MountainControl
MountainControl
Juridisk
Juridisk

Databehandleravtale

Mellom Kunden (behandlingsansvarlig) og Leverandøren av MountainControl (databehandler), jf. GDPR artikkel 28.

Parter

Behandlingsansvarlig (Kunden): [KUNDE / ANLEGGETS NAVN], org.nr [NR]

Databehandler (Leverandøren): Lorentzen Multiservice, org.nr 931 361 066

Leverandørens adresse: Klungnesveien 40, 9436 Kongsvik

Leverandørens kontaktpunkt: henriklorentzen@hotmail.com

1. Formål og omfang

Leverandøren behandler personopplysninger kun for å levere MountainControl til Kunden, og kun etter dokumenterte instrukser fra Kunden. Denne avtalen, sammen med tjenestens funksjonalitet og Kundens bruk, utgjør Kundens instruks.

2. Kategorier av registrerte og opplysninger

  • Registrerte: Kundens ansatte og brukere; personer omtalt i avvik/hendelser.
  • Opplysninger: navn, kontaktinfo, rolle, sertifikat-/opplæringsstatus, handlingslogg, og — der det forekommer i avvik — helseopplysninger om skade.

3. Leverandørens plikter

Leverandøren skal:
  1. behandle opplysningene kun etter Kundens instruks;
  2. sikre at personer med tilgang har taushetsplikt;
  3. iverksette egnede tekniske og organisatoriske sikkerhetstiltak (art. 32), herunder kryptering, tilgangsstyring, kundeisolasjon og logging;
  4. bistå Kunden med å oppfylle registrertes rettigheter og Kundens plikter etter art. 32–36;
  5. varsle Kunden uten ugrunnet opphold ved brudd på personopplysningssikkerheten;
  6. ved avtalens opphør slette eller tilbakelevere opplysningene etter Kundens valg, med mindre lov krever fortsatt lagring.

4. Underdatabehandlere

Kunden gir generelt samtykke til at Leverandøren bruker underdatabehandlere. Alle befinner seg i EU/EØS, eller overføring skjer på gyldig overføringsgrunnlag. Leverandøren varsler Kunden ved planlagte endringer.

Nåværende underdatabehandlere:

  • SupabaseDatabase, innlogging, fillagringFrankfurt (eu-central-1)
  • NetlifyDrift av applikasjonenEU/EØS

5. Overføring utenfor EØS

Personopplysninger behandles innenfor EU/EØS. Eventuell overføring utenfor EØS skjer kun på gyldig grunnlag etter GDPR kapittel V (f.eks. EUs standardkontrakter).

6. Sikkerhet

Leverandøren skal ha et sikkerhetsnivå tilpasset risikoen, herunder kryptering under overføring og lagring, rollebasert tilgang, isolasjon mellom kunder, og en uforanderlig hendelseslogg for tilgang til og endring av personopplysninger.

7. Brudd på personopplysningssikkerheten

Ved brudd varsler Leverandøren Kunden uten ugrunnet opphold og senest innen 48 timer etter at bruddet ble oppdaget, med tilstrekkelig informasjon til at Kunden kan oppfylle sin varslingsplikt til Datatilsynet (innen 72 timer).

8. Revisjon

Leverandøren gjør tilgjengelig informasjon som er nødvendig for å vise at pliktene etter art. 28 overholdes, og muliggjør og bidrar til revisjoner.

9. Varighet og opphør

Avtalen gjelder så lenge Leverandøren behandler personopplysninger for Kunden. Ved opphør håndteres data etter punkt 3 nr. 6.

For Kunden

Underskrift
Dato

For Leverandøren (Lorentzen Multiservice)

Underskrift
Dato