Kom i gang!
Kom i gang!

Databehandleravtale

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Dette dokumentet er oversatt for din bekvemmelighet. Ved eventuelle avvik skal den engelske versjonen gjelde.

Denne databehandleravtalen ("DPA") utgjør en del av avtalen mellom kunden ("Behandlingsansvarlig") og Skiwo AS, som driver Report Securely-plattformen ("Databehandler"), for levering av varslings- og sikre rapporteringstjenester ("Tjenesten").

Denne DPA inngås i samsvar med kravene i artikkel 28 i Personvernforordningen (EU) 2016/679 ("GDPR") og regulerer Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige.

1. Definisjoner

Begreper brukt i denne DPA har samme betydning som i GDPR med mindre annet er definert. "Personopplysninger" betyr alle personopplysninger som behandles av Databehandleren på vegne av den Behandlingsansvarlige i forbindelse med Tjenesten. "Underdatabehandler" betyr enhver tredjepart som engasjeres av Databehandleren for å behandle personopplysninger på vegne av den Behandlingsansvarlige.

2. Omfang og formål med behandlingen

Databehandleren behandler personopplysninger utelukkende med det formål å levere Tjenesten til den Behandlingsansvarlige, som beskrevet i hovedtjenesteavtalen og denne DPA.

Kategoriene av registrerte inkluderer: rapportører (varslere), personer nevnt i rapporter, saksbehandlere og autoriserte brukere i den Behandlingsansvarliges organisasjon. Typene personopplysninger som behandles kan inkludere: navn, kontaktinformasjon, rapportinnhold, kommunikasjon mellom rapportører og saksbehandlere, saksmetadata og revisjonslogger.

Behandlingsperioden tilsvarer varigheten av hovedtjenesteavtalen, pluss eventuell lagringsperiode som kreves av gjeldende lov eller avtalt mellom partene.

3. Databehandlerens forpliktelser

Databehandleren skal:

  • Behandle personopplysninger kun etter dokumenterte instruksjoner fra den Behandlingsansvarlige, med mindre det kreves av gjeldende lov
  • Sikre at personer som er autorisert til å behandle personopplysninger er bundet av taushetsplikt
  • Implementere passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen
  • Ikke engasjere en annen databehandler (underdatabehandler) uten forutgående skriftlig godkjenning fra den Behandlingsansvarlige
  • Bistå den Behandlingsansvarlige med å svare på forespørsler fra registrerte i henhold til GDPR artikkel 15–22
  • Bistå den Behandlingsansvarlige med å sikre etterlevelse av GDPR artikkel 32–36 (sikkerhet, bruddvarsling, konsekvensutredninger)
  • Etter den Behandlingsansvarliges valg, slette eller returnere alle personopplysninger ved opphør av Tjenesten, med mindre oppbevaring kreves av gjeldende lov
  • Gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å demonstrere etterlevelse av forpliktelsene fastsatt i denne DPA og GDPR artikkel 28

4. Sikkerhetstiltak

Databehandleren implementerer og opprettholder følgende tekniske og organisatoriske sikkerhetstiltak:

  • Kryptering av data under overføring (TLS 1.2 eller høyere) og ved lagring (AES-256)
  • Rollebasert tilgangskontroll med prinsippet om minste privilegium
  • Revisjonslogging av alle vesentlige handlinger i plattformen
  • Regelmessig sikkerhetstesting og sårbarhetsvurderinger
  • Sikker programvareutviklingspraksis i henhold til OWASP-retningslinjer
  • Automatiske sikkerhetskopier med kryptert lagring
  • Strenge sikkerhetshoder (HSTS, CSP, X-Frame-Options)

Databehandleren gjennomgår og oppdaterer disse tiltakene regelmessig for å gjenspeile gjeldende teknisk standard og arten, omfanget og formålene med behandlingen.

5. Underdatabehandlere

Behandlingsansvarlig gir generell godkjenning for at Databehandleren kan benytte underdatabehandlere, underlagt vilkårene i denne seksjonen.

Databehandleren skal informere Behandlingsansvarlig om eventuelle planlagte endringer vedrørende tilføyelse eller erstatning av underdatabehandlere, slik at Behandlingsansvarlig får mulighet til å protestere mot slike endringer.

Når Databehandleren benytter en underdatabehandler, skal den pålegge de samme databeskyttelsesforpliktelsene som fastsatt i denne databehandleravtalen gjennom en kontrakt, og sikre at underdatabehandleren gir tilstrekkelige garantier for å implementere hensiktsmessige tekniske og organisatoriske tiltak.

Databehandleren forblir fullt ansvarlig overfor Behandlingsansvarlig for underdatabehandlerens oppfyllelse av sine forpliktelser.

6. Dataoverføringer

Alle personopplysninger lagres og behandles innenfor Det europeiske økonomiske samarbeidsområdet (EØS).

Databehandleren skal ikke overføre personopplysninger til et land utenfor EØS eller til en internasjonal organisasjon med mindre: (a) behandlingsansvarlig har gitt forhåndsgodkjenning skriftlig, og (b) passende sikkerhetstiltak er på plass i samsvar med GDPR kapittel V, slik som EUs standardavtaler for databehandling eller en tilstrekkelighetsavgjørelse fra EU-kommisjonen.

7. Varsling om databrudd

Databehandleren skal varsle behandlingsansvarlig uten ugrunnet opphold etter å ha blitt kjent med et personvernbrudd som berører personopplysninger behandlet under denne databehandleravtalen.

Varslingen skal inkludere: en beskrivelse av bruddets art, kategoriene og det omtrentlige antallet berørte registrerte, de sannsynlige konsekvensene av bruddet, og tiltakene som er iverksatt eller foreslått for å håndtere bruddet.

8. Revisjonsrettigheter

Databehandleren skal gjøre tilgjengelig for behandlingsansvarlig all informasjon som er nødvendig for å påvise overholdelse av forpliktelsene fastsatt i GDPR artikkel 28 og denne databehandleravtalen, og skal tillate og bidra til revisjoner, inkludert inspeksjoner, utført av behandlingsansvarlig eller en annen revisor utpekt av behandlingsansvarlig.

Revisjoner skal gjennomføres med rimelig varsel og i normal arbeidstid, og skal ikke urimelig forstyrre databehandlerens drift.

9. Sletting og retur av data

Ved opphør av tjenesten skal databehandleren, etter behandlingsansvarligs valg, slette eller returnere alle personopplysninger til behandlingsansvarlig og slette eksisterende kopier, med mindre gjeldende lov krever fortsatt lagring.

Behandlingsansvarlig kan be om dataeksport i et vanlig brukt, maskinlesbart format før opphør.

10. Ansvar

Hver parts ansvar under denne databehandleravtalen er underlagt begrensningene og unntakene fastsatt i hovedtjenesteavtalen mellom partene.

Ingenting i denne databehandleravtalen begrenser noen av partenes ansvar for brudd på personvernlovgivningen i den grad slikt ansvar ikke kan begrenses under gjeldende lov.

11. Lovvalg

Denne databehandleravtalen er underlagt norsk lov. Enhver tvist som oppstår fra eller i forbindelse med denne databehandleravtalen skal være underlagt eksklusiv jurisdiksjon i Oslo tingrett, med mindre ufravikelig lov bestemmer noe annet.

12. Kontakt

For spørsmål angående denne databehandleravtalen eller personvernspørsmål, kontakt:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com