Databehandleravtale

Denne databehandleravtalen («Avtalen») er inngått mellom EuroWebhosting v/ IT DRIFT (heretter «EuroWebhosting»), et aksjeselskap med organisasjonsnummer 980 408 678 i foretaksregisteret, og deg, og gjelder fra datoen for din elektroniske aksept av våre vilkår for bruk av våre tjenester. Begrepene «vi», «oss» eller «vår» skal henvise til EuroWebhosting. Begrepene «du», «deg», «din» eller «kunden» skal henvise til enhver fysisk eller juridisk person som inngår denne avtalen med oss.

Avtalen er et tillegg til «Vilkår for Bruk» som trer i kraft når du bruker EuroWebhosting sine hosting-tjenester (DNS, epost, web, etc.) til å lagre, overføre eller på annen måte behandle personopplysninger. Avtalen beskriver rettigheter og plikter for deg som behandlingsansvarlig og EuroWebhosting som databehandler.

1. Definisjoner

   «GDPR» betyr EUs personvernforordning, General Data Protection Regulation (EU) 2016/679, som vedtatt av Europaparlamentet og Rådet for Den europeiske union den 14. april 2016.

   «Personvernlovgivning» betyr alle gjeldende lover og forskrifter om databeskyttelse og personvern, inkludert GDPR og den norske Personopplysningsloven.

   «Personopplysning» betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. En identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, særlig med henvisning til en identifikator, slik som et navn, et identifikasjonsnummer, posisjonsdata, en elektronisk identifikator eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen.

   «Den registrerte» betyr den fysiske personen som et bestemt sett med personopplysninger vedrører.

   «Behandling» betyr enhver operasjon eller sett av operasjoner som utføres på personopplysninger eller på sett av personopplysninger, enten det er automatisert eller ikke, slik som innsamling, mottak, organisering, strukturering, lagring, bearbeidelse, endring, uthenting, konsultasjon, bruk, overføring, formidling, tilgjengeliggjøring, justering, kombinering, begrensning, sletting eller tilintetgjørelse.

   «Behandlingsansvarlig» betyr den fysiske eller juridiske person, offentlig myndighet, byrå eller annet organ som, alene eller i fellesskap med andre, bestemmer formålet med og midlene for behandling av personopplysninger. I denne databehandleravtalen skal behandlingsansvarlig henvise til deg.

   «Databehandler» betyr en fysisk eller juridisk person, offentlig myndighet, et byrå eller et annet organ som behandler personopplysninger på vegne av behandlingsansvarlig. I denne databehandleravtalen skal databehandler referere til EuroWebhosting.

   «Databehandleravtale» er denne avtalen, beskrevet og definert her, mellom Behandlingsansvarlig og Databehandler. Behandlingsansvarlig har ansvar for at det inngås en databehandleravtale. Databehandleravtalen skal være skriftlig, men kan foreligge i elektronisk form slik som her. Ingenting i avtalen fritar partene fra deres øvrige direkte forpliktelser i GDPR eller annet gjeldende lovverk. Avtalen trer i kraft når man tar i bruk enhver av EuroWebhosting sine hosting-tjenester, og avsluttes når tjenesteleveringen avsluttes og den behandlingsansvarlige sine data er fjernet.

   «Tilsynsmyndighet» betyr en uavhengig offentlig myndighet som er opprettet av en EU/EØS-stat i henhold til artikkel 51 i GDPR. I Norge er det Datatilsynet som er tilsynsmyndighet.

2. Varighet, tema og formål for behandlingen

   EuroWebhosting, i egenskap av databehandler, vil gjøre EuroWebhosting sine hosting-servere tilgjengelige for deg, som behandlingsansvarlig, for å lagre og behandle dine data, inkludert eventuelle personopplysninger som definert av deg. Formålet med behandlingen er å la deg bruke EuroWebhosting sin lagringsplass, prosessorkraft og båndbreddekapasitet til å laste opp, overføre og behandle personopplysninger som en del av hosting-tjenestene EuroWebhosting leverer til deg. Varigheten av denne databehandleravtalen skal være den samme som Avtalen for de hosting-tjenestene du har bestilt fra EuroWebhosting.

