Databehandleravtale

§ 1. Partene

Databehandler er Staple AS, Fredrikstad, som leverer Staple. Behandlingsansvarlig er Kunden (regnskapsbyrået eller virksomheten) som bruker Staple. Der Kunden selv er databehandler for sine egne kunder, opptrer Staple AS som underdatabehandler, og avtalen gjelder tilsvarende. Staple AS behandler personopplysninger kun på vegne av Kunden og etter dokumenterte instrukser.

§ 2. Definisjoner

Begrepene personopplysninger, behandling, behandlingsansvarlig, databehandler, underdatabehandler, registrert, brudd på personopplysningssikkerheten og særlige kategorier av personopplysninger forstås i samsvar med personvernforordningen artikkel 4 og 9. Med personvernregelverket menes personvernforordningen og personopplysningsloven med forskrifter.

§ 3. Behandlingens art, formål og varighet

Staple AS behandler personopplysninger utelukkende for å levere Staple: regnskap, bilag, fakturering, lønn, timeføring, oppdragsstyring og årsoppgjør, samt tilhørende drift, sikkerhetskopi og support. Behandlingens art, formål, kategorier registrerte og typer personopplysninger er nærmere beskrevet i Vedlegg 1. Behandlingen varer så lenge Kunden bruker Staple. Ved opphør gjelder § 13.

§ 4. Behandlingsansvarliges plikter

Kunden er ansvarlig for at det finnes et gyldig behandlingsgrunnlag for personopplysningene som legges inn i Staple, og for at de registrerte har fått nødvendig informasjon. Kunden gir instrukser gjennom bruken av tjenesten og skriftlig ved behov, og kan til enhver tid be om at behandlingen endres eller opphører innenfor rammene av kundeavtalen.

§ 5. Databehandlers plikter

Staple AS skal:

• behandle personopplysninger bare etter dokumenterte instrukser fra Kunden, med mindre annet kreves av norsk rett eller unionsretten; i så fall informeres Kunden om det rettslige kravet før behandlingen, hvis ikke loven forbyr det,
• ikke bruke personopplysningene til egne formål eller utlevere dem til uvedkommende,
• sørge for at alle med tilgang er underlagt taushetsplikt etter § 6,
• gjennomføre tekniske og organisatoriske sikkerhetstiltak etter § 7 og Vedlegg 2,
• bistå Kunden etter § 10 til § 12, og
• varsle uten ugrunnet opphold dersom en instruks etter selskapets vurdering er i strid med personvernregelverket.

§ 6. Konfidensialitet

Staple AS skal sikre at ansatte, innleide og andre som behandler personopplysninger under denne avtalen, er pålagt taushetsplikt. Taushetsplikten gjelder også etter at avtale- eller arbeidsforholdet er avsluttet. Tilgang gis kun til personell som trenger det for å levere tjenesten, etter prinsippet om minst mulig tilgang.

§ 7. Informasjonssikkerhet

Staple AS skal gjennomføre egnede tekniske og organisatoriske tiltak for et sikkerhetsnivå tilpasset risikoen, jf. personvernforordningen artikkel 32. Tiltakene omfatter blant annet tenant-isolasjon på databasenivå, tilgangsstyring per rolle, kryptering ved overføring, uforanderlig loggføring og sikkerhetskopi med testet gjenoppretting. Konkrete tiltak er beskrevet i Vedlegg 2 og revideres minst årlig.

§ 8. Bruk av underdatabehandlere

Kunden gir Staple AS generell forhåndsgodkjenning til å bruke underdatabehandlere. Godkjente underdatabehandlere på avtaletidspunktet er beskrevet i Vedlegg 3. Staple AS skal pålegge hver underdatabehandler de samme personvernpliktene som følger av denne avtalen gjennom skriftlig avtale, varsle Kunden minst 30 dager før nye underdatabehandlere tas i bruk eller byttes slik at Kunden kan motsette seg endringen, og er fullt ansvarlig overfor Kunden for at underdatabehandleren oppfyller sine plikter.

§ 9. Overføring til tredjeland

Personopplysninger lagres innenfor EØS. Overføring til land utenfor EØS skjer ikke uten skriftlig forhåndssamtykke fra Kunden, og bare dersom det foreligger et gyldig overføringsgrunnlag etter personvernforordningen kapittel V, for eksempel EU-kommisjonens standardvilkår.

§ 10. Bistand til behandlingsansvarlig

Staple AS skal, så langt det er mulig, bistå Kunden med egnede tekniske og organisatoriske tiltak slik at Kunden kan svare på henvendelser om de registrertes rettigheter, herunder innsyn, retting, sletting, begrensning, dataportabilitet og innsigelse. Henvendelser som mottas direkte videresendes til Kunden uten ugrunnet opphold. Selskapet bistår også med personvernkonsekvensvurderinger og forhåndsdrøftinger etter artikkel 35 og 36 når Kunden ber om det.

§ 11. Brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten skal Staple AS varsle Kunden uten ugrunnet opphold etter at bruddet ble kjent. Varselet skal beskrive bruddets art, hvilke registrerte og opplysninger som er berørt, sannsynlige konsekvenser og tiltak som er eller vil bli iverksatt. Selskapet bistår Kunden med å melde bruddet til Datatilsynet og eventuelt de registrerte innenfor fristene i artikkel 33 og 34.

§ 12. Sikkerhetsrevisjon og tilsyn

Kunden har rett til å kontrollere at behandlingen skjer i samsvar med denne avtalen, gjennom innhenting av dokumentasjon, egenerklæring eller revisjon utført av Kunden eller en uavhengig tredjepart. Staple AS stiller nødvendig informasjon til rådighet. Revisjon varsles minst 14 dager i forveien og gjennomføres slik at den i minst mulig grad forstyrrer driften.

§ 13. Varighet, sletting og tilbakelevering

Avtalen gjelder så lenge Staple AS behandler personopplysninger for Kunden. Ved opphør skal selskapet, etter Kundens valg, slette eller tilbakelevere personopplysningene og slette eksisterende kopier. Unntak gjelder regnskaps- og lønnsdata som er underlagt lovpålagt oppbevaringsplikt (bokføringsloven, normalt fem år): disse beholdes til oppbevaringstiden er ute, jf. personvernforordningen artikkel 17 nr. 3 bokstav b, og slettes deretter. Tilbakelevering skjer i et alminnelig, maskinlesbart format (CSV, JSON eller SAF-T). Selskapet bekrefter skriftlig at sletting er gjennomført.

§ 14. Ansvar, lovvalg og verneting

Partenes erstatningsansvar følger av personvernforordningen artikkel 82 og ansvarsbestemmelsene i kundeavtalen så langt de passer. Avtalen reguleres av norsk rett, med Oslo tingrett som verneting. Ved motstrid mellom denne avtalen og kundeavtalen går denne avtalen foran i spørsmål om behandling av personopplysninger.

Vedlegg 1. Behandlingsoversikt

Oversikt over behandlingsaktivitetene som omfattes av avtalen:

• Formål: levere Staple (regnskap, bilag, faktura, lønn, timeføring, oppdragsstyring og årsoppgjør).
• Behandlingens art: innsamling, registrering, lagring, strukturering, sammenstilling, innrapportering til offentlige myndigheter (Altinn, Skatteetaten) på Kundens instruks, og sletting.
• Kategorier registrerte: Kundens ansatte og brukere, samt Kundens egne klienter og deres ansatte, kunder og leverandører.
• Personopplysninger: navn, kontaktopplysninger, organisasjonsnummer, brukerrolle, regnskaps- og bilagsdata, lønns- og timeopplysninger, kontonummer, og fødselsnummer eller D-nummer der det er nødvendig for lønn og A-melding.
• Særlige kategorier: behandles som hovedregel ikke. Fødselsnummer er ikke en særlig kategori, men behandles etter personopplysningsloven § 12 kun der det er saklig behov (lønn og A-melding).
• Varighet: så lenge Kunden bruker Staple. Sletting eller tilbakelevering ved opphør, jf. § 13, med lovpålagt oppbevaring som unntak.

Vedlegg 2. Sikkerhetstiltak

Tekniske og organisatoriske tiltak etter personvernforordningen artikkel 32. Tiltakene revideres minst årlig. Kryptering i ro hevdes ikke; tekstene under beskriver kun det som faktisk er på plass.

• Tenant-isolasjon på databasenivå (PostgreSQL Row Level Security), tvunget og testdekket med kryss-byrå-tester.
• Tilgangsstyring per rolle, personlige kontoer, valgfri totrinnsbekreftelse (TOTP) og prinsippet om minst mulig tilgang.
• Kryptering av personopplysninger ved overføring (TLS 1.3).
• Uforanderlig (append-only) revisjonsspor; kryss-tenant administrasjonshandlinger logges i et eget, separat spor.
• Sikkerhetskopi kryptert og lagret utenfor driftsserveren, med daglig testet gjenoppretting.
• Rate-limiting mot credential stuffing og brute force.
• Drift og lagring innenfor EU/EØS.
• Taushetsplikt for alt personell med tilgang, jf. § 6, og rutine for håndtering og varsling av brudd, jf. § 11.

Vedlegg 3. Underdatabehandlere

Underdatabehandlere som er forhåndsgodkjent på avtaletidspunktet, jf. § 8. Alle er lokalisert i EU/EØS. En fullstendig, navngitt liste utleveres på forespørsel, og endringer varsles minst 30 dager i forveien.

• Hosting og databasedrift: infrastrukturleverandør i EU/EØS (Tyskland/Finland).
• Transaksjonell e-post (faktura, varsler og lignende): leverandør i EU.
• Kryptert sikkerhetskopi utenfor driftsserveren: leverandør i EU/EØS.