løst gjennom forhandlinger. Lykkes ikke dette kan søksmål reises for Oslo tingrett som avtalt verneting, med mindre partene blir enige om voldgift. En eventuell voldgiftsbehandling følger reglene i lov av 14. mai 2004 nr. 25 om voldgift (voldgiftsloven).