   Kategorier av personopplysninger kan være kunder, leverandører, ansatte, medlemmer, studenter, besøkende, deltakere, brukere eller andre grupper av fysiske personer, som definert av behandlingsansvarlig.

   Typer av personopplysninger kan være navn, fødselsdatoer, postadresser, telefonnumre, epostadresser, IP-adresser, brukernavn, passord, informasjonskapsler (cookies), kundenumre, nasjonale identifikasjonsnumre, kredittkortnumre, kjøpshistorikk, loggfiler, brukeroppførsel og -preferanser, posisjonsdata, fotografier, videoklipp eller andre typer opplysninger, som definert av behandlingsansvarlig, som kan brukes alene eller i sammenheng med andre opplysninger for å identifisere en fysisk person.

3. Den behandlingsansvarliges rettigheter og plikter
   

   Det er ditt ansvar, i egenskap av behandlingsansvarlig:

   (a) å definere hvilke kategorier av personopplysninger og hvilke typer personopplysninger som skal behandles, og bestemme formålet for behandlingen og på hvilken måte personopplysningene skal behandles;

   (b) å sørge for at alle personopplysninger behandles i henhold til gjeldende personvernlovgivning, inkludert GDPR;

   (c) å vurdere EuroWebhosting som databehandler sin evne til å sikre beskyttelse av personopplysningene, deriblant innebygd personvern, samt også i hvilken grad de registrertes rettigheter etter GDPR kan oppfylles. Behandlingsansvarlig vurderer til enhver tid og avgjør om garantiene Databehandler gir er tilstrekkelige for at Behandlingsansvarlig skal kunne benytte Databehandler’s hosting-tjenester til å lagre og behandle de typer personopplysninger som Behandlingsansvarlig planlegger.

   (d) ved å laste opp eller overføre personopplysninger ved bruk av EuroWebhosting sine hosting-tjenester, gi EuroWebhosting tillatelse til å lagre opplysningene på sine servere og instruere EuroWebhosting om å ta de nødvendige sikkerhetsregler for å beskytte opplysningene mot uautorisert tilgang og utilsiktet tap av data. Dette inkluderer å ha fysiske og logiske prosedyrer for tilgangskontroll og å ta sikkerhetskopier med jevne mellomrom.

   (e) Du har også rett til å si opp hosting-avtalen med EuroWebhosting dersom EuroWebhosting ikke lenger oppfyller sine forpliktelser i henhold til denne Avtalen eller gjeldende personvernlovgivning.

4. Databehandlerens rettigheter og plikter

   EuroWebhosting, i egenskap av databehandler, forplikter seg til:

   (a) å behandle dine personopplysninger kun etter din instruks, det vil si hvordan slike data skal lagres og behandles på EuroWebhosting sine servere, der integriteten og konfidensialiteten til dataene skal beskyttes;

   (b) å sørge for at alle ansatte og innleide i EuroWebhosting som har tilgang til dine personopplysninger er autorisert til å ha det, og vil behandle opplysningene dine konfidensielt, også etter at hosting-avtalen er avsluttet;

   (c) å ha på plass de nødvendige tekniske og organisatoriske sikkerhetstiltak for å sikre tilstrekkelig sikkerhet for dine data, herunder beskyttelse mot uautorisert eller ulovlig behandling og utilsiktet tap, ødeleggelse eller skade;

   (d) å lagre dataene dine på servere som kun Eurowebhosting har tilgang til og aldri dele dem med underleverandører eller tredjepart, bortsett fra med norske myndigheter dersom det blir påkrevd ved lov;

   (e) å videreformidle til deg eventuelle henvendelser fra de registrerte om deres personvernrettigheter, for eksempel retten til tilgang, korrigering og sletting;

   (f) å informere deg umiddelbart dersom det oppstår et sikkerhetsbrudd, inkludert all informasjon som er nødvendig for at du skal kunne varsle tilsynsmyndigheten og/eller de registrerte om nødvendig;

   (g) innen 12 måneder etter opphør av hosting-avtalen, slette alle hosting-data, inkludert eventuelle sikkerhetskopier;

   (h) på forespørsel, bidra til revisjoner og inspeksjoner og gi deg all nødvendig informasjon for å demonstrere overholdelse av våre forpliktelser som databehandler i henhold til denne databehandleravtalen og GDPR.

5. Sikkerhetstiltak og -anbefalinger

   EuroWebhosting har som hosting-leverandør tatt i bruk en rekke sikkerhetstiltak, både tekniske og organisatoriske, for å beskytte integriteten og konfidensialiteten til våre kunders data. Hos EuroWebhosting er risikoanalyse og databeskyttelse en kontinuerlig prosess. Av plasshensyn og av konkurransemessige og sikkerhetsmessige grunner kan vi ikke gå i detalj om alle sikkerhetstiltak vi har satt i verk. Vi kan bare gi en overordnet beskrivelse av noe av den maskinvaren og programvaren, samt de rutinene og prosedyrene vi har på plass for å beskytte dine data. Disse inkluderer, men er ikke begrenset til:

   • Brannmurer og programvare for deteksjon og forhindring av inntrengingsforsøk
   • Redundant lagring (RAID) og strømforsyning (UPS)
   • Sikkerhetskopier i en separat fysisk lokasjon
   • Kort responstid for sikkerhetsoppdateringer
   • Logging for å oppdage og forhindre sikkerhetshendelser og å muliggjøre sporbarhet av endringer
   • Planlegging og testing for ulike scenarier

   Ethvert sikkerhetssystem er bare så sterkt som det svakeste leddet. I et delt servermiljø slik som EuroWebhosting sitt, kan enkle brukerfeil som å sette gale rettigheter på en fil, kompromittere sikkerheten til dine data. Vi må derfor understreke viktigheten av at du setter riktige rettigheter på alle dine filer og databaser, og at du bruker sterke passord for dine påloggingskontoer hos oss. Her følger noen flere sikkerhetsanbefalinger for å beskytte dataene dine når du benytter våre hosting-tjenester.

   • Vi anbefaler at dersom du bruker våre web hosting-tjenester til å behandle personopplysninger, så bør all webtrafikk krypteres ved hjelp av HTTPS i stedet for vanlig (ukryptert) HTTP. For alle våre web hosting-pakker tilbyr vi gratis HTTPS-kryptering med algoritmer og sertifikater i henhold til gjeldende bransjestandarder, men det kan være du må aktivere dette selv i kontrollpanelet.
   • Tilsvarende anbefaler vi at du, såfremt det er teknisk mulig, når du overfører personopplysninger til eller fra våre hosting-servere ved hjelp av FTP-protokollen eller når du leser epost ved hjelp av POP eller IMAP, at du bruker de krypterte variantene av disse protokollene (SSL/TLS). EuroWebhosting tilbyr både kryptert og ukryptert dataoverføring, men du må selv sørge for at den klientprogramvaren du bruker, er konfigurert til å bruke SSL/TLS-kryptering.
   • Dersom du lagrer passord, anbefaler vi at de, når det er teknisk mulig, lagres i et kryptert format i stedet for i klartekst.
   • Vi anbefaler ikke at du bruker EuroWebhosting sitt delte servermiljø til å behandle sensitive personopplysninger. Sensitive personopplysninger inkluderer informasjon om rasemessig eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk tro, fagforeningsmedlemskap, genetiske data, biometriske data, helseopplysninger eller opplysninger om en persons sexliv eller seksuelle orientering. For slike personopplysninger anbefaler vi i stedet en dedikert server eller virtuell privat server (VPS). EuroWebhosting tilbyr ikke disse tjenestene.

6. Underleverandører av plattformer og infrastruktur

   EuroWebhosting benytter «Infrastruktur som tjeneste» (Infrastructure as a Service – IaaS) fra ulike leverandører. Ved å benytte anerkjente og seriøse leverandører av IaaS, sikres best mulig oppetid og tilgjengelighet for tjenestene.  EuroWebhosting har her kontrollen over relevante applikasjoner, servere, operativsystemer og lagringsmuligheter, samt i noen tilfeller visse elementer i nettverket som for eksempel brannmurer.

   EuroWebhostings leverandører av IaaS og deres personvernavtaler:

   • Linode, LLC – Personvernavtale
   • DigitalOcean, LLC – Personvernavtale
   • UpCloud Ltd. – Personvernavtale

   EuroWebhosting benytter kun servere som er plassert innenfor EU/EØS.