Timebanken logo

Databehandleravtale

1. Avtalens parter

1.1 Behandlingsansvarlig:

Kunden som har inngått Tjenesteavtalen. Den personen som har inngått Tjenesteavtalen på vegne av Kunden anses som kontaktperson.

1.2 Databehandler:

TANKELOFTET AS, Adresse: Johan Svendsens vei 20 1472 FJELLHAMAR Norge, Organisasjonsnummer:

Kontaktperson: Eivind Jonassen, Tittel: Styrets leder, Telefon: 97059682, E-mail:

Behandlingsansvarlig og Databehandler omtales enkeltvis som “Part” og i fellesskap som “Partene”.

2. Avtalens bakgrunn og formål

Databehandler har forpliktet seg til å levere tjenestene beskrevet i kundeavtalen (“Tjenesteavtalen”). Utføringen av dette arbeidet innebærer at Databehandler vil Behandle Personopplysninger på vegne av Behandlingsansvarlig.

Som kunde bestemmer Behandlingsansvarlig formålet med Behandlingen av Personopplysningene og hvilke midler som skal benyttes.

Denne databehandleravtalen (“Databehandleravtalen”) fastsetter rammene for Databehandlers Behandling av Personopplysninger på vegne av Behandlingsansvarlig.

Formålet med denne Databehandleravtalen er å:

  • regulere Partenes rettigheter og plikter ved Behandling av Personopplysninger,
  • sikre at kravene i Personopplysningslovgivningen og GDPR etterleves ved gjennomføringen av Tjenesteavtalen, og
  • sikre at Personopplysninger ikke Behandles urettmessig, kommer uberettigede i hende eller Behandles til andre formål enn det som er fastsatt i denne Databehandleravtalen.

Ved motstrid mellom bestemmelsene i denne Databehandleravtaler og andre avtaler mellom Partene, herunder Tjenesteavtalen, skal bestemmelsene i Databehandleravtalen gå foran.

3. Definisjoner

Følgende definisjoner gjelder for denne Databehandleravtalen:

“Databehandleravtalen” betyr de bestemmelser som fremgår av denne databehandleravtalen med vedlegg.

“Personopplysning” betyr alle typer opplysninger eller informasjon som anses som personopplysninger etter Personvernlovgivningen og GDPR. Dette omfatter, men er ikke begrenset til, de opplysningene som fremgår av Vedlegg 1.

“Behandling” (av Personopplysninger) betyr enhver bruk av Personopplysninger, for eksempel innsamling, lagring, organisering, endring eller tilpasning, utlevering og/eller overføring.

“GDPR” betyr EU-forordning 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (slik den er implementert i norsk rett).

“Personvernlovgivning” betyr lov om behandling av personopplysninger av 15. juni 2018 nr. 38 med tilførende forskrift som implementerer GDPR og all annen relevant lovgivning som regulerer partenes behandling av Personopplysninger.

“Lov” betyr enhver annen gjeldende lovgivning som Partene er underlagt.

“Underdatabehandler” betyr andre databehandlere som Databehandleren bruker til å behandle Personopplysningene.

“De registrerte” betyr enhver identifisert eller identifiserbar person som Personopplysningene knytter seg til.

4. Generelt

Partene skal Behandle Personopplysninger i samsvar med Personvernlovgivningen, GDPR og denne Databehandleravtalen.

Databehandler skal utelukkende samle inn, registrere, sammenstille, lagre og på andre måter Behandle Personopplysninger i den utstrekning det er nødvendig for å oppfylle Tjenesteavtalen og Databehandleravtalen.

Behandlingsansvarlig må sikre at det finnes et lovlig grunnlag for Behandlingen av Personopplysningene.

5. Behandlingsansvarliges instruksjonsmyndighet

Databehandler skal kun Behandle Personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig.

Databehandler kan også Behandle Personopplysninger hvis dette kreves i henhold til Lov som Databehandler er underlagt. I så tilfelle skal Databehandler varsle Behandlingsansvarlig om den rettslige forpliktelsen i forkant av Behandlingen, med mindre den aktuelle Loven forbyr slik informasjon gis av hensyn til allmenn interesse.

Behandlingsansvarliges instrukser til Databehandler er fastsatt av denne Databehandleravtalen med vedlegg.

Vedlegg 1 til Databehandleravtalen beskriver hvilke kategorier Personopplysninger Databehandler kan Behandle og formålet med Behandlingen. Databehandler skal ikke Behandle Personopplysninger til andre formål enn det som fremgår her.

Behandlingsansvarlig kan gi Databehandler etterfølgende instrukser så lenge Databehandler Behandler Personopplysninger på vegne av Behandlingsansvarlig. Slike etterfølgende instrukser skal gis Databehandler skriftlig og må være dokumenterte.

Partene skal umiddelbart varsle hverandre dersom den ene Parten mener at instrukser eller krav fra den andre Parten er i strid med Personvernlovgivningen eller GDPR.

6. Databehandlers plikt å bistå behandlingsansvarlig

Idet det tas hensyn til Behandlingens art og den informasjonen som er tilgjengelig for Databehandler, skal Databehandler bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser i henhold til GDPR artikkel 32 – 36.

Dette innebærer at Databehandler vil måtte kunne bistå i forbindelse med vurdering av personvernkonsekvenser og forhåndsdrøftelser.

7. Personopplysningssikkerhet

Databehandler skal oppfylle de krav til informasjonssikkerhet som følger av Personvernlovgivningen og GDPR, og herunder gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, i tråd med GDPR artikkel 32.

De tekniske og organisatoriske tiltakene som skal gjennomføres er beskrevet i vedlegg 2.

Databehandler skal også bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser hva gjelder tilstrekkelig informasjonssikkerhet i henhold til GDPR artikkel 32.

8. Databehandlerens bruk av underdatabehandler

Dersom Databehandler engasjerer en Underdatabehandler til å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig, skal den aktuelle Underdatabehandleren pålegges de samme forpliktelsene som fastsatt i denne Databehandleravtalen gjennom en avtale eller annet rettslig dokument.

Databehandler skal sikre at Underdatabehandleren er kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfyller disse kravene.

Databehandler skal overfor Behandlingsansvarlig være fullt ut ansvarlig for at Underdatabehandler oppfyller sine forpliktelser.

De Underdatabehandlerne som Databehandler benytter i forbindelse med Tjenesteavtalen fremgår av Vedlegg 3. Behandlingsansvarlig aksepterer at Databehandler benytter disse Underdatabehandlerne.

Behandlingsansvarlig aksepterer at Databehandler benytter andre Underdatabehandlere enn de som er beskrevet i Vedlegg 3. Dersom Databehandler ønsker å benytte seg av nye Underdatabehandlere skal Databehandleren underrette Behandlingsansvarlig om navn og kontaktinformasjon på Underdatabehandleren i forkant. Behandlingsansvarlig har rett til å motsette seg Databehandlers bruk av ny Underdatabehandler. Dersom Behandlingsansvarlig motsetter seg bruk av ny Underdatabehandler, skal Behandlingsansvarlig informere Databehandler uten ugrunnet opphold.

9. Databehandlerens overføring av personopplysninger til utlandet

Databehandler kan overføre de Personopplysningene Databehandler behandler på vegne av Behandlingsansvarlig til de land der Databehandler og Underdatabehandlerne driver sin virksomhet og lagre dem der. Disse landene er angitt i Vedlegg 3. Behandlingsansvarlig er kjent med dette og godtar denne overføringen så lenge den er nødvendig for å gjennomføre de avtalte leveransene.

Behandlingsansvarlig godtar at Personopplysningene behandles utenfor Norge. Databehandler skal likevel ikke overføre Personopplysninger til land utenfor EU/EØS-området eller til en internasjonal organisasjon uten etter forutgående skriftlig samtykke fra Behandlingsansvarlig, med mindre EU-kommisjonen har fastslått at landet eller den internasjonale organisasjonen sikrer et tilstrekkelig beskyttelsesnivå.

Dersom Behandlingsansvarlig godtar en slik overføring av Personopplysninger til et land utenfor EU/EØS-området eller til en internasjonal organisasjon, skal Databehandler sørge for at overføringen skjer i tråd med reglene i GDPR kapittel V.

Databehandleren forplikter seg også til å vurdere beskyttelsesnivået i det tredjelandet eller de tredjeland som personopplysninger skal overføres til, og sørge for at det iverksettes supplerende tiltak av tekniske, organisatoriske eller kontraktsmessige tiltak for å sikre et i hovedsak tilsvarende beskyttelsesnivå som i EU/EØS.

10. Håndtering av De registrertes rettigheter

Behandlingsansvarlig skal være kontaktpunkt for De registrerte og gi nødvendig informasjon om Behandlingen.

Behandlingsansvarlig er ansvarlig for håndteringen av De registrertes anmodninger om innsyn, retting, sletting, begrensning, dataportabilitet mv., samt å sikre at slike anmodninger imøtekommes.

Databehandler skal, idet det tas hensyn til Behandlingens art og i den grad det er mulig ved hjelp av egnede tekniske og organisatoriske tiltak, bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som De registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i GDPR kapittel III.

Dersom Databehandler mottar en forespørsel fra Den registrerte, skal Databehandler snarest mulig varsle Behandlingsansvarlig.

11. Avvikshåndtering og varsling

Enhver bruk av informasjonssystemer i strid med Databehandlers fastlagte rutiner, Behandlingsansvarliges instrukser, Personvernlovgivningen eller GDPR, samt ethvert annet sikkerhetsbrudd, skal håndteres som et avvik.

Partene skal etablere og opprettholde rutiner og systematiske tiltak for oppfølging av avvik, herunder tiltak for gjenoppretting av normaltilstand, fjerning av årsaken til avviket og hindre gjentakelse.

Partene skal, så snart de får kunnskap om et avvik, uten ugrunnet opphold og senest innen 36 timer, informere hverandre om eventuelle sikkerhetsbrudd og umiddelbart iverksette alle nødvendige og hensiktsmessige tiltak for å gjenopprette normaltilstand.

Behandlingsansvarlig er ansvarlig for å sende avviksmelding til Datatilsynet og De registrerte i henhold til GDPR artikkel 33 og 34. Databehandler skal, om nødvendig, bistå Behandlingsansvarlig med å sikre at GDPR artikkel 33 og 34 overholdes.

12. Revisjon og inspeksjon

Databehandler skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise overholdelse av Databehandlers forpliktelser i henhold til Personvernlovgivningen, GDPR og denne Databehandleravtalen.

Databehandler skal muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Behandlingsansvarlig eller en annen inspektør på fullmakt fra Behandlingsansvarlig, av Databehandlers overholdelse av GDPR, Personvernlovgivningen og denne Databehandleravtalen. Behandlingsansvarlig har rett til å gjennomføre slike revisjoner på egen kostnad, maksimalt én gang i året med fire ukers forhåndsvarsel.

13. Konfidensialitet og taushetsplikt

Databehandler har taushetsplikt om de Personopplysninger og den dokumentasjon som Databehandler får tilgang til gjennom Databehandleravtalen. Taushetsplikten gjelder også etter Databehandleravtalens opphør.

Databehandler skal ikke utlevere eller gi tilgang til Personopplysningene til andre enn egne ansatte, Underdatabehandlere eller til ansatte hos Behandlingsansvarlig, uten at dette er avtalt skriftlig med Behandlingsansvarlig eller følger av lov, forskrift eller vedtak av offentlig myndighet.

Databehandler skal sikre at personer som er autorisert til å Behandle Personopplysningene, har forpliktet seg til å behandle opplysningene konfidensielt i form av en konfidensialitetsavtale eller er underlagt en egnet lovfestet taushetsplikt.

14. Avtalens varighet

Avtalen gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig.

15. Opphør

Når Databehandleravtalen opphører skal Databehandler levere tilbake alle Personopplysninger som omfattes av Databehandleravtalen i et format som er egnet for videre Behandling hos Behandlingsansvarlig eller en tredjepart som Behandlingsansvarlig utpeker.

Behandlingsansvarlig kan alternativt kreve at Personopplysningene slettes og/eller destrueres i samsvar med Behandlingsansvarliges skriftlige instruks.

Partene avtaler nærmere hvordan overføring, eller sletting og/eller destruering konkret skal skje.

Databehandleren skal skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter Databehandleravtalen opphører.

Unntak gjelder dersom Personvernlovgivningen, GDPR eller Lov krever at Personopplysningene skal oppbevares videre.

16. Lovvalg og verneting

Avtalen er underlagt norsk rett. Partene vedtar Oslo tingrett som verneting.

Vedlegg til avtalen

Vedlegg 1: Beskrivelse av personopplysningene og formålet med behandlingen

Type persondata: Navn, e-post, telefonnummer og bedriftsnavn.

Kategori av registrerte: Ansatte, Kunder og andre tredjeparter som den behandlingsansvarlige gjør eller vurderer eller har gjort forretning med.

Formålet med behandlingen: Lage, lagre og prosessere avtaler og dokumenter for å benytte seg av Tankeloftets tjenester, inkludert å få oversikt over juridiske rettigheter og plikter knyttet til ansatte, kunder og andre tredjeparter behandlingsansvarlig gjør, vurderer eller har gjort forretning med.

Vedlegg 2: Beskrivelse av tekniske og organisatoriske sikkerhetstiltak

Dette vedlegget spesifiserer de tekniske og organisatoriske sikkerhetstiltakene som databehandler skal iverksette for å beskytte personopplysninger behandlet på vegne av Kunden (heretter “behandlingsansvarlig”) gjennom timebanken.no-applikasjonen. Kravene er utformet med hensyn til behandlingens art, omfang, formål og kontekst, samt risikoen av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter.

1. Formål med sikkerhetstiltakene

Formålet med sikkerhetstiltakene er å sikre konfidensialitet, integritet, tilgjengelighet og robusthet av personopplysningene behandlet i timebanken.no, samt å beskytte opplysningene mot utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som overføres, lagres eller på annen måte behandles.

2. Hovedelementer som er avgjørende for sikkerhetsnivået

Sikkerhetsnivået i timebanken.no skal baseres på en risikovurdering og skal adressere følgende hovedelementer:

  • Tilgangskontroll: Sikre at kun autorisert personell og systemer har tilgang til personopplysningene, basert på “need-to-know”-prinsippet og relevante roller (f.eks. administratorer, frivillige).
  • Dataintegritet: Beskytte personopplysninger mot uautorisert endring eller sletting.
  • Datakonfidensialitet: Forhindre uautorisert innsyn i personopplysningene.
  • Tilgjengelighet: Sikre at personopplysningene er tilgjengelige for autoriserte brukere når det er nødvendig, og at systemene kan gjenopprettes raskt ved en hendelse.
  • Robusthet: Sikre at systemene og tjenestene som behandler personopplysninger tåler feil og angrep.
  • Sporbarhet: Muliggjøre sporing av aktiviteter knyttet til personopplysningene for å oppdage og reagere på sikkerhetshendelser.

3. Konkrete tekniske og organisatoriske tiltak

Databehandler forplikter seg til å iverksette og opprettholde følgende sikkerhetstiltak:

3.1 Tilgangskontroll og autentisering

  • Sterk autentisering: Bruk av Firebase Authentication (Email/Password) med krav til sterke passord. Vurdering av tofaktorautentisering (MFA) der dette er hensiktsmessig for sensitive funksjoner eller administratorroller.
  • Rollebasert tilgangskontroll (RBAC): Tilgang til funksjonalitet og data skal være strengt basert på brukerens tildelte rolle (f.eks. “admin” eller “volunteer”) som definert i Firestore (/artifacts/{projectId}/users/{userId}/profile/role).
  • Minimalistisk tilgang: Tilgang til personopplysninger skal begrenses til det absolutte minimum som er nødvendig for å utføre oppgavene for hver rolle. For eksempel skal frivillige kun ha tilgang til å se og administrere egne oppgaver, mens administratorer har utvidede tilganger.
  • Regelmessig gjennomgang av tilganger: Databehandler skal regelmessig gjennomgå og fjerne unødvendige eller utdaterte tilganger.

3.2 Beskyttelse ved overføring/utlevering

  • Kryptering av data under overføring: All dataoverføring mellom klient (nettleser) og server (Firebase/Firestore) skal skje over krypterte kanaler (HTTPS/SSL/TLS). Dette sikrer at personopplysninger er beskyttet mot avlytting og manipulering under transport.
  • Sikker utlevering: Dersom personopplysninger skal utleveres til tredjeparter (etter instruks fra Behandlingsansvarlig), skal dette skje via sikre, krypterte overføringsmetoder.

3.3 Pseudonymisering og kryptering

  • Lagring av data i Firestore: Personopplysninger i Firestore skal lagres på en måte som ivaretar konfidensialitet. Bruk av Firestore sikkerhetsregler for å begrense tilgang til spesifikke dokumenter og felter basert på brukerens autentisering og rolle.
  • Pseudonymisering: Der det er hensiktsmessig og mulig, bør pseudonymisering vurderes for å redusere risikoen for identifisering av enkeltpersoner, spesielt i logger eller rapporter som ikke krever direkte identifisering. For eksempel kan bruker-ID (UID) brukes fremfor e-postadresser i interne systemprosesser der full identifisering ikke er nødvendig. For timebanken.no, hvor koblingen mellom oppgaver og brukere er sentral, vil pseudonymisering primært være aktuelt for interne analyseformål eller anonymiserte rapporter.
  • Kryptering av data i hvile (at rest): Databasen (Firestore) og lagringsmedier skal være beskyttet med kryptering der dette tilbys som standard funksjonalitet av Firebase/Google Cloud Platform.

3.4 Logging og sporbarhet

  • Relevante logger: Systemet skal føre relevante logger over aktiviteter knyttet til behandling av personopplysninger, inkludert, men ikke begrenset til, innlogginger, forsøk på uautorisert tilgang, opprettelse, endring og sletting av data (f.eks. oppgaver og brukerprofiler).
  • Sikker lagring av logger: Logger skal lagres sikkert og beskyttes mot uautorisert endring eller sletting. Tilgang til logger skal være begrenset til autorisert personell med et legitimt behov.
  • Regelmessig gjennomgang av logger: Databehandler skal regelmessig gjennomgå logger for å identifisere mistenkelig aktivitet eller sikkerhetshendelser.

3.5 Sikring av personopplysninger der disse lagres

  • Sikker utviklingspraksis: Utvikling av timebanken.no skal følge anerkjente prinsipper for sikker utvikling (“Security by Design” og “Privacy by Design”), inkludert validering av input, håndtering av feil, og beskyttelse mot vanlige web-sårbarheter.
  • Database-sikkerhet (Firestore): Bruk av Firebase Firestore Security Rules for å håndheve tilgangskontroll på databasenivå, basert på brukerroller og dataeierskap.
    • For tasks samlingen: Sikre at kun administratorer kan opprette, endre og slette alle oppgaver, mens frivillige kun kan tildele og avtildele oppgaver fra seg selv.
    • For user roles og user profiles samlingene: Streng tilgangskontroll som sikrer at kun administratorer kan administrere roller og profildata, og at brukere kun kan se sin egen offentlige profilinformasjon.
  • Backup og gjenoppretting: Etablere rutiner for regelmessig backup av alle personopplysninger for å sikre at data kan gjenopprettes i tilfelle tap eller skade. Gjenopprettingsplaner skal testes jevnlig.
  • Fysisk sikkerhet: Databehandler skal sikre at de underliggende serverne og infrastrukturen som benyttes av Firebase/Google Cloud Platform, er beskyttet av adekvate fysiske sikkerhetstiltak, i tråd med industristandarder.
  • Sikkerhetsoppdateringer: Systemer, biblioteker og plattformer som benyttes i timebanken.no skal holdes oppdatert med de nyeste sikkerhetsoppdateringene og -fikser.

3.6 Organisasjonsmessige tiltak

  • Sikkerhetsbevissthet og opplæring: Personell med tilgang til personopplysninger skal være bevisst på viktigheten av informasjonssikkerhet og gis nødvendig opplæring i sikre rutiner og retningslinjer.
  • Hendelseshåndtering: Etablere rutiner for håndtering av sikkerhetsbrudd og andre sikkerhetshendelser, inkludert identifisering, rapportering, analyse, begrensning og utbedring av hendelsen. Behandlingsansvarlig skal varsles uten unødig forsinkelse ved et databrudd.
  • Internkontroll: Databehandler skal ha etablert et internkontrollsystem for informasjonssikkerhet som sikrer at kravene i dette vedlegget etterleves.
  • Evaluering og forbedring: Sikkerhetstiltakene skal evalueres og forbedres jevnlig for å sikre at de til enhver tid er adekvate og effektive, i lys av teknologisk utvikling og endrede trusselbilder